电网调度生产管理系统的安全防护技术有哪些方案

    调度生产管理系统是对位于安全区Ⅲ的各种业务系统的统称，不包括电能量计量系统、水调自动化系统、继电保护和故障录波信息系统等明确要求放在安全区Ⅱ中的业务系统。调度生产管理信息系统的安全防护策略如下。

   (1)根据二次系统总体安全防护框架，安全区Ⅲ允许开通WEB和EMAIL等通用服务，因此调度生产管理系统可以根据实际业务需要，充分利用这一优势所带来的方便性。

   (2)调度生产管理系统的广域网通信可能采用SPTnet或公共数据网，SPTnet能够划分出VPN（基于MPLS技术）专门为调度生产管理系统的广域网通信服务。要求调度生产管理系统的广域网通信必须经过安全区Ⅲ与广域网之间的纵向防火墙（见二次系统总体安全防护框架）。

   (3)调度生产管理系统与安全区Ⅳ中业务系统（如管理信息系统）的通信必须经安全区Ⅲ与安全区Ⅳ之间的横向防火墙（见二次系统总体安全防护框架）。

   (4)调度生产管理系统与安全区Ⅰ、Ⅱ中业务系统的通信必须经过专用安全隔离装置（含正向型和反向型两种）。由安全区Ⅰ、Ⅱ向安全区Ⅲ方向的数据传输必须经过专用安全隔离装置（正向型），由安全区Ⅲ向安全区Ⅰ、Ⅱ方向的数据传输必须经过专用安全隔离装置（反向型），专用安全隔离装置正向型和反向型是两台独立的设备，并且专用安全隔离装置（反向型）平时关闭，只有需要从安全区Ⅲ向安全区Ⅰ、Ⅱ传输数据时才临时开通，数据传输完毕后就立即关闭。安全区Ⅲ的工作人员需要向安全区Ⅰ/Ⅱ传输数据时，必须采用数字证书进行强身份认证。

   (5)调度生产管理系统提供的拨号接入服务必须对拨号接入进行强认证。