工控系统网络信息安全防护监控技术要求.docx

1、工控系统网络信息安全防护监控技术要求工控系统网络信息安全防护监控技术要求工控系统的网络安全防护标准遵循“安全分区、网络专用、横向隔离、纵向认证”原则，通过部署工业防火墙、隔离设备、网络审计、入侵检测、日志审计等安全防护设备，以提升工控系统网络整体防护能力。1.1工控系统分区监督1.1.1业务系统分置于安全区的原则根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统的相互关系、广域网通信方式以及对生产的影响程度等，应按照以下规则将业务系统置于相应的安全区。1.1.1.1对电力生产实现直接控制的系统、有实时控制功能的业务模块以及未来对电力生产有直接控制功能的业务系统应置于控

2、制区，其他工控系统置于非控制区。1.1.1.2应尽可能将业务系统完整置于一个安全区内，当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时，可以将其功能模块分置于相应的安全区中，经过安全区之间的安全隔离设施进行通信。1.1.1.3不允许把应属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域，但允许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域。1.1.1.4对不存在外部网络联系的孤立业务系统，其安全分区无特殊要求，但需遵守所在安全区的防护要求。1.1.2控制区(安全区I)1.1.2.1控制区中的业务系统或其功能模块（或子系统）的典型特征是电力生产的重要环节，直

3、接实现对生产的实时监控，是安全防护的重点和核心。1.1.2.2使用电力调度数据网的实时子网或专用通道进行数据传输的业务系统应划分为控制区。1.1.3非控制区(安全区)1.1.3.1非控制区中的业务系统或其功能模块（或子系统）的典型特征是电力生产的必要环节，在线运行但不具备控制功能，与控制区的业务系统或其功能模块联系紧密。1.1.3.2使用电力调度数据网的非实时子网进行数据传输的业务系统应按电网要求划分为独立的非控制区。1.2工控系统边界防护监督根据安全区划分，网络边界主要有以下几种：生产控制大区和管理信息大区之间的网络边界，生产控制大区内控制区（安全区I）与非控制区（安全区II）之间的边界，生

4、产控制大区内部不同的系统之间的边界，发电厂内生产控制大区与电力调度数据网之间的边界，发电厂内生产控制大区的业务系统与环保、安监等政府部门的第三方边界等。安全防护设备宜部署在安全级别高的一侧。1.2.1生产控制大区与管理信息大区边界安全防护1.2.1.1发电厂生产控制大区与管理信息大区之间的通信必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应达到或接近物理隔离。1.2.1.2电力横向单向安全隔离装置作为生产控制大区和管理信息大区之间的必备边界防护措施，是横向防护的关键设备，应满足可靠性、传输流量等方面的要求。1.2.1.3按照数据通信方向电力专用横向单向安全隔离装置分为正

5、向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区的非网络方式的单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。1.2.1.4严格禁止E-mail、WEB、Telnet、Rlogin、FTP等安全风险高的网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置。1.2.2安全区I与安全区边界安全防护1.2.2.1安全区I与安全区之间宜采用具有访问控制功能的工业防火墙等硬件设备，并实现逻辑隔离、报文过滤、访问控制等功能。1.2.2.2如选用工业防火墙，其功能、性能、电磁兼容性须经过国

6、家相关部门的认证和测试，且满足发电厂对业务数据的通信要求。1.2.2.3对目前已在安全区I与安全区间部署的单向隔离装置或防火墙，应满足本规程要求。1.2.3生产控制大区系统间安全防护1.2.3.1发电厂内同属安全区I的各系统之间，以及同属安全区的各系统之间应采取一定强度的逻辑访问控制措施，如防火墙、VLAN等限制系统间的直接互通。1.2.4纵向边界防护1.2.4.1发电厂生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时，应采用认证、加密、访问控制等技术措施实现数据的远程安全传输以及纵向边界的安全防护。1.2.4.2发电厂的纵向连接处应设置经过国家指定部门检测认证的电力专用纵向加密认

7、证装置或者加密认证网关及相应设施，与调度端实现双向身份认证、数据加密和访问控制。1.2.5第三方边界安全防护1.2.5.1生产控制大区内个别业务系统或其功能模块（或子系统）需要使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信时，应设立安全接入区。 1.3工控系统综合防护监督1.3.1物理安全发电厂工控系统机房所在建筑应采用有效防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施，应配置电子门禁系统以加强物理访问控制，并对关键设备及磁介质实施电磁屏蔽。1.3.1.1机房应选择在具有防震、防风和防雨等能力的建筑内。1.3.1.2机房不宜设在建筑物顶层或地下室以及用水设备

8、的下层或隔壁。1.3.1.3机房各出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。 1.3.1.4进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。1.3.1.5对核心重点生产区域，如机组主控操作台附近、电子间、网控室等场所，应配置有24小时的连续视频监控记录系统，并保存30天以上。1.3.2网络设备安全防护发电厂应对生产控制大区的核心交换机、汇聚交换机、工业防火墙、单向隔离装置等网络设备、安全设备进行安全防护。1.3.2.1对登录网络设备、安全设备的用户进行身份鉴别及权限控制，只允许相关管理、维护人员登录设备。1.3.2.2对登录网络设备、安全设备应采用HTTPS、SSH

9、等加密方式进行，同时辅以安全审计等管理措施。1.3.2.3网络设备、安全设备用户口令应该满足复杂度要求，制定更换策略，并由专人负责保管。1.3.2.4及时清理网络设备、安全设备上临时用户、多余用户。1.3.3主机防护1.3.3.1主机加固1.3.3.1.1对于发电厂DCS、NCS等关键应用系统的服务器，以及网络边界处的通信网关、Web服务器等，应制定主机加固的策略，加强策略的审核与管理。1.3.3.1.2加固方式包括但不限于：安全配置、安全补丁、采用专用软件或硬件强化操作系统访问控制能力以及配置安全的应用程序。加固措施包括：升级到当前系统版本、安装后续的补丁合集、加固系统TCP/IP 配置、关

10、闭不必要的服务和端口、为超级用户或特权用户设定复杂的口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、开启系统日志、安全审计等。1.3.3.1.3在实施加固前，应首先在指定相关检测单位测试环境中进行各项功能的测试，确保系统加固对生产业务系统功能无影响，并有完整的测试记录。1.3.3.1.4针对生产控制大区内的服务器和操作员站等上位机操作系统，应及时升级操作系统补丁和应用软件补丁。业务系统厂商在补丁升级前，应在仿真环境下做充分安全验证和评估测试，确保对业务系统无影响，并出具相关技术报告；业务系统厂商或运营者在现场做好备份后方可展开离线升级工作，同时应做好升级记录；升级后应对各业务主要

11、功能再次进行在线测试并做好测试记录存档备查。升级完成的业务系统应满足网络安全相关技术标准。1.3.3.2恶意代码防范在生产控制大区内主机部署恶意代码防护软件的，应保证代码库定期更新，在部署恶意代码防护或更新代码库前，应首先在相关指定检测单位测试环境中进行各项功能的测试，确保防护软件对生产业务系统功能无影响，并有完整的测试记录。1.3.3.3外设管控1.3.3.3.1生产控制大区的各主机应当关闭或拆除不必要的软盘驱动、光盘驱动、USB接口、串行口、无线、蓝牙等，确需保留的须通过安全管理及技术措施实施严格监控。1.3.3.3.2禁止在生产控制大区和管理信息大区之间交叉使用移动存储介质以及便携计算机

12、。确需通过外设接入的设备，应在接入前采取病毒查杀等安全预防措施，且通过安全管理及技术措施实施严格监控，并履行发电厂安全接入审批手续。1.3.3.3.3各专业配置专用移动存储介质、便携计算机，并安排专人进行管理，严禁厂家技术人员直接将自带移动存储介质和便携计算机接入设备进行维护工作。1.3.3.3.4严禁现场生产运行设备开启对外通讯功能（包括远方调取动作记录和定值信息功能）。1.3.4入侵检测在生产控制大区安全区II与管理信息大区边界处应部署一套网络入侵检测系统，并合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计，特征库须及时升级。1.3.5远程访问

13、1.3.5.1禁止设备生产厂商或其它外部企业(单位)远程连接发电厂生产控制大区中的业务系统及设备。1.3.5.2对于发电厂内部远程访问业务系统的情况，应进行身份认证及权限控制，并采用会话认证、加密与抗抵赖、日志审计等安全机制。1.3.6安全审计1.3.6.1生产控制大区各关键生产系统应具备网络审计功能，对该生产控制大区的生产实时网络进行流量审计和工控协议解析，实时监测网络攻击、违规操作、非法设备接入等异常行为，及时发现隐藏在正常流量中的异常数据包。1.3.6.2安全区II内应具备日志审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒、黑客的攻击行为

14、。日志审计功能包括但不限于对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。1.3.6.3在安全区I机组主控DCS、辅控系统及NCS系统需具备日志审计功能，并保留至少6个月的日志数据。1.3.6.4在实施部署“网络审计”和“日志审计”前，应首先进行各项功能的测试，确保系统部署对生产业务系统功能无影响。1.3.7网络安全监测装置（涉网侧）1.3.7.1各发电厂应部署网络安全监测装置(涉网侧)，装置性能参数应满足当地电网要求，采集发电厂涉网区域的服务器、工作站、网络设备和安全设备的数据及网络安全事件。1.3.7.2网络安全监测装置在具

15、备条件情况下，可将数据同步传输至厂级生产控制大区网络安全监测装置，并对传输网络通道实施合规的安全防护。1.3.8备用与容灾1.3.8.1各单位结合自身业务和数据库实际，对工控系统的数据备份依据重要性分级管理，并确保重要业务数据可恢复。1.3.8.2关键主机设备、网络设备或关键部件应进行相应的冗余配置。1.3.8.3应定期对关键业务的数据进行备份，应至少实现对生产运行等重要数据双备份并保存12个月。1.3.8.4定期进行备份数据恢复测试，测试应在测试环境中进行，确保实际备份数据的异机可恢复性，测试过程应做好记录及分析。1.3.8.5加强备份文件的自身安全管控，不允许备份数据文件保存在本机磁盘、个人移动存储等无安全保障的存储介质上。1.3.8.6关键设备应保证备品备件的齐全。1.3.9等级保护测评及风险评估对定级为三级的系统，每年应做一次等保测评和风险评估，系统在升级改造后需重新备案和测评；对定级为二级的系统，每两年应做一次等保测评和风险评估。