电力二次系统安全防护的是确保电力信息化系统、电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，从而防止一次系统、二次系统事故或大面积停电等事故的出现。

安全防护的基本原则：电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。

电力二次系统的参考结构图如下：

其他安全防护措施:

• 1、数据与系统备份：对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。
• 2、入侵检测IDS： 对于安全区I与II，建议统一部署一套IDS管理系统。考虑到调度业务的可靠性，采用基于网络的入侵检测系
            统（NIDS），其IDS探头主要部署在： 安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。其主
            要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。 对于安全区III，禁止使用安全区I与II的IDS，与安全区IV
            的IDS系统统一规划部署。
• 3、主机防护：主机安全防护主要的方式包括：安全配置、安全补丁、安全主机加固。
• 4、安全配置：通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或
            者工作站，严格管理系统及应用软件的安装与使用。
• 5、安全补丁：通过及时更新系统安全补丁，消除系统内核漏洞与后门。
• 6、主机加固：安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策
            略，防止主机权限被滥用。
• 7、CA与身份认证：基于PKI的CA认证系统为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数
            字证书服务。

常规项目配置：