二次安全防护专用技术与产品选编.ppt

电力二次系统安全防护装置介绍;1、横向安全隔离是电力二次系统安全防护体系的横向防线，是二次系统安全防护体系的重要技术措施。 2、控制区与非控制区采用防火墙等设施实现逻辑隔离，生产控制大区与管理信息大区采用电力专用正、反向隔离装置实现强隔离。;正、反向隔离装置部署示意图;非网络数据交换，内外两个处理系统不同时连通。 数据完全单向传输。 透明工作模式，虚拟主机IP地址、隐藏MAC地址 基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。 割断穿透性TCP连接 应用层解析功能，支持标记识别 安全方便的维护管理，支持数字证书的管理人员认证;应用网关功能，实现数据的接收与转发。 具有数字证书的签名/解签名功能 纯文本编码检查与转换功能 基于E语言纯文本文件的强过滤功能 透明工作方式，虚拟主机IP地址、隐藏MAC地址。 基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。 割断穿透性TCP连接 安全方便的维护管理，支持数字证书的管理人员认证;1、加密认证技术是电力调度数据 网安全防护体系的重要技术支撑手 段。 2、在各级调度中心（网省、地县 与厂站））的控制区与调度数据网 络的边界应逐步部署电力专用纵向 加密认证装置或加密认证网关。;纵向加密装置功能;纵向加密装置部署位置;纵向装置管理系统;主要功能;1、电力调度数字证书系统是电力 二次系统安全防护的基础安全设施。 2、基于公钥技术的分布式数字证 书系统，为生产控制大区的关键应 用、关键用户和关键设备提供数字 证书服务。; 调度数字证书体系;1、统一规划证书信任体系。电监会调度 CA作为总根， 国调CA作为1级CA,各网、 省调CA作为二级CA；各地调CA作为三 级CA,上下级调度CA通过证书信任链构 成认证体系。 2、采用统一的数字证书格式和加密算法。 格式遵循X.509 V3标准。 3、电力调度数字证书的生成、发放、管 理以及密钥的生成、管理应当脱离网络， 独立运行基于;4、提供规范的应用接口，支持相关应用 系统和安全专用设备嵌入电力调度数字证 书服务。 5、电力调度数字证书系统应按照电力调 度管理体系进行配置，省级以??调度中心 和有实际业务需要的地区调度中心应逐步 建立电力调度数字证书系统。 6、现有应用系统应当逐步进行相应改造 ，利用数字证书技术提高安全强度，新 建设的电力监控系统应当支持电力调度数 字证书的应用。;1.安全产品类：反向隔离、加密装置、安全拨号装置、VPN等。 2. 电力系统各种业务的安全改造：三公调度、EMS、OMS、安全web改造、移动办公等客户端验证、签名、验签、加密、解密、时间戳等。 ;1、安全拨号认证技术是电力系统安全远程接入访问的重要防护手段。 2、在各级调度中心（网省、地县 与厂站））的拨号应用场合应逐步部署安全拨号认证装置对来自公用电话网的接入用户进行安全认证和数据加密传输。; 安全拨号认证装置的部署位置;客户端安全检查。采用安全操作系统，并结合数字证书进行登陆认证。 线路加密。对拨号线路的数据采用高强度加密算法进行保护。 访问控制。对远程拨号用户进行基于地址、端口、时间、协议等综合过滤。支持对关键访问资源的读、写、执行权限进行细粒度的控制。 日志审计。完善的日志审计功能，记录远程拨号用户所有的登陆行为，支持Syslog日志输出。