《电厂工控系统网络信息安全示意图.doc》由会员分享,可在线阅读,更多相关《电厂工控系统网络信息安全示意图.doc(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电厂工控系统网络信息安全示意图 各安全设备(系统)部署方式简述:1、 工业防火墙:1.1工业防火墙(接口机)此工业防火墙使用网络串联的方式部署在安全区I和安全区II边界处,实现接口机数据从安全区向安全区传输的逻辑隔离。1.2工业防火墙(日志/网络审计)此工业防火墙使用网络串联的方式部署在安全区I和安全区II边界处,实现网络审计和日志审计数据从安全区向安全区传输的逻辑隔离。1.3工业防火墙(生产控制大区网络安全监测装置):使用网络串联的方式部署在安全区I和安全区II边界处,此工业防火墙与厂级生产控制大区网络安全监测装置相连,保证网络安全监测装置数据与安全区I的逻辑隔离。2、 日志审计:2.1日志
2、审计功能(安全区I):在安全区I机组主控、辅控及NCS控制系统需具备日志审计功能,并保留至少6个月的日志数据。 2.2日志审计(安全区):在安全区内部署1套日志审计,日志信息包括:安全区各种主机、网络及安全设备的日志;3、入侵检测:生产控制大区SIS核心交换机旁路部署1套网络入侵检测系统。4、网络审计:在安全区I各机组主控及辅控控制系统交换机镜像端口处旁路部署。5、生产控制大区网络安全监测装置:在安全区II部署1套厂级生产安全监测平台,通过安全专网收集各安全设备分析结果、日志等、以实现对生产控制大区电力工控系统的主机、网络设备、工控设备及安全设备运行状态的集中监控和展示。6、网络安全监测装置(
3、涉网):分别于安全区I和安全区II按照电网标准要求部署网络安全检测装置,采集电厂涉网区域的服务器、工作站、网络设备和安防设备自身感知的安全数据及网络安全事件,具体部署需遵循当地电网公司要求。7、正向隔离装置7.1正向隔离装置(SIS系统)使用网络串联的方式在生产控制大区与管理信息大区边界处部署,以实现物理隔离。7.2正向隔离装置(生产控制大区网络安全监测装置):使用网络串联方式,在与管理信息大区边界处部署,以实现物理隔离。7.3正向隔离装置(环保/安监/消防):使用网络串联的方式在生产控制大区与第三方监管单位边界处部署,以实现物理隔离。8、纵向加密装置:分别于安全区I与电力调度数据网的边界处以
4、及安全区II与电力调度数据网的边界处部署,以实现与调度端的双向身份认证、数据加密和访问控制。9、主机防护9.1主机防护功能(安全区I):在电厂基建期或对电力工控系统升级改造期,可对生产控制大区的站、操作员站以及服务器开展主机防护工作。与生产控制系统需须在相关检测机构测试环境中,进行各项功能的测试,通过全面测试并书面记录,确认没有影响后,方可正式上线。 9.2主机防护(安全区II):主机防护应部署在安全区II内主机及服务器上,根据业务需求确认需被防护的相关主机后,须在相关检测机构测试环境中进行各项功能的测试,通过全面测试并书面记录,确认没有影响后,方可正式上线。 对暂不具备配套主机防护功能的系统,需明确主机安全防护技术路线与整改计划进度;并采取适当的技术措施如采用手工安全配置加固和管理补偿措施。