调度数据网以及二次安防接入及电力监控系统方案

一.电力监控系统安全防护方案
    电力监控系统安全防护的实施，是电厂生产控制系统安全稳定运行，同时也是电网安全运行的可靠保证，能保证实时数据信息的可靠保存，并有效抵御外部黑客入侵，保证电力监控系统网络的安全运行。具体配置方案如下：
  1.纵向通道：
    1）安全I区（即控制区）：配置两台电力专用纵向认证加密装置部署在控制区与调度数据网实时VPN之间，用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制与传输数据的加密与解密，保障系统链接的合法性和数据传输的机密性及完整性。
    2）安全Ⅱ区（即非控制区）：配置两台纵向加密认证网关部署在非控制区与调度数据网非实时VPN之间，用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的访问控制。

二. 二次安防调试基本原则
  1.入侵检测设备调试
     电厂根据实际业务情况在生产控制大区和管理信息大区各部署一台入侵检测装置，入侵检测装置与各区的接入层交换机镜像口直接连线，所有接入接入层交换机的数据都会通过数据镜像被入侵检测装置进行流量数据分析来检测隐藏与网络边界的入侵行为。
  2.设备安全加固调试
    为了抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，保证所有设备能安全稳定运行，除对所有设备基本配置外，还需对设备进行安全加固。
  3.路由器安全加固内容
    3.1.不得使用初始密码，密码复杂满足强度要求，密码必须密文显示，限制登陆次数及时间
    3.2.限制远程登陆地址
    3.3.SNMP协议使用V2及以上版本，不得使用默认的读写团体字，限制SNMP服务器地址
    3.4.只许使用SSH作为远程登录方式
    3.5.关闭不使用的端口
    3.6.关闭不需要的服务，如HTTP、Telnet、Rlogin、FTP
    3.7.必须配置三个用户，普通、审计、超级
    3.8.路由器做ARP绑定
    3.9.NTP对时，配置syslog服务器地址
  4.交换机安全加固内容
    4.1.不得使用初始密码，密码复杂满足强度要求，密码必须密文显示，限制登陆次数及时间
    4.2.限制登陆次数及时间
    4.3.只许使用SSH作为远程登录方式
    4.4.关闭不需要的服务，如HTTP、Telnet、Rlogin、FTP
    4.5.关闭不使用的端口
    4.6.必须配置三个用户，普通、审计、超级
    4.7.配置NTP和syslog服务器地址
  5.防火墙安全加固
    5.1.不得使用初始密码、密码复杂满足强度要求、尽量限制登陆次数及时间
    5.2.不得出现大明通策略
    5.3.策略必须细化到IP、协议、端口
    5.4.限制远程登陆地址
    5.5.防火墙启用对时功能
    5.6.防火墙启用两个用户，配置用户和审计用户
    5.7.关闭不使用的端口
 6.纵向加密安全加固
    6.1.隧道必须正确配置且建立正常
    6.2.不得出现大明通策略
    6.3.策略必须细化到IP、协议、端口
    6.4.业务通讯必须使用密文
    6.5.不得使用默认初始密码
    6.6.安全审计及恶意代码调试原则
    6.7.在生产控制大区的I区及II区各部署一套安全审计、恶意代码系统。
    6.8.各区安全审计系统使用独立的网络端口，使用直通线分别连接至各相关业务系统的核心交换机，同时，业务系统核心交换机上配置管理IP，并开启远程管理功能，配置审计用户和密码，使用SSH2安全协议进行身份验证；在安全审计设备中配置运维用户，将各业务系统的核心交换机中配置的审计用户，添加至安全审计设备中，并授权给创建的运维用户；该运维用户通过安全审计设备就能访问，有权限访问的设备。
   6.9.各区恶意代码系统使用独立的网络端口，使用直通线分别连接至各相关业务系统的核心交换机，同时，规划并分配与业务主机同网段IP地址，并在这些业务主机中部署恶意代码检测客户端。该客户端用于实时检测系统存在的病毒、漏洞等功能。
   6.10.区安全审计、恶意代码系统，连接至调度数据网的接入交换机。其管理端口连接至I区安全审计系统管理服务器的一个独立网络端口。
   6.11.区安全审计、恶意代码系统，连接至调度数据网的接入交换机。其管理端口连接至II区安全审计系统管理服务器的一个独立网络端口。
   6.12.通过安全审计设备能够实现相关人员可以随时了解整个系统的运行情况，及时发现系统异常事件及非法访问行为；通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。对网络设备进行账号集中管理，完成对账号整个生命周期的监控，简化密码管理，让运维人员无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全。
 7.设备测试流程
   7.1.调度数据网工程在调试完毕后为了保证电厂业务能正常传输还需要对调试完成的设备进行业务测试，测试内容包括以下几个部分：设备测试、功能测试、性能测试、安全测试；涵盖的网络设备有路由器、交换机、纵向加密、防火墙。由于电厂业务未能正式投运，测试业务机由调试笔记本代替。
（1）设备测试：主要是硬件方面的测试，包括加电测试、部件测试：
    A）加电测试：测试装置加电之后是否可以正常启动，各个程序模块是否可以正常启动；
    B）部件测试：测试装置加电之后装置的模块是否可以正常使用；
    C）系统测试：测试设备的系统版本及持续运行时间；
 (2) 功能测试：主要包括数据交换、数据加密、旁路功能测试：
    A)数据交换测试：测试装置在配置完成后能否顺利进行数据报文的交换。
    B)数据加密测试：装置在进行密钥协商成功之后生成相应的通信密钥对，装置通信数据以生成的密钥进行加密，在传输过程中截包之后看到的内容都应是加密之后的报文，可以在交换机上截包检查相关的报文是否已经加密。
    C)旁路测试：南瑞信通公司纵向加密认证网关支持旁路模式，在装置关电之后，装置会切换到旁路工作模式，内外网硬件自动连通，原有的数据通信能自动恢复正常。
（3）性能测试：主要包括流量测试、稳定性测试：
    A)流量测试：测试地调千兆加密装置与变电站百兆加密装置大流量数据加密通信情况下，业务是否正常。
    B)稳定性测试：省调、地调、电厂之间运行业务通讯，测试业务长时间的运行情况。
（4）安全性测试：主要包括用户名密码检查，端口检查，日志检查和访控检查等：
    A)用户名密码测试：主要检查是否有不安全的用户，密码是否为密文
    B)端口测试：检查设备有无多余的不必要的端口开启