工控系统网络信息安全防护监控技术要求
工控系统的网络安全防护标准遵循“安全分区、网络专用、横向隔离、纵向认证”原则,通过部署工业防火墙、隔离设备、网络审计、入侵检测、日志审计等安全防护设备,以提升工控系统网络整体防护能力。 1.1 工控系统分区监督
1.1.1 业务系统分置于安全区的原则
根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统的相互关系、广域网通信方式以及对生产的影响程度等,应按照以下规则将业务系统置于相应的安全区。
1.1.1.1
对电力生产实现直接控制的系统、有实时控制功能的业务
模块以及未来对电力生产有直接控制功能的业务系统应置于控制区,其他工控系统置于非控制区。
1.1.1.2
应尽可能将业务系统完整置于一个安全区内,当业务系统
的某些功能模块与此业务系统不属于同一个安全分区内时,可以
将其功能模块分置于相应的安全区中,经过安全区之间的安全隔离设施进行通信。
1.1.1.3
不允许把应属于高安全等级区域的业务系统或其功能模
块迁移到低安全等级区域,但允许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域。
1.1.1.4
对不存在外部网络联系的孤立业务系统,其安全分区无特
殊要求,但需遵守所在安全区的防护要求。 1.1.2 控制区(安全区I)
1.1.2.1
控制区中的业务系统或其功能模块(或子系统)的典型特
征是电力生产的重要环节,直接实现对生产的实时监控,是安全防护的重点和核心。
1.1.2.2
使用电力调度数据网的实时子网或专用通道进行数据传
输的业务系统应划分为控制区。 1.1.3 非控制区(安全区Ⅱ)
1.1.3.1
非控制区中的业务系统或其功能模块(或子系统)的典型
特征是电力生产的必要环节,在线运行但不具备控制功能,与控制区的业务系统或其功能模块联系紧密。
1.1.3.2
使用电力调度数据网的非实时子网进行数据传输的业务
系统应按电网要求划分为独立的非控制区。 1.2 工控系统边界防护监督
根据安全区划分,网络边界主要有以下几种:生产控制大区和管理信息大区之间的网络边界,生产控制大区内控制区(安全区I)与非控制区(安全区II)之间的边界,生产控制大区内部不同的系统之间的边界,发电厂内生产控制大区与电力调度数据网之间的边界,发电厂内生产控制大区的业务系统与环保、安监等政府部门的第三方边界等。安全防护设备宜部署在安全级别高的一侧。
1.2.1 生产控制大区与管理信息大区边界安全防护
1.2.1.1
发电厂生产控制大区与管理信息大区之间的通信必须部
署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应达到或接近物理隔离。
1.2.1.2
电力横向单向安全隔离装置作为生产控制大区和管理信
息大区之间的必备边界防护措施,是横向防护的关键设备,应满足可靠性、传输流量等方面的要求。
1.2.1.3
按照数据通信方向电力专用横向单向安全隔离装置分为
正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区的非网络方式的单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。
1.2.1.4
严格禁止E-mail、WEB、Telnet、Rlogin、FTP等安全风
险高的网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置。
1.2.2 安全区I与安全区Ⅱ边界安全防护
1.2.2.1
安全区I与安全区Ⅱ之间宜采用具有访问控制功能的工
业防火墙等硬件设备,并实现逻辑隔离、报文过滤、访问控制等功能。
1.2.2.2
如选用工业防火墙,其功能、性能、电磁兼容性须经过国
家相关部门的认证和测试,且满足发电厂对业务数据的通信要求。
1.2.2.3
对目前已在安全区I与安全区Ⅱ间部署的单向隔离装置
或防火墙,应满足本规程要求。
1.2.3 生产控制大区系统间安全防护
1.2.3.1
发电厂内同属安全区I的各系统之间,以及同属安全区Ⅱ
的各系统之间应采取一定强度的逻辑访问控制措施,如防火墙、VLAN等限制系统间的直接互通。 1.2.4 纵向边界防护
1.2.4.1
发电厂生产控制大区系统与调度端系统通过电力调度数
据网进行远程通信时,应采用认证、加密、访问控制等技术措施实现数据的远程安全传输以及纵向边界的安全防护。
1.2.4.2
发电厂的纵向连接处应设置经过国家指定部门检测认证
的电力专用纵向加密认证装置或者加密认证网关及相应设施,与调度端实现双向身份认证、数据加密和访问控制。 1.2.5 第三方边界安全防护
1.2.5.1
生产控制大区内个别业务系统或其功能模块(或子系统)
需要使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信时,应设立安全接入区。 1.3 工控系统综合防护监督
工控系统网络信息安全防护监控技术要求
