6.2配电终端操作系统及端口安全

配电终端上线前应经过安全测评，严格设置访问控制策略，对关键操作及访问进行日志记录， 应开启高危或生产中不使用的服务及端口，配置和安全策略应符合GB/T22239的要求。

6.3配电终端加密认证

配电终端应优先采用微型纵向加密认证装置，在配电终端和配电主站之间建立安全通道，并对来 源于主站系统的控制命令、远程参数设置指令、远程运维采取安全鉴别和数据完整性验证。 配电终端与主站之间的业务数据应采用经国家有关单位检测认证对称密码算法的加密措施，实现 主站和终端间的数据保密性防护。

园林施工组织设计 6.4配电终端现场运维安

配电终端现场运维应使用专用的现场运维终端，配电终端应实现对现场运维终端的身份认证，并 采用安全的通信措施。

7横向边界安全防护技术要求

7.1生产控制大区内与其他系统间安全防护

在生产控制大区内配电自动化主站系统与调度自动化等其他业务系统通信时，应采用具有访问控

制功能的防火墙或者相当功能的设施，实现逻辑隔离。防火墙或相当功能的设施应提供访问控制功 能，访问控制粒度要达到端口级。 当生产控制大区内配电自动化系统安全防护措施未达到本标准要求时，应采用电力专用横向单向 安全隔离装置实现与调度自动化等其他业务系统的安全隔离

7.2生产控制大区与管理信息大区安全防护

在配电目动化生产控制大区与管理信息大区之间应部署经国家有关单位检测认证的电力专用横向 向隔离装置。

检测试验8纵向边界安全防护技术要求

产控制大区通过光纤专网或电力调度数据网通信的

配电目动化生产控制大区与光纤专网或电力调度数据网的纵向通信应采用经国家有关单位检测认 的加密算法，实现基于电力调度数字证书的双向认证和数据加密

8.2生产控制大区与安全接入区的纵向安全防护

8.3安全接入区的纵向安全防护

配电终端采用无线等通信方式接入配电自动化系统主站时，应设立安全接入区， 安全接入区通过无线网络等纵向通信应采用经国家有关单位检测认证的加密算法，实现基于电力 度数字证书的双向认证和数据加密。

安全监测对象应包括配电自动化系统主机设备、网络设备、安全防护设备和光纤及无线网络的通 信流量。

安全监测应能识别配电自动化系统主机设备、网络设备和安全防护设备登录异常和运行状态异 常，应支持主机设备、网络设备和安全防护设备安全事件的采集和分析。 安全监测应能识别配电自动化系统数据异常和控制指令异常。

安全监测应支持实时告警显示安全生产标准规范范本，按照告警的严重程度设置不同的告警级别。 生产控制大区可通过安全邮件等方式报送告警信息