随着计算机技术、通信技术和网络技术的发展,电力系统网上开展的业务及应用系统越来越多,电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。
根据《全国电力二次系统安全防护总体方案》的要求,调度自动化系统分为4个安全域,分别是:安全区Ⅰ(实时控制区)它是电力二次系统中最重要系统,安全等级最高,是安全防护的重点与核心;安全区Ⅱ(非控制生产区);安全区Ⅲ(生产管理区);安全区IV(管理信息区)。
因此,根据以上区域的划分,确立了安全解决方案的总的指导原则:分区防护、突出重点;区域隔离、网络专用;设备独立、纵向防护 。
安全区域间的隔离策略
具体策略如下:
● 安全Ⅰ区、安全Ⅱ区的防护策略
实时控制区与非控制区的业务系统都属电力生产系统,都采用电力调度数据网络,都在线运行,数据交换较多,关系比较密切,可以作为一个逻辑大区(生产控制区)。
● 安全Ⅲ区、安全IV区的防护策略
生产管理区和管理信息区均采用电力数据通信网络(ATM),数据交换较多,关系比较密切。
● 安全Ⅰ区、Ⅱ区与安全Ⅲ区的防护策略
实时控制区和非控制区不得与管理信息区直接联系,实时控制区和非控制区与生产管理区的信息交换必须是单向方式,仅允许纯数据的单向安全传输。反向安全隔离装置采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格进行病毒、木马等恶意代码的查杀。
● 安全区域纵向防护策略
在专用通道上建立调度专用数据网络,实现与其他数据网络物理隔离。
● 高可靠性和防止单点失效策略
I区、II区、III区都属于调度中心管理范畴,IV区属于信息中心管理范畴,I区的高可用性要求非常高,要求达到秒级,而且是实时系统;II区的高可用性达到分钟级,III区IV区的管理系统对于高可用性也非常高,在使用防火墙作为网络隔离设备的时候,使用双机热备的方式,以防止单点失效,提高可用性。
防火墙系统建设方案部署
防火墙系统采用联想网御自主研发的防火墙。首先在电力网络系统I区与II区之间,III区与IV区之间,部署千兆防火墙,防火墙工作在双机热备状态,以全链路冗余方式,分别与两个区的核心交换机相连。正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通信。当其中一台防火墙发生故障时,网络通信自动切换到另外一台防火墙。切换过程不需要人为操作和其他系统的参与。
入侵检测系统建设方案部署
入侵检测系统采用联想网御入侵检测系统。在I区、II区各部署一台IDS探头,IDS探头接在核心交换机的镜像口上,以旁路侦听方式,对所有流经核心交换机的流量进行检测。在II区部署一台IDS管理中心,以一对多的方式管理两台IDS探头。交换机需要将所有端口的流量镜像到IDS所连接的端口。在III区部署一台IDS探头。IDS探头接在核心交换机的镜像口上,以旁路侦听方式,对所有流经核心交换机的流量进行检测。在III区内部部署一台IDS管理中心,接受IDS探头传回的信息。IDS控制台通过网线直接与IDS探头相连,控制台与探头的管理口采用独立的IP地址,不与III区内的IP地址重叠,保证IDS的安全性。交换机需要将所有端口的流量镜像到IDS所连接的端口。
更多内容请看FreeBSD系统安全管理 Linux服务器的安全性能 MySQL安全专题,或进入讨论组讨论。
·路由安全配置专题 (11376篇文章)
·多媒体应用解决方案 (5783篇文章)
·行业解决方案 (5043篇文章)
·行业解决方案 (5043篇文章)
·MySQL安全 (9495篇文章)
·系统维护手册 (16328篇文章)
·中小企业防病毒解决方案 (5870篇文章)
·电子邮件安全 (8020篇文章)
·SSH安全技术 (7862篇文章)
·局域网受到ARP欺骗攻击的解决办法 (20067次浏览)
·综合方法解决防制ARP欺骗问题 (10532次浏览)
·关于ARP病毒的本机检测方法和检测工具 (906次浏览)
·互联网发现计算机“ARP”病毒的新变种 (731次浏览)
·计算机网络安全隐患与防范策略的探讨 (228次浏览)
·应用安全与网络安全的完美结合-SSL VPN (216次浏览)
·十大网络工具帮你审核网络安全 (197次浏览)
·如何运用包过滤技术实现个人防火墙 (156次浏览)
·探讨防火墙维护与管理、技术发展趋势 (131次浏览)
·综合方法解决防制ARP欺骗问题 12-09
·实战:ARP攻击原理及解决方法 12-09
·面向中小型企业 思科PIX 515E防火墙 12-08
·网络监听的原理、实现技术与防范方法 12-08
·思科证实VoIP电话可被网络远程监听 12-07
·无线键盘可被监听 解密可获取输入数据 12-07
·Windows Shell硬件检测服务权限提升漏洞 12-07
·五大原则解决医院信息安全 12-06
·木马成为网络安全主要威胁 清除难度很大 12-01
