安全區(qū)與遠方通信的安全防護要求
安全區(qū)Ⅰ、Ⅱ所連接的廣域網(wǎng)為國家電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet。SPDnet為安全區(qū)Ⅰ、Ⅱ分別提供二個邏輯隔離的MPLS-VPN。安全區(qū)Ⅲ所連接的廣域網(wǎng)為國家電力數(shù)據(jù)通信網(wǎng)(SPTnet),SPDnet與SPTnet物理隔離。
安全區(qū)Ⅰ、Ⅱ接入SPDnet時,應(yīng)配置縱向加密認證裝置,實現(xiàn)遠方通信的雙向身份認證和數(shù)據(jù)加密。如暫時不具備條件或業(yè)務(wù)無此項要求,可以用硬件防火墻代替。安全區(qū)Ⅲ接入SPTnet應(yīng)配置硬件防火墻。
處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)(如通信服務(wù)器等)操作系統(tǒng)應(yīng)進行安全加固,并配置數(shù)字證書。
傳統(tǒng)的遠動通道的通信目前暫不考慮網(wǎng)絡(luò)安全問題。個別關(guān)鍵廠站的遠動通道的通信可采用線路加密器,但需由上級部門認可。
經(jīng)SPDnet的RTU網(wǎng)絡(luò)通道原則上不考慮傳輸中的認證加密。個別關(guān)鍵廠站的RTU網(wǎng)絡(luò)通信可采用認證加密,但需由上級部門認可。
禁止安全區(qū)Ⅰ的縱向WEB,允許安全區(qū)II的縱向WEB服務(wù)。
安全區(qū)I和安全區(qū)II的撥號訪問服務(wù)原則上需要認證、加密和訪問控制。
