電力系統(tǒng)二次安全防護基礎(chǔ)

電力系統(tǒng)二次安全防護基礎(chǔ)2024年11月6日2二次系統(tǒng)安全防護得由來2000年四川某水電站無故全廠停機造成川西電網(wǎng)瞬間缺電80萬仟瓦引起電網(wǎng)大面積停電。其根源估計就是廠內(nèi)MIS系統(tǒng)與電站得控制系統(tǒng)無任何防護措施得互連,引起有意或無意得控制操作導(dǎo)致停機。2001年9、10月間,安裝在全國147座變電站得銀山公司生產(chǎn)得錄波器得頻頻“出事”,出現(xiàn)不錄波或死機現(xiàn)象,嚴重影響高壓電網(wǎng)安全運行。事后分析結(jié)論就是該錄波器中人為設(shè)置了“時間限制”或“時間邏輯炸彈”。2024年11月6日3二次系統(tǒng)安全防護得由來2003年8月14日美國加拿大得停電事故震驚世界,事故擴大得直接原因就是兩個控制中心得自動化系統(tǒng)故障。若黑客攻擊將會引起同樣得災(zāi)難性后果。這次“814”美國、加拿大大停電造成300億美圓得損失及社會得不安定。由此可說明電力系統(tǒng)得重要性。2003年12月龍泉、政平、鵝城、荊州等換流站受到計算機病毒得攻擊。幾年來我國不少基于WINDOWS-NT得電力二次系統(tǒng)得計算機系統(tǒng),程度不同得受到計算機病毒得攻擊。造成了業(yè)務(wù)損失與經(jīng)濟損失。值得我們嚴重得關(guān)注。有攻擊就必須有防護2024年11月6日4主要風(fēng)險調(diào)度數(shù)據(jù)網(wǎng)上:明文數(shù)據(jù);104規(guī)約等得識別,著重保護“控制報文”;物理等原因造成得數(shù)據(jù)中斷不就是最危險得;最危險得就是旁路控制。竊聽篡改偽造2024年11月6日5優(yōu)先級風(fēng)險說明/舉例0旁路控制（BypassingControls）入侵者對發(fā)電廠、變電站發(fā)送非法控制命令，導(dǎo)致電力系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞（IntegrityViolation）非授權(quán)修改電力控制系統(tǒng)配置或程序；非授權(quán)修改電力交易中的敏感數(shù)據(jù)。2違反授權(quán)（AuthorizationViolation）電力控制系統(tǒng)工作人員利用授權(quán)身份或設(shè)備，執(zhí)行非授權(quán)的操作。3工作人員的隨意行為（Indiscretion）電力控制系統(tǒng)工作人員無意識地泄漏口令等敏感信息，或不謹慎地配置訪問控制規(guī)則等。4攔截/篡改（Intercept/Alter）攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設(shè)置、交易報價等敏感數(shù)據(jù)。5非法使用（IllegitimateUse）非授權(quán)使用計算機或網(wǎng)絡(luò)資源。6信息泄漏（InformationLeakage）口令、證書等敏感信息泄密。7欺騙（Spoof）Web服務(wù)欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進入電力監(jiān)控系統(tǒng)。9拒絕服務(wù)（Availability,e.g.DoS）向電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或通信網(wǎng)關(guān)發(fā)送大量雪崩數(shù)據(jù)，造成拒絕服務(wù)。10竊聽（Eavesdropping,e.g.DataConfidentiality）黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽明文傳輸?shù)拿舾行畔?，為后續(xù)攻擊準備數(shù)據(jù)。電力二次系統(tǒng)主要安全風(fēng)險2024年11月6日6系列文件國家經(jīng)貿(mào)委[2002]第30號令:

《電網(wǎng)與電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定》。于2002年5月8日公布,自2002年6月8日起施行。國家電力監(jiān)管委員會第5號令:

《電力二次系統(tǒng)安全防護規(guī)定》于2004年12月20日公布,自2005年2月1日起施行。

2024年11月6日7系列文件《電力二次系統(tǒng)安全防護規(guī)定》配套文件:《電力二次系統(tǒng)安全防護總體方案》《省級及以上調(diào)度中心二次系統(tǒng)安全防護方案》《地、縣級調(diào)度中心二次系統(tǒng)安全防護方案》《變電站二次系統(tǒng)安全防護方案》《發(fā)電廠二次系統(tǒng)安全防護方案》《配電二次系統(tǒng)安全防護方案》2024年11月6日8總體安全防護策略在對電力二次系統(tǒng)進行了全面系統(tǒng)得安全分析基礎(chǔ)上,提出了十六字總體安全防護策略。安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證2024年11月6日9電力二次系統(tǒng)安全防護得目標抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起得惡意破壞與攻擊,特別就是能夠抵御集團式攻擊,防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)得崩潰或癱瘓。2024年11月6日10安全分區(qū)2024年11月6日11安全區(qū)I得典型系統(tǒng)調(diào)度自動化系統(tǒng)(SCADA/EMS)、廣域相量測量系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)、繼電保護、安全自動控制系統(tǒng)、低頻/低壓自動減載系統(tǒng)、負荷控制系統(tǒng)等。典型特點:就是電力生產(chǎn)得重要環(huán)節(jié)、安全防護得重點與核心;直接實現(xiàn)對一次系統(tǒng)運行得實時監(jiān)控;

縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?。大家學(xué)習(xí)辛苦了，還是要堅持繼續(xù)保持安靜2024年11月6日13安全區(qū)II得典型系統(tǒng)調(diào)度員培訓(xùn)模擬系統(tǒng)(DTS)、水庫調(diào)度自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、電力市場運營系統(tǒng)等。典型特點:所實現(xiàn)得功能為電力生產(chǎn)得必要環(huán)節(jié);在線運行,但不具備控制功能;使用電力調(diào)度數(shù)

據(jù)網(wǎng)絡(luò),與控制區(qū)(安全區(qū)I)中得系統(tǒng)或功能模塊聯(lián)系緊密。2024年11月6日14安全區(qū)III得典型系統(tǒng)調(diào)度生產(chǎn)管理系統(tǒng)(DMIS)、調(diào)度報表系統(tǒng)(日報、旬報、月報、年報)、雷電監(jiān)測系統(tǒng)、氣象信息接入等。典型特點:主要側(cè)重于生產(chǎn)管理得系統(tǒng)2024年11月6日15安全區(qū)IV得典型系統(tǒng)管理信息系統(tǒng)(MIS)、辦公自動化系統(tǒng)(OA)、客戶服務(wù)系統(tǒng)等。典型特點:純管理得系統(tǒng)電力二次系統(tǒng)安全防護總體示意圖上級調(diào)度/控制中心下級調(diào)度/控制中心上級信息中心下級信息中心實時VPNSPDnet非實時VPNIP認證加密裝置安全區(qū)I(實時控制區(qū))安全區(qū)II(非控制生產(chǎn)區(qū))安全區(qū)III(生產(chǎn)管理區(qū))安全區(qū)IV(管理信息區(qū))外部公共因特網(wǎng)生產(chǎn)VPNSPTnet管理VPN防火墻防火墻IP認證加密裝置IP認證加密裝置IP認證加密裝置防火墻防火墻安全區(qū)I(實時控制區(qū))

防火墻安全區(qū)II(非控制生產(chǎn)區(qū))安全區(qū)III(生產(chǎn)管理區(qū))

防火墻

防火墻安全區(qū)IV(管理信息區(qū))專線正向?qū)Ｓ冒踩綦x裝置反向?qū)Ｓ冒踩綦x裝置正向?qū)Ｓ冒踩綦x裝置反向?qū)Ｓ冒踩綦x裝置

防火墻

防火墻

防火墻2024年11月6日17網(wǎng)絡(luò)專用

電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨立得網(wǎng)絡(luò)設(shè)備組網(wǎng),采用基于SDH/PDH上得不同通道、不同光波長、不同纖芯等方式,在物理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)得安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離得實時子網(wǎng)與非實時子網(wǎng),分別連接控制區(qū)與非控制區(qū)。子網(wǎng)之間可采用MPLS-VPN技術(shù)、安全隧道技術(shù)、PVC技術(shù)或路由獨立技術(shù)等來構(gòu)造子網(wǎng)。電力調(diào)度數(shù)據(jù)網(wǎng)就是電力二次安全防護體系得重要網(wǎng)絡(luò)基礎(chǔ)。2024年11月6日18網(wǎng)絡(luò)專用

SDH（N×2M）SDH（155M）SPDnetSPTnet實時控制在線生產(chǎn)調(diào)度生產(chǎn)管理電力綜合信息實時VPN非實時VPN調(diào)度VPN信息VPN語音視頻VPNIP語音視頻SDH/PDH傳輸網(wǎng)電力調(diào)度數(shù)據(jù)網(wǎng)電力企業(yè)數(shù)據(jù)網(wǎng)2024年11月6日19橫向隔離物理隔離裝置(正向型/反向型)2024年11月6日20橫向隔離裝置必須通過公安部安全產(chǎn)品銷售許可,獲得國家指定機構(gòu)安全檢測證明,用于廠站得設(shè)備還需通過電力系統(tǒng)電磁兼容檢測。專用橫向單向安全隔離裝置按照數(shù)據(jù)通信方向分為正向型與反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)得非網(wǎng)絡(luò)方式得單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸,就是管理信息大區(qū)到生產(chǎn)控制大區(qū)得唯一數(shù)據(jù)傳輸途徑。嚴格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)與以B/S或C/S方式得

數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置,僅允許純數(shù)據(jù)得單向安全傳輸。隔離設(shè)備實時控制系統(tǒng)調(diào)度生產(chǎn)系統(tǒng)接口機A接口機B安全島關(guān)鍵技術(shù)-正向型專用安全隔離裝置內(nèi)網(wǎng)外網(wǎng)內(nèi)部應(yīng)用網(wǎng)關(guān)外部應(yīng)用網(wǎng)關(guān)1、采用非INTEL指令系統(tǒng)得(及兼容)雙微處理器。2、特別配置LINUX內(nèi)核,取消所有網(wǎng)絡(luò)功能,安全、固化得得操作系統(tǒng)。抵御除DoS以外得已知得網(wǎng)絡(luò)攻擊。3、非網(wǎng)絡(luò)方式得內(nèi)部通信,支持安全島,保證裝置內(nèi)外兩個處理系統(tǒng)不同時連通。4、透明監(jiān)聽方式,虛擬主機IP地址、隱藏MAC地址,支持NAT5、內(nèi)設(shè)MAC/IP/PORT/PROTOCOL/DIRECTION等綜合過濾與訪問控制6、防止穿透性TCP聯(lián)接。內(nèi)外應(yīng)用網(wǎng)關(guān)間得TCP聯(lián)接分解成兩個應(yīng)用網(wǎng)關(guān)分別到裝置內(nèi)外兩個網(wǎng)卡得兩個TCP虛擬聯(lián)接。兩個網(wǎng)卡在裝置內(nèi)部就是非網(wǎng)絡(luò)連接。7、單向聯(lián)接控制。應(yīng)用層數(shù)據(jù)完全單向傳輸,TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)。8、應(yīng)用層解析,支持應(yīng)用層特殊標記識別9、支持身份認證10、靈活方便得維護管理界面正向?qū)Ｓ酶綦x裝置反向型專用安全隔離裝置安全區(qū)III到安全區(qū)I/II得唯一數(shù)據(jù)傳遞途徑。反向型專用隔離裝置集中接收安全區(qū)III發(fā)向安全區(qū)I/II得數(shù)據(jù),進行簽名驗證、內(nèi)容過濾、有效性檢查等處理。處理后,轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部得接收程序。具體過程如下:1、 安全區(qū)III內(nèi)得數(shù)據(jù)發(fā)送端首先對需發(fā)送得數(shù)據(jù)簽名,然后發(fā)給反向型專用隔離裝置;2、專用隔離裝置接收數(shù)據(jù)后,進行簽名驗證,并對數(shù)據(jù)進行內(nèi)容過濾、有效性檢查等處理;3、將處理過得數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部得接收程序。24安全區(qū)與遠方通信得安全防護要求(一)安全區(qū)Ⅰ、Ⅱ所連接得廣域網(wǎng)為國家電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet。SPDnet為安全區(qū)Ⅰ、Ⅱ分別提供二個邏輯隔離得MPLS-VPN。安全區(qū)Ⅲ所連接得廣域網(wǎng)為國家電力數(shù)據(jù)通信網(wǎng)(SPTnet),SPDnet與SPTnet物理隔離。安全區(qū)Ⅰ、Ⅱ接入SPDnet時,應(yīng)配置縱向加密認證裝置,實現(xiàn)遠方通信得雙向身份認證與數(shù)據(jù)加密。如暫時不具備條件或業(yè)務(wù)無此項要求,可以用硬件防火墻代替。安全區(qū)Ⅲ接入SPTnet應(yīng)配置硬件防火墻。

2024年11月6日25安全區(qū)與遠方通信得安全防護要求(二)

處于外部網(wǎng)絡(luò)邊界得通信網(wǎng)關(guān)(如通信服務(wù)器等)操作系統(tǒng)應(yīng)進行安全加固,并配置數(shù)字證書。傳統(tǒng)得遠動通道得通信目前暫不考慮網(wǎng)絡(luò)安全問題。個別關(guān)鍵廠站得遠動通道得通信可采用線路加密器,但需由上級部門認可。經(jīng)SPDnet得RTU網(wǎng)絡(luò)通道原則上不考慮傳輸中得認證加密。個別關(guān)鍵廠站得RTU網(wǎng)絡(luò)通信可采用認證加密,但需由上級部門認可。禁止安全區(qū)Ⅰ得縱向WEB,允許安全區(qū)II得縱向WEB服務(wù)。安全區(qū)I與安全區(qū)II得撥號訪問服務(wù)原則上需要認證、加密與訪問控制。2024年11月6日26縱向加密認證裝置/網(wǎng)關(guān)加密認證裝置位于電力控制系統(tǒng)得內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)得路由器之間,用于安全區(qū)I/II得廣域網(wǎng)邊界保護,可為本地安全區(qū)I/II提供一個網(wǎng)絡(luò)屏障同時為上下級控制系統(tǒng)之間得廣域網(wǎng)通信提供認證與加密服務(wù),實現(xiàn)數(shù)據(jù)傳輸?shù)脵C密性、完整性保護。加密認證網(wǎng)關(guān)除具有加密認證裝置得全部功能外,還應(yīng)實現(xiàn)應(yīng)用層協(xié)議及報文內(nèi)容識別得功能。2024年11月6日27縱向加密認證網(wǎng)關(guān)與管理中心得部署路由器國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)I/III/II級級調(diào)度中心調(diào)度中心管理終端縱向加密認證裝置國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)調(diào)度中心調(diào)度中心管理中心2024年11月6日28縱向認證采用認證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)得遠方安全傳輸以及縱向邊界得安全防護。在生產(chǎn)控制大區(qū)與廣域網(wǎng)得縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認證得電力專用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應(yīng)設(shè)施,實現(xiàn)雙向身份認證、數(shù)據(jù)加密與訪問控制。管理信息大區(qū)應(yīng)采用硬件防火墻等安全設(shè)備接入電力企業(yè)數(shù)據(jù)網(wǎng)?？v向加密認證就是電力二次安全防護體系得縱向防線。傳統(tǒng)得基于專用通道得通信不涉及網(wǎng)絡(luò)安全問題,可采用線路加密技術(shù)保護關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。PKI技術(shù)得介紹對稱密鑰體制:就是指加密密鑰與解密密鑰為同一密鑰得密碼體制。因此,信息發(fā)送者與信息接收者在進行信息得傳輸與處理時,必須共同持有該密碼(稱為對稱密碼)。通常,密鑰簡短,使用得加密算法比較簡便高效。不對稱密鑰體制(公鑰體制):用戶產(chǎn)生一對公/私密鑰,向外界公開得密鑰為公鑰;自己保留得密鑰為私鑰。加密過程:信息發(fā)送者以信息接收者得公鑰加密信息,信息接收者以其私鑰解密這加密信息。又稱為公鑰加密技術(shù)。認證過程:信息發(fā)送者以自己得私鑰加密信息,信息接收者以信息發(fā)送者得公鑰解密這加密信息。因為任何人都可以用信息發(fā)送者得公鑰解密這加密信息,但只有知道信息發(fā)送者私鑰得人才能發(fā)出此加密信息。安全防護要求在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認證得電力專用橫向單向安全隔離裝置。生產(chǎn)控制大區(qū)內(nèi)部得安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能得設(shè)備、防火墻或者相當(dāng)功能得設(shè)施,實現(xiàn)邏輯隔離。在生產(chǎn)控制大區(qū)與廣域網(wǎng)得縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認證得電力專用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應(yīng)設(shè)施。安全防護要求

安全區(qū)邊界應(yīng)當(dāng)采取必要得安全防護措施,禁止任何穿越生產(chǎn)控制大區(qū)與管理信息大區(qū)之間邊界得通用網(wǎng)絡(luò)服務(wù)。生產(chǎn)控制大區(qū)中得業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)具有高安全性與高可靠性,禁止采用安全風(fēng)險高得通用網(wǎng)絡(luò)服務(wù)功能。依照電力調(diào)度管理體制建立基于公鑰技術(shù)得分布式電力調(diào)度數(shù)字證書系統(tǒng),生產(chǎn)控制大區(qū)中得重要業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)采用認證加密機制。各安全區(qū)內(nèi)部安全防護得基本要求(一)對安全區(qū)Ⅰ及安全區(qū)Ⅱ得要求:禁止安全區(qū)Ⅰ/Ⅱ內(nèi)部得E-MAIL服務(wù)。安全區(qū)Ⅰ不允許存在WEB服務(wù)器及客戶端。允許安全區(qū)Ⅱ內(nèi)部及縱向(即上下級間)WEB服務(wù)。但WEB瀏覽工作站與II區(qū)業(yè)務(wù)系統(tǒng)工作站不得共用,而且必須業(yè)務(wù)系統(tǒng)向WEB服務(wù)器單向主動傳送數(shù)據(jù)。安全區(qū)Ⅰ/Ⅱ得重要業(yè)務(wù)(如SCADA、電力交易)應(yīng)該采用認證加密機制。安全區(qū)Ⅰ/Ⅱ內(nèi)得相關(guān)系統(tǒng)間必須采取訪問控制等安全措施。對安全區(qū)Ⅰ/Ⅱ進行撥號訪問服務(wù),必須采取認證、加密、訪問控制等安全防護措施。安全區(qū)Ⅰ/Ⅱ應(yīng)該部署安全審計措施,如IDS等。安全區(qū)Ⅰ/Ⅱ必須采取防惡意代碼措施。各安全區(qū)內(nèi)部安全防護得基本要求(二)對安全區(qū)Ⅲ要求:安全區(qū)Ⅲ允許開通EMAIL、WEB服務(wù)。對安全區(qū)Ⅲ撥號訪問服務(wù)必須采取訪問控制等安全防護措施。安全區(qū)Ⅲ應(yīng)該部署安全審計措施,如IDS等。安全區(qū)Ⅲ必須采取防惡意代碼措施。對安全區(qū)Ⅳ不做詳細要求。其它安全措施防病毒措施:病毒防護就是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須得安全措施。建議病毒得防護應(yīng)該覆蓋所有安全區(qū)I、II、III得主機與工作站。病毒特征碼要求必須以離線得方式及時更新。應(yīng)當(dāng)及時更新特征碼,查瞧查殺記錄。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一套防惡意代碼管理服務(wù)器。入侵檢測IDS:對于生產(chǎn)控制大區(qū)統(tǒng)一部署一套內(nèi)網(wǎng)審計系統(tǒng)或入侵檢測系統(tǒng)(IDS),其安全策略得設(shè)

置重在捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅以及事后安全審計,不宜使用實時阻斷功能。禁止使用入侵檢測與防火墻得聯(lián)動?？紤]到調(diào)度業(yè)務(wù)得可靠性,采用基于網(wǎng)絡(luò)得入侵檢測系統(tǒng)(NIDS),其IDS探頭主要部署在:橫向、縱向邊界以及重要系統(tǒng)得關(guān)鍵應(yīng)用網(wǎng)段。其它安全措施使用安全加固得操作系統(tǒng):

能量管理系統(tǒng)SCADA/EMS、變電站自動化系統(tǒng)、電廠監(jiān)控系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、電力市場運營系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)得主服務(wù)器,以及網(wǎng)絡(luò)邊界處得通信網(wǎng)關(guān)、Web服務(wù)器等,應(yīng)該使用安全加固得操作系統(tǒng)。主機加固方式包括:安全配置、安全補丁、采用專用軟件強化操作系統(tǒng)訪問控制能力、以及配置安全得應(yīng)用程序。關(guān)鍵應(yīng)用系統(tǒng)采用電力調(diào)度數(shù)字證書:

能量管理系統(tǒng)、廠站端生產(chǎn)控制系統(tǒng)、電能量計量系統(tǒng)及電力市場運營系統(tǒng)等業(yè)務(wù)系統(tǒng),應(yīng)當(dāng)逐步采用電力調(diào)度數(shù)字證書,對用戶登錄本地操作系統(tǒng)、訪問系統(tǒng)資源等操作進行身份認證,根據(jù)身份與權(quán)限進行訪問控制,并且對操作行為進行安全審計。其它安全措施遠程撥號訪問得防護策略:通過遠程撥號訪問生產(chǎn)控制大區(qū)時,要求遠方用戶使用安全加