工控系统网络信息安全技术监督检查表（总体检查）.doc

工控系统网络信息安全技术监督检查表（总体检查） 项目 检查项目 项目 分值 子项分值 评分标准 评分值 评分原因说明 编号 1 等级保护工作 100 1.1 等保测评和整改工作 100 0-50 开展过本年度的等保测评，取得相关报告。 0-50 根据年度等保测评结果制定整改计划，形成相关工作记录，并完成整改。 2 安全防护技术要求检查 650 2.1 安全分区 50 2.1.1 业务系统安全分区 50 0-30 有完整电厂生产监控系统安全防护网络拓扑图、安全网络设备部署列表与描述文档。 0-20 有完整的电厂生产监控系统安全分区表。与规范要求相符合。 2.2 网络专用 30 2.2.1 网络专用 30 0-20 电力调度数据网在物理层面上实现与本单位其它数据网及外部公用数据网的安全隔离。 0-10 电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。 2.3 边界安全防护 150 2.3.1 生产控制大区与管理信息大区边界安全防护 40 0-20 生产控制大区和管理信息大区之间部署经国家指定部门检测认证的正向安全隔离装置；单向安全隔离装置满足可靠性、传输流量等方面的要求。 0-10 禁止E-mail、WEB、Telnet、Rlogin、FTP等网络服务；禁止以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置等。 0-10 生产控制大区和管理信息大区之间业务系统未出现反向部署情况。 2.3.2 安全区I与安全区Ⅱ边界安全防护 30 0-10 安全区I与安全区Ⅱ间部署工业防火墙等硬件设备并实现逻辑隔离、报文过滤、访问控制等功能；工业防火墙的功能、性能、电磁兼容性经过国家相关部门的认证和测试。 0-10 所选工业防火墙具备对流经安全区I与安全区II工控通信协议进行解析的功能、参数设置合理并满足电厂对业务数据的通信要求。 0-10 安全区I与安全区Ⅱ间业务系统未出现反向部署情况。 2.3.3 生产控制大区系统间安全防护 30 0-30 同属安全区I内或安全区II内的各系统之间有防火墙、VLAN等逻辑访问控制。 2.3.4 纵向边界防护 30 0-30 部署经国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关及相应设施。 2.3.5 第三方边界安全防护 20 0-20 生产控制大区内个别业务(子)系统、功能模块使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信时，设立安全接入区；生产控制大区内业务系统与环保、安全等政府部门进行数据传输时采用经过国家指定部门检测认证的单向安全隔离装置。 2.4 综合防护 420 2.4.1 物理安全 60 0-20 机房、集控室、工程师间等核心重点生产防护区域和场所具备防风、防雨、防震、防潮、防火、防静电、防雷击、防盗窃、防破坏等能力。 0-20 各出入口配置电子门禁系统或配置有24小时的连续视频监控记录系统并保存至少30天以上。 0-20 进入机房的来访人员有申请和审批流程记录单，并对其活动范围具有限制和监控能力。 2.4.2 网络设备安全防护 40 0-10 对登录网络设备、安全设备采用了HTTPS、SSH等加密方式或配置堡垒机。 0-20 对登录用户进行身份鉴别及权限控制，登录用户口令满足复杂度要求，且制定有更换策略并由专人负责保管。 0-10 是否及时清理网络及安全设备上的临时用户、多余用户。 2.4.3 主机防护 110 主机加固 40 0-20 对DCS、NCS等人机交互站，厂级监控信息系统等关键应用系统的主服务器，以及网络边界处的通信网关机、Web服务器、数据库服务器等，采取了安全加固措施。 0-10 实施加固前，在测试环境中进行了操作系统及各项生产业务功能方面的测试并有完整测试记录或原厂家的安全承诺。 0-10 制订主机安全加固的审核流程与管理制度以及主机加固技术标准和加固管理的策略。 恶意代码防范 20 0-20 生产控制大区内主机采取免受恶意代码攻击的技术措施或部署恶意代码防护软件或主机白名单软件等；具有恶意代码库定期更新的工作记录。 补丁升级 20 0-20 对生产控制大区内的服务器和操作员站等上位机操作系统，严格按厂家要求和操作说明，及时升级系统补丁和应用软件补丁；在离线环境下经过完整测试并提供记录的。 外设管控 30 0-10 生产控制大区内各主机上不必要的软盘、光盘驱动、USB接口、无线、蓝牙等外设采取关闭、拆除、访问控制等严格管控措施。 0-10 禁止在生产控制大区和管理信息大区之间交叉使用USB以及便携计算机，确需外设接入的，在接入前进行了病毒查杀等安全预防措施，是否通过安全管理与技术措施实施严格监控，并履行了电厂安全接入审批手续。 0-10 对电厂必要的USB外设采取了主机白名单等技术措施，对移动介质