安防之家讯：
随着计算机技术、通信技术和网络技术的发展，电力系统网上开展的业务及应用系统越来越多，电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。

根据《全国电力二次系统安全防护总体方案》的要求，调度自动化系统分为4个安全域，分别是：安全区Ⅰ（实时控制区）它是电力二次系统中最重要系统，安全等级最高，是安全防护的重点与核心；安全区Ⅱ（非控制生产区）；安全区Ⅲ（生产治理区）；安全区IV（治理信息区）。

因此，根据以上区域的划分，确立了安全解决方案的总的指导原则：分区防护、突出重点；区域隔离、网络专用；设备独立、纵向防护。

安全区域间的隔离策略

具体策略如下：

●安全Ⅰ区、安全Ⅱ区的防护策略

实时控制区与非控制区的业务系统都属电力生产系统，都采用电力调度数据网络，都在线运行，数据交换较多，关系比较密切，可以作为一个逻辑大区（生产控制区）。

●安全Ⅲ区、安全IV区的防护策略

生产治理区和治理信息区均采用电力数据通信网络(ATM)，数据交换较多，关系比较密切。

●安全Ⅰ区、Ⅱ区与安全Ⅲ区的防护策略

实时控制区和非控制区不得与治理信息区直接联系，实时控制区和非控制区与生产治理区的信息交换必须是单向方式，仅答应纯数据的单向安全传输。反向安全隔离装置采取签名认证和数据过滤措施，仅答应纯文本数据通过，并严格进行病毒、木马等恶意代码的查杀。

●安全区域纵向防护策略

在专用通道上建立调度专用数据网络，实现与其他数据网络物理隔离。

●高可靠性和防止单点失效策略

I区、II区、III区都属于调度中心治理范畴，IV区属于信息中心治理范畴，I区的高可用性要求非常高，要求达到秒级，而且是实时系统；II区的高可用性达到分钟级，III区IV区的治理系统对于高可用性也非常高，在使用防火墙作为网络隔离设备的时候，使用双机热备的方式，以防止单点失效，提高可用性。

防火墙系统建设方案部署

防火墙系统采用联想网御自主研发的防火墙。首先在电力网络系统I区与II区之间，III区与IV区之间，部署千兆防火墙，防火墙工作在双机热备状态，以全链路冗余方式，分别与两个区的核心交换机相连。正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通信。当其中一台防火墙发生故障时，网络通信自动切换到另外一台防火墙。切换过程不需要人为操作和其他系统的参与。

入侵检测系统建设方案部署

入侵检测系统采用联想网御入侵检测系统。在I区、II区各部署一台IDS探头，IDS探头接在核心交换机的镜像口上，以旁路侦听方式，对所有流经核心交换机的流量进行检测。在II区部署一台IDS治理中心，以一对多的方式治理两台IDS探头。交换机需要将所有端口的流量镜像到IDS所连接的端口。在III区部署一台IDS探头。IDS探头接在核心交换机的镜像口上，以旁路侦听方式，对所有流经核心交换机的流量进行检测。在III区内部部署一台IDS治理中心，接受IDS探头传回的信息。IDS控制台通过网线直接与IDS探头相连，控制台与探头的治理口采用独立的IP地址，不与III区内的IP地址重叠，保证IDS的安全性。交换机需要将所有端口的流量镜像到IDS所连接的端口。(许斐)安防之家专注于各种家居的安防,监控,防盗,安防监控,安防器材,安防设备的新闻资讯和O2O电商导购服务，敬请登陆安防之家：http://anfang.jc68.com/