东软电力监控系统安全防护方案.docx

上传人:b****8 文档编号:10403043 上传时间:2023-02-11 格式:DOCX 页数:17 大小:27.23KB
下载 相关 举报
东软电力监控系统安全防护方案.docx_第1页
第1页 / 共17页
东软电力监控系统安全防护方案.docx_第2页
第2页 / 共17页
东软电力监控系统安全防护方案.docx_第3页
第3页 / 共17页
东软电力监控系统安全防护方案.docx_第4页
第4页 / 共17页
东软电力监控系统安全防护方案.docx_第5页
第5页 / 共17页
点击查看更多>>
下载资源
资源描述

东软电力监控系统安全防护方案.docx

《东软电力监控系统安全防护方案.docx》由会员分享,可在线阅读,更多相关《东软电力监控系统安全防护方案.docx(17页珍藏版)》请在冰豆网上搜索。

东软电力监控系统安全防护方案.docx

东软电力监控系统安全防护方案

东软电力监控系统安全防护方案

42、1安全分区

42、2网络专用

42、3横向隔离

52、4纵向认证

52、5综合防护53安全区的划分

63、1调度中心安全区划分(地调及以上)

63、2XXX发电厂安全区划分74安全防护目标75风险分析76安全需求分析

96、1安全区之间的隔离要求

96、2安全区与远方通信的安全防护要求

96、3各安全区内部安全防护的基本要求106、3、1备份与恢复需求106、3、2防病毒需求1

16、3、3防火墙需求1

16、3、4入侵检测需求1

16、3、5主机防护需求1

16、3、6数字证书与认证需求1

26、3、7专用安全隔离装置需求1

26、3、8Web服务安全需求1

26、3、9Email安全防护需求1

36、3、10计算机安全防护需求1

36、3、11远程拨号访问需求1

36、3、12线路加密设备需求1

36、3、13应用程序安全需求1

36、3、14安全审计需求1

36、4业务系统分析1

46、4、1EMS系统(能量管理系统)的安全防护技术方案1

46、4、2电力交易系统的安全防护框架1

56、4、3电能量计量系统的安全防护技术方案1

66、4、4水调自动化系统安全防护方案1

76、4、5调度生产管理系统的安全防护技术方案177安全防护1

97、1调度中心安全防护总体结构图1

97、2变电站二次系统安全防护总体结构图207、3发电厂安全防护总体结构图2

17、3、1水电厂2

17、3、2火电厂2

27、4横向边界防护2

27、4、1生产控制大区与管理信息大区边界安全防护2

27、4、2控制区(安全区Ⅰ)与非控制区(安全区Ⅱ)边界安全防护2

27、5纵向边界防护2

27、6第三方边界安全防护2

37、7综合安全防护2

37、7、1入侵检测系统2

37、7、2主机与网络设备加固2

47、7、3终端管理系统2

57、7、4应用安全控制(数字证书体系)2

67、7、5漏洞扫描系统2

77、7、6恶意代码防范2

77、7、7备用与容灾2

87、7、8日志审计系统2

87、7、9安全监测告警审计平台2

87、8安全管理分区3

87、9专用安全产品的管理3

87、10设备选型及漏洞整改3

87、11安全管理建设398综合安全服务3

98、1项目概述3

98、1、1安全服务评估依据408、1、2评估原则408、1、3本次项目服务目标4

28、2安全评估技术方案4

28、2、1安全评估模型4

28、2、2安全评估策略4

38、2、3安全评估方法4

58、2、4安全评估流程4

88、2、5渗透测试508、3安全加固方案5

78、3、1安全加固服务对象5

88、3、2安全加固服务流程5

88、3、3成果输出609建设内容清单(电网专有设备除外)6110效益分析631总则为了加强XXX电力监控系统安全防护,抵御黑客及恶意代码等对XXX监控系统发起的恶意破坏和攻击,以及其它非法操作,防止XXX电力监控系统瘫痪和失控,和由此导致的XXX一次系统事故和其他事故,制定本方案。

本方案是根据《电力监控系统安全防护规定》(国家发展和改革委员会令xx年第14号)、《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔xx〕36号)文件要求,按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则,进行制定。

2基本原则

2、1安全分区按照《电力监控系统安全防护规定》,原则上将XXX基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区I)及非控制区(安全区II),重点保护生产控制以及直接影响电力生产(机组运行)的系统。

数据实时性要求对应生产现场控制区安全I区实时性面对生产控制区安全区II非实时性面对生产非实时控制区安全III/IV非实时性面对生产管理区

2、2网络专用电力调度数据网是与生产控制大区相连接的专用网络,承载电力实时控制、在线生产交易等业务。

XXX端的电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

XXX端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。

2、3横向隔离横向隔离是电力监控系统安全防护体系的横向防线。

应当采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。

生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠硬件防火墙或者相当功能的设施,实现逻辑隔离。

防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。

2、4纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防线。

XXX生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。

2、5综合防护综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。

3安全区的划分电力二次系统安全防护总体示意图

3、1调度中心安全区划分(地调及以上)调度中心的所有系统分置于四个安全区。

l安全区Ⅰ:

目前已有或将来要上的有控制功能的系统,以及实时性要求很高的系统。

目前包括实时闭环控制的SCADA/EMS系统、广域相量测量系统(WAMS)和安全自动控制系统,保护设置工作站。

l安全区Ⅱ:

没有实时控制业务但需要通过调度数据网进行远方通信的准实时业务系统。

目前包括水调自动化系统、DTS(将来需要进行联合事故演习)、电力交易系统、电能量计量系统、考核系统、继保及故录管理系统等。

l安全区Ⅲ:

通过电力数据通信网进行远方通信的调度生产管理系统。

目前包括雷电监测系统、气象信息、日报/早报、DMIS等。

l安全区IV:

包括办公自动化(OA)和管理信息系统(MIS)等。

3、2XXX发电厂安全区划分l安全区I:

风机组运行监控系统、无功电压控制、发电功率控制、升压站监控系统、继电保护等、同步相量测量(PMU)等。

l安全II区:

风电功率预测系统、电能量采集装置、故障录波装置、保护信息子站等、调度计划工作站。

l管理信息大区(安全III/IV):

省调XXX综合信息网络电厂端、管理信息系统(MIS)等。

各系统的安全分区划分详见附录。

4安全防护目标电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标首先是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由攻击导致的一次系统的事故以及二次系统的崩溃,其次是防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。

5风险分析电力监控系统及调度数据网作为电力系统的重要基础设施,不仅与电力生产、经营和服务相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。

电力生产直接关系到国计民生,其安全问题一直是国家有关部门关注的重点之一。

随着通信技术和网络技术的发展,接入国家电力调度数据网的电力控制系统越来越多。

特别是随着电力改革的推进和电力市场的建立,要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。

电厂、变电站减人增效,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。

而另一方面,Internet技术和因特网已得到广泛使用,E-mail、Web和PC的应用也日益普及,但同时病毒和黑客也日益猖獗。

目前有一些调度中心、XXX、变电站在规划、设计、建设控制系统和数据网络时,对网络安全问题重视不够,使得具有实时远方控制功能的监控系统,在没有进行有效安全防护的情况下与当地的MIS系统等其他数据网络互连,有严重的隐患。

除此之外,还存在采用“搭接”等手段对传输的电力控制信息进行“窃听”和“篡改”,进而对电力一次设备进行非法破坏性操作的威胁、电力二次系统面临的主要安全风险见下表:

优先级风险说明/举例0旁路控制入侵者对XXX、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。

1完整性破坏非授权修改电力控制系统配置或程序;非授权修改电力交易中的敏感数据。

2违反授权电力控制系统工作人员利用授权身份或设备,执行非授权的操作。

3工作人员的随意行为电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。

4拦截/篡改拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。

5非法使用非授权使用计算机或网络资源。

6信息泄漏口令、证书等敏感信息泄密。

7欺骗Web服务欺骗攻击;IP欺骗攻击。

8伪装入侵者伪装合法身份,进入电力监控系统。

9拒绝服务向电力调度数据网络或通信网关发送大量雪崩数据,造成拒绝服务。

10窃听黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击准备数据。

因此电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。

6安全需求分析

6、1安全区之间的隔离要求在各安全区之间均需选择适当安全强度的隔离装置。

具体隔离装置的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。

隔离装置必须是国产并经过国家或电力系统有关部门认证。

l安全区Ⅰ与安全区Ⅱ之间的隔离要求:

允许采用经有关部门认定核准的硬件防火墙,应禁止E-mail、Web、Telnet、Rlogin等服务。

l安全区III与安全区IV之间的隔离要求:

Ⅲ、Ⅳ区之间应采用经有关部门认定核准的硬件防火墙隔离。

l安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间的隔离要求:

安全区Ⅰ、Ⅱ不得与安全区Ⅳ直接联系,安全区Ⅰ、Ⅱ与安全区Ⅲ之间必须采用经有关部门认定核准的专用隔离装置。

专用隔离装置分为正向隔离装置和反向隔离装置,从安全区Ⅰ、Ⅱ往安全区Ⅲ单向传输信息须采用正向隔离装置,由安全区Ⅲ往安全区Ⅱ甚至安全区Ⅰ的单向数据传输必须采用反向隔离装置。

反向隔离装置采取签名认证和数据过滤措施,应禁止E-MAIL、WE

B、TELnet、Rlogin等服务。

6、2安全区与远方通信的安全防护要求安全区Ⅰ、Ⅱ连接的广域网为电力调度数据网。

其中采用MPLS-VPN技术构造的安全区Ⅰ、Ⅱ分别提供二个逻辑隔离的MPLS-VPN,对不具备MPLS-VPNd的可通过IPSec构造VPN子网,VPN子网可提供二个逻辑隔离的子网。

安全区Ⅲ连接的广域网为电力数据通信网。

安全区Ⅰ、Ⅱ接入电力调度数据网时,应配置IP认证加密装置,实现网络层双向身份认证、数据加密和访问控制。

安全区Ⅲ接入电力数据通信网应配置硬件防火墙。

l处于外部网络边界的通信网关的操作系统应进行安全加固,对I、II区的外部通信网关建议配置数字证书。

l传统的远动通道的通信目前暂不考虑网络安全问题。

关键厂站的远动通道的通信可采用线路加密器。

6、3各安全区内部安全防护的基本要求对安全区Ⅰ及安全区Ⅱ的要求:

l禁止安全区Ⅰ/Ⅱ内部的E-MAIL服务。

安全区Ⅰ不允许存在WEB服务器及客户端。

l允许安全区Ⅱ内部及纵向(即上下级间)WEB服务。

但WEB浏览工作站与II区业务系统工作站不得共用,而且必须业务系统向WEB服务器单向主动传送数据。

l安全区Ⅰ/Ⅱ的重要业务(如SCAD

A、电力交易)应该采用认证加密机制。

l安全区Ⅰ/Ⅱ内的相关系统间必须采取访问控制等安全措施。

l对安全区Ⅰ/Ⅱ进行拨号访问服务,必须采取认证、加密、访问控制等安全防护措施。

l安全区Ⅰ/Ⅱ应该部署安全审计措施,如IDS等。

l安全区Ⅰ/Ⅱ必须采取防恶意代码措施。

对安全区Ⅲ要求:

l安全区Ⅲ允许开通EMAIL、WEB服务。

l对安全区Ⅲ拨号访问服务必须采取访问控制等安全防护措施。

l安全区Ⅲ应该部署安全审计措施,如IDS等。

l安全区Ⅲ必须采取防恶意代码措施。

6、3、1备份与恢复需求对关键应用的数据与应用系统应进行备份,确保数据损坏、系统崩溃情况下能够快速恢复数据与系统的可用性。

对关键主机设备、网络的设备与部件需要进行相应的热备份与冷备份,避免单点故障影响系统可靠性。

对实时控制系统、电力市场交易系统,在具备条件的前提下进行异地的数据与系统备份,提供系统级容灾功能,保证在规模灾难情况下,保持系统业务的连续性。

6、3、2防病毒需求病毒防护是调度系统与网络必须的安全措施。

病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。

病毒特征码必须以离线的方式及时更新。

6、3、3防火墙需求防火墙产品可以部署在安全区I与安全区II之间(横向),实现两个区域的逻辑隔离、报文过滤、访问控制等功能。

在本地网到调度数据网的边界,如暂时无法部署IP认证加密装置,可由防火墙替代,以保证本地调度系统的安全。

防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。

具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。

6、3、4入侵检测需求IDS系统的主要功能包括:

实时检测入侵行为,事后安全审计。

对于安全区I与II,需要统一部署一套IDS管理系统。

考虑到调度业务的可靠性,采用基于网络的入侵检测系统(NIDS),其IDS探头主要应部署在:

安全区I与II的边界点、电力调度数据网的接入点以及安全区I与II内的关键应用网段。

其主要的功能用于捕获网络异常行为,分析潜在风险,以及安全审计。

对于安全区III,禁止共用安全区I与II的IDS,需额外与安全区IV的IDS系统统一规划部署。

6、3、5主机防护需求主机安全防护主要的方式包括:

安全配置、安全补丁、安全主机加固。

通过合理地设置系统配置、服务、权限,减少安全弱点。

禁止不必要的应用,作为调度业务系统的专用主机或者工作站,严格管理系统及应用软件的安装与使用。

通过及时更新系统安全补丁,消除系统内核漏洞与后门。

安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。

以下主机必须采取主机防护措施:

l关键应用,包括SCADA/EMS系统服务器、电力市场交易服务器等等。

l网络边界处的主机,包括通信网关、Web服务器。

6、3、6数字证书与认证需求全国电力调度统一建设基于PKI的CA证书服务系统――电力调度CA系统,由相关主管部门统一颁发调度系统数字证书,为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务。

在数字证书基础上可以在调度系统与网络关键环节实现高强度的身份认证、安全的数据传输以及可靠的行为审计。

6、3、7专用安全隔离装置需求略

6、3、8Web服务安全需求Web服务是一种通用的数据发布方式,其作用、功能与服务对象与调度生产系统的客户端是不同的。

在安全区I、II,以及电力调度数据网环境中,Web服务可以分为两种形式:

横向浏览与纵向浏览。

横向Web浏览指跨越不同安全区的浏览,例如Web服务器位于安全区I,而客户端浏览器位于安全区II。

纵向Web浏览指各级同安全区之间的Web浏览,例如Web服务器位于省调级安全区II,而客户端浏览器位于地调级安全区II。

6、3、8、1安全区I的Web服务由于安全区I是整个二次系统的防护重点,其向安全区II以及整个电力调度数据网提供Web服务将引入很大的安全风险。

因此在安全区I中取消Web服务,将数据以数据交换的方式导入安全区II,在安全区II中进行数据发布。

同时,禁止安全区I中的计算机使用浏览器访问安全区II的Web服务。

6、3、8、2安全区II的Web服务安全区II中的Web服务将是安全区I与II的统一的数据发布与查询窗口。

考虑到目前Web服务的不安全性,以及安全区II的Web服务需要向整个调度数据网开放,因此在安全区II中将用于Web服务的服务器与浏览器客户机统一布置在安全区II中的一个逻辑子区――Web服务子区,置于安全区II的接入交换机上的独立VLAN中。

并且,Web服务器采用安全Web服务器,即经过主机安全加固的,支持HTTPS的Web服务器,能够对浏览器客户端进行基于数字证书的身份认证、以及应用数据加密传输。

需要在Web服务子区开展安全Web服务的应用限于:

电力市场交易系统、DTS系统。

6、3、9Email安全防护需求由于Email服务会为安全区I与II引入高级别安全风险,同时在安全区III/IV中已经提供了Email服务,因此安全区I与II中禁止Email服务,杜绝病毒、木马程序借助Email传播,避免被攻击及成为进一步攻击的跳板。

6、3、10计算机安全防护需求略

6、3、11远程拨号访问需求略

6、3、12线路加密设备需求略

6、3、13应用程序安全需求应用系统需要考虑如下安全防护措施:

禁止应用程序以操作系统root权限运行,应用系统合理设置用户权限,重要资源的访问与操作要求进行身份认证与审计,用户口令不得以明文方式出现在程序及配置文件中。

6、3、14安全审计需求安全审计是安全管理的重要环节。

目前的安全审计工作大多是手工方式。

随着系统规模扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。

6、4业务系统分析

6、4、1EMS系统(能量管理系统)的安全防护技术方案

6、4、1、1物理边界及安全部署分析EMS系统的物理边界及安全部署示意图

6、4、1、2安全部署要求:

lSCADA/EMS系统的物理边界最多只能有以下4个,不符合要求的边界必须整改:

(公司无产品对应,故略)l横向网络边界的安全防护措施:

1)

对内网关必须通过具备逻辑隔离功能的区内交换机接入(若交换机不具备逻辑隔离功能时,建议部署硬件防火墙);2)

安全区Ⅰ与安全区Ⅱ之间必须部署硬件防火墙(经有关部门认定核准)。

l要求在EMS的主网及安全区Ⅰ的边界部署入侵检测系统(IDS)的探头。

l已投运的EMS系统要求进行安全评估,新建设的EMS系统必须经过安全评估合格后方可投运;

6、4、2电力交易系统的安全防护框架

6、4、2、1物理边界及安全部署分析电力交易系统的物理边界及安全部署示意图

6、4、2、2安全部署要求:

l电力交易系统的物理边界最多只能有以下3个,不符合要求的边界必须整改:

(公司无产品对应,故略)l横向网络边界的安全防护措施是:

1)

对内网关必须通过具备逻辑隔离功能的区内交换机接入(若交换机不具备逻辑隔离功能时,建议部署硬件防火墙),实现同区内不同系统间的逻辑隔离;2)

与安全区Ⅰ之间必须部署硬件防火墙(经有关部门认定核准),作为安全区Ⅰ、Ⅱ之间的逻辑隔离。

3)

与安全区Ⅲ之间必须部署专用安全隔离装置(正向型和反向型两种),作为安全区Ⅱ、Ⅲ之间的物理隔离。

l在电力交易系统的主网及安全区Ⅱ的边界部署入侵检测系统(IDS)的探头。

l已投运的电力交易系统要求进行安全评估,新建设的电力交易系统必须经过安全评估合格后方可投运;电力交易系统主网内禁止开通EMAIL、跨安全区的WEB以及其它与业务无关的网络服务。

6、4、3电能量计量系统的安全防护技术方案

6、4、3、1物理边界及安全部署分析电能量计量系统的物理边界及安全部署示意图

6、4、3、2安全部署要求:

l电能量计量系统的物理边界最多只能有以下3个,不符合要求的边界必须整改:

l横向网络边界的安全防护措施是:

1)

对内网关必须通过具备逻辑隔离功能的区内交换机接入(若交换机不具备逻辑隔离功能时,建议部署硬件防火墙),实现同区内不同系统间的逻辑隔离;2)

与安全区Ⅰ之间必须部署硬件防火墙(经有关部门认定核准),作为安全区Ⅰ、Ⅱ之间的逻辑隔离。

3)

与安全区Ⅲ之间必须部署专用安全隔离装置(正向型和反向型两种),作为安全区Ⅱ、Ⅲ之间的物理隔离。

l已投运的电能量计量系统要求进行安全评估,新建设的电能量计量系统必须经过安全评估合格后方可投运;

6、4、4水调自动化系统安全防护方案

6、4、4、1安全产品整体部署图图1水调自动化系统安全产品部署示意图

6、4、4、2安全部署要求:

l水调自动化系统与I区EMS系统进行数据通信,必须经过防火墙。

l从其他数据源传送气象、水文等数据等资料进入III区,需经过防火墙。

数据源本身需进行签名及加密认证,进入II区时,通过反单型隔离装置对其进行认证过滤。

6、4、5调度生产管理系统的安全防护技术方案调度生产管理系统是对位于安全区III的各种业务系统的统称,不包括电能量计量系统、水调自动化系统、继电保护和故障录波信息系统等明确要求放在安全区II中的业务系统。

调度生产管理信息系统的安全防护策略为:

l调度生产管理系统的广域网通信可能采用电力数据网或公共数据网,电力数据网能够划分出VPN(基于MPLS技术)专门为调度生产管理系统的广域网通信服务。

要求调度生产管理系统的广域网通信必须经过安全区III与广域网之间的纵向防火墙。

l调度生产管理系统与安全区IV中业务系统(如管理信息系统)的通信必须经安全区III与安全区IV之间的横向防火墙。

6、4、5、1调度生产管理系统的安全部署调度生产管理系统的整体安全部署示意图7安全防护

7、1调度中心安全防护总体结构图调度中心二次系统安全防护总体结构示意图

7、2变电站二次系统安全防护总体结构图变电站二次系统安全产品部署示意图

7、3发电厂安全防护总体结构图

7、3、1水电厂水电厂二次系统整体安全部署图

7、3、2火电厂火电厂二次系统安全部署图

7、4横向边界防护

7、4、1生产控制大区与管理信息大区边界安全防护XXX生产控制大区与管理信息大区之间通信部署电力专用横向单向安全隔离装置。

其中正向1台,反向1台。

7、4、2控制区(安全区Ⅰ)与非控制区(安全区Ⅱ)边界安全防护安全区Ⅰ与安全区Ⅱ之间部署2台硬件防火墙,实现逻辑隔离、访问控制等功能。

7、5纵向边界防护XXX生产控制大区系统与调度端系统通过电力调度数据网进行远程通信,部署国家指定部门检测认证的纵向加密认证装置,与调度端实现双向身份认证、数据加密和访问控制,保障远方数据安全传输。

本XX共配置X台纵向加密认证装置,其中省调数据接入网纵向上配置X台(安全I区、安全II区各X台),地调数据接入网纵向上配置X台(安全I区、安全II区各X台)。

7、6第三方边界安全防护管理信息大区与外部网络之间采用防火墙、VPN和租用专线等方式,保证边界与数据传输的安全。

禁止设备生产厂家通过外部网络远程连接本XX生产控制大区中的业务系统。

由于生产控制大区中(安全II区)的XX业务系统需要采集(外网气象数据)在数据采集边界,其边界防护将采用生产控制大区与管理信息大区之间的安全防护措施。

也就是说需要在采集服务器的外网边界,部署防火墙。

在采集服务器与安全II区的边界部署反向物理隔离装置。

7、7综合安全防护

7、7、1入侵检测系统IDS入侵检测系统的部署需要突出其集中管理、全局预警、事件汇总、策略下发的特点,这也是构架全网监控系统对IDS产品的原则要求。

在生产控制大区部署网络入侵检测系统,按实际情况设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,并分析潜在威胁进行安全审计。

以便实时地识别和阻止内部网络用户和外部攻击者对计算机系统的非授权使用、误用和滥用,集中监

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > PPT模板 > 自然景观

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1