电力二次系统防护培训资料

电力二次系统安全防护培训2023/5/222安全防护的背景电力二次系统存在安全漏洞（结构、技术、管理等）容易受到黑客、敌对势力的攻击，造成一次系统事故。电力是我国国民经济的基础产业，关系到千家万户，关系到国家安定的大局，决不允许出现大的电力系统事故。2023/5/223一些数据FBI统计95%的入侵未被发现FBI和CSI调查484公司发现31%有员工滥用Internet16%有来自内部未授权的存取14%有专利信息被窃取12%有内部人的财务欺骗11%有资料或网络的破坏有超过70%的安全威胁来自你企业内部中国国内80%的网站存在安全隐患20%的网站有严重安全问题2000年中国国家信息安全课题组的国家信息安全报告指出以9分为满分计算中国的信息安全强度只有5.5分2023/5/224系统内相关案例二滩水电站分布式控制系统网络发生异常事件；银山逻辑炸弹事件；龙泉、政平变电站计算机病毒事件；2023/5/225网络面临的主要威胁黑客攻击网络的缺陷软件的漏洞或后门管理的欠缺网络内部用户的误操作2023/5/226攻击层次一：通讯&服务层弱点超过1000个TCP/IP服务安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.

错误的路由配置缺省路由帐户反向服务攻击隐蔽Modem2023/5/227攻击层次二：操作系统1000个以上的商用操作系统安全漏洞没有添加安全Patch

文件/用户权限设置错误可写注册信息缺省用户权限简单密码特洛依木马2023/5/228攻击层次三：应用程序Web服务器:

错误的Web目录结构

Web服务器应用程序缺陷防火墙:

防火墙的错误配置会导致漏洞:冒名IP,SYNfloodingDenialofserviceattacks其他应用程序:Oracle,SQLServer,SAP等缺省帐户有缺陷的浏览器2023/5/229常见的攻击方式病毒virus,木马程序Trojan,蠕虫Worm拒绝服务和分布式拒绝服务攻击Dos&DDosIP地址欺骗和IP包替换IPspoofing,Packetmodification邮件炸弹Mailbombing宏病毒MarcoVirus口令破解Passwordcrack2023/5/2210攻击的工具和步骤标准的TCP/IP工具(ping,telnet…)端口扫描和漏洞扫描(ISS-Safesuit,Nmap,protscanner…)网络包分析仪(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木马(BO2k,冰河,…)2023/5/2211加强网络安全的必要性保证业务系统稳定可靠运行防止企业重要信息外泄防止企业声誉被毁●●●●●●2023/5/2212网络安全的定义网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”，安全问题刻不容缓。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。2023/5/2213网络安全的语义范围保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性；完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性；可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息；可控性：对信息的传播及内容具有控制能力；2023/5/2214电力系统安全防护体系全国全世界非实时调度生产系统准实时非实时实时控制系统电力信息系统社会电力调度2023/5/2215电力二次系统安全防护总体方案

依据中华人民共和国国家经济贸易委员会2002年第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。20浑23作/5舟/1宴916重要叮的名幼词解剑释计算荣机监颈控系球统：包括搬各级羞电网涉调度晒自动窄化系锋统、滥变电语站自喘动化句系统前、换翼流站皆计算桶机监应控系授统、启发电谢厂计湖算机誓监控踏系统鲜、配涨电网页自动统化系斥统、躺微机赔保护谅和安个全自柏动装拜置、戴水调蓬自动炕化系日统和码水电协梯级锤调度畜自动蓝化系夺统、挽电能佛量计麦量计迷费系垒统、裙电力坊市场锤交易篇系统继等；调度付数据深网络幕：包括兔各级宏电力绝调度捉专用越数据蛋网络迹、用真于远载程维铃护及足电能男量计予费等即的拨划号网虎络、障各计草算机极监控印系统系接入灭的本吼地局旬域网贝络等替；20劈燕23仇/5滑/1道917国家谜经贸营委30号令销的有惊关要改求各电何力监络控系凡统与帽办公贴自动颈化系即统或饲其他糊信息交系统带之间喇以网夜络方汁式互沾联时,必须胖采用咐经国茎家有稍关部退门认取证的专用米、可溜靠的饿安全图隔离伏设施电力岩监控夹系统翻和电紧力调药度数咽据网丈络均截不得捕和互沾联网葱相连,并严群格限取制电删子邮芳件的似使用各有窜关单抄位应偏制定帐安全鸟应急猪措施闹和故禾障恢反复措悬施，跟对关键焦数据斩做好提备份并妥多善存保放；琴及时升级嫩防病罢毒软隙件及安堪装操晋作系着统漏饭洞修乞补程坑序；续加强烦对电铜子邮形件的内管理镇；在为关键存部位配备理攻击猛监测关与告载警设拘施，提菠高安解全防邮护的关主动梯性20凭23卷/5还/1失918电力瓣系统矩安全梢防护伙的基办本原洋则电力晒系统谷中，展安全巧等级饲较高疗的系级统不摄受安面全等汪级较帅低系界统的冒影响口。电犁力监套控系椅统的恋安全稀等级宵高于槽电力槐管理昨信息约系统锅及办歌公自荷动化夺系统享，各射电力腾监控弄系统蓄必须蜡具备威可靠邻性高杏的自谊身安历全防木护设岗施，醉不得让与安倚全等文级低绑的系栗统直浑接相米联。--推--国家吓经贸浮委30号令20抄23伸/5地/1给919安全浓防护棚总体骨方案际的适厕用范盛围安全仰防护顶总体别方案欣的基貌本防良护原全则适锣用于挥电力毅二次厌系统惕中各就类应朋用和络网络住系统步；总体叹方案堤直接涨适用伸于与倚电力万生产鹅和输字配过什程直栗接相生关的售计算亏机监设控系墙统及洁调度嘴数据间网络钻；电力删通信势系统享、电挎力信耳息系目统、竭电厂软信息身系统枪等可右参照献电力贼二次嫁系统森安全暖防护转总体牢方案抓制定使具体词安全岁防护枣方案刺。20为23仰/5束/1支920电力掀二次嘱系统很逻辑部结构20涌23傅/5给/1孤921电力土二次系统恳安全棚防护泛的目粥标与栽重点电力兼二次唯系统翁安全童防护泡的重刘点是确保裕电力揭实时跟闭环雨监控穷系统睁及调第度数禁据网霜络的毒安全；电力僻二次征系统烟安全愿防护国的目小标是墙抵御熟黑客刷、病粗毒、怠恶意关代码中等通吊过各役种形蜜式对茧系统西发起程的恶母意破赠坏和膝攻击市，特欣别是批能够害抵御询集团沈式攻初击，盒防止必由此浙导致多一次池系统泡事故匠或大黑面积裂停电百事故肌，及厌二次燥系统柄的崩僚溃或谱瘫痪缩慧。20悼23卷/5止/1钥922电力绘二次孔系统虾主要袜安全惨风险路（1）随着蛋通信锤技术赶和网效络技顷术的诉发展筋，接章入国芬家电政力调出度数抵据网参的电沿力控奥制系女统越已来越汁多。霉特别微是随泊着电闻力改碧革的滴推进敢和电棒力市览场的非建立惹，要驱求在窄调度燥中心掘、电黑厂、茎用户层等之孙间进古行的肆数据态交换隶也越关来越送频繁告。电炸力一咱次设疏备的晌改善贷使得踢其可姻控性逢能满胀足闭减环的扇要求医。电颠厂、胳变电锦站减泰人增然效，皆大量墨采用酷远方葛控制考，对饿电力息控制东系统帝和数循据网趣络的吧安全特性、点可靠把性、躁实时浸性提泼出了系新的腐严峻碗挑战肆；因特职网和In妨te洗rn色et技术锁已得灵到广克泛使吐用，E-逢ma诞il、We塑b和PC的应匪用也辱日益捆普及忘，但浊同时馋病毒叠和黑灭客也弓日益和猖獗泉；目前沉有一守些调置度中神心、给发电工厂、吨变电钓站在摸规划异、设隙计、瘦建设荒控制迈系统锁和数们据网谋络时眉，对桑网络蛙安全土问题奶重视宿不够纱，使葡得具背有实造时远识方控渡制功丙能的吼监控腐系统翅，在认没有批进行递有效寇安全载隔离驻的情图况下哪与当渐地的MI水S系统赤或其绘他数筹据网银络互胖连，饮构成粮了对元电网岔安全筋运行螺的严岂重隐驱患；优先级风险说明/举例0旁路控制（BypassingControls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（IntegrityViolation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权（AuthorizationViolation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（IllegitimateUse）非授权使用计算机或网络资源。6信息泄漏（InformationLeakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听（Eavesdropping）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。电力违二次手系统摩主要视安全施风险腥（2）20稀23养/5亡/1如924二次营系统完安全塑防护筹总体丸原则系统肥性原赵则（舌木桶沫原理请）；简单象性原钩则；实时耳、连客续、醒安全独相统觉一的筹原则求；需求液、风渔险、袄代价等相平采衡的叠原则惰；实用熊与先粮进相香结合里的原尿则；方便展与安虾全相场统一径的原挑则；全面举防护迫、突悄出重颗点的去原则询；分层唉分区蜻、强抹化边若界的拐原则芳；整体挥规划情、分壁步实踏施的眼原则终；责任广到人局，分井级管痛理，跟联合某防护祖的原网则；20录23魂/5友/1剥925安全夸防护府模型PolicyProtectionDetectionResponse防护检测反应策略20故23厨/5鸭/1请926相关婶的安检全法录律法委规《关于味维护管网络谋安全阀和信堪息安傍全的哗决议》《中华扇人民卖共和种国计透算机楼信息些系统评安全滔保护沟条例》《计算蜓机信结息系篇统保捕密管勇理暂盖行规折定》《涉及禽国家西秘密鸭的通遣信、奔办公患自动拨化和忘计算劲机信酬息系萌统审踪蝶批暂旋行办讨法》《计算甲机信状息网也络国蚀际联撇网安涂全保校护管光理办犯法》《计算清机信析息系谊统安商全保闷护等黄级划箩分准脂则》《电力灶工业梅中涉粮及的匹国家颂秘密感及具或体范浆围的周规定》《电网视和电而厂计笋算机唱监控很系统刷及调邪度数逝据网超络安哈全防姨护的症规定》《电力宪二次讲系统扫安全苍防护润规定》20范23哨/5害/1柿927电力昏二次陈系统首安全司防护膜总体乞策略安全罩分区：根据些系统角中业蛋务的泄重要态性和旦对一嘴次系浩统的锈影响浇程度佳进行殊分区稠，所报有系异统都闹必须贵置于笑相应盐的安饶全区妈内；及对实胖时控丙制系联统等托关键烂业务些采用意认证把、加要密等楼技术器实施休重点抵保护差。网络具专用：建立尼调度饿专用驰数据榆网络眉，实床现与明其它恒数据货网络迎物理殖隔离伐。并应以技此术手程段在吊专网买上形牵成多罢个相蚂互逻川辑隔巡寿离的导子网痕，以崖保障稻上下中级各富安全昨区的旺纵向酿互联嘉仅在谊相同赏安全旬区进谋行，虽避免移安全抱区纵罩向交肆叉。横向亿隔离：采用暑不同苗强度掀的安依全隔织离设慕备使逐各安卖全区抱中的渴业务取系统器得到让有效送保护格，关割键是樱将实托时监呢控系抚统与雪办公粘自动悟化系锹统等泡实行叹有效忧安全谨隔离赛，隔鱼离强宝度应陕接近谎或达违到物那理隔吃离。纵向虹认证：采用凝认证校、加爆密、迷访问队控制寇等手茂段实恰现数皱据的咽远方耀安全毒传输隔以及陈纵向愈边界地的安荣全防鸡护。20燃23逆/5尊/1沃928电力驰二次零系统朱的安剪全区怨划分安全叼区Ⅰ：实扯时控羡制区安全锻区Ⅱ：非案控制括生产局区安全移区Ⅲ：生颜产管垦理区安全漫区Ⅳ：管窜理信盲息区20周23份/5盏/1消929安全差区Ⅰ：实昂时控吊制区安全亩区Ⅰ中的厘业务绿系统俊或功顷能模渴块的砍典型玩特征蝴为直抢接实吼现实状时监繁控功日能，拐是电粪力生恋产的崖重要炼必备腹环节工，系降统实证时在联线运挽行，纷使用宅调度妻数据义网络水或专幼用通恒道。安全意区Ⅰ的典下型系氏统包男括调朴度自古动化绘系统袍、广蛮域相愤量测葛量系危统、匀配电僚自动宏化系眨统、纽奉变电墙站自浓动化散系统遵、发溜电厂伪自动负监控获系统愧等，啦其主白要使挥用者医为调疏度员辅和运河行操把作人级员，遭数据凤实时鸦性为柱秒级季，外特部边傲界的守通信比经由丝式电力恼调度陶数据属网SP搁Dn粥et执-V既PN痛1。该泉区中局还包无括采赏用专纸用通多道的舒控制炼系统铲，如证：继吨电保今护、判安全伤自动历控制姥系统幼、低他频/低压细自动尝减载谷系统坊、负帖荷控值制系销统等易，这赔类系续统对捧数据浩通信栗的实欧时性溪要求色为毫与秒级闭或秒蜻级。安全贫区Ⅰ是电仓力二秃次系悔统中片最重黑要系驶统，规安全碗等级膊最高毯，是市安全晴防护辅的重夕点与杂核心奇。20为23判/5都/1槐930安全资区Ⅱ：非绕控制布生产舅区安全藏区Ⅱ中的竞业务纸系统蓄或功米能模压块的暖典型乒特征漫为：乏所实城现的怖功能牙为电顿力生取产的仁必要连环节搭，但银不具药备控仍制功镰能，坚使用造调度爹数据盘网络咳，在层线运埋行，左与安闪全区I中的屡系统业或功冤能模司块联棍系紧消密。安全伐区Ⅱ的典帮型系炎统包权括调凳度员蜻培训扑模拟跃系统驼（DT进S）、阅水调刻自动岩化系泄统、鸭继电莲保护参及故视障录趁波信士息管姐理系瘦统、膀电能容量计细量系浅统、围批发种电力做交易橡系统孟等，言其面凑向的挠主要腰使用宅者分抚别为严电力笼调度忘员、剧水电株调度醋员、首继电厦保护医人员饱及电莲力市陈场交眨易员究等。该区是数据巧的实腾时性半是分仔钟级箩、小暑时级哭，其沿外部位通信俯边界防为电真力调龟度数精据网SP鸭Dn词et吐-V赶PN碎2。20矿23悦/5赢/1舟931安全触区Ⅲ：生乱产管纺理区安全厦区II比I中的辣业务剖系统踪蝶或功雪能模签块的艘典型症特征检为：爷实现同电力册生产艘的管屑理功涨能，芒但不漫具备逆控制民功能恼，不傻在线亡运行堆，可距不使检用电琴力调涂度数灿据网于络，无与调西度中享心或蒸控制嗓中心须工作是人员垂的桌郊面终诸端直蛮接相塞关，府与安瓜全区IV的办把公自随动化诞系统独关系今密切足。该区扇的典穿型系熊统为络调度泳生产企管理齿系统耻（DM疑IS）、较统计半报表泡系统禾（日队报、死旬报绑、月赤报、映年报增）、席雷电归监测幻玉系统列、气丝式象信集息接矿入等浸。该区腥的外辈部通裳信边等界为压电力座数据匹通信矩网SP筒Tn掌et先-V我PN漠1。20利23调/5纸/1尊932安全滩区Ⅳ：管袋理信龄息区安全鱼区IV中的侦业务镜系统秆或功妖能模修块的骄典型露特征滩为：副实现歼电力贫信息皂管理萍和办捉公自傍动化银功能导，使祝用电窃力数魄据通鸦信网阔络，未业务搬系统明的访尤问界洽面主锣要为把桌面迈终端伤。该区映包括枝管理清信息桶系统涨（MI合S）、添办公搂自动孕化系协统（OA）、露客户扬服务请等。该区辅的外夏部通潜信边档界为SP朝Tn尝et茂-V缘瑞PN亭2及因帖特网仆。20蚕23题/5餐/1殿933电网较二次宣系统贫安全研防护拌总体装示意歪图下级调度/控制中心上级信息中心下级信息中心实时VPNSPDnet

非实时VPNIP认证加密装置安全区I(实时控制区)安全区II(非控制生产区)安全区III(生产管理区)安全区IV(管理信息区)外部公共因特网生产VPNSPTnet

管理VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区I(实时控制区)

防火墙安全区II(非控制生产区)安全区III(生产管理区)

防火墙

防火墙安全区IV(管理信息区)专线正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置

防火墙

防火墙

防火墙20听23完/5证/1刊934电力久数据融业务纺与网竞络的袄关系央示意妄图SD嚷H（N×废2M）SD葬H（15骡5M）SP个Dn祸etSP冈Tn农et实时控制在线界生产调度堤生产筑管理电力涨综合信制息实时VP吃N非实惜时VP常N调度VP原N信息VP姨N语音萍视频VP天NIP语音脂视频SD屠H/奇PD南H传输谣网20劳23戏/5漠/1修935业务拐系统级置于云安全腰区的柿规则盐（一摆）根据姻该系牌统的弯实时谣性、容使用壶者、修功能腐、场响所、偶各业暖务系洁统的粒相互喷关系动、广冒域网半通信哑的方还式以减及受钳到攻绑击之棒后所遵产生亮的影暖响，先将其挥分置渡于四邮个安称全区蝇之中蓄。实时怀控制留系统目或未叛来可爷能有您实时俱控制忘功能置的系庆统需蜻置于塔安全灰区Ⅰ。电力并二次派系统维中不塌允许巾把本存属于磨高安跳全区刷的业误务系世统迁察移到哗低安瓦全区牲。允纠许把怕属于份低安故全区峡的业蚀务系脸统的姜终端谈设备尼放置田于高货安全歼区，松由属躲于高跑安全才区的狼人员定使用驳。20职23贿/5胀/1载936业务苹系统绕置于峰安全喉区的掘规则奇（二诵）某些射业务喊系统穗的次历要功虫能与疼根据耻主要阳功能扣所选困定的累安全杀区不留一致饿时，利可将孔业务独系统哥根据冻不同眉的功输能模舟块分蛛为若渡干子月系统续分置乒于各鹊安全仔区中郊，各辽子系因统经歇过安辆全区懒之间万的通袭信来规构成炕整个焰业务虹系统执。自我王封闭肯的业蛋务系也统为逆孤立厨业务矮系统热，其臂划分宪规则液不作溪要求向，但挎需遵锋守所阔在安来全区宫的安考全防绩护规蛛定。各电擦力二舅次系厨统原洽则上虾均应羡划分溪为四添安全遍区的迈电力扮二次兵系统搂安全衬防护很方案瓜，但妖并非言四安移全区饺都必盆须存舌在。某安翁全区潜不存普在的携条件洗是:其本由身不膛存在肆该安倚全区印的业再务。与其泽它电涉网二希次系仅统在脸该安研全区替不存速在“纵向“互联样。20鸽23磁/5很/1痕937安全败区之刚间的成安全刊强度成要求安全悲区Ⅰ与安钱全区Ⅱ的业疤务系礼统都室属电蹄力生文产系沈统，情都采夺用电全力调乏度数跌据网请络，食都在夏线运旦行，墙数据屡交换杀较多列，关摔系比阻较密耀切，锡可以鹅作为刻一个揭生产掠控制雄的逻其辑大霸区；安全编区Ⅲ与安拆全区Ⅳ的业亭务系彩统都罪属管粗理信乞息系嘉统，私都采堵用电茎力数轨据通秒信网乡丰络，傲数据沫交换爬较多始，关圈系比闭较密四切，肝可以绿作为不一个粱管理伴信息邪的逻蒸辑大鉴区。陵生产麦控制泳的逻塘辑大造区与字管理劣信息贝的逻券辑大建区之硬间安零全强唱度应拾该达列到相血互物米理隔赠离或衫接近恩于物幸理隔群离。安全散区Ⅰ与安销全区Ⅱ之间健，以筝及安访全区II月I与安亦全区IV之间咳的安厉全强菊度应瓦该达上到相沃互逻邪辑隔淡离。20滴23偷/5阀/1弱938安全报区之钱间的却横向樱隔离猪要求穿（一裁）安全券区I与安雪全区II之间道须采废用经攀有关静部门巡寿认定硬核准宾的硬遵件防苏火墙睡或相释当设归备进秃行逻怀辑隔愿离，阴应禁种止E-锈ma拿il、We桶b、Te此ln培et、Rl偏og凯in等服昨务穿喇越安太全区卡之间陈的隔摘离设仪备。安全没区II沟I与安支全区IV之间沟应采古用经龟有关涂部门科认定传核准填的硬依件防率火墙伪或相袜当设和备进祥行逻扔辑隔隶离。20蓬23驶/5荒/1藏939安全俱区之呆间的滨横向青隔离眉要求同（二订）安全觉区Ⅰ、Ⅱ不得创与安务全区Ⅳ直接接联系掀；安锡全区Ⅰ、Ⅱ与安旁全区Ⅲ之间别应该磁采用写经有事关部乎门认帐定核头准的同专用研安全间隔离今装置肾。专甩用安役全隔忙离装太置应网该达愿到接醋近物揪理隔适离的钳强度金。严格旅禁止E-誓MA摧IL、WE辈B、TE役Ln犁et、Rl默og天in等网姿络服聚务和户以B/涛S或C/么S方式披的数皂据库桶访问楚功能轧穿越徐专用饼安全伸隔离叹装置集，仅艺允许盘纯数券据的暮单向列安全孟传输椅。专用欧安全仗隔离舟装置拘分为遥正向照型和组反向职型。牛从安侮全区Ⅰ、Ⅱ往安影全区Ⅲ必须演采用借正向淋安全啄隔离尾装置远单向挪传输辅信息忠；由镇安全更区Ⅲ往安占全区Ⅱ甚至旧安全怀区Ⅰ的单贡向数男据传壤输必椒须经汪反向瓜安全她隔离戒装置敬。反膀向安覆全隔喘离装秧置采嘴取签鹅名认弯证和惹数据棒过滤段措施榨，仅副允许约纯文融本数皇据通红过，户并严曾格进锹行病雪毒、握木马障等恶油意代足码的阔查杀颂。20遥23别/5龄/1余940专用挺外部表边界带网络根据拼系统腔性原愚则，昼各电拘力二晓次系殃统的论安全救区的烦外部拾边界奇网络但之间零的安才全防身护隔肥离强滩度应跑该和母所连际接的乐安全念区之舱间的甲安全捕防护帆隔离淡强度悼相匹嘴配。安全滴区Ⅰ、Ⅱ连接楼的广耐域网沙为国敌家电估力调掉度数友据网SP千Dn老et。安春全区Ⅲ、Ⅳ连接乔的广朗域网崖为国芦家电信力数烘据通贷信网SP拘Tn薯et。国胳家电命力调扫度数位据网SP议Dn拖et与国帐家电让力数蒸据通换信网SP陕Tn既et应该浓物理录隔离羡，如想基于SD女H/郑PD什H上的坐不同廉通道宴、不窑同波滤长、另不同格纤芯渴等。安全蓝区Ⅰ和安与全区Ⅱ分别夫连接父国家部电力俱调度誓数据宋网SP斩Dn齿et的不世同子劈燕网。扑安全叼区Ⅲ和安槽全区Ⅳ分别缎连接蹲国家宫电力锄数据壳通信断网SP吨Tn洗et的不桶同子读网。刃子网希之间候应该烂逻辑竭隔离房诚，可俗以通织过MP戚LS添-V扒PN技术犬、安博全隧摇道技员术、PV凭C技术被或路堪由独循立技需术等棕来构零造子忌网。20烟23松/5尚/1依941安全超区与啊远方验通信板的纵集向安测全防唐护要际求安全怠区Ⅰ、Ⅱ接入SP携Dn枯et时，茧应配在置纵贪向认付证加凭密装唇置，州实现轨网络根层双陡向身两份认赏证、纷数据柳加密雅和访垒问控茎制，陡也可罢与业缠务系俘统的泼通信络网关窗设备油配合级，实某现部绳分传看输层眉或应日用层垫的安械全功望能。记如暂然时不饲具备你条件浮或根慎据具砌体业胜务的农重要孔程度患，可识以用袄硬件嚷防火舒墙或AC摊L技术奥的访去问控注制代载替。安全泽区Ⅲ连接挥国家渣电力锣数据封通信震网SP谱Tn挎et的生俗产子绵网应敢通过让硬件收防火涂墙接猾入。处于凝外部草网络岔边界贵的通驼信网驻关的裹操作剑系统刷应进殊行安微全加熔固。军根据适具体只业务足的重明要程吸度及衣信息延的敏萍感程栏度，武对I、II区的沃外部廊通信甜网关姑可以拣应该衣增加密加密售、认菌证和扔过滤兵的功患能。传统封的基甩于专富用信猾道的个通信鸡不涉骡及网洲络安潜全问躁题，说可逐皂步采妹用线斯路加借密技气术保诊护关让键厂北站及树关键冷业务茎。20槐23洞/5它/1搜942安全砍区Ⅰ及安扣全区Ⅱ的防极护要挂求（剪一）禁止拍安全万区Ⅰ/滑Ⅱ内部跑的E-密MA军IL服务南。禁隶止安派全区Ⅰ的WE急B服务唉。允许剂安全谣区Ⅱ内部敢采用B/茅S结构下的系毕统，恨但必渠须采池取有昌效措蛇施进迅行封快闭。鸽允许穗安全围区Ⅱ纵向WE胞B服务迁，其龄专用WE牵B服务脱器和WE饱B浏览害工作贱站应小在“非军碑事区”的网关段，计专用WE装B服务勇器应惭该是圾经过概安全络加固娱且支纤持HT趣TP装S的安献全WE文B服务吴器，WE北B浏览遗工作钳站与甩安全堆区II业务印系统氏工作杆站不员得共此用，嫁而且射必须头由业特务系惠统向WE县B服务淡器单窄向主刑动传丈送数塌据。安全拜区Ⅰ/跟Ⅱ的重爆要业丛务（冒如SC夸AD泊A/产AG嗓C、电崖力交润易）升应该陶逐步载采用寄认证塞加密检机制区。安全射区Ⅰ/蚀Ⅱ内的捉相关礼系统窜间应慢该采哈取访得问控租制等草安全踏措施柴。20俭23物/5慢/1从943安全嗓区Ⅰ及安描全区Ⅱ的防错护要避求（固二）对安遗全区Ⅰ/厅Ⅱ进行宜拨号能访问求服务示，用见户端甲应该锅使用UN奏IX或LI污NU脾X操作蔑系统匹且采上取认荡证、倘加密保、访缴问控而制等跪安全跌防护旦措施摘。安全拐区Ⅰ/桌Ⅱ边界甘上可鱼考虑梨部署描入侵螺检测坐系统ID翠S。安亚全区Ⅰ、Ⅱ可以恩合用束一套ID痛S管理心系统诉。安全向区Ⅰ/好Ⅱ应该牲考虑俊部署细安全心审计倚措施耽，应腔把安殖全审乒计与订安全摆区网果络管梅理系指统、ID禽S管理爱系统凭、敏胶感业奥务服生务器统登录垮认证阶和授释权、干应用宿访问蹄权限乔相结刮合。安全柳区Ⅰ/妥Ⅱ应该煌采取俭防恶影意代殃码措酸施。搬病毒俩库和质木马须库的圣更新顽应该文离线苍进行饿，不回得直圈接从傅因特宝网下册载。安全病区Ⅰ/厦Ⅱ内的脆系统捎必须化经过级安全台评估逮。20情23罪/5伙/1硬944安全掘区Ⅲ的防穗护要条求安全停区Ⅲ允许次开通EM卷AI刺L、WE当B服务厉。对安细全区Ⅲ拨号耻访问熊服务劫必须堆采取水访问正控制滩等安袜全防颠护措买施。安全层区Ⅲ应该脾部署颤安全芦审计感措施咏，边现界上困应部捆署入轰侵检胃测系狼统，余如ID造S等。安全缴区Ⅲ必须活采取舱防恶鱼意代垦码措望施。20旅23缓/5焦/1估945电力呀二次亲系统难四安骡全区芬拓扑允结构电力饿二次粉系统凯四安断全区宫的拓麦扑结狐构有夺三种历模式叮，这辆三种搅模式款均能群满足陕电力动二次蝇系统炮安全矛防护嫩体系略的要芝求。20猫23爷/5胆/1跳946电力捆二次傍系统柿安全膜防护推方案斗的实愧施步忘骤（狂一）第一扒阶段技是理奴清流萍程，炸修补吹漏洞芽。需累要对旅本地岂系统翻的物训理配拔置、僵连接业关系泉，以喝及信芳息流星程有喘明晰革的认绣识，尽必须均有业冈务系她统的没详细弄的物柱理连伶线图逢及数法据流室图。第二劝阶段翁是调掘整结鹅构，袭清理率边界墙。按然照安裙全防盾护方中案，果做好妈相应股的安肤全区户规划役，将神各类芦系统幸置于览对应列的安袖全区辫内，焦并增趋加必此要的江设备凭，对角各类件应用管系统槐和网不络设诵备的婶配置择进行央相应踪蝶的修栗改。第三躬阶段喊及第爱四阶他段部太署横糟向隔拌离装盖置和温纵向浑防护质措施淋。可许分阶印段逐妄步实抖现。第五洲阶段酱部署吩认证权机制慨。在批各类奶专用妇装置约和与迟认证竞机制堆有关宝的CA、RA已建龙立的金条件确下部级署认被证机河制。第六惹阶段荷为现扬系统检改造乖和新幼系统问开发表。要渣求二躲次系舍统各野研究储、生闯产单傲位按仙照方肉案的荣要求刻研制富新系鸟统，祥并对抚现有酬系统邀进行菠改造激。20洞23刚/5喊/1骗947电力州二次线系统沾安全确防护舰方案舌的实干施步尝骤（唤二）20纺23腿/5挺/1虚948网络踩安全黑的技仔术措党施专用赞安全并隔离涛装置防火册墙入侵裕检测驱设备防病伪毒系络统系统同备份狮与灾剥难恢旱复加密腔与认尘证网络竹安全洽评估擦系统20富23时/5规/1唤949专用夫安全独隔离配装置电力墨专用仿安全纪隔离蝴装置举作为金安全馒区I/葡II与安片全区II里I的必代备边渗界，盆要求宇具有冻最高商的安希全防赤护强严度，坏是安央全区I/区II横向勒防护本的要品点。安全煮隔离炒装置隙（正恩向）捎用于筝安全待区I/撕II到安奖全区II雅I的单池向数达据传观递；粉安全课隔离蜂装置础（反历向）锈用于冶安全郊区II挥I到安婚全区I/钥II的单秋向数刮据传句递。安全义隔离康装置厌的部富署：20猛23洗/5震/1落950隔离胆装置堵的安栽全保旬障要援求采用甲非IN翻TE腔L指令蓬系统阳（及零兼容游）的初微处序理器杏；精简颜的、仆安全极的、喂固化所的操叼作系标统；不存渣在设炭计与是实现恰上的享安全歉漏洞饥；能够央抵御挑对Ⅰ/条Ⅱ区的识部分Do真S攻击锣及其雪他已告知的鉴网络服攻击甩。20抄23森/5规/1牺951正向撒隔离承装置题的硬仿件结川构及笼网络膝连接专用隔离设备实时系统管理系统处理器A处理器BTCP/IPTCP/IP双联网段切换开关非网1、取厘消TC且P外所假有网马络功形能；2、内诊设地荣址过狱滤，吹对外梦没有IP地址蹄；3、采胖用非踏网（US榜B等）州专用煮进程平通信涝，内筝外网件不同雕时接虎通；20咸23沸/5旺/1插952§正向粪隔离玩装置略的功明能要渗求（般一）实现发两个卷安全历区之吉间的影非网摇络方彩式的敢安全目的数泰据交挂换，颈并且置保证昨安全鹿隔离赌装置册内外鸭两个具处理绕系统益不同弹时连彼通；要求明用物元理方梦式实懂现数眉据完昨全单伤向传坛输，魄即从晓安全凶区Ⅲ到安烛全区Ⅰ/评Ⅱ的TC辣P应答串报文环禁止麻携带构应用乌数据界；透明正工作眉方式勤，虚塞拟主韵机IP地址录、隐浊藏MA倾C地址盟；基于MA执C、IP、传舟输协教议、蜡传输畜端口偏以及轰通信陵方向姑的综茶合报蓝文过暗滤与省访问谈控制猜；支持NA久T；20估23苏/5旨/1距953§正向铁隔离蒙装置抽的功午能要创求（许二）防止哲穿透收性TC狡P连接弊：禁农止内烘网、殃外网伍的两蓬个应轿用网半关之袜间直木接建火立TC锡P连接浆，应损将内苍外两句个应钢用网银关之哭间的TC屡P连接海分解圈成内震外两愧个应症用网博关分场别到婆隔离似装置角内外使两个射网卡详的两拖个TC伶P虚拟迫连接浴。隔作离装变置内吴外两秃个网忆卡在社装置椒内部支是非著网络迈连接搂，且铃只允戚许以输物理便方式该实现遥数据悉数据兰单向卸传输戴；具有鼠可定谈制的娘应用医层解故析功挡能，痰支持见应用秤层特河殊标繁记识顾别；安全吨、方怜便的纤维护隙管理索方式愉：基帐于证僵书的枪管理坚人员直认证溜，图命形化突的管解理界庸面。20滩23饲/5剂/1聚954反向闷隔离亲装置于的工边作过奇程安全尝区II孩I到安撤全区I/象II的唯序一数苹据传武递途两径；安全母区II掉I内的孟数据起发送踩端首狂先对辱需发远送的干数据饰签名钓，然串后发筑给反马向型匙专用带隔离虾装置旨；专用盒隔离保装置学接收始数据笨后，宗进行漏签名驰验证堆，并不对数休据进供行内寄容过亩滤、糖有效稿性检姜查等欲处理彼；将处观理过槐的数着据转芦发给禾安全争区I/食II内部疤的接粮收程桐序。20搞23处/5岩/1舰955§反向备隔离布装置平的功岔能要绘求应满制足正摧向隔击离装哈置的吴所有余基本椅功能雾；具有难应用积网关悔功能纲，实锯现应沸用数远据的加接收头与转蛙发；具有环应用脆数据捎内容培有效勾性检班查功消能；具有楚基于爹数字哀证书物的数平据签尺名和浴验证演功能蜜；实现标两个葱安全唐区之将间的届非网老络方超式的距安全队的数洋据传阴递，恭要求世用物群理方抛式实浸现数园据完态全单驴向传殃输，伯即从绒安全徐区Ⅰ/押Ⅱ到安泰全区Ⅲ的TC搞P应答资报文续禁止唐携带洽应用谷数据鹿。20赵23碰/5待/1柱956IP认证筒加密违装置对于稳纵向茫通信照过程确，主敏要考过虑是各两个身系统萍之间樱的认覆证，肥具体鹿实现某可以暂由两枕个通生信网精关之衡间的两认证朴实现赶，或洗者两杀处IP认证土加密递装置呼之间兰的认狡证来肤实现陈。建议申采用棕对IP认证木加密掠装置竟之间醋的认停证。IP认证柏加密罗装置荣用于岗安全祝区I/熟II的广佳域网却边界泼保护槐。为本姑地安炕全区I/钟II提供精类似覆包过严滤防慨火墙捷的功翁能。为通榆信网寒关间并的广叶域网袜通信枝提供啊具有泊认证者与加唤密功盼能的VP句N，实石现数则据传父输的绩机密卫性、评完整应性保均护。20敞23窗/5胖/1敢957IP认证迟加密总装置女功能IP认证车加密暑装置寄之间新支持碰基于候数字型证书兴的认赞证，雕支持先定向昏认证涌加密抖；对传执输的昆数据粪通过林数据岛签名炉与加牛密进楼行数午据机向密性给、完腰整性斤保护朋；支持成透明尸工作翻方式才与网错关工胀作方漫式；具有蔽基于IP、传痕输协疾议、寇应用共端口叹号的腔综合迟报文蛙过滤基与访服问控文制功描能。伞具有袄选择爸加密宾方向批以及状对被踏加密赶报文赞进行伏报文且长度臭或其棚它被党设置土特征陈的选腿择加读密和离解密珍功能门；具有NA辩T功能脉；性能董要求崭：10乡丰M/汽10范0M线速扶转发穷，支饲持10想0个并筒发会直话；具有猜查询战、设俱置、腐统计钢等管抽理功哥能，紫以及栽相应斑的友贤好的义用户焰界面博；多家嘉开发弟的设皂备可手以互桃联互困通。20伯23充/5协/1浙958纵向废通信咸认证警示意漏图20鱼23灯/5援/1叫959远程絮拨号搬访问酿防护傲方案拨号巾的防柔护措牵施可误以在业链路隆层或输网络主层实备施，猛采用盲认证层、加估密技扫术保严证通君信双片方身昌份的膊真实替性和业数据年的完国整性飞、保忽密性皂。链路悠方式债：对裤于以层远方已终端怪的方禁式通节过被盯访问镜的本波地主桐机的RS椒23暖2接口熔直接士访问旅本地往主机廉的情雹况，猎采用抹链路拾层保裁护措张施，事即在掏两端贪安装决链路心加密眠设备虚。该凝方式型主要搭用于静安全习区I的远壁程拨弯号访胖问。网络倦方式晋：通扯过RA部S（远处程访臂问服监务器览）访掉问本嚷地网锦络与姜系统静的远丽程访忽问，坚建议狗采用杨网络禾层保蝴护措需施，公即采嫌用用桌户端志证书葱与拨索号认堡证加促密装电置配伐合的刚拨号VP减N。该龙方式鉴主要租用于提安全回区II巡寿/I质II的远妄程拨社号访依问。20恰23分/5惑/1暖960远程营拨号演访问手防护界示意墙图链路兰保护想措施：使用杯专用教链路欠加密疾设备位，实把现以液下安涛全功分能：两端鸽链路恋加密易设备鹿相互落进行禽认证对链置路帧涌进行考加密网络著保护皂措施厨：采用术远程贡访问VP畏N方式缝。在RA膏S与本隐地网协络之雪间设叼置拨口号认寄证加炎密装编置，庆结合片用户荣数字眼证书撒，对劲远程丘拨入疲的用渡户身杠份进华行认洲证，衡通过岗认证翁后，之在远猛程拨暴入用宪户与该拨号尤认证码加密做装置征之间薯建立IP径Se去cV策PN，对损网络户层数桑据进黄行机堵密性酸与完笨整性远保护俭。相关迁的安衬全产贝品包设括：盟用户皂端的IP系Se暴cV球PN客户答端插框件及狗相应猎的加遇密卡寄、RA风S端的丈拨号纤认证蕉加密尝装置涉（包沿括相尖应的蔽加密钥设备症）。轿拨号州认证替加密滥装置桌可以予是单蜂独的破设备扬，置椒于RA灿S与本从地网旅络之德间，煎也可射以与RA肺S集成扇在一馅个物渔理设寺备中识。20电23功/5雕/1涂961传统练专用轮通道音的防潮护—线路冬加密却设备线路朋加密峰设备纲可用盲于传知统专馆线RT发U、保挽护装船置、糟安控惠装置谁通道骆上数苹据的挖加密伏保护稀，防尾止搭哄线篡固改数触据。攻要求缩慧该设巩备具寻有一绣定强灿度的宰对称跨加密烘功能坚。建议惭新开婶发的畏专线RT左U、保华护装引置、贴安控串装置奔，内扔置安歉全加汁密功伏能。20脂23瓣/5酬/1杯962防火裤墙防火拖墙产咽品可镜以部牲署在叹安全更区I与安款全区II之间求（横临向）巨，实偿现两免个区奸域的央逻辑构隔离敢、报朋文过邪滤、油访问稍控制椅等功忽能。查对于乖调度跟数据婶专网国条件滔不完杠善的甜地方杆，需酒要部夫署在蹄调度逃数据钱接入做处（切纵向脚）。防火绳墙安崭全策斑略主煤要是析基于健业务坊流量趁的IP地址收、协冈议、谨应用释端口脖号、鲁以及罢方向棕的报柄文过次滤。具体赢选用拳的防咐火墙峰必须纸经过陕有关江部门献认可娘的国怎产硬雁件防崭火墙袖。20测23乌/5俗/1讯963We艰b服务样的使泊用与馋防护在安读全区I中取材消We皂b服务碗。禁熊止安半全区I中的谢计算队机使爱用浏旗览器斑访问厌安全势区II的We就b服务酒。安全什区II中的We扑b服务永将是伐安全倍区I与II的统侦一的咸数据记发布叛与查光询窗歼口。塌考虑找到目堤前We会b服务猴的不维安全班性，劣以及掩安全寸区II的We察b服务略需要碰向整震个SP带Dn顶et开放精，因茅此在捏安全以区II中将炕用于We捧b服务繁的服辩务器逐与浏依览器诊客户酱机统艳一布该置在关安全望区II中的且一个居逻辑樱子区――避We相b服务四子区南，置怖于安手全区II的接云入交治换机秧上的眼独立VL热AN中。We茂b服务谷器采金用安糊全We呼b服务说器，吐即经肃过主搏机安享全加劈燕固的车，支径持SS借L、HT违TP阶S的We艰b服务茶器，膀能够制对浏痕览器售客户向端进泥行身懂份认坦证、凭以及坏应用创数据坊加密虎。20旬23菜/5艇/1根964电力脏二次土系统恩的数升字证柜书数字屯证书棋提供弱以下郑安全畜功能泻：支持仁身份辩认证装功能僻、支羊持基递于证沉书的醋密钥惨分发惜与加巴密；支持奸基于瞧证书稻的签鞭名以喂及基谦于证毒书扩研展属蛋性的伪权限馅管理斜。电力冬调度墓业务爷系统镇及数秀据网残络中奴需要行发放顺数字输证书您的对齐象：关键静应用梅：主要挪包括SC汗AD景A系统扇、电做力市屯场交泡易系筝统；关键侵人员脊：主要桨包括倦关键济应用妙系统迈的用失户与奥管理失维护刚人员网；关键吓设备