工控系统的网络安全防护标准遵循“安全分区、网络专用、 横向隔离、纵向认证”原则,通过部署工业防火墙、隔离设备、 网络审计、入侵检测、日志审计等安全防护设备,以提升工控系 统网络整体防护能力。
1.1工控系统分区监督
根据业务系统或其功能模块的实时性、使用者、主要功能、 设备使用场所、各业务系统的相互关系、广域网通信方式以及对 生产的影响程度等,应按照以下规则将业务系统置于相应的安全 区。 1.1.1.1对电力生产实现直接控制的系统、有实时控制功能的业务 模块以及未来对电力生产有直接控制功能的业务系统应置于控 制区,其他工控系统置于非控制区。 1.1.1.2应尽可能将业务系统完整置于一个安全区内,当业务系统 的某些功能模块与此业务系
统不属于同一个安全分区内时,可以 将其功能模块分置于相应的安全区中,经过安全区之间的安全隔 离设施进行通信。
1.1.1.3不允许把应属于高安全等级区域的业务系统或其功能模 块迁移到低安全等级区域,但允许把属于低安全等级区域的业务 系统或其功能模块放置于高安全等级区域。
1.1.1.4对不存在外部网络联系的孤立业务系统,其安全分区无特 殊要求,但需遵守所在安全区的防护要求。
1.1.2控制区(安全区I)
1.1.2.1控制区中的业务系统或其功能模块(或子系统)的典型特 征是电力生产的重要环节,直接实现对生产的实时监控,是安全 防护的重点和核心。
1.1.2.2使用电力调度数据网的实时子网或专用通道进行数据传 输的业务系统应划分为控制区。
1.1.3非控制区(安全区II)
1.1.3.1非控制区中的业务系统或其功能模块(或子系统)的典型 特征是电力生产的必要环节,在线运行但不具备控制功能,与控 制区的业务系统或其功能模块联系紧密。
系统应按电网要求划分为独立的非控制区。
1.2工控系统边界防护监督
根据安全区划分,网络边界主要有以下几种:生产控制大区 和管理信息大区之间的网络边界,生产控制大区内控制区(安全 区I)与非控制区(安全区II)之间的边界,生产控制大区内部 不同的系统之间的边界,发电厂内生产控制大区与电力调度数据 网之间的边界,发电厂内生产控制大区的业务系统与环保、安监 等政府部门的第三方边界等。安全防护设备宜部署在安全级别高 的一侧。 1.2.1生产控制大区与管理信息大区边界安全防护
1.2.1.1发电厂生产控制大区与管理信息大区之间的通信必须部 署经国家指定部门检测认证的电力专用横向单向安全隔离装置, 隔离强度应达到或接近物理隔离。
1.2.1.2电力横向单向安全隔离装置作为生产控制大区和管理信 息大区之间的必备边界防护措施,是横向防护的关键设备,应满 足可靠性、传输流量等方面的要求。
正向型和反向型。正向安全隔离装置用于生产控制大区到管理信 息大区的非网络方式的单向数据传输。反向安全隔离装置用于从 管理信息大区到生产控制大区的非网络方式的单向数据传输,是 管理信息大区到生产控制大区的唯一数据传输途径。
1.2.1.4严格禁止 E-mail、WEB、Telnet、Rlogin、FTP 等安全风 险高的网络服务和以B/S或C/S方式的数据库访问穿越专用横向 单向安全隔离装置。
1.2.2安全区I与安全区II边界安全防护
1.2.2.1安全区I与安全区I之间宜采用具有访问控制功能的工 业防火墙等硬件设备,并实现逻辑隔离、报文过滤、访问控制等 功能。
L2.2.2如选用工业防火墙,其功能、性能、电磁兼容性须经过国 家相关部门的认证和测试,且满足发电厂对业务数据的通信要 求。
1.2.2.3对目前已在安全区I与安全区II间部署的单向隔离装置 或防火墙,应满足本规程要求。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议