当前位置:文档之家 › 电力调度通信中心系统安全防护方案设计及实现

电力调度通信中心系统安全防护方案设计及实现

  • 格式:pdf
  • 大小:906.16 KB
  • 文档页数:16

下载文档原格式

  / 16
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

电力调度通信中心

系统安全防护方案设计及系统实现

目录

一、引言 (3)

二、电力调度通信中心二次系统安全防护方案设计及实施 (3)

2.1.电力调度通信中心二次系统安全分区设计 (3)

2.2. 电力系统专用隔离装置的部署 (6)

反向型专用隔离装置 (6)

2.3基于防火墙的安全防护体系的设计 (3)

调通中心防火墙的部署 (4)

2.4基于入侵检测(I D S)的安全防护体系的设计 (4)

基于网络的入侵检测 (4)

基于主机的入侵检测 (6)

2.5网络防病毒的方案设计 (6)

2.6. 拨号访问认证 (7)

2.7. 数据备份与灾难恢复系统设计 (8)

2.8. 应用软件改造 (9)

应用软件改造技术要求 (9)

跨越隔离装置的应用软件改造 (10)

三、结论 (10)

一、引言

按照中华人民共和国国家经济贸易委员会第 30 号令《电网和电厂计算机监

控系统及调度数据网络安全防护的规定》以及国家电力调度通信中心《全国电网二

次系统安全防护总体框架》的要求,结合华中电力调度通信中心的具体情况而组织

制订了《华中电力调度通信中心二次系统安全防护技术方案》并开始部署实施。目的

是防范对华中电网调度自动化系统、调度生产管理信息系统及调度数据网络的攻

击侵害及由此引起的电力系统事故,以保障华中电网的安全、稳定、经济运行,

保护国家重要基础设施的安全。

华中电力调度通信中心二次系统安全防护所涵盖的范围包括:调度数据网络、调度自动化(EMS)系统、水调自动化系统、电能量计费系统、调度生产

管理(DMIS)系统、调通中心局域网中所有网络和计算机应用系统。

网络安全防护的重点是抵御病毒、黑客等通过各种形式对系统的发起的恶意

破坏和攻击,尤其是集团式攻击,重点保护实时闭环监控系统及调度数据网络的

安全,从而保障国家重要基础设施电力系统的安全。

二、电力调度通信中心二次系统安全防护方案设计及实施

2.1.电力调度通信中心二次系统安全分区设计

随着计算机技术和网络技术的发展,接入华中电力调度通信中心局域网的应

用系统越来越多,在各个系统及用户之间的数据交换也越来越频繁,加之在一

、 通 些系统的规划、设计、建设时,对网络安全问题重视不够, 使得系统存在一些安全隐患,这对调通中心的调度自动化系统和调度数据网络的安全性、可靠性、实时性提出了严峻的挑战,构成了对电网安全运行的潜在威胁和严重隐患。

根据电力二次系统的特点,各相关业务系统的重要程度和数据流程目前状况和安全需求,以及国调中心的技术要求,我们将华中电力调度

信中心二次系统分为四个安全区:I 实时控制区、II 非控制生产区、III 生产管理区、IV 管理信息区。其中安全区Ⅰ的安全等级最高,安全区 II 次之,其余依次类推。采用三角结构实现不同安全区之间的互连,即安全区 I、II 分别通过专用隔离装置与安全区 III 互连,安全区 I 和安全区

II 之间采用防火墙等隔离设备实现互连。

根据华中网各业务系统的实时性、使用者、功能、场所、相互关系、广域网通信的方式以及受到攻击之后所产生的影响,将其分置于四个安全区之中。其中调度自动化系统、稳定控制在线预决策及控制系统的监视和管理系统等位于安全区Ⅰ;电能量计量系统、水调自动化系统、华中电网综合考核系统、故障录波管理系统等位于安全区 II;华中电网调度管理信息系统、检修票系统、保护定值通知单管理系统等位于安全区 III;办公自动化系统等位于安全区 IV。

2.2. 电力系统专用隔离装置的部署

2.2.1正向型专用隔离装置

由于华中电力调度通信中心网络安全防护方案采用三角型连接方式,因此在安全区Ⅰ与安全区Ⅲ之间、安全区Ⅱ与安全区Ⅲ分别部署一台正向型专用隔离装置。

反向型专用隔离装置

专用安全隔离装置(反向)用于从安全区 III 到安全区 I/II 传递数据,是安全

区 III 到安全区 I/II 的唯一数据传递途径。专用安全隔离

路由器

Cisco 3640

安全区Ⅲ

三层交换机(待购) 路由器

三层交换机(待购)

置(反向)集中接收安全区 III 发向安全区 I/II 的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给安全区 I/II 内部的接收程序。

考虑到调通中心安全区 I 和安全区 II 之间是弱保护,同时由于安全区Ⅲ到安全区 I/II 的数据通信实时性要求不高而且业务数据量较少,目前就日计划数据送安全区 I,气象数据、检修和计划数据送安全区 II,因此在安全区 I/II 中共享一个反向通信服务器,与安全区Ⅲ的反向通信服务器进行数据的交换,反向型专用安全隔离装置平时关闭,只有需要从安全区 III 向安全区 I、II 传输数据时才临时开通,数据传输完毕后就立即关闭。

2.3 基于防火墙的安全防护体系的设计

防火墙是 Internet/Intranet 上公认网络存取控制最佳的安全解决方案,网络公司正式将防火墙列入信息安全机制;防火墙是软硬件的结合体,架设在网络之间以确保安全的连接。因此它可以当作 Internet、

Intranet 或E xtranet 的网关器,以定义一个规则组合或安全政策,来控制网络间的通讯。并可有效率的记录各种 Internet 应用服务的存取信息、隐藏企业内部资源、减少企业网络曝露的危机等。所以正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙,且唯有符合安全政策定义的封包,才能通过防火墙。

调通中心防火墙的部署

●安全区Ⅰ和安全Ⅱ之间的隔离;

●安全区Ⅲ中 DMIS 网络与华中电网有限公司局域网络间的隔离;

●安全区Ⅲ中 DMIS 网络与电话管理服务系统之间的隔离;

●安全区Ⅲ中 DMIS 网络与华中电力气象服务系统之间的隔离;

相关主题