工控系统网络信息安全防护监控技术要求.pdf

工控系统网络信息安全防护监控技术要求--第1页

工控系统网络信息安全防护监控技术要求

工控系统的网络安全防护标准遵循“安全分区、网络专用、横

向隔离、纵向认证”原则，通过部署工业防火墙、隔离设备、网

络审计、入侵检测、日志审计等安全防护设备，以提升工控系统

网络整体防护能力。

1.1工控系统分区监督

1.1.1业务系统分置于安全区的原则

根据业务系统或其功能模块的实时性、使用者、主要功能、设

备使用场所、各业务系统的相互关系、广域网通信方式以及对生

产的影响程度等，应按照以下规则将业务系统置于相应的安全区。

对电力生产实现直接控制的系统、有实时控制功能的业务

模块以及未来对电力生产有直接控制功能的业务系统应置于控制

区，其他工控系统置于非控制区。

应尽可能将业务系统完整置于一个安全区内，当业务系统

的某些功能模块与此业务系统不属于同一个安全分区内时，可以

将其功能模块分置于相应的安全区中，经过安全区之间的安全隔

工控系统网络信息安全防护监控技术要求--第1页

工控系统网络信息安全防护监控技术要求--第2页

离设施进行通信。

不允许把应属于高安全等级区域的业务系统或其功能模

块迁移到低安全等级区域，但允许把属于低安全等级区域的业务

系统或其功能模块放置于高安全等级区域。

对不存在外部网络联系的孤立业务系统，其安全分区无特

殊要求，但需遵守所在安全区的防护要求。

1.1.2控制区（安全区I）

控制区中的业务系统或其功能模块（或子系统）的典型特

征是电力生产的重要环节，直接实现对生产的实时监控，是安全

防护的重点和核心。

使用电力调度数据网的实时子网或专用通道进行数据传

输的业务系统应划分为控制区。

1.1.3非控制区（安全区II）

非控制区中的业务系统或其功能模块（或子系统）的典型

特征是电力生产的必要环节，在线运行但不具备控制功能，与控

制区的业务系统或其功能模块联系紧密。

工控系统网络信息安全防护监控技术要求--第2页

工控系统网络信息安全防护监控技术要求--第3页

系统应按电网要求划分为独立的非控制区。

1.2工控系统边界防护监督

根据安全区划分，网络边界主要有以下几种：生产控制大区和

管理信息大区之间的网络边界，生产控制大区内控制区（安全区

I）与非控制区（安全区II）之间的边界，生产控制大区内部不同

的系统之间的边界，发电厂内生产控制大区与电力调度数据网之

间的边界，发电厂内生产控制大区的业务系统与环保、安监等政

府部门的第三方边界等。安全防护设备宜部署在安全级别高的一

侧。

1.2.1生产控制大区与管理信息大区边界安全防护

发电厂生产控制大区与管理信息大区之间的通信必须部署

经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔

离强度应达到或接近物理隔离。

电力横向单向安全隔离装置作为生产控制大区和管理信息

大区之间的必备边界防护措施，是横向防护的关键设备，应满足

可靠性、传输流量等方面的要求。

工控系统网络信息安全防护监控技术要求--第3页

工控系统网络信息安全防护监控技术要求--第4页

正向型和反向型。正向安全隔离装置用于生产控制大区到管理信

息大区的非网络方式的单向数据传输。反向安全隔离装置用于从

管理信息大区到生产控制大区的非网络方式的单向数据传输，是

管理信息大区到生产控制大区的唯一数据传输途径。

严格禁止E-mail、WEB、Telnet、Rlogin、FTP等安全风