工控系統(tǒng)網(wǎng)絡(luò)信息安全典型部署參考示意圖詳細(xì)請(qǐng)參照發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案_第1頁
工控系統(tǒng)網(wǎng)絡(luò)信息安全典型部署參考示意圖詳細(xì)請(qǐng)參照發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案_第2頁
工控系統(tǒng)網(wǎng)絡(luò)信息安全典型部署參考示意圖詳細(xì)請(qǐng)參照發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案_第3頁
工控系統(tǒng)網(wǎng)絡(luò)信息安全典型部署參考示意圖詳細(xì)請(qǐng)參照發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案_第4頁
工控系統(tǒng)網(wǎng)絡(luò)信息安全典型部署參考示意圖詳細(xì)請(qǐng)參照發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、工控系統(tǒng)網(wǎng)絡(luò)信息安全典型部署參考示意圖(詳細(xì)請(qǐng)參照發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案)假設(shè)典型環(huán)境:某新建電廠裝機(jī)容量2*300MW,含2套DCS系統(tǒng)及1套輔控系統(tǒng),DCS機(jī)組為A B雙網(wǎng)結(jié)構(gòu),需按3級(jí)等保要求進(jìn)行網(wǎng)絡(luò)安全防護(hù),各安全設(shè)備(系統(tǒng))部署參考示意圖如下。圖3 電廠工控系統(tǒng)網(wǎng)絡(luò)信息安全典型部署參考示意圖 表4電廠工控系統(tǒng)網(wǎng)絡(luò)信息安全典型部署列表序號(hào)安 全 設(shè) 備(系 統(tǒng))名稱部 署 位 置部 署模 式參 考數(shù) 量備 注1.1工業(yè)防火墻(接口機(jī))安全區(qū)I和安全區(qū)II邊界網(wǎng)絡(luò)串聯(lián)3臺(tái)(依接口機(jī)數(shù)量定)安全區(qū)I向SIS傳輸數(shù)據(jù)的業(yè)務(wù)系統(tǒng)需單獨(dú)部署工業(yè)防火墻。1.2工業(yè)防火墻(日志 / 網(wǎng)絡(luò)審計(jì))安

2、全區(qū)I和安全區(qū)II邊界網(wǎng)絡(luò)串聯(lián)1 臺(tái)此防火墻應(yīng)具備高吞吐量的性能。1.3工業(yè)防火墻(生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全監(jiān)測裝置)安全區(qū)I和安全區(qū)II邊界網(wǎng)絡(luò)串聯(lián)1 臺(tái)安全區(qū)I傳輸數(shù)據(jù)至廠級(jí)生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全監(jiān)測裝置處,須單獨(dú)部署工業(yè)防火墻。2.1日志審計(jì)功能 (安全區(qū)I)安全區(qū)I內(nèi)此功能實(shí)現(xiàn)對(duì)安全區(qū)I機(jī)組主控輔控系統(tǒng)及NCS控制系統(tǒng)的日志審計(jì),并保留至少6個(gè)月的日志數(shù)據(jù)。2.2日志審計(jì)(安全區(qū)II)安全區(qū)II核心交換機(jī)網(wǎng)絡(luò)可達(dá)1臺(tái)在安全區(qū)II應(yīng)單獨(dú)部署一臺(tái)日志審計(jì)。 3入侵檢測安全區(qū)II核心交換機(jī)旁路鏡像1臺(tái)4網(wǎng)絡(luò)審計(jì)安全區(qū)I內(nèi) 旁路鏡像3臺(tái)在安全區(qū)I機(jī)組主控DCS及輔控系統(tǒng)中應(yīng)單獨(dú)部署一臺(tái)網(wǎng)絡(luò)審計(jì)。5生

3、產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全監(jiān)測裝置安全區(qū)II核心交換機(jī)網(wǎng)絡(luò)串聯(lián)1套實(shí)現(xiàn)對(duì)電力工控系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)的采集存儲(chǔ)6網(wǎng)絡(luò)安全監(jiān)測裝置(涉網(wǎng)側(cè))安全區(qū)I /安全區(qū)II和電力調(diào)度數(shù)據(jù)網(wǎng)邊界網(wǎng)絡(luò)串聯(lián)2套滿足電網(wǎng)側(cè)安全監(jiān)控需求,同時(shí)數(shù)據(jù)需同步上傳到廠級(jí)生產(chǎn)安全監(jiān)測平臺(tái)。7.1正向隔離裝置(SIS系統(tǒng))生產(chǎn)控制大區(qū)和管理信息大區(qū)邊界網(wǎng)絡(luò)串聯(lián)1臺(tái)此設(shè)備為電力專用橫向單向安全隔離裝置。7.2正向隔離裝置(生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全監(jiān)測裝置)生產(chǎn)控制大區(qū)的廠級(jí)生產(chǎn)安全檢測平臺(tái)和管理信息大區(qū)邊界網(wǎng)絡(luò)串聯(lián)1臺(tái)此設(shè)備為電力專用橫向單向安全隔離裝置。7.3正向隔離裝置(環(huán)保/安監(jiān)/消防)生產(chǎn)控制大區(qū)和第三方監(jiān)管單位邊界網(wǎng)絡(luò)串聯(lián)1臺(tái)原則上所

4、有外傳到第三方監(jiān)管單位的數(shù)據(jù)都需經(jīng)過正向隔離網(wǎng)閘,網(wǎng)閘須滿足當(dāng)?shù)丨h(huán)保等監(jiān)管部門及電網(wǎng)的配置要求。8縱向加密裝置安全區(qū)I /安全區(qū)II與電力調(diào)度數(shù)據(jù)網(wǎng)邊界處 網(wǎng)絡(luò)串聯(lián)2臺(tái) 應(yīng)滿足當(dāng)?shù)仉娋W(wǎng)對(duì)安全監(jiān)控需求。9.1主機(jī)防護(hù)功能 ( 安全區(qū)I )安全區(qū)I內(nèi)各操作員站/站實(shí)現(xiàn)對(duì)主控及輔控DCS站、操作員站等主機(jī)進(jìn)行防護(hù),須在國家相關(guān)部門認(rèn)證的檢測機(jī)構(gòu)檢測,確認(rèn)無影響后,后方可部署。9.2主機(jī)防護(hù) (安全區(qū)II)安全區(qū)II內(nèi)各接口站/服務(wù)器本機(jī)部署依據(jù)主機(jī)數(shù)量根據(jù)業(yè)務(wù)需求確認(rèn)需被防護(hù)的相關(guān)主機(jī)后,須在相關(guān)檢測機(jī)構(gòu)測試環(huán)境中進(jìn)行各項(xiàng)功能的測試,確認(rèn)無影響后,后方可部署。 各安全設(shè)備(系統(tǒng))部署方式簡述:工業(yè)防

5、火墻:1.1工業(yè)防火墻(接口機(jī))此工業(yè)防火墻使用網(wǎng)絡(luò)串聯(lián)的方式部署在安全區(qū)I和安全區(qū)II邊界處,實(shí)現(xiàn)接口機(jī)數(shù)據(jù)從安全區(qū)向安全區(qū)傳輸?shù)倪壿嫺綦x。1.2工業(yè)防火墻(日志/網(wǎng)絡(luò)審計(jì))此工業(yè)防火墻使用網(wǎng)絡(luò)串聯(lián)的方式部署在安全區(qū)I和安全區(qū)II邊界處,實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)和日志審計(jì)數(shù)據(jù)從安全區(qū)向安全區(qū)傳輸?shù)倪壿嫺綦x。1.3工業(yè)防火墻(生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全監(jiān)測裝置):使用網(wǎng)絡(luò)串聯(lián)的方式部署在安全區(qū)I和安全區(qū)II邊界處,此工業(yè)防火墻與廠級(jí)生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全監(jiān)測裝置相連,保證網(wǎng)絡(luò)安全監(jiān)測裝置數(shù)據(jù)與安全區(qū)I的邏輯隔離。日志審計(jì):2.1日志審計(jì)功能(安全區(qū)I):在安全區(qū)I機(jī)組主控、輔控及NCS控制系統(tǒng)需具備日志審計(jì)功能,

6、并保留至少6個(gè)月的日志數(shù)據(jù)。 2.2日志審計(jì)(安全區(qū)):在安全區(qū)內(nèi)部署1套日志審計(jì),日志信息包括:安全區(qū)各種主機(jī)、網(wǎng)絡(luò)及安全設(shè)備的日志;3、入侵檢測:生產(chǎn)控制大區(qū)SIS核心交換機(jī)旁路部署1套網(wǎng)絡(luò)入侵檢測系統(tǒng)。4、網(wǎng)絡(luò)審計(jì):在安全區(qū)I各機(jī)組主控及輔控控制系統(tǒng)交換機(jī)鏡像端口處旁路部署。5、生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全監(jiān)測裝置:在安全區(qū)II部署1套廠級(jí)生產(chǎn)安全監(jiān)測平臺(tái),通過安全專網(wǎng)收集各安全設(shè)備分析結(jié)果、日志等、以實(shí)現(xiàn)對(duì)生產(chǎn)控制大區(qū)電力工控系統(tǒng)的主機(jī)、網(wǎng)絡(luò)設(shè)備、工控設(shè)備及安全設(shè)備運(yùn)行狀態(tài)的集中監(jiān)控和展示。6、網(wǎng)絡(luò)安全監(jiān)測裝置(涉網(wǎng)):分別于安全區(qū)I和安全區(qū)II按照電網(wǎng)標(biāo)準(zhǔn)要求部署網(wǎng)絡(luò)安全檢測裝置,采集電廠涉

7、網(wǎng)區(qū)域的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備和安防設(shè)備自身感知的安全數(shù)據(jù)及網(wǎng)絡(luò)安全事件,具體部署需遵循當(dāng)?shù)仉娋W(wǎng)公司要求。7、正向隔離裝置7.1正向隔離裝置(SIS系統(tǒng))使用網(wǎng)絡(luò)串聯(lián)的方式在生產(chǎn)控制大區(qū)與管理信息大區(qū)邊界處部署,以實(shí)現(xiàn)物理隔離。7.2正向隔離裝置(生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全監(jiān)測裝置):使用網(wǎng)絡(luò)串聯(lián)方式,在與管理信息大區(qū)邊界處部署,以實(shí)現(xiàn)物理隔離。7.3正向隔離裝置(環(huán)保/安監(jiān)/消防):使用網(wǎng)絡(luò)串聯(lián)的方式在生產(chǎn)控制大區(qū)與第三方監(jiān)管單位邊界處部署,以實(shí)現(xiàn)物理隔離。8、縱向加密裝置:分別于安全區(qū)I與電力調(diào)度數(shù)據(jù)網(wǎng)的邊界處以及安全區(qū)II與電力調(diào)度數(shù)據(jù)網(wǎng)的邊界處部署,以實(shí)現(xiàn)與調(diào)度端的雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。9、主機(jī)防護(hù)9.1主機(jī)防護(hù)功能(安全區(qū)I):在電廠基建期或?qū)﹄娏た叵到y(tǒng)升級(jí)改造期,可對(duì)生產(chǎn)控制大區(qū)的站、操作員站以及服務(wù)器開展主機(jī)防護(hù)工作。與生產(chǎn)控制系統(tǒng)需須在相關(guān)檢測機(jī)構(gòu)測試環(huán)境中,進(jìn)行各項(xiàng)功能的測試,通過全面測試并書面記錄,確認(rèn)沒有影響后,方可正式上線。 9.2主機(jī)防護(hù)(安全區(qū)II):主機(jī)防護(hù)應(yīng)部署在安全區(qū)II內(nèi)主機(jī)及服務(wù)器上,根據(jù)業(yè)務(wù)需求確認(rèn)需被防護(hù)的相關(guān)主機(jī)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論