我公司对电力二次系统进行必要的结构性边界调整,重点对电力生产网络系统和基本网络的电力控制系统的边界采取有效的安全防护措施,坚决执行“安全专区、网络专用、横向隔离、纵向人证”的基本原则。重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全。
对二次系统安全防护采取以下措施: 1、 定期对关键业务的数据与系统进行备份,建立历史归档数据的异地存放制度。
关键主机设备、网络设备或关键部件应当进行响应的冗余配置。控制区的业务采用热备用方式。
2、 即使更新特征码,查看查杀记录,禁止生产控制大区与管理信息大区共用一
套防恶意代码管理服务器。
3、 防火墙部署在控制区与非控制区域之间。时间两个区域的逻辑隔离、报文过
滤、访问控制等功能,其访问控制规则正确有效。生产控制区域选用国产硬件防火墙,其功能、性能、电磁兼容性经过国家相关部门的认证和测试。
4、 统一部署一套网络入侵检测系统,合理设置检测规则,及时捕获网络异常行
为、分析潜在威胁、进行安全审计。
5、 能量管理系统、电厂监控系统、自动化系统、电力时常运营系统等关键应用
服务器,以及网络边界的通信网关、WEB服务器等,使用安全加固的操作系统。加固方式包括:安全配置、安全补丁、专用软件强化操作系统访问控制能力、以及配置安全的应用程序。
6、 非控制区的接入交换机支持HTTPS的纵向安全WEB服务,采用电力调度数
字证书对浏览客服端访问进行身份认证及加密传输。
7、 能量管理系统、厂站端生产控制系统、电能量计量系统既电力时常运营系统
等业务系统,逐步采用电力调度数字证书,对用户登录本地操作系统、访问系统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计。
8、 对于远程用户登录到本地系统的操作行为、应该进行严格的安全审计。 9、 对RTU、继电保护装置安全自动装置、负荷管理装置等基于专线通道的数据
通信,采用必要的加解密措施进行防护。
10、 安全文件网关加密、认证等技术实现文件的安全传输,保证文件的机密性、
完整性
11、 生产控制大区具备安全审计功能,对网络运行的日志、操作系统运行日志、
数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为。
12、 当电力生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他
人为破坏时,及时按照我公司组织机构(附后)进行逐级向电力调度机构报告,同时采取安全应急措施,同时保护现场,以便进行调查取证和分析。
因篇幅问题不能全部显示,请点此查看更多更全内容