排行
数据库百科
核心案例
行业报告
月度解读
大事记
产业图谱
中国数据库
向量数据库
时序数据库
实时数据库
搜索引擎
空间数据库
图数据库
数据仓库
大调查
2021年报告
2022年报告
年度数据库
2020年openGauss
2021年TiDB
2022年PolarDB
2023年OceanBase
首页
资讯
活动
大会
学习
课程中心
推荐优质内容、热门课程
学习路径
预设学习计划、达成学习目标
知识图谱
综合了解技术体系知识点
课程库
快速筛选、搜索相关课程
视频学习
专业视频分享技术知识
电子文档
快速搜索阅览技术文档
文档
问答
服务
智能助手小墨
关于数据库相关的问题,您都可以问我
数据库巡检平台
脚本采集百余项,在线智能分析总结
SQLRUN
在线数据库即时SQL运行平台
数据库实训平台
实操环境、开箱即用、一键连接
数据库管理服务
汇聚顶级数据库专家,具备多数据库运维能力
数据库百科
核心案例
行业报告
月度解读
大事记
产业图谱
我的订单
登录后可立即获得以下权益
免费培训课程
收藏优质文章
疑难问题解答
下载专业文档
签到免费抽奖
提升成长等级
立即登录
登录
注册
登录
注册
首页
资讯
活动
大会
课程
文档
排行
问答
我的订单
首页
专家团队
智能助手
在线工具
SQLRUN
在线数据库即时SQL运行平台
数据库在线实训平台
实操环境、开箱即用、一键连接
AWR分析
上传AWR报告,查看分析结果
SQL格式化
快速格式化绝大多数SQL语句
SQL审核
审核编写规范,提升执行效率
PLSQL解密
解密超4000字符的PL/SQL语句
OraC函数
查询Oracle C 函数的详细描述
智能助手小墨
关于数据库相关的问题,您都可以问我
精选案例
新闻资讯
云市场
登录后可立即获得以下权益
免费培训课程
收藏优质文章
疑难问题解答
下载专业文档
签到免费抽奖
提升成长等级
立即登录
登录
注册
登录
注册
首页
专家团队
智能助手
精选案例
新闻资讯
云市场
微信扫码
复制链接
新浪微博
分享数说
采集到收藏夹
分享到数说
首页
/
省级及以上调度控制中心监控系统安全防护结构规范要求
省级及以上调度控制中心监控系统安全防护结构规范要求
天盾安全
2022-09-06
1314
省级及以上调度控制中心监控系统安全防护总体逻辑结构如上图。示
意了监控系统安全区域的划分、
安全区域之间横向互联的逻辑结构、安全区纵向互联的逻辑结构以及网络安全防护设备的总体部署。
省级及以上调度控制中心监控系统安全区横向互联拓扑结构图
省级及以上调度控制中心监控系统安全区横向互联的配置要点如下:
(1)
在横向互联交换机上划分若干 VLAN 分别用于区内业务系统横向数据通信机的接入及安全区间互联。
(2)
在各区的互联交换机上使用ACL 功能对各 VLAN 实施访问控制,避免安全区域内各VLAN 间业务系统直接互通。
(3)
在控制区和非控制区边界的硬件防火墙上配置访问控制规则,对控制区与非控制区相关业务系统实施访问限制。
(4)
配置正向及反向隔离装置内外网的业务系统虚拟访问地址及相应安全控制规则。主站端生产控制大区与公用通信网络之间要求部署安全接入区及相应的防护设备。
省级及以上调度控制中心生产控制区纵向互联拓扑结构
省级及以上调度控制中心监控系统安全区纵向互联的配置要点如下:
(1)
在控制区纵向互联交换机上划分若干实时业务
VLAN
,各
VLAN
地址为调度数据网实时
VPN
的业务段地址;在非控制区互联交换机上划分若干非实时业务
VLAN
,各
VLAN
地址为调度数据网非实时
VPN
的业务段地址;业务系统纵向通信机的网关地址为该机所接入
VLAN
的网关地址;实时业务
VLAN
和非实时业务
VLAN
可通过二层或三层模式接入调度数据网。
(2)
在各区纵向互联交
换机上使用ACL 功能实施访问控制,避免安全区域内各VLAN间业务系统直接互通。
(3)
在控制区纵向加密认证网关和非控制区纵向加密认证网关上配置安全控制规则。
(4)
在控制区,若存在某些业务系统同时具有实时类数据
(或控制类数据
)
和非实时类数据的纵向传输
(
例如:保护信息系统,其下发的设置指令为控制类数据,而录波数据为非实时类数据。又如:
W
A
MS
系统,其周期采集的相量和频率数据为实时类数据,而人工召唤的历史数据和录波数据为非实时类数据
)
,为了使控制区的这些业务系统既可使用实时
V
PN
传输实时类数据(或控制类数据
)
,又可使用非实时
V
PN
传输非实时类数据且不形成
V
PN
之间纵向交叉连接,可采取如下方法:
1)
对于纵向互联交换机采用三层模式接入调度数据网的调度控制中心,可将控制区具有非实时数据传输的业务系统通信机外网口
IP
地址通过防火墙由实时
VPN
业务段的地址转换为非实时
VPN
业务段的地址。
2)
对于纵向互联交换机采用二层模式接入调度数据网的调度控制中心,可为控制区具有非实时数据传输的业务系统通信机网卡配置两条路由,将非实时数据业务的网关指向横向防火墙内网口,通过防火墙的
NAT
功能将实时
VPN
业务段的地址转换为非实时段的地址。
3)
在防火墙上应使用访问控制功能对转换后的地址实施严格的访问限制,其基本控制策略为:只允许转换后的地址正向访问非实时
VPN
网上的相关业务系统;禁止非实时
VPN
网上所有地址反向访问控制区业务系统。
(5)
生产控制大区业务系统采用公用通信网络进行应急通信的情况下,要求部署安全接入区。
(6)
加密装置管理系统通过独立部署的硬件防火墙接入调度数据网边界交换机。独立部署的硬件防火墙的基本控制策略为:只允许加密装置管理系统访问纵向加密认证网关;禁止外部网络访问加密装置管理系统。
(7)
对于使用专线通道的业务系统,应逐步在专线通道上部署加密认证措施。
省级及以上调度控制中心调度数据网双平面纵向互联典型结构
省级及以上调度控制中心接入调度数据网双平面安全防护的配置要点如下:
(1)
省级及以上调度控制中心调度数据网双平面建设将在主站部署新的调度数据网交换机和路由器,且均采用双机配置。与之相应,在控制区和非控制区分别部署纵向加密认证网关与调度数据网第二平面接入设备对接,同样各自采用主备配置。
(2)
对于各区纵向互联交换机,部署新的纵向互联交换机与上述纵向加密认证网关相连,作为调度数据网第二平面的纵向互联交换机。
(3)
对于需要接入调度数据网第二平面的业务系统设备,则按照调度数据网第二平面地址规划配置新的
IP
地址,接入上述纵向互联交换机。
实时系统
安全防护
vpn路由器
网络结构
交换机
文章转载自
天盾安全
,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
评论
领墨值
有奖问卷
意见反馈
客服小墨
