admin管理员组文章数量:1532046
2024年6月16日发(作者:)
电厂工控系统网络信息安全示意图
各安全设备(系统)部署方式简述:
1、 工业防火墙:
1.1工业防火墙(接口机)
此工业防火墙使用网络串联的方式部署在安全区I和安
全区II边界处,实现接口机数据从安全区Ⅰ向安全区Ⅱ传
输的逻辑隔离。
1.2工业防火墙(日志/网络审计)
此工业防火墙使用网络串联的方式部署在安全区I和安
全区II边界处,实现网络审计和日志审计数据从安全区Ⅰ
向安全区Ⅱ传输的逻辑隔离。
1.3工业防火墙(生产控制大区网络安全监测装置):
使用网络串联的方式部署在安全区I和安全区II边界
处,此工业防火墙与厂级生产控制大区网络安全监测装置相
连,保证网络安全监测装置数据与安全区I的逻辑隔离。
2、 日志审计:
2.1日志审计功能(安全区I):
在安全区I机组主控、辅控及NCS控制系统需具备日志
审计功能,并保留至少6个月的日志数据。
2.2日志审计(安全区Ⅱ):
在安全区Ⅱ内部署1套日志审计,日志信息包括:安全
区Ⅱ各种主机、网络及安全设备的日志;
3、入侵检测:生产控制大区SIS核心交换机旁路部署1
套网络入侵检测系统。
4、网络审计:在安全区I各机组主控及辅控控制系统
交换机镜像端口处旁路部署。
5、生产控制大区网络安全监测装置:在安全区II部署
1套厂级生产安全监测平台,通过安全专网收集各安全设备
分析结果、日志等、以实现对生产控制大区电力工控系统的
主机、网络设备、工控设备及安全设备运行状态的集中监控
和展示。
6、网络安全监测装置(涉网):分别于安全区I和安
全区II按照电网标准要求部署网络安全检测装置,采集电
厂涉网区域的服务器、工作站、网络设备和安防设备自身感
知的安全数据及网络安全事件,具体部署需遵循当地电网公
司要求。
7、正向隔离装置
7.1正向隔离装置(SIS系统)
使用网络串联的方式在生产控制大区与管理信息大区
边界处部署,以实现物理隔离。
7.2正向隔离装置(生产控制大区网络安全监测装置):
使用网络串联方式,在与管理信息大区边界处部署,以
实现物理隔离。
7.3正向隔离装置(环保/安监/消防):
使用网络串联的方式在生产控制大区与第三方监管单
位边界处部署,以实现物理隔离。
8、纵向加密装置:分别于安全区I与电力调度数据网
的边界处以及安全区II与电力调度数据网的边界处部署,
以实现与调度端的双向身份认证、数据加密和访问控制。
9、主机防护
9.1主机防护功能(安全区I):
在电厂基建期或对电力工控系统升级改造期,可对生产
控制大区的站、操作员站以及服务器开展主机防护工作。
与生产控制系统需须在相关检测机构测试环境中,进行
各项功能的测试,通过全面测试并书面记录,确认没有影响
后,方可正式上线。
9.2主机防护(安全区II):
主机防护应部署在安全区II内主机及服务器上,根据
业务需求确认需被防护的相关主机后,须在相关检测机构测
试环境中进行各项功能的测试,通过全面测试并书面记录,
确认没有影响后,方可正式上线。
对暂不具备配套主机防护功能的系统,需明确主机安全
防护技术路线与整改计划进度;并采取适当的技术措施如采
用手工安全配置加固和管理补偿措施。
版权声明:本文标题:电厂工控系统网络信息安全示意图 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/shuma/1718505886a689348.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论