解決方案:
安全區(qū)間橫向網(wǎng)絡邊界安全防護
控制區(qū)與非控制區(qū)之間采用防火墻進行邏輯隔離��,對傳輸?shù)牡刂?���、協(xié)議、端口和數(shù)據(jù)流的方向進行控制���?���?刂茀^(qū)與非控制區(qū)之間的訪問控制策略原則上只允許控制區(qū)系統(tǒng)與非控制區(qū)系統(tǒng)主動建立鏈接�,禁止從非控制區(qū)反向訪問控制區(qū)系統(tǒng),確有必要反向訪問時���,必須對訪問的地址�����、協(xié)議和端口實施嚴格的訪問控制���。生產(chǎn)控制大區(qū)與管理信息大區(qū)的網(wǎng)絡邊界處設置電力專用安全隔離裝置進行單向物理隔離��,實現(xiàn)數(shù)據(jù)的單向傳輸和網(wǎng)絡邊界的高強度隔離����。
安全區(qū)間縱向網(wǎng)絡邊界安全防護
在控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)實時VPN的網(wǎng)絡邊界設置電力專用縱向加密認證網(wǎng)關(裝置)����;在非控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)實時VPN的網(wǎng)絡邊界設置國產(chǎn)硬件防火墻,是電力監(jiān)控系統(tǒng)安全防護的另一關鍵技術措施�。
安全區(qū)內(nèi)部綜合防護
1.在生產(chǎn)控制大區(qū)和管理信息大區(qū)部署入侵檢測系統(tǒng),對關鍵業(yè)務系統(tǒng)和網(wǎng)絡邊界的關鍵路徑信息進行實時檢測���,實現(xiàn)安全事件的可發(fā)現(xiàn)、可追蹤���、可審計�。
2.在控制大區(qū)和管理大區(qū)分別部署運維安全審計系統(tǒng)(堡壘主機)全面禁止廠家通過互聯(lián)網(wǎng)遠程運維����,通過運維管控平臺集中運維數(shù)據(jù)網(wǎng)設備和服務器設備,并對運維人實名認證��,對運維過程能實時監(jiān)控�����、實時阻斷、全面審計����,實現(xiàn)控制大區(qū)IT資源(EMS服務器、網(wǎng)絡設備����、安全設備)運維過程符合等保、二次安防的要求�。
3.在生產(chǎn)控制大區(qū)建立安全審計,全面收集�、集中存儲生產(chǎn)控制大區(qū)各種業(yè)務系統(tǒng)、網(wǎng)絡設備����、安全產(chǎn)品、機房設施等的運行日志�����、操作系統(tǒng)日志����、數(shù)據(jù)庫訪問日志�����,并具備動態(tài)監(jiān)視���、故障分析、安全審計�、事件預警及告警功能。
防護目標:
? 防范入侵者的惡意攻擊與破壞��。
? 保護電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡的可用性����。
? 保護電力調(diào)度數(shù)據(jù)網(wǎng)絡和系統(tǒng)服務的連續(xù)性。
? 保護電力調(diào)度數(shù)據(jù)網(wǎng)絡重要信息在存儲和傳輸過程中的機密性�、完整性�。
? 實現(xiàn)應用系統(tǒng)和設備接入電力監(jiān)控系統(tǒng)的身份認證,防止非法接入和非授權訪問��。
? 防止對調(diào)度數(shù)據(jù)網(wǎng)絡和應用系統(tǒng)上重要系統(tǒng)操作的抵賴行為�。
? 實現(xiàn)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)安全事件可發(fā)現(xiàn)、可跟蹤及可審計�����。
? 實現(xiàn)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡的安全審計。
相關產(chǎn)品:
東方防火墻
安全隔離裝置
工業(yè)入侵檢測系統(tǒng)
日志審計系統(tǒng)
運維安全審計系統(tǒng)
