|
二次防护部署目前亟待解决如下问题:
1)由于池州地区调度二次安全防护系统的设备由多厂家组成,防火墙防护策略配置不够全面,不标准。
2)池州地区调度所辖范围内所有厂站端二次系统安全防护设备配置较少,不能完全符合二次安全防护规定,建议由省公司统一对各变电站安装二次安全防护设备,在220kV变电站Ⅰ区出口全部布置纵向认证加密装置,Ⅱ区出口全部布置防火墙,在重要的110kV变电站配置防火墙。各防火墙按照安装部位及防护要求,对其策略进行统一规定,配置。
3)防火墙无法防范病毒和内部攻击,且只能按照固定的工作模式来防范已知的威胁,因此需在系统加装入侵检测系统(IDS),在内外网联接处的两侧和重要工作站加装网络监测器和控制台,为网络提供实时的入侵检测。
4)目前池州地区四个县调通过专线或模拟通道接收我公司转发遥测、遥信量,在安全部署与管理方面,我们自动化部门不具备直接管理权限,他们的安全部署与防护策略应充分考虑到系统安全隔离措施,以防存在系统漏洞,造成之间可以互联的情况发生。
5)为了维护调度实时数据网络和变电站系统间信息的安全传输,应提倡对遥控、重要遥测、重要遥信报文进行加密传输。
系统攻击事件:
事件一:
2000年10月某日,四川某水电厂自动控制系统收到异常信号,造成停机事件。
事件二:
2007年,我国互联网木马病毒和僵尸网络攻击造成各地调度自动化系统安全问题日益严重事件。
事件总结:由于对第三方人员设备接入控制不当,各地操作系统使用弱口令,登录没有上限限制。
措施:建议由省公司对各防火墙按照安装部位及防护要求,对其策略进行统一规定,配置,以达到高效防护要求,对口令及对第三方接入系统人员予以严把关。
|
