电力数据通信网络有哪些安全防护

    电力二次系统涉及的数据通信网络包括电力调度数据网络SPDnet和国家电力数据通信网络SPTnet。

   (1)电力调度数据网络SPDnet的安全防护。

   1)与其他网络的隔离。电力调度数据网络( SPDnet)是专用网络，承载业务是电力实时控制业务、在线生产业务、与网管业务。SPDnet构建在专用SDH/PDH的n*2Mbps通道上面，并且接入网络的安全区Ⅰ/Ⅱ的相关系统在本地与安全区Ⅲ/Ⅳ的系统实行了物理隔离措施，因此整个网络与外界其他网络实现了物理隔离。

   2)网络路由防护。采用MPLS VPN技术，将实时调度业务、非实时调度业务、网管业务分割成三个相对独立的逻辑专网，独立的路由，在网络路由层面不能互通。其中实时VPN保证了实时业务的路由独立性，以及网络服务质量QoS。同时，对路由器之间的路由信息交换进行MD5签名，保证信息的完整性与可信性。

   3)网络边界防护。网络边界防护主要措施包括：①边界的封闭性，即网络接入点是有限的、明确的，与外部系统不存在隐藏的连接；②边界的可信性，即通过边界接入的网络设备是可信任的，考虑结合基于IEEE 802. 1X与数字证书来实现接入认证；③实施在所有网络边界接人点的安全措施应该提供一致的安全强度。

   4)运行安全。对网络设备运行管理采取必要的安全措施，保证运行安全。方法有：①关闭或限定网络服务；②禁止默认口令登录；③避免使用默认路由；④网络边界关闭OSPF路由功能；⑤采用安全增强的SNMPv2及以上版本的网管系统。

   (2)国家电力数据通信网(SPTnet)的安全防护。

   1)国家电力数据通信网( SPTnet)为国家电网公司内联网，技术体制为IP over SDH，主干速率155Mbps，承载业务主要为电力综合信息、电力调度生产管理业务、电力内部IP语音视频以及网管业务，该网不经营对外业务。

   2) SPTnet使用私有IP地址，与Internet以及其他外部网络没有直接的网络连接。对应电力综合信息、电力调度生产管理业务、电力内部IP语音视频三类业务，SPTnet采用MPLS - VPN技术构造三个VPN，即调度VPN、信息VPN、语音视频VPN，三类业务分别通过专用的路由器接入各自VPN。对于厂站接入本处不做统一要求。