電力系統(tǒng)二次安全防護(hù)基礎(chǔ)課件

1、電力系統(tǒng)二次安全防護(hù)基礎(chǔ),電力系統(tǒng)二次安全防護(hù)基礎(chǔ),電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,2,二灘水電廠異常停機(jī)事件； 故障錄波裝置“時(shí)間邏輯炸彈”事件； 換流站控制系統(tǒng)感染病毒事件；,近年世界上大停電事故反映出電力二次系統(tǒng)的脆弱性和重要性。,電力二次系統(tǒng)安全事件,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,3,二次系統(tǒng)安全防護(hù)的由來,2000年四川某水電站無故全廠停機(jī)造成川西電網(wǎng)瞬間缺電80萬仟瓦引起電網(wǎng)大面積停電。其根源估計(jì)是廠內(nèi)MIS系統(tǒng)與電站的控制系統(tǒng)無任何防護(hù)措施的互連，引起有意或無意的控制操作導(dǎo)致停機(jī)。 2001年9、10月間，安裝在全國(guó)147座變電站的銀山公司生產(chǎn)的

2、錄波器的頻頻“出事”，出現(xiàn)不錄波或死機(jī)現(xiàn)象，嚴(yán)重影響高壓電網(wǎng)安全運(yùn)行。事后分析結(jié)論是該錄波器中人為設(shè)置了“時(shí)間限制”或“時(shí)間邏輯炸彈”。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,4,二次系統(tǒng)安全防護(hù)的由來,2003年8月14日美國(guó)加拿大的停電事故震驚世界，事故擴(kuò)大的直接原因是兩個(gè)控制中心的自動(dòng)化系統(tǒng)故障。若黑客攻擊將會(huì)引起同樣的災(zāi)難性后果。這次“814”美國(guó)、加拿大大停電造成300億美圓的損失及社會(huì)的不安定。由此可說明電力系統(tǒng)的重要性。 2003年12月龍泉、政平、鵝城、荊州等換流站受到計(jì)算機(jī)病毒的攻擊。 幾年來我國(guó)不少基于WINDOWS-NT的電力二次系統(tǒng)的計(jì)算機(jī)系統(tǒng),程度不同的受到

3、計(jì)算機(jī)病毒的攻擊。造成了業(yè)務(wù)損失和經(jīng)濟(jì)損失。值得我們嚴(yán)重的關(guān)注。 有攻擊就必須有防護(hù),電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,5,主要風(fēng)險(xiǎn),調(diào)度數(shù)據(jù)網(wǎng)上：明文數(shù)據(jù)； 104規(guī)約等的識(shí)別，著重保護(hù)“控制報(bào)文”； 物理等原因造成的數(shù)據(jù)中斷不是最危險(xiǎn)的；最危險(xiǎn)的是旁路控制。 竊聽 篡改 偽造,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,6,電力二次系統(tǒng)主要安全風(fēng)險(xiǎn),電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,7,系列文件,國(guó)家經(jīng)貿(mào)委2002第 30 號(hào)令：電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定。于2002年5月8日公布，自 2002 年 6 月 8 日起施行。 國(guó)家電力監(jiān)

4、管委員會(huì)第 5 號(hào)令：電力二次系統(tǒng)安全防護(hù)規(guī)定于 2004 年 12 月 20 日公布，自 2005 年 2 月 1 日起施行。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,8,系列文件,電力二次系統(tǒng)安全防護(hù)規(guī)定配套文件： 電力二次系統(tǒng)安全防護(hù)總體方案 省級(jí)及以上調(diào)度中心二次系統(tǒng)安全防護(hù)方案 地、縣級(jí)調(diào)度中心二次系統(tǒng)安全防護(hù)方案 變電站二次系統(tǒng)安全防護(hù)方案 發(fā)電廠二次系統(tǒng)安全防護(hù)方案 配電二次系統(tǒng)安全防護(hù)方案,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,9,總體安全防護(hù)策略,在對(duì)電力二次系統(tǒng)進(jìn)行了全面系統(tǒng)的安全分析基礎(chǔ)上，提出了十六字總體安全防護(hù)策略。 安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱

5、向認(rèn)證,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,10,電力二次系統(tǒng)安全防護(hù)的目標(biāo),抵御黑客、病毒、惡意代碼等通過各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團(tuán)式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,11,安全分區(qū),電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,12,安全區(qū) I 的典型系統(tǒng),調(diào)度自動(dòng)化系統(tǒng)（SCADA/EMS）、廣域相量測(cè)量系統(tǒng)、 配電網(wǎng)自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)、繼電保護(hù)、安全自動(dòng)控制系統(tǒng)、低頻/低壓自動(dòng)減載系統(tǒng)、負(fù)荷控制系統(tǒng)等。 典型特點(diǎn)：是電力生產(chǎn)的重要

6、環(huán)節(jié)、安全防護(hù)的重點(diǎn)與核心；直接實(shí)現(xiàn)對(duì)一次系統(tǒng)運(yùn)行的實(shí)時(shí)監(jiān)控；縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ馈?電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,13,安全區(qū) II 的典型系統(tǒng),調(diào)度員培訓(xùn)模擬系統(tǒng)（DTS）、水庫(kù)調(diào)度自動(dòng)化系統(tǒng)、繼電保護(hù)及故障錄波信息管理系統(tǒng)、電能量計(jì)量系統(tǒng)、電力市場(chǎng)運(yùn)營(yíng)系統(tǒng)等。 典型特點(diǎn)：所實(shí)現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié)；在線運(yùn)行，但不具備控制功能；使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)（安全區(qū) I）中的系統(tǒng)或功能模塊聯(lián)系緊密。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,14,安全區(qū) III 的典型系統(tǒng),調(diào)度生產(chǎn)管理系統(tǒng)（DMIS）、調(diào)度報(bào)表系統(tǒng)（日?qǐng)?bào)、旬報(bào)、月報(bào)、年報(bào)）、雷

7、電監(jiān)測(cè)系統(tǒng)、氣象信息接入等。 典型特點(diǎn)：主要側(cè)重于生產(chǎn)管理的系統(tǒng),電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,15,安全區(qū) IV 的典型系統(tǒng),管理信息系統(tǒng)（MIS）、辦公自動(dòng)化系統(tǒng)（OA）、客戶服務(wù)系統(tǒng)等。 典型特點(diǎn)：純管理的系統(tǒng),電力系統(tǒng)二次安全防護(hù)基礎(chǔ),電力二次系統(tǒng)安全防護(hù)總體示意圖,上級(jí)調(diào)度/控制中心,下級(jí)調(diào)度/控制中心,上級(jí)信息中心,下級(jí)信息中心,實(shí)時(shí)VPN SPDnet 非實(shí)時(shí)VPN,IP認(rèn)證加密裝置,安全區(qū)I (實(shí)時(shí)控制區(qū)),安全區(qū)II (非控制生產(chǎn)區(qū)),安全區(qū)III (生產(chǎn)管理區(qū)),安全區(qū)IV (管理信息區(qū)),外部公共因特網(wǎng),生產(chǎn)VPN SPTnet 管理VPN,防火墻,防火

8、墻,IP認(rèn)證加密裝置,IP認(rèn)證加密裝置,IP認(rèn)證加密裝置,防火墻,防火墻,安全區(qū)I (實(shí)時(shí)控制區(qū)),防火墻,安全區(qū)II (非控制生產(chǎn)區(qū)),安全區(qū)III (生產(chǎn)管理區(qū)),防火墻,防火墻,安全區(qū)IV (管理信息區(qū)),專線,正向?qū)Ｓ冒踩綦x裝置,反向?qū)Ｓ冒踩綦x裝置,正向?qū)Ｓ冒踩綦x裝置,反向?qū)Ｓ冒踩綦x裝置,防火墻,防火墻,防火墻,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,17,網(wǎng)絡(luò)專用,電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基于SDH/PDH上的不同通道、不同光波長(zhǎng)、不同纖芯等方式，在物理層面上實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯

9、隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。子網(wǎng)之間可采用MPLS-VPN技術(shù)、安全隧道技術(shù)、PVC技術(shù)或路由獨(dú)立技術(shù)等來構(gòu)造子網(wǎng)。電力調(diào)度數(shù)據(jù)網(wǎng)是電力二次安全防護(hù)體系的重要網(wǎng)絡(luò)基礎(chǔ)。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,18,網(wǎng)絡(luò)專用,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,19,橫向隔離,物理隔離裝置（正向型/反向型）,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,20,橫向隔離裝置,必須通過公安部安全產(chǎn)品銷售許可，獲得國(guó)家指定機(jī)構(gòu)安全檢測(cè)證明，用于廠站的設(shè)備還需通過電力系統(tǒng)電磁兼容檢測(cè)。 專用橫向單向安全隔離裝置按照數(shù)據(jù)通信方向分為正向型和反向型。 正向安

10、全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。 嚴(yán)格禁止 E-Mail、Web、Telnet、Rlogin、FTP 等通用網(wǎng)絡(luò)服務(wù)和以 B/S 或 C/S 方式的數(shù)據(jù)庫(kù)訪問穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),隔離設(shè)備,實(shí)時(shí) 控制 系統(tǒng),調(diào)度 生產(chǎn) 系統(tǒng),接口機(jī)A,接口機(jī)B,安全島,關(guān)鍵技術(shù)-正向型專用安全隔離裝置,內(nèi)網(wǎng),外網(wǎng),電力系統(tǒng)二次安全防護(hù)基礎(chǔ),內(nèi)部應(yīng)用網(wǎng)關(guān),外部應(yīng)用網(wǎng)關(guān),1、采用非INTEL指令系統(tǒng)的（及兼

11、容）雙微處理器。 2、特別配置LINUX內(nèi)核，取消所有網(wǎng)絡(luò)功能，安全、固化的的操作系統(tǒng)。抵御除DoS以外的已知的網(wǎng)絡(luò)攻擊。 3、非網(wǎng)絡(luò)方式的內(nèi)部通信，支持安全島, 保證裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通。 4、透明監(jiān)聽方式，虛擬主機(jī)IP地址、隱藏MAC地址，支持NAT 5、內(nèi)設(shè)MAC/IP/PORT/PROTOCOL/DIRECTION等綜合過濾與訪問控制 6、防止穿透性TCP聯(lián)接。內(nèi)外應(yīng)用網(wǎng)關(guān)間的TCP聯(lián)接分解成兩個(gè)應(yīng)用網(wǎng)關(guān)分別到裝置內(nèi)外兩個(gè)網(wǎng)卡的兩個(gè)TCP虛擬聯(lián)接。兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接。 7、單向聯(lián)接控制。應(yīng)用層數(shù)據(jù)完全單向傳輸，TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)。 8、應(yīng)用層解析，支持應(yīng)用

12、層特殊標(biāo)記識(shí)別 9、支持身份認(rèn)證 10、靈活方便的維護(hù)管理界面,正向?qū)Ｓ酶綦x裝置,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),反向型專用安全隔離裝置,安全區(qū)III到安全區(qū)I/II的唯一數(shù)據(jù)傳遞途徑。 反向型專用隔離裝置集中接收安全區(qū)III發(fā)向安全區(qū)I/II的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等處理。處理后，轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部的接收程序。 具體過程如下： 1.安全區(qū)III內(nèi)的數(shù)據(jù)發(fā)送端首先對(duì)需發(fā)送的數(shù)據(jù)簽名，然后發(fā)給反向型專用隔離裝置； 2.專用隔離裝置接收數(shù)據(jù)后，進(jìn)行簽名驗(yàn)證，并對(duì)數(shù)據(jù)進(jìn)行內(nèi)容過濾、有效性檢查等處理； 3. 將處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部的接收程序。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ)

13、,24,安全區(qū)與遠(yuǎn)方通信的安全防護(hù)要求(一),安全區(qū)、所連接的廣域網(wǎng)為國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet。SPDnet為安全區(qū)、分別提供二個(gè)邏輯隔離的MPLS-VPN。安全區(qū)所連接的廣域網(wǎng)為國(guó)家電力數(shù)據(jù)通信網(wǎng)（SPTnet），SPDnet與SPTnet物理隔離。 安全區(qū)、接入SPDnet時(shí)，應(yīng)配置縱向加密認(rèn)證裝置，實(shí)現(xiàn)遠(yuǎn)方通信的雙向身份認(rèn)證和數(shù)據(jù)加密。如暫時(shí)不具備條件或業(yè)務(wù)無此項(xiàng)要求，可以用硬件防火墻代替。安全區(qū)接入SPTnet應(yīng)配置硬件防火墻。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,25,安全區(qū)與遠(yuǎn)方通信的安全防護(hù)要求(二),處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)（如通信服務(wù)器等）操作系統(tǒng)應(yīng)進(jìn)行安

14、全加固，并配置數(shù)字證書。 傳統(tǒng)的遠(yuǎn)動(dòng)通道的通信目前暫不考慮網(wǎng)絡(luò)安全問題。個(gè)別關(guān)鍵廠站的遠(yuǎn)動(dòng)通道的通信可采用線路加密器，但需由上級(jí)部門認(rèn)可。 經(jīng)SPDnet的RTU網(wǎng)絡(luò)通道原則上不考慮傳輸中的認(rèn)證加密。個(gè)別關(guān)鍵廠站的RTU網(wǎng)絡(luò)通信可采用認(rèn)證加密，但需由上級(jí)部門認(rèn)可。 禁止安全區(qū)的縱向WEB，允許安全區(qū)II的縱向WEB服務(wù)。 安全區(qū)I和安全區(qū)II的撥號(hào)訪問服務(wù)原則上需要認(rèn)證、加密和訪問控制。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,26,縱向加密認(rèn)證裝置/網(wǎng)關(guān),加密認(rèn)證裝置位于電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間，用于安全區(qū)I/II的廣域網(wǎng)邊界保護(hù)，可為本地安全區(qū)I/II

15、提供一個(gè)網(wǎng)絡(luò)屏障同時(shí)為上下級(jí)控制系統(tǒng)之間的廣域網(wǎng)通信提供認(rèn)證與加密服務(wù)，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。 加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實(shí)現(xiàn)應(yīng)用層協(xié)議及報(bào)文內(nèi)容識(shí)別的功能。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,27,縱向加密認(rèn)證網(wǎng)關(guān)和管理中心的部署,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),2020年9月12日,28,縱向認(rèn)證,采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國(guó)家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。管理信息大區(qū)應(yīng)采

16、用硬件防火墻等安全設(shè)備接入電力企業(yè)數(shù)據(jù)網(wǎng)?？v向加密認(rèn)證是電力二次安全防護(hù)體系的縱向防線。 傳統(tǒng)的基于專用通道的通信不涉及網(wǎng)絡(luò)安全問題，可采用線路加密技術(shù)保護(hù)關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),PKI技術(shù)的介紹,對(duì)稱密鑰體制：是指加密密鑰和解密密鑰為同一密鑰的密碼體制。因此，信息發(fā)送者和信息接收者在進(jìn)行信息的傳輸與處理時(shí)，必須共同持有該密碼（稱為對(duì)稱密碼）。通常, 密鑰簡(jiǎn)短，使用的加密算法比較簡(jiǎn)便高效。 不對(duì)稱密鑰體制（公鑰體制）：用戶產(chǎn)生一對(duì)公/私密鑰，向外界公開的密鑰為公鑰；自己保留的密鑰為私鑰。 加密過程：信息發(fā)送者以信息接收者的公鑰加密信息,信息接收者以其私鑰解密這加密信息。

17、又稱為公鑰加密技術(shù)。 認(rèn)證過程：信息發(fā)送者以自己的私鑰加密信息，信息接收者以信息發(fā)送者的公鑰解密這加密信息。因?yàn)槿魏稳硕伎梢杂眯畔l(fā)送者的公鑰解密這加密信息，但只有知道信息發(fā)送者私鑰的人才能發(fā)出此加密信息。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),安全防護(hù)要求,在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。 在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國(guó)家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),安全防護(hù)

18、要求,安全區(qū)邊界應(yīng)當(dāng)采取必要的安全防護(hù)措施，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡(luò)服務(wù)。生產(chǎn)控制大區(qū)中的業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)具有高安全性和高可靠性，禁止采用安全風(fēng)險(xiǎn)高的通用網(wǎng)絡(luò)服務(wù)功能。 依照電力調(diào)度管理體制建立基于公鑰技術(shù)的分布式電力調(diào)度數(shù)字證書系統(tǒng)，生產(chǎn)控制大區(qū)中的重要業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)采用認(rèn)證加密機(jī)制。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),各安全區(qū)內(nèi)部安全防護(hù)的基本要求（一）,對(duì)安全區(qū)及安全區(qū)的要求： 禁止安全區(qū)/內(nèi)部的E-MAIL服務(wù)。安全區(qū)不允許存在WEB服務(wù)器及客戶端。 允許安全區(qū)內(nèi)部及縱向（即上下級(jí)間）WEB服務(wù)。但WEB瀏覽工作站與II區(qū)業(yè)務(wù)系統(tǒng)工作站不得共用，而且必須業(yè)務(wù)系統(tǒng)向WEB服務(wù)器單向主動(dòng)傳送數(shù)據(jù)。 安全區(qū)/的重要業(yè)務(wù)（如SCADA、電力交易）應(yīng)該采用認(rèn)證加密機(jī)制。 安全區(qū)/內(nèi)的相關(guān)系統(tǒng)間必須采取訪問控制等安全措施。 對(duì)安全區(qū)/進(jìn)行撥號(hào)訪問服務(wù)，必須采取認(rèn)證、加密、訪問控制等安全防護(hù)措施。 安全區(qū)/應(yīng)該部署安全審計(jì)措施，如IDS等。 安全區(qū)/必須采取防惡意代碼措施。,電力系統(tǒng)二次安全防護(hù)基礎(chǔ),各安全區(qū)內(nèi)部安全防護(hù)的基本要求（二）,對(duì)安全區(qū)要求： 安全區(qū)允許開通EMAIL、WEB服務(wù)。 對(duì)安全區(qū)撥號(hào)訪問服務(wù)必須采取訪問控制等安全防護(hù)措施。 安全區(qū)應(yīng)該部署安全審計(jì)措施，如IDS等。 安全區(qū)必須采取防惡意代碼措施。 對(duì)安