解決方案:
安全區(qū)間橫向網(wǎng)絡(luò)邊界安全防護
控制區(qū)與非控制區(qū)之間采用防火墻進行邏輯隔離,對傳輸?shù)牡刂贰f(xié)議�����、端口和數(shù)據(jù)流的方向進行控制��??刂茀^(qū)與非控制區(qū)之間的訪問控制策略原則上只允許控制區(qū)系統(tǒng)與非控制區(qū)系統(tǒng)主動建立鏈接,禁止從非控制區(qū)反向訪問控制區(qū)系統(tǒng)�����,確有必要反向訪問時���,必須對訪問的地址��、協(xié)議和端口實施嚴格的訪問控制���。生產(chǎn)控制大區(qū)與管理信息大區(qū)的網(wǎng)絡(luò)邊界處設(shè)置電力專用安全隔離裝置進行單向物理隔離,實現(xiàn)數(shù)據(jù)的單向傳輸和網(wǎng)絡(luò)邊界的高強度隔離����。
安全區(qū)間縱向網(wǎng)絡(luò)邊界安全防護
在控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)實時VPN的網(wǎng)絡(luò)邊界設(shè)置電力專用縱向加密認證網(wǎng)關(guān)(裝置);在非控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)實時VPN的網(wǎng)絡(luò)邊界設(shè)置國產(chǎn)硬件防火墻��,是電力監(jiān)控系統(tǒng)安全防護的另一關(guān)鍵技術(shù)措施。
安全區(qū)內(nèi)部綜合防護
1.在生產(chǎn)控制大區(qū)和管理信息大區(qū)部署入侵檢測系統(tǒng)����,對關(guān)鍵業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)邊界的關(guān)鍵路徑信息進行實時檢測,實現(xiàn)安全事件的可發(fā)現(xiàn)�����、可追蹤����、可審計。
2.在控制大區(qū)和管理大區(qū)分別部署運維安全審計系統(tǒng)(堡壘主機)全面禁止廠家通過互聯(lián)網(wǎng)遠程運維�����,通過運維管控平臺集中運維數(shù)據(jù)網(wǎng)設(shè)備和服務(wù)器設(shè)備���,并對運維人實名認證����,對運維過程能實時監(jiān)控�����、實時阻斷���、全面審計�����,實現(xiàn)控制大區(qū)IT資源(EMS服務(wù)器��、網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備)運維過程符合等保��、二次安防的要求�。
3.在生產(chǎn)控制大區(qū)建立安全審計����,全面收集、集中存儲生產(chǎn)控制大區(qū)各種業(yè)務(wù)系統(tǒng)�����、網(wǎng)絡(luò)設(shè)備���、安全產(chǎn)品���、機房設(shè)施等的運行日志��、操作系統(tǒng)日志�����、數(shù)據(jù)庫訪問日志�����,并具備動態(tài)監(jiān)視�、故障分析�����、安全審計�����、事件預(yù)警及告警功能�。
防護目標:
? 防范入侵者的惡意攻擊與破壞。
? 保護電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的可用性����。
? 保護電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和系統(tǒng)服務(wù)的連續(xù)性。
? 保護電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)重要信息在存儲和傳輸過程中的機密性���、完整性��。
? 實現(xiàn)應(yīng)用系統(tǒng)和設(shè)備接入電力監(jiān)控系統(tǒng)的身份認證�,防止非法接入和非授權(quán)訪問���。
? 防止對調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)上重要系統(tǒng)操作的抵賴行為����。
? 實現(xiàn)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)安全事件可發(fā)現(xiàn)��、可跟蹤及可審計��。
? 實現(xiàn)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全審計��。
相關(guān)產(chǎn)品:
東方防火墻
安全隔離裝置
工業(yè)入侵檢測系統(tǒng)
日志審計系統(tǒng)
運維安全審計系統(tǒng)
