數(shù)據(jù)網(wǎng)絡與業(yè)務系統(tǒng)邊界采用必要的訪問控制措施，對通信方式與通信業(yè)務類型進行控制;在生產(chǎn)控制大區(qū) 與電力調度數(shù)據(jù)網(wǎng)的縱向交接處應當采取相應的安全隔離、加密、認證等防護措施。對于實時控制等重要業(yè)務，應該通過縱向加密認證裝置或加密認證網(wǎng)關接入調度數(shù)據(jù)網(wǎng)。

(3)網(wǎng)絡設備的安全配置

網(wǎng)絡設備的安全配置包括關閉或限定網(wǎng)絡服務、避免使用默認路由、關閉網(wǎng)絡邊界OSPF 路由功能、采用安全增強的SNMPv2 及以上版本的網(wǎng)管協(xié)議、設置受信任的網(wǎng)絡地址范圍、記錄設備日志、設置高強度的密碼、開啟訪問控制列表、封閉空閑的網(wǎng)絡端口等。

(4)數(shù)據(jù)網(wǎng)絡安全的分層分區(qū)設置

電力調度數(shù)據(jù)網(wǎng)采用安全分層分區(qū)設置的原則。省級以上調度中心和網(wǎng)調以上直調廠站節(jié)點構成調度數(shù)據(jù)網(wǎng)骨干網(wǎng)(簡稱骨干網(wǎng))。省調、地調和縣調及省、地直調廠站節(jié)點構成省級調度數(shù)據(jù)網(wǎng)(簡稱省網(wǎng))。

縣調和配網(wǎng)內部生產(chǎn)控制大區(qū)專用節(jié)點構成縣級專用數(shù)據(jù)網(wǎng)?？h調自動化、配網(wǎng)自動化、負荷管理系統(tǒng)與被控對象之間的數(shù)據(jù)通信可采用專用數(shù)據(jù)網(wǎng)絡，不具備專網(wǎng)條件的也可采用公用通信網(wǎng)絡(不包括因特網(wǎng))，且必須采取安全防護措施。

各層面的數(shù)據(jù)網(wǎng)絡之間應該通過路由限制措施進行安全隔離。當縣調或配調內部采用公用通信網(wǎng)時，禁止與調度數(shù)據(jù)網(wǎng)互聯(lián)。保證網(wǎng)絡故障和安全事件限制在局部區(qū)域之內。

企業(yè)內部管理信息大區(qū)縱向互聯(lián)采用電力企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng)，電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內網(wǎng)。

2.3 橫向隔離

2.3.1 橫向隔離是電力二次安全防護體系的橫向防線。采用不同強度的安全設備隔離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應接近或達到物理隔離。電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施，是橫向防護的關鍵設備。生產(chǎn)控制大區(qū)內部的安全區(qū)之間應當采用具有訪問控制功能的網(wǎng)絡設備、防火墻或者相當功能的設施，實現(xiàn)邏輯隔離。

2.3.2 按照數(shù)據(jù)通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進行簽名驗證、內容過濾、有效性檢查等處理后，轉發(fā)給生產(chǎn)控制大區(qū)內部的接收程序。專用橫向單向隔離裝置應該滿足實時性、可靠性和傳輸流量等方面的要求。

2.3.2 嚴格禁止E-Mail、WEB、Telnet、Rlogin、FTP 等安全風險高的通用網(wǎng)絡服務和以B/S 或C/S 方式的數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。

控制區(qū)與非控制區(qū)之間應采用國產(chǎn)硬件防火墻、具有訪問控制功能的設備或相當功能的設施進行邏輯隔離。

2.4 縱向認證

2.4.1 縱向加密認證是電力二次系統(tǒng)安全防護體系的縱向防線。采用認證、加密、訪問控制等技術措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。對于重點防護的調度中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關及相應設施，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。暫時不具備條件的可以采用硬件防火墻或網(wǎng)絡設備的訪問控制技術臨時代替。 2.4.2 縱向加密認證裝置及加密認證網(wǎng)關用于生產(chǎn)控制大區(qū)的廣域網(wǎng)邊界防護?？v向加密認證裝置為廣域網(wǎng)通信提供認證與加密功能，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性保護，同時具有類似防火墻的安全過濾功能。加密認證網(wǎng)關除具有加密認證裝置的全部功能外，還應實現(xiàn)對電力系統(tǒng)數(shù)據(jù)通信應用層協(xié)議及報文的處理功能。

2.4.3 對處于外部網(wǎng)絡邊界的其他通信網(wǎng)關，應進行操作系統(tǒng)的安全加固，對于新上的系統(tǒng)應支持加密認證的功能。

2.4.4 重點防護的調度中心和重要廠站兩側均應配置縱向加密認證裝置;當調度中心側已配置縱向加密認證裝置時，與其相連的小型廠站側可以不配備該裝置，此時至少實現(xiàn)安全過濾功能。

2.4.5 傳統(tǒng)的基于專用通道的數(shù)據(jù)通信不涉及網(wǎng)絡安全問題，新建系統(tǒng)可逐步采用加密等技術保護關鍵廠站及關鍵業(yè)務。