工控系统网络信息安全典型部署参考示意图详细请参照发电厂监控系统安全防护方案.doc

工控系统网络信息安全典型部署参考示意图（详细请参照发电厂监控系统安全防护方案） 假设典型环境：某新建电厂装机容量2*300MW，含2套DCS系统及1套辅控系统，DCS机组为A B双网结构，需按3级等保要求进行网络安全防护，各安全设备（系统）部署参考示意图如下。 图3 电厂工控系统网络信息安全典型部署参考示意图 表4电厂工控系统网络信息安全典型部署列表 序号 安 全 设 备 （系 统）名称 部 署 位 置 部 署 模 式 参 考 数 量 备 注 1.1 工业防火墙 （接口机） 安全区I和安全区II边界 网络串联 3台（依接口机数量定） 安全区I向SIS传输数据的业务系统需单独部署工业防火墙。 1.2 工业防火墙 （日志 / 网络审计） 安全区I和安全区II边界 网络串联 1 台 此防火墙应具备高吞吐量的性能。 1.3 工业防火墙 （生产控制大区网络安全监测装置） 安全区I和安全区II边界 网络串联 1 台 安全区I传输数据至厂级生产控制大区网络安全监测装置处，须单独部署工业防火墙。 2.1 日志审计功能 (安全区I） 安全区I内 此功能实现对安全区I机组主控辅控系统及NCS控制系统的日志审计，并保留至少6个月的日志数据。 2.2 日志审计（安全区II） 安全区II核心交换机 网络可达 1台 在安全区II应单独部署一台日志审计。 3 入侵检测 安全区II核心交换机 旁路镜像 1台 4 网络审计 安全区I内 旁路镜像 3台 在安全区I机组主控DCS及辅控系统中应单独部署一台网络审计。 5 生产控制大区网络安全监测装置 安全区II核心交换机 网络串联 1套 实现对电力工控系统网络安全数据的采集存储 6 网络安全监测装置 （涉网侧） 安全区I /安全区II和 电力调度数据网边界 网络串联 2套 满足电网侧安全监控需求，同时数据需同步上传到厂级生产安全监测平台。 7.1 正向隔离装置 （SIS系统） 生产控制大区和管理 信息大区边界 网络串联 1台 此设备为电力专用横向单向安全隔离装置。 7.2 正向隔离装置 （生产控制大区网络安全监测装置） 生产控制大区的厂级 生产安全检测平台和管理信息大区边界 网络串联 1台 此设备为电力专用横向单向安全隔离装置。 7.3 正向隔离装置 （环保/安监/消防） 生产控制大区和第三方监管单位边界 网络串联 1台 原则上所有外传到第三方监管单位的数据都需经过正向隔离网闸，网闸须满足当地环保等监管部门及电网的配置要求。 8 纵向加密装置 安全区I /安全区II与 电力调度数据网边界处 网络串联 2台 应满足当地电网对安全监控需求。 9.1 主机防护功能 （ 安全区I ） 安全区I内各操作员站/站 实现对主控及辅控DCS站、操作员站等主机进行防护，须在国家相关部门认证的检测机构检测，确认无影响后，后方可部署。 9.2 主机防护 （安全区II） 安全区II内各接口站/服务器 本机部署 依据主机数量 根据业务需求确认需被防护的相关主机后，须在相关检测机构测试环境中进行各项功能的测试，确认无影响后，后方可部署。 各安全设备（系统）部署方式简述： 工业防火墙： 1.1工业防火墙（接口机） 此工业防火墙使用网络串联的方式部署在安全区I和安全区II边界处，实现接口机数据从安全区Ⅰ向安全区Ⅱ传输的逻辑隔离。 1.2工业防火墙（日志/网络审计） 此工业防火墙使用网络串联的方式部署在安全区I和安全区II边界处，实现网络审计和日志审计数据从安全区Ⅰ向安全区Ⅱ传输的逻辑隔离。 1.3工业防火墙（生产控制大区网络安全监测装置）： 使用网络串联的方式部署在安全区I和安全区II边界处，此工业防火墙与厂级生产控制大区网络安全监测装置相连，保证网络安全监测装置数据与安全区I的逻辑隔离。 日志审计： 2.1日志审计功能（安全区I）： 在安全区I机组主控、辅控及NCS控制系统需具备日志审计功能，并保留至少6个月的日志数据。 2.2日志审计（安全区Ⅱ）： 在安全区Ⅱ内部署1套日志审计，日志信息包括：安全区Ⅱ各种主机、网络及安全设备的日志； 3、入侵检测：生产控制大区SIS核心交换机旁路部署1套网络入侵检测系统。 4、网络审计：在安全区I各机组主控及辅控控制系统交换机镜像端口处旁路部署。 5、生产控制大区网络安全监测装置：在安全区II部署1套厂级生产安全监测平台，通过安全专网收集各安全设备分析结果、日志等、以实现对生产控制大区电力工控系统的主机、网络设备、工控设备及安全设备运行状态的集中监控和展示。 6、网络安全监测装置（涉网）：分别于安全区I和安全区II按照电网标准要求部署网络安全检测装置，采集电厂涉网区域的服务器、工作站、网络设备和安防设备自身感知的安全数据及网络安全事件，具体部署需遵循当地电网公司要求。