工控系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)監(jiān)督檢查表

1、工控系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)監(jiān)督檢查表（總體檢查）項目檢查項目項目分值子項分值評分標(biāo)準(zhǔn)評分值評分原因說明編號1等級保護工作1001.1等保測評和整改工作1000-50開展過本年度的等保測評，取得相 關(guān)報告。0-50根據(jù)年度等保測評結(jié)果制定整改計 劃，形成相關(guān)工作記錄，并完成整 改。2安全防護技術(shù)要求檢查6502.1安全分區(qū)50業(yè)務(wù)系統(tǒng)安全分區(qū)500-30有完整電廠生產(chǎn)監(jiān)控系統(tǒng)安全防護 網(wǎng)絡(luò)拓?fù)鋱D、安全網(wǎng)絡(luò)設(shè)備部署列 表與描述文檔。0-20有完整的電廠生產(chǎn)監(jiān)控系統(tǒng)安全分區(qū)表。與規(guī)范要求相符合。2.2網(wǎng)絡(luò)專用30網(wǎng)絡(luò)專用300-20電力調(diào)度數(shù)據(jù)網(wǎng)在物理層面上實現(xiàn) 與本單位其它數(shù)據(jù)網(wǎng)及外部公用數(shù) 據(jù)網(wǎng)的

2、安全隔離。0-10電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的 實時子網(wǎng)和非實時子網(wǎng)，分別連接 控制區(qū)和非控制區(qū)。2.3邊界安全防護150生產(chǎn)控制大區(qū) 與管理信息大 區(qū)邊界安全防 護400-20生產(chǎn)控制大區(qū)和管理信息大區(qū)之間 部署經(jīng)國家指定部門檢測認(rèn)證的正 向安全隔離裝置；單向安全隔離裝 置滿足可靠性、傳輸流量等方面的 要求。0-10禁止 E-mail、WEB Tel net、Rlogi n、FTP等網(wǎng)絡(luò)服務(wù)；禁止以 B/S或C/S方式的數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置等。0-10生產(chǎn)控制大區(qū)和管理信息大區(qū)之間項目檢查項目項目分值子項分值評分標(biāo)準(zhǔn)評分值評分原因說明編號業(yè)務(wù)系統(tǒng)未岀現(xiàn)反向部署情況。232

3、安全區(qū)1與安全區(qū)H邊界安全防護300-10安全區(qū)1與安全區(qū)H間部署工業(yè)防 火墻等硬件設(shè)備并實現(xiàn)邏輯隔離、 報文過濾、訪問控制等功能；工業(yè) 防火墻的功能、性能、電磁兼容性 經(jīng)過國家相關(guān)部門的認(rèn)證和測試。0-10所選工業(yè)防火墻具備對流經(jīng)安全區(qū)I與安全區(qū)II工控通信協(xié)議進行解 析的功能、參數(shù)設(shè)置合理并滿足電 廠對業(yè)務(wù)數(shù)據(jù)的通信要求。0-10安全區(qū)1與安全區(qū)H間業(yè)務(wù)系統(tǒng)未 岀現(xiàn)反向部署情況。233生產(chǎn)控制大區(qū)系統(tǒng)間安全防護300-30同屬安全區(qū)1內(nèi)或安全區(qū)II內(nèi)的各 系統(tǒng)之間有防火墻、VLAN等邏輯訪 問控制?？v向邊界防護300-30部署經(jīng)國家指定部門檢測認(rèn)證的電 力專用縱向加密認(rèn)證裝置或加密認(rèn) 證網(wǎng)

4、關(guān)及相應(yīng)設(shè)施。第三方邊界安全防護200-20生產(chǎn)控制大區(qū)內(nèi)個別業(yè)務(wù)（子）系統(tǒng)、功能模塊使用公用通信網(wǎng)絡(luò)、 無線通信網(wǎng)絡(luò)以及處于非可控狀態(tài) 下的網(wǎng)絡(luò)設(shè)備與終端等進行通信 時，設(shè)立安全接入?yún)^(qū)；生產(chǎn)控制大 區(qū)內(nèi)業(yè)務(wù)系統(tǒng)與環(huán)保、安全等政府 部門進行數(shù)據(jù)傳輸時采用經(jīng)過國家 指定部門檢測認(rèn)證的單向安全隔離 裝置。2.4綜合防護420物理安全600-20機房、集控室、工程師間等核心重 點生產(chǎn)防護區(qū)域和場所具備防風(fēng)、 防雨、防震、防潮、防火、防靜電、 防雷擊、防盜竊、防破壞等能力。0-20各岀入口配置電子門禁系統(tǒng)或配置 有24小時的連續(xù)視頻監(jiān)控記錄系統(tǒng) 并保存至少30天以上。項目檢查項目項目分值子項分值評分標(biāo)

5、準(zhǔn)評分值評分原因說明編號0-20進入機房的來訪人員有申請和審批 流程記錄單，并對其活動范圍具有 限制和監(jiān)控能力。242網(wǎng)絡(luò)設(shè)備安全防護400-10對登錄網(wǎng)絡(luò)設(shè)備、安全設(shè)備采用了HTTPS SSH等加密方式或配置堡壘 機。0-20對登錄用戶進行身份鑒別及權(quán)限控 制，登錄用戶口令滿足復(fù)雜度要求， 且制定有更換策略并由專人負(fù)責(zé)保 管。0-10是否及時清理網(wǎng)絡(luò)及安全設(shè)備上的 臨時用戶、多余用戶。243主機防護110243.1主機加固400-20對DCS NCS等人機交互站，廠級監(jiān) 控信息系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服 務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān) 機、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等， 采取了安全加固措施。0

6、-10實施加固前，在測試環(huán)境中進行了 操作系統(tǒng)及各項生產(chǎn)業(yè)務(wù)功能方面 的測試并有完整測試記錄或原廠家 的安全承諾。0-10制訂主機安全加固的審核流程與管 理制度以及主機加固技術(shù)標(biāo)準(zhǔn)和加 固管理的策略。243.2惡意代碼防范200-20生產(chǎn)控制大區(qū)內(nèi)主機采取免受惡意 代碼攻擊的技術(shù)措施或部署惡意代 碼防護軟件或主機白名單軟件等； 具有惡意代碼庫定期更新的工作記 錄。補丁升級200-20對生產(chǎn)控制大區(qū)內(nèi)的服務(wù)器和操作 員站等上位機操作系統(tǒng)，嚴(yán)格按廠 家要求和操作說明，及時升級系統(tǒng) 補丁和應(yīng)用軟件補?。辉陔x線環(huán)境 下經(jīng)過完整測試并提供記錄的。項目檢查項目項目分值子項分值評分標(biāo)準(zhǔn)評分值評分原因說明編號

7、243.4外設(shè)管控300-10生產(chǎn)控制大區(qū)內(nèi)各主機上不必要的 軟盤、光盤驅(qū)動、USB接口、無線、藍牙等外設(shè)采取關(guān)閉、拆除、訪問 控制等嚴(yán)格管控措施。0-10禁止在生產(chǎn)控制大區(qū)和管理信息大 區(qū)之間交叉使用 USB以及便攜計算 機，確需外設(shè)接入的，在接入前進 行了病毒查殺等安全預(yù)防措施，是 否通過安全管理與技術(shù)措施實施嚴(yán) 格監(jiān)控，并履行了電廠安全接入審 批手續(xù)。0-10對電廠必要的 USB外設(shè)采取了主機 白名單等技術(shù)措施，對移動介質(zhì)的 插入、拷貝、寫入等操作具有安全 審計功能。244入侵檢測300-30在生產(chǎn)控制大區(qū)和管理信息大區(qū)間 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)的；設(shè)置了 包含有工控系統(tǒng)專有攻擊特征庫的

8、檢測規(guī)則的。遠(yuǎn)程訪問300-20禁止其他設(shè)備生產(chǎn)廠商或其它外部 企業(yè)（單位）遠(yuǎn)程連接電廠生產(chǎn)控制 大區(qū)中的業(yè)務(wù)系統(tǒng)及設(shè)備。0-10對于電廠內(nèi)部遠(yuǎn)程訪冋業(yè)務(wù)系統(tǒng)的 情況，進行身份認(rèn)證及權(quán)限控制， 并采用會話認(rèn)證、加密與抗抵賴、 日志審計等安全機制。安全審計600-30網(wǎng)絡(luò)審計：生產(chǎn)控制大區(qū)各關(guān)鍵生 產(chǎn)系統(tǒng)內(nèi)部署網(wǎng)絡(luò)流量審計設(shè)備； 具備針對工控協(xié)議的深度包協(xié)議解 析、及時發(fā)現(xiàn)隱藏在正常流量中的 異常數(shù)據(jù)包、實時檢測針對工業(yè)協(xié) 議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶 違規(guī)操作、違規(guī)外聯(lián)、非法設(shè)備接 入等內(nèi)網(wǎng)異常行為的功能。0-30日志審計：安全II區(qū)內(nèi)部署一套日項目檢查項目項目分值子項分值評分標(biāo)準(zhǔn)評分值評分

9、原因說明編號志審計設(shè)備的；在安全 1區(qū)機組主 控DCS輔控系統(tǒng)即NCS系統(tǒng)需具備 日志審計功能；保證至少 6個月的 日志數(shù)據(jù)。247網(wǎng)絡(luò)安全監(jiān)測裝置200-10在安全區(qū)II內(nèi)部署廠級生產(chǎn)安全監(jiān) 測平臺，具備實時監(jiān)測生產(chǎn)監(jiān)控系 統(tǒng)的主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備運 行狀態(tài)和日志采集，進行集中化的 性能狀態(tài)監(jiān)控、日志分析及安全事 件的集中展示的功能。0-10監(jiān)測平臺留有與集團公司工控安全 監(jiān)測平臺的數(shù)據(jù)接口，跨區(qū)間的安 全數(shù)據(jù)傳輸，在邊界處部署了單向 安全隔離裝置、工業(yè)防火墻。248網(wǎng)絡(luò)安全監(jiān)測裝置300-20部署了網(wǎng)絡(luò)安全監(jiān)測裝置并實現(xiàn)了 采集涉網(wǎng)區(qū)域內(nèi)設(shè)備安全數(shù)據(jù)及網(wǎng) 絡(luò)安全事件的功能；對電廠網(wǎng)絡(luò)安

10、 全事件進行本地監(jiān)視和管理并轉(zhuǎn)發(fā) 至調(diào)控機構(gòu)網(wǎng)絡(luò)安全監(jiān)管平臺的數(shù) 據(jù)網(wǎng)關(guān)機。（涉網(wǎng)）0-10網(wǎng)絡(luò)安全監(jiān)測裝置可以將數(shù)據(jù)同步 傳輸至廠級生產(chǎn)安全監(jiān)測平臺，并 對傳輸網(wǎng)絡(luò)通道實施合規(guī)的安全防 護。249備份與容災(zāi)400-10對生產(chǎn)監(jiān)控系統(tǒng)的數(shù)據(jù)備份依據(jù)重 要性實現(xiàn)了分級管理，并確保重要 業(yè)務(wù)數(shù)據(jù)雙備份以及在故障發(fā)生時 至少可異機恢復(fù)至一天前數(shù)據(jù)。0-20對關(guān)鍵主機設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵 部件進行了冗余配置；有備份數(shù)據(jù) 文件清單且不存在將備份數(shù)據(jù)文件 保存在本機磁盤、移動存儲等不安 全存儲介質(zhì)上的現(xiàn)象。0-10定期對關(guān)鍵業(yè)務(wù)的數(shù)據(jù)進行備份，對生產(chǎn)運行等重要數(shù)據(jù)實現(xiàn)雙備份項目檢查項目項目分值子項分值評分

11、標(biāo)準(zhǔn)評分值評分原因說明編號并保存12個月。3安全防護建設(shè)管理要求檢查2503.1組織機構(gòu)400-20明確電廠工控系統(tǒng)網(wǎng)絡(luò)信息安全防 護職責(zé)歸口管理部門為信息化及網(wǎng) 絡(luò)安全領(lǐng)導(dǎo)小組，確定企業(yè)負(fù)責(zé)人 作為生產(chǎn)監(jiān)控系統(tǒng)安全主要責(zé)任 人，并指定專人負(fù)責(zé)本單位所轄生 產(chǎn)監(jiān)控系統(tǒng)的公共安全設(shè)施，明確 了各業(yè)務(wù)系統(tǒng)專責(zé)人的安全管理責(zé) 任。建立了總工程師、工控系統(tǒng)網(wǎng) 絡(luò)信息安全技術(shù)監(jiān)督專責(zé)、各專業(yè) 部門網(wǎng)絡(luò)安全員的三級技術(shù)監(jiān)督 網(wǎng)。0-20對各個部門和崗位的職責(zé)明確授權(quán) 審批事項、審批部門和批準(zhǔn)人。對 于系統(tǒng)變更、重要操作、物理訪問 和系統(tǒng)接入等事項建立審批程序并 按照審批程序執(zhí)行審批過程，對重 要活動建立逐

12、級審批制度，記錄審 批過程并保存審批文檔。3.2人員管理400-10各單位及業(yè)務(wù)部門設(shè)置信息安全專 職崗位和人員，并簽署保密協(xié)議。0-10人員變動、崗位調(diào)整后建立有撤銷 權(quán)限流程。0-10每年開展工控系統(tǒng)網(wǎng)絡(luò)信息安全培 訓(xùn)。0-10與第三方外包人員簽署保密協(xié)議， 系統(tǒng)使用權(quán)限遵循權(quán)限最小化原 則；當(dāng)崗位調(diào)整時能及時向相關(guān)負(fù) 責(zé)人提出變更申請，離職時能及時 收回人員的相關(guān)證件，并在系統(tǒng)做 注銷等相應(yīng)處理。3.3管理制度300-10制訂門禁、人員、權(quán)限、訪問控制 管理制度。項目檢查項目項目分值子項分值評分標(biāo)準(zhǔn)評分值評分原因說明編號0-10制訂安全防護系統(tǒng)的維護、常規(guī)設(shè) 備及各系統(tǒng)的維護管理制度。0

13、-10制訂惡意代碼防護、審計、數(shù)據(jù)及 系統(tǒng)的備份、用戶口令、安全培訓(xùn) 等管理制度。3.4系統(tǒng)建設(shè)300-20系統(tǒng)建設(shè)所涉及到的軟硬件系統(tǒng)、 設(shè)備及專用信息安全產(chǎn)品符合國家 及行業(yè)資質(zhì)、質(zhì)量標(biāo)準(zhǔn)等相關(guān)規(guī)定 與要求，自行開發(fā)或外包開發(fā)的軟 件產(chǎn)品投運前進行安全評估并留有 相關(guān)工作記錄。0-10選定的施工建設(shè)單位和安全服務(wù)商 具備國家和行業(yè)主管部門要求的資 質(zhì)；與選定的安全服務(wù)商簽訂安全 保護承諾等相關(guān)協(xié)議并明確約定相 關(guān)責(zé)任并簽署保密協(xié)議。3.5系統(tǒng)運維500-10分別對各類設(shè)備、介質(zhì)、資產(chǎn)、網(wǎng) 絡(luò)、業(yè)務(wù)系統(tǒng)制訂了安全管理制度 并在存放環(huán)境、使用以及銷毀、報 廢等方面做出了詳細(xì)規(guī)定，并建立 了安全審計管理制度。0-10指定專人對網(wǎng)絡(luò)和主機進行惡意代 碼檢測并保存檢測記錄。0-20對移動存儲設(shè)備、重要文檔的安全 管理具有完整、清晰的工作記錄； 對終端計算機、工作站、便攜機、 系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作符合規(guī)范 化管理要求。0-10建立了密碼使用管理制