解决方案：

安全区间横向网络边界安全防护

控制区与非控制区之间采用防火墙进行逻辑隔离，对传输的地址、协议、端口和数据流的方向进行控制。控制区与非控制区之间的访问控制策略原则上只允许控制区系统与非控制区系统主动建立链接，禁止从非控制区反向访问控制区系统，确有必要反向访问时，必须对访问的地址、协议和端口实施严格的访问控制。生产控制大区与管理信息大区的网络边界处设置电力专用安全隔离装置进行单向物理隔离，实现数据的单向传输和网络边界的高强度隔离。

安全区间纵向网络边界安全防护

在控制区与调度数据网实时VPN的网络边界设置电力专用纵向加密认证网关（装置）；在非控制区与调度数据网实时VPN的网络边界设置国产硬件防火墙，是电力监控系统安全防护的另一关键技术措施。

安全区内部综合防护

1.在生产控制大区和管理信息大区部署入侵检测系统，对关键业务系统和网络边界的关键路径信息进行实时检测，实现安全事件的可发现、可追踪、可审计。

2.在控制大区和管理大区分别部署运维安全审计系统（堡垒主机）全面禁止厂家通过互联网远程运维，通过运维管控平台集中运维数据网设备和服务器设备，并对运维人实名认证，对运维过程能实时监控、实时阻断、全面审计，实现控制大区IT资源（EMS服务器、网络设备、安全设备）运维过程符合等保、二次安防的要求。

3.在生产控制大区建立安全审计，全面收集、集中存储生产控制大区各种业务系统、网络设备、安全产品、机房设施等的运行日志、操作系统日志、数据库访问日志，并具备动态监视、故障分析、安全审计、事件预警及告警功能。

防护目标：

? 防范入侵者的恶意攻击与破坏。

? 保护电力监控系统和电力调度数据网络的可用性。

? 保护电力调度数据网络和系统服务的连续性。

? 保护电力调度数据网络重要信息在存储和传输过程中的机密性、完整性。

? 实现应用系统和设备接入电力监控系统的身份认证，防止非法接入和非授权访问。

? 防止对调度数据网络和应用系统上重要系统操作的抵赖行为。

? 实现电力监控系统和调度数据网安全事件可发现、可跟踪及可审计。

? 实现电力监控系统和调度数据网络的安全审计。

相关产品：

东方防火墙

安全隔离装置

工业入侵检测系统

日志审计系统

运维安全审计系统