1、“.....生产控制大区的安全区划分控制区安全隔离装置集中接收管理信息大区发向生产控制大区的数据,进行签名验证内容过滤有效性检查等处理后,转发给生产控制大区内部的接收程序。专用横向单向隔离装置应该满足实时性可靠性和传输流量等方面的要求。严格禁止等安全风险高的通用网络服务和以管理信息大区。生产控制大区可以分为控制区又称安全区和非控制区又称安全区。生产控制大区的安全区划分控制区安全区控制区中的业务系统或功能模块或子系统的典型特征为是电力生产的重要环节,直接实现对电力次系统的实时,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。电力二次间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于不同通道不同光波长不同纤芯等方式......”。

2、“.....电力调度数据网划分为逻辑隔离的实时子网电力二次系统安全防护总体方案网络版服务,禁止控制区内通用的服务。允许非控制区内部业务系统采用结构,但仅限于业务系统内部使用。允许提供纵向安全服务,可以采用经过安全加固且支持的安全服务器和浏览工作站。电力二次系统安全防护总体方案网络版。按照数据通信方向电力专用横向单向安全施进行安全隔离。当县调或配调内部采用公用通信网时,禁止与调度数据网互联。保证网络故障和安全事件限制在局部区域之内。电力二次系统安全防护总体方案网络版。生产控制大区边界上可以部署入侵检测系统。生产控制大区应部署安全审计措施,把安全审计与安全区网络管理系统综合告警系统涉及网络安全问题,新建系统可逐步采用加密等技术保护关键厂站及关键业务管理信息大区的安全区划分管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。电力企业可根据具体情况划分安全区......”。

3、“.....生产控制大区内部安全防护要求禁止生产控制大区内部的权限相结合。生产控制大区应该统部署恶意代码防护系统,采取防范恶意代码措施。病毒库木马库以及规则库的更新应该离线进行。数据网络安全的分层分区设置电力调度数据网采用安全分层分区设置的原则。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网简称骨干网。省调地调和县调及省地网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于不同通道不同光波长不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实调厂站节点构成省级调度数据网简称省网。县调和配网内部生产控制大区专用节点构成县级专用数据网。县调自动化配网自动化负荷管理系统与被控对象之间的数据通信可采用专用数据网络......”。

4、“.....且必须采取安全防护措施。各层面的数据网络之间应该通过路由限制措电力次系统安全防护总体方案总则电力次系统安全防护的总体原则是安全分区网络专用横向隔离纵向认证。安全防护方案图电力次系统安全防护总体方案的框架结构安全分区原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区又称安全区和非控制区又称安全区。生产控制大区的安全区划分控制区加密认证装置为广域网通信提供认证与加密功能,实现数据传输的机密性完整性保护,同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外,还应实现对电力系统数据通信应用层协议及报文的处理功能。对处于外部网络边界的其他通信网关,应进行操作系统的安全加固,对于新上的系容过滤有效性检查等处理后,转发给生产控制大区内部的接收程序。专用横向单向隔离装置应该满足实时性可靠性和传输流量等方面的要求......”。

5、“.....仅允许纯数据的单理系统敏感业务服务器登录认证和授权应用访问权限相结合。生产控制大区应该统部署恶意代码防护系统,采取防范恶意代码措施。病毒库木马库以及规则库的更新应该离线进行。网络专用电力调度数据网是为生产控制大区服务的专用数据网络,承载电力实时控制在线生产交易等业务。安全区的外部边界网络之调厂站节点构成省级调度数据网简称省网。县调和配网内部生产控制大区专用节点构成县级专用数据网。县调自动化配网自动化负荷管理系统与被控对象之间的数据通信可采用专用数据网络,不具备专网条件的也可采用公用通信网络不包括因特网,且必须采取安全防护措施。各层面的数据网络之间应该通过路由限制措服务,禁止控制区内通用的服务。允许非控制区内部业务系统采用结构,但仅限于业务系统内部使用。允许提供纵向安全服务,可以采用经过安全加固且支持的安全服务器和浏览工作站......”。

6、“.....按照数据通信方向电力专用横向单向安全于外部网络边界的其他通信网关,应进行操作系统的安全加固,对于新上的系统应支持加密认证的功能。重点防护的调度中心和重要厂站两侧均应配置纵向加密认证装置当调度中心侧已配置纵向加密认证装置时,与其相连的小型厂站侧可以不配备该装置,此时至少实现安全过滤功能。传统的基于专用通道的数据通信电力二次系统安全防护总体方案网络版应支持加密认证的功能。重点防护的调度中心和重要厂站两侧均应配置纵向加密认证装置当调度中心侧已配置纵向加密认证装置时,与其相连的小型厂站侧可以不配备该装置,此时至少实现安全过滤功能。传统的基于专用通道的数据通信不涉及网络安全问题,新建系统可逐步采用加密等技术保护关键厂站及关键业务服务,禁止控制区内通用的服务。允许非控制区内部业务系统采用结构,但仅限于业务系统内部使用。允许提供纵向安全服务......”。

7、“.....电力二次系统安全防护总体方案网络版。按照数据通信方向电力专用横向单向安全区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证数据加密和访问控制。暂时不具备条件的可以采用硬件防火墙或网络设备的访问控制技术临时代替。纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向以及纵向边界的安全防护。对于重点防护的调度中心发电厂变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证数据加密和访问控制。暂时不具备条件的可以采用硬件防火墙或网络设备的访问控制技术临时代替向安全传输。控制区与非控制区之间应采用国产硬件防火墙具有访问控制功能的设备或相当功能的设施进行逻辑隔离......”。

8、“.....采用认证加密访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心发电厂变电站在生产控制调厂站节点构成省级调度数据网简称省网。县调和配网内部生产控制大区专用节点构成县级专用数据网。县调自动化配网自动化负荷管理系统与被控对象之间的数据通信可采用专用数据网络,不具备专网条件的也可采用公用通信网络不包括因特网,且必须采取安全防护措施。各层面的数据网络之间应该通过路由限制措离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,是管理信息大区到生产控制大区的唯数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据,进行签名验证涉及网络安全问题......”。

9、“.....电力企业可根据具体情况划分安全区,但不应影响生产控制大区的安全。生产控制大区内部安全防护要求禁止生产控制大区内部的区安全区控制区中的业务系统或功能模块或子系统的典型特征为是电力生产的重要环节,直接实现对电力次系统的实时,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。网络专用电力调度数据网是为生产控制大区服务的专用数据网络,承载电力实时控制在线生产交易等业务。安全区的外部边纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能,实现数据传输的机密性完整性保护,同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外,还应实现对电力系统数据通信应用层协议及报文的处理功能。对处电力二次系统安全防护总体方案网络版服务,禁止控制区内通用的服务......”。