工控系统网络信息安全典型部署参考示意图详细请参照发电厂监控系统安全防护方案 5页

工控系统网络信息安全典型部署参考示意图（详细请参照发电厂监控系统安全防护方案）假设典型环境：某新建电厂装机容量2*300MW，含2套DCS系统及1套辅控系统，DCS机组为AB双网结构，需按3级等保要求进行网络安全防护，各安全设备（系统）部署参考示意图如下。图3电厂工控系统网络信息安全典型部署参考示意图\n表4电厂工控系统网络信息安全典型部署列表序号安全设备（系统）名称部署位置部署模式参考数量备注1.1工业防火墙（接口机）安全区I和安全区II边界网络串联3台（依接口机数量定）安全区I向SIS传输数据的业务系统需单独部署工业防火墙。1.2工业防火墙（日志/网络审计）安全区I和安全区II边界网络串联1台此防火墙应具备高吞吐量的性能。1.3工业防火墙（生产控制大区网络安全监测装置）安全区I和安全区II边界网络串联1台安全区I传输数据至厂级生产控制大区网络安全监测装置处，须单独部署工业防火墙。2.1日志审计功能(安全区I）安全区I内此功能实现对安全区I机组主控辅控系统及NCS控制系统的日志审计，并保留至少6个月的日志数据。2.2日志审计（安全区II）安全区II核心交换机网络可达1台在安全区II应单独部署一台日志审计。3入侵检测安全区II核心交换机旁路镜像1台4网络审计安全区I内旁路镜像3台在安全区I机组主控DCS及辅控系统中应单独部署一台网络审计。5生产控制大区网络安全监测装置安全区II核心交换机网络串联1套实现对电力工控系统网络安全数据的采集存储6网络安全监测装置（涉网侧）安全区I/安全区II和电力调度数据网边界网络串联2套满足电网侧安全监控需求，同时数据需同步上传到厂级生产安全监测平台。7.1正向隔离装置（SIS系统）生产控制大区和管理信息大区边界网络串联1台此设备为电力专用横向单向安全隔离装置。7.2正向隔离装置（生产控制大区网络安全监测装置）生产控制大区的厂级生产安全检测平台和管理信息大区边界网络串联1台此设备为电力专用横向单向安全隔离装置。7.3正向隔离装置网络串联1台原则上所有外传到第三方监管单位的数据都需经过正向隔离网闸，\n（环保/安监/消防）生产控制大区和第三方监管单位边界网闸须满足当地环保等监管部门及电网的配置要求。8纵向加密装置安全区I/安全区II与电力调度数据网边界处网络串联2台应满足当地电网对安全监控需求。9.1主机防护功能（安全区I）安全区I内各操作员站/站实现对主控及辅控DCS站、操作员站等主机进行防护，须在国家相关部门认证的检测机构检测，确认无影响后，后方可部署。9.2主机防护（安全区II）安全区II内各接口站/服务器本机部署依据主机数量根据业务需求确认需被防护的相关主机后，须在相关检测机构测试环境中进行各项功能的测试，确认无影响后，后方可部署。\n各安全设备（系统）部署方式简述：1、工业防火墙：1.1工业防火墙（接口机）此工业防火墙使用网络串联的方式部署在安全区I和安全区II边界处，实现接口机数据从安全区Ⅰ向安全区Ⅱ传输的逻辑隔离。1.2工业防火墙（日志/网络审计）此工业防火墙使用网络串联的方式部署在安全区I和安全区II边界处，实现网络审计和日志审计数据从安全区Ⅰ向安全区Ⅱ传输的逻辑隔离。1.3工业防火墙（生产控制大区网络安全监测装置）：使用网络串联的方式部署在安全区I和安全区II边界处，此工业防火墙与厂级生产控制大区网络安全监测装置相连，保证网络安全监测装置数据与安全区I的逻辑隔离。2、日志审计：2.1日志审计功能（安全区I）：在安全区I机组主控、辅控及NCS控制系统需具备日志审计功能，并保留至少6个月的日志数据。2.2日志审计（安全区Ⅱ）：在安全区Ⅱ内部署1套日志审计，日志信息包括：安全区Ⅱ各种主机、网络及安全设备的日志；3、入侵检测：生产控制大区SIS核心交换机旁路部署1套网络入侵检测系统。4、网络审计：在安全区I各机组主控及辅控控制系统交换机镜像端口处旁路部署。5、生产控制大区网络安全监测装置：在安全区II部署1套厂级生产安全监测平台，通过安全专网收集各安全设备分析结果、日志等、以实现对生产控制大区电力工控系统的主机、网络设备、工控设备及安全设备运行状态的集中监控和展示。6、网络安全监测装置（涉网）：分别于安全区I和安全区II按照电网标准要求部署网络安全检测装置，采集电厂涉网区域的服务器、工作站、网络设备和安防设备自身感知的安全数据及网络安全事件，具体部署需遵循当地电网公司要求。7、正向隔离装置7.1正向隔离装置（SIS系统）使用网络串联的方式在生产控制大区与管理信息大区边界处部署，以实现物理隔离。7.2正向隔离装置（生产控制大区网络安全监测装置）：\n使用网络串联方式，在与管理信息大区边界处部署，以实现物理隔离。7.3正向隔离装置（环保/安监/消防）：使用网络串联的方式在生产控制大区与第三方监管单位边界处部署，以实现物理隔离。8、纵向加密装置：分别于安全区I与电力调度数据网的边界处以及安全区II与电力调度数据网的边界处部署，以实现与调度端的双向身份认证、数据加密和访问控制。9、主机防护9.1主机防护功能（安全区I）：在电厂基建期或对电力工控系统升级改造期，可对生产控制大区的站、操作员站以及服务器开展主机防护工作。与生产控制系统需须在相关检测机构测试环境中，进行各项功能的测试，通过全面测试并书面记录，确认没有影响后，方可正式上线。9.2主机防护（安全区II）：主机防护应部署在安全区II内主机及服务器上，根据业务需求确认需被防护的相关主机后，须在相关检测机构测试环境中进行各项功能的测试，通过全面测试并书面记录，确认没有影响后，方可正式上线。对暂不具备配套主机防护功能的系统，需明确主机安全防护技术路线与整改计划进度；并采取适当的技术措施如采用手工安全配置加固和管理补偿措施。