6.2體系結構安全

6.2.1總體要求

結構安全是電力監控系統網絡安全防護體系的基礎框架，也是所有其他安全防護措施的重要基礎。電力監控系統結構安全應采用“安全分區、網絡專用、橫向隔離、縱向認證”的基本防護策略，如圖3所示。

6.2.2分區分級

電力監控系統應劃分為生產控制大區和管理信息大區。生產控制大區可以分為控制區(安全區I)和非控制(安全區Ⅱ)；管理信息大區內部在不影響生產控制大區安全的前提下，可以根據各企業不同安全要求劃分安全區；生產控制大區的縱向互聯應與相同安全區互聯，避免跨安全區縱向交叉聯接。對于小型變電站和發電廠可根據具體情況簡化安全區的設置，應按就高不就低的原則對簡化后的安全區進行防護，同時避免形成不同安全區的縱向交叉聯接。

生產控制大區的業務系統在與其終端的縱向聯接中使用無線通信網、電力企業其他數據網(非電力調度數據網)或者外部公用數據網的虛擬專用網絡方式(VPN)等進行通信的，應設立安全接入區，如圖4所示。

各區域安全邊界應采取必要的安全防護措施，禁止任何穿越生產控制大區和管理信息大區之間邊界的通用網絡服務(如FTP、HTTP、TELNET、MAIL、RLOGIN、SNMP等) 。

應遵循國家信息安全等級保護要求，準確劃分電力監控系統安全等級(見GB17859-1999的第4章、GB/T22240-2008中的5.5、GB/T25058-2010中的5.3)，生產控制大區的控制區(安全區I的安全等級最高，非控制區(安全區Ⅱ)次之，管理信息大區再次之。

6.2.3網絡專用

電力監控系統的生產控制大區應在專用通道上使用獨立的網絡設備組網， 采用基于SDH不同通道、不同光波長、不同纖芯等方式，在物理層面上實現與其他通信網及外部公用網絡的安全隔離。

生產控制大區通信網絡可進一步劃分為邏輯隔離的實時子網和非實時子網， 采用MPLS-VPN技術、安全隧道技術、PVC技術、靜態路由等構造子網。

生產控制大區數據通信的七層協議均應采用相應安全措施，在物理層應與其他網絡實行物理隔離，在鏈路層應合理劃分VLAN， 在網絡層應設立安全路由和虛擬專網， 在傳輸層應設置加密隧道， 在會話層應采用安全認證，在表示層應有數據加密，在應用層應采用數字證書和安全標簽進行身份認證[見 GB/Z 25320 (所有部分)]。

6.2.4橫向隔離

在生產控制大區與管理信息大區之間應設置通過國家有關機構安全檢測認證的電力專用橫向單向安全隔離裝置， 隔離強度應接近或達到物理隔離， 只允許單向數據傳輸， 禁止HTTP、TELNET等雙向的通用網絡安全服務通信；生產控制大區內部的安全區之間應采用具有訪問控制功能的設備、防火墻或者相當功能的設施，實現邏輯隔離。

生產控制大區到管理信息大區的數據傳輸采用正向安全隔離設施，僅允許單向數據傳輸；管理信息大區到生產控制大區的數據傳輸采用反向安全隔離設施，僅允許單向數據傳輸，并采取基于非對稱密鑰技術的簽名驗證、內容過濾、有效性檢查等安全措施。

安全接入區與生產控制大區中其他部分的聯接處應設置通過國家有關機構安全檢測認證的電力專用橫向單向安全隔離裝置。

6.2.5縱向認證

在生產控制大區與廣域網的縱向聯接處應設置通過國家有關機構安全檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。

6.2.6數字證書和安全標簽

依照電力調度管理體制建立基于公鑰技術的分布式電力調度數字證書及安全標簽，生產控制大區中的重要業務系統應采用加密認證機制。

6.2.7防火墻和入侵檢測

生產控制大區內不同系統間應采用邏輯隔離措施，實現邏輯隔離、報文過濾、訪問控制等功能(見 GB/T 25068.3-2010 的第6章和第7章)。

生產控制大區可部署人侵檢測措施，合理設置檢測規則，及時捕獲網絡異常行為，分析潛在威脅，進行安全審計，宜保持特征碼及時更新，特征碼更新前應進行充分的測試，禁止直接通過因特網在線更新。

6.2.8防病毒和防木馬

生產控制大區應部署惡意代碼防范措施，宜保持特征碼以離線方式及時更新，特征碼更新前應進行充分的測試，更新過程應嚴格遵循相關安全管理規定，禁止直接通過因特網在線更新。

6.2.9撥號認證設施

撥號認證設施主要用于必要的遠程維護，該設施平時應斷電關機，需要時臨時開機，僅允許單用戶登錄并嚴格監管審計， 用完應及時關機。撥號認證設施， 如遠程訪問服務器(RAS) ， 應使用安全加固的操作系統，采用數字證書進行登錄認證和訪問認證，并通過國家有關機構安全檢測認證。