|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 工控安全需求分析与安全保护工程 > 工控系统安全综合应用案例分析 >
|
|
相关知识点:2个
|
|
|
|
|
本案例来自国家工业控制系统信息安全相关标准和管理政策文件。工业控制系统在电力行业应用广泛,其安全性十分重要。国家相关部门颁布一系列安全管理规定,如《电力监控系统安全防护规定》(国家发改委令第14号)、《电力行业信息系统安全等级保护基本要求》(电监信息(2012)62号)、《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)。电力监控系统的安全策略是“安全分区、网络专用、横向隔离、纵向认证”,如下图所示。
|
|
|
|
|
|
电力监控系统的安全区域主要分成生产控制大区和管理信息大区。其中,生产控制大区又细分为控制区和非控制区,管理信息大区分为若干业务安全区。控制区与非控制区之间应采用逻辑隔离措施,实现两个区域的逻辑隔离、报文过滤、访问控制等功能,其访问控制规则应当正确有效。生产控制大区应当选用安全可靠的硬件防火墙,其功能、性能、电磁兼容性必须经过国家相关部门的检测认证。
|
|
|
|
|
|
电力监控系统的调度控制网络采用专用网络,以满足电力控制实时性及高可信要求。
|
|
|
|
|
|
|
|
|
|
横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间必备的边界防护措施,是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。安全接入区与生产控制大区相连时,应当采用电力专用横向单向安全隔离装置进行集中互联。
|
|
|
|
|
|
纵向加密认证是电力监控系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站,在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。安全接入区内纵向通信应当采用基于非对称密钥技术的单向认证等安全措施,重要业务可以采用双向认证。
|
|
|
