8.等级保护与二级系统防护.pptVIP

每天都有奇迹！！！ * * * * * * * 根据2008年1月28日电监会26号令《关于废止部分电力监管规章的决定》，《电网和电厂计算机监控系统及调度数据网络安全防护规定》（国家经济贸易委员会令第30号??? 2002年5月8日国家经济贸易委员会发布）被废止。 * * * 根据2008年1月28日电监会26号令《关于废止部分电力监管规章的决定》，《电网和电厂计算机监控系统及调度数据网络安全防护规定》（国家经济贸易委员会令第30号??? 2002年5月8日国家经济贸易委员会发布）被废止。 * * * 电力调度证书服务系统 鉴于电力系统具有多年形成的安全生产管理机制和半军事化管理的五级调度体系，为非常宝贵的安全资源，而且根据电力控制系统的高可靠性和实时性、控制对象的确定性、控制环境和网络的封闭性、控制范围的有限性和分布性等特点，电力生产控制系统采用简单实用的公钥技术和认证技术，并与其他安全技术和应用系统紧密配合，构造了电力二次系统安全防护体系，而不需建立复杂昂贵的PKI和CA系统。 可用公钥技术，但不用PKI 可用证书技术，但不用CA 专家忠告： 通用IT技术 Web服务 E-mail服务 拨号服务 加密认证 I区禁用，II区可用安全Web； III区和IV区可采用； I区和II区禁用， III区和IV区可采用； I区和II区需采用基于Linux/Unix的拨号认证服务器； I区和II区的关键应用采用调度证书，对称加密采用专用芯片。 通用安全防护技术 防火墙： 实现逻辑隔离； 防病毒： 以离线的方式及时更新； 入侵检测：部署在区域边界； 备份恢复：定期备分，确保能够恢复； 主机防护：对关键服务器和网关进行安全配置、安全补丁、主机加固； 访问控制：采用强口令、调度证书等； 安全审计：对系统及安全设施日志等进行审计； 安全蜜罐：迷惑攻击者，收集攻击者相关信息。 专门开发的安全防护技术 安全告警平台：防火墙、IDS、横向隔离装置、纵向加密认证装置、拨号认证装置等告警信息采集，自动短信告警； 安全文件交换平台：生产数据文件交换，用户侧无须再开发接口，简单方便； 综合数据平台：集成应用系统的结果数据，便于大量桌面客户访问； 数据交换平台：安全区内各应用系统之间交换在线数据，转发在线数据； 纵向装置管理平台：在线管理、测试纵向装置； 分布证书管理平台：离线分发管理调度证书。 电力二次系统安全防护隔离 电力二次系统安全防护管理体系 国调 华北 东北 华中 华东 西北 南方 北京 天津 河北 内蒙 山西 山东 辽宁 吉林 黑龙 江 湖北 湖南 河南 江西 四川 重庆 上海 江苏 浙江 安徽 福建 陕西 宁夏 青海 甘肃 新疆 西藏 广东 广西 云南 贵州 海南 网调6个 省调31个 地调300多个 县调2000多个 地市电力调度中心 县电力调度中心 直调厂站 二次系统安全防护要求 等级保护相关标准 二次系统主机加固方案 目录 在电监会[2006]34号(《关于印发《电力二次系统安全防护总体方案》等安全防护方案的通知》)中明确要求： 2007年 地级以上调度机构、220千伏以上变电站（含开关站、换流站）、总装机1000兆瓦或含有单机容量300兆瓦以上机组的发电厂及其它重要 厂站要具备二次系统安全防护的主要功能； 2008－2009年110千伏以上变电站、含有单机容量100兆瓦以上机组的发电厂、县级调度中心和配电等要具备二次系统安全防护的主要功能； 2010年 建成比较完善的电力二次系统安全防护体系 2009年以后新建的电力监控系统及专用数据网络系统应当满足电力二次系统安全防护的要求。 电监会34号文要求 3. 5 主机加固 能量管理系统、变电站自动化系统、电厂监控系统、配电自动化系统、电力市场运营系统等关键应用系统的主服务器，以及网络边界处的通信网关、WEB服务器等，应该使用安全加固的操作系统。加固方式包括:安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、以及配置安全的应用程序。 《总体方案》对主机加固要求 主机安全防护主要的方式包括：安全配置、安全补丁、安全主机加固。 安全配置：通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站， 严格管理系统及应用软件的安装与使用。 安全补丁：通过及时更新系统安全补丁，消除系统内核漏洞与后门。 主机加固：安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。 主机安全防护技术 * * 1．是信息安全保障工作中国家意志的体现－－国家制定统一的政策，依法开展等级保护；有关职能部门对信息安全等级保护工作实施监督管理；除