數據網絡與業(yè)務系統(tǒng)邊界采用必要的訪問控制措施，對通信方式與通信業(yè)務類型進行控制;在生產控制大區(qū) 與電力調度數據網的縱向交接處應當采取相應的安全隔離、加密、認證等防護措施。對于實時控制等重要業(yè)務，應該通過縱向加密認證裝置或加密認證網關接入調度數據網。

(3)網絡設備的安全配置

網絡設備的安全配置包括關閉或限定網絡服務、避免使用默認路由、關閉網絡邊界OSPF 路由功能、采用安全增強的SNMPv2 及以上版本的網管協(xié)議、設置受信任的網絡地址范圍、記錄設備日志、設置高強度的密碼、開啟訪問控制列表、封閉空閑的網絡端口等。

(4)數據網絡安全的分層分區(qū)設置

電力調度數據網采用安全分層分區(qū)設置的原則。省級以上調度中心和網調以上直調廠站節(jié)點構成調度數據網骨干網(簡稱骨干網)。省調、地調和縣調及省、地直調廠站節(jié)點構成省級調度數據網(簡稱省網)。

縣調和配網內部生產控制大區(qū)專用節(jié)點構成縣級專用數據網?？h調自動化、配網自動化、負荷管理系統(tǒng)與被控對象之間的數據通信可采用專用數據網絡，不具備專網條件的也可采用公用通信網絡(不包括因特網)，且必須采取安全防護措施。

各層面的數據網絡之間應該通過路由限制措施進行安全隔離。當縣調或配調內部采用公用通信網時，禁止與調度數據網互聯(lián)。保證網絡故障和安全事件限制在局部區(qū)域之內。

企業(yè)內部管理信息大區(qū)縱向互聯(lián)采用電力企業(yè)數據網或互聯(lián)網，電力企業(yè)數據網為電力企業(yè)內網。

2.3 橫向隔離

2.3.1 橫向隔離是電力二次安全防護體系的橫向防線。采用不同強度的安全設備隔離各安全區(qū)，在生產控制大區(qū)與管理信息大區(qū)之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應接近或達到物理隔離。電力專用橫向單向安全隔離裝置作為生產控制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施，是橫向防護的關鍵設備。生產控制大區(qū)內部的安全區(qū)之間應當采用具有訪問控制功能的網絡設備、防火墻或者相當功能的設施，實現(xiàn)邏輯隔離。

2.3.2 按照數據通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產控制大區(qū)到管理信息大區(qū)的非網絡方式的單向數據傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產控制大區(qū)單向數據傳輸，是管理信息大區(qū)到生產控制大區(qū)的唯一數據傳輸途徑。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產控制大區(qū)的數據，進行簽名驗證、內容過濾、有效性檢查等處理后，轉發(fā)給生產控制大區(qū)內部的接收程序。專用橫向單向隔離裝置應該滿足實時性、可靠性和傳輸流量等方面的要求。

2.3.2 嚴格禁止E-Mail、WEB、Telnet、Rlogin、FTP 等安全風險高的通用網絡服務和以B/S 或C/S 方式的數據庫訪問穿越專用橫向單向安全隔離裝置，僅允許純數據的單向安全傳輸。

控制區(qū)與非控制區(qū)之間應采用國產硬件防火墻、具有訪問控制功能的設備或相當功能的設施進行邏輯隔離。

2.4 縱向認證

2.4.1 縱向加密認證是電力二次系統(tǒng)安全防護體系的縱向防線。采用認證、加密、訪問控制等技術措施實現(xiàn)數據的遠方安全傳輸以及縱向邊界的安全防護。對于重點防護的調度中心、發(fā)電廠、變電站在生產控制大區(qū)與廣域網的縱向連接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施，實現(xiàn)雙向身份認證、數據加密和訪問控制。暫時不具備條件的可以采用硬件防火墻或網絡設備的訪問控制技術臨時代替。 2.4.2 縱向加密認證裝置及加密認證網關用于生產控制大區(qū)的廣域網邊界防護?？v向加密認證裝置為廣域網通信提供認證與加密功能，實現(xiàn)數據傳輸的機密性、完整性保護，同時具有類似防火墻的安全過濾功能。加密認證網關除具有加密認證裝置的全部功能外，還應實現(xiàn)對電力系統(tǒng)數據通信應用層協(xié)議及報文的處理功能。

2.4.3 對處于外部網絡邊界的其他通信網關，應進行操作系統(tǒng)的安全加固，對于新上的系統(tǒng)應支持加密認證的功能。

2.4.4 重點防護的調度中心和重要廠站兩側均應配置縱向加密認證裝置;當調度中心側已配置縱向加密認證裝置時，與其相連的小型廠站側可以不配備該裝置，此時至少實現(xiàn)安全過濾功能。

2.4.5 傳統(tǒng)的基于專用通道的數據通信不涉及網絡安全問題，新建系統(tǒng)可逐步采用加密等技術保護關鍵廠站及關鍵業(yè)務。