电力二次系统安全防护培训.pptx

电力二次系统安全防护培训;引 言;银行系统的安全防护;优先级;二次安防实施背景;二滩水电厂异常停机事件； 故障录波装置“时间逻辑炸弹”事件； 换流站控制系统感染病毒事件；;内容大纲;第一部分 电力调度数据网简介;相关文件精神;总体方案：主要目标;1)??系统性原则（木桶原理）； 2)??简单性原则； 3)??实时、连续、安全相统一的原则； 4)??需求、风险、代价相平衡的原则； 5)??实用与先进相结合的原则； 6)??方便与安全相统一的原则； 7)??全面防护、突出重点（实时闭环控制部分）的原则 8)??分层分区、强化边界的原则； 9)??整体规划、分步实施的原则； 10)?责任到人，分级管理，联合防护的原则。;; 电力二次系统安全防护体系;;SDH（N×2M）;总体方案：横向隔离;2021/9/19;2021/9/19;2021/9/19;2021/9/19;2021/9/19;;数据网安全纵向加密装置拓扑防护;纵向加密装置的算法;协商原理;协商原理;协商原理;协商原理;数据传输过程;结论;第三部分 安全防护技术和装置;问题：接收方如何知道发送方就是合法的？ ; 电力调度数字证书是专用于电力调度业务需要的数字证书，主要用于生产控制大区，可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证（包括数据完整性和数据源认证）等。 地市以上调度控制中心应该建立电力调度证书系统。 ;用户首先产生自己的密钥对 将自己的公钥及部分个人身份信息传送给认证中心 认证中心验证个人身份。 认证中心对用户的公钥和个人信息进行签名 认证中心发给用户一个数字证书。;调度证书系统结构;2021/9/19;2021/9/19;2021/9/19;总体方案;备份与恢复 ;备份系统;防病毒措施 ;防火墙 ;入侵检测 IDS ;主机防护 ;计算机系统本地访问控制 ;关键应用系统服务器访问控制 ;应用程序安全 禁止应用程序以操作系统root权限运行，应用系统合理设置用户权限，重要资源的访问与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。 安全审计 安全审计是安全管理的重要环节。目前的安全审计工作大多是手工方式。随着系统规模扩展与安全设施的完善，应该引入集中智能的安全审???系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。 ;三分技术、七分管理 电监会 电力企业 电力调度机构 发电厂;总体方案：人员安全职责; 电力二次系统安全评估采用以自评估为主、检查评估为辅的方式，并纳入电力系统安全评价体系。电力企业的关键部门应该建立自主的评估队伍，掌握评估技术和方法，配备必要的工具，定期进行评估，可聘请电力部门的有关单位联合进行评估。上级主管单位可对下级单位进行定期或不定期的检查性安全评估。 电力二次系统的新系统在投运之前、老系统进行安全整改之后或进行重大改造或升级之后必须进行安全评估；电力二次系统应该定期（每年或每两年）进行安全评估。 对生产控制大区安全评估的任何记录、数据、结果等禁止以任何形式携带出被评估单位。;;二次系统等级保护定级;电力二次系统安全防护评估工作;电力二次系统安全防护评估工作;国家电网公司;总体方案：工程实施安全管理; 新接入电力调度数据网络的节点、设备和应用系统，其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准，并送上一级电力调度机构备案。在已经建立安全防护体系的电力二次系统中，接入任何新的设备和应用及服务，必须立案申请、审查批准后，方可在安全管理人员的监管下实施接入。 接入电力二次系统的生产控制区中的安全产品，必须具有公安部安全产品销售许可，获得国家指定机构安全检测证明，用于厂站的设备还需有电力系统电磁兼容检测证明。 接入电力二次系统的安全区Ⅰ及安全区Ⅱ中的安全产品必须使用国产产品并经过国家有关安全部门或电力有关部门的认证；;总体方案：应用及服务的接入管理; 日常运行的安全管理制度包括：门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码（病毒及木马等）的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。 审计管理制度应该规定对安全设备和网络装置及关键系统的日志妥善保存，由具有特许授权的安全管理人员对日志进行分析检查，及时发现各种违规行动以及病毒和黑客的攻击行为，并依据分析结果及时修改设备的安全策略或采取其它相应的措施。 应该定期对各级人员进行电力二次系统安全防护知识的培训，以保证各项安全措施的认真