安全区与远方通信的安全防护要求
安全区Ⅰ、Ⅱ所连接的广域网为国家电力调度数据网SPDnet。SPDnet为安全区Ⅰ、Ⅱ分别提供二个逻辑隔离的MPLS-VPN。安全区Ⅲ所连接的广域网为国家电力数据通信网(SPTnet),SPDnet与SPTnet物理隔离。
安全区Ⅰ、Ⅱ接入SPDnet时,应配置纵向加密认证装置,实现远方通信的双向身份认证和数据加密。如暂时不具备条件或业务无此项要求,可以用硬件防火墙代替。安全区Ⅲ接入SPTnet应配置硬件防火墙。
处于外部网络边界的通信网关(如通信服务器等)操作系统应进行安全加固,并配置数字证书。
传统的远动通道的通信目前暂不考虑网络安全问题。个别关键厂站的远动通道的通信可采用线路加密器,但需由上级部门认可。
经SPDnet的RTU网络通道原则上不考虑传输中的认证加密。个别关键厂站的RTU网络通信可采用认证加密,但需由上级部门认可。
禁止安全区Ⅰ的纵向WEB,允许安全区II的纵向WEB服务。
安全区I和安全区II的拨号访问服务原则上需要认证、加密和访问控制。