如何对电网远程拨号访问防护

    (1)防护策略。

   1)远程用户与工作站与系统本地具有相同的安全信任度与防护级别。

   2)远程用户与工作站的安全防护是前提。

   3)在拨号连接建立过程中对拨号实体（用户或者设备）进行基于数字证书的身份认证，通过后才可以建立网络层的连接。

   4)对通信过程中的认证信息与应用数据进行完整性、机密性保护。

   5)对授权的用户进行合理的权限限制，在经过认证的连接上应该仅能够行使受限的网络功能与应用。

   6)防护措施应该对用户操作、应用性能以及便携程度产生尽量小的影响。

   (2)防护措施。拨号的防护可以采用链路层保护措施，或者网络层保护措施。

   1)对于以拨号网络的方式通过RAS访问本地网络与系统的远程访问，建议采用网络层保护措施，即采用用户端证书与拨号认证加密装置配合的拨号VPN。该方式主要用于安全区Ⅱ/Ⅲ的远程拨号访问。

   2)对于以远方终端的方式通过被访问的本地主机的RS232接口直接访问本地主机的情况，采用链路层保护措施，即在两端安装链路加密设备。该方式主要用于安全区工的远程拨号访问。