发电厂工控系统网络信息安全防护典型部署列表
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
发电厂工控系统网络信息安全防护典型部署列表
序号安全设备
(系统)
名称
部署位置
部署模
式
参考
数量
备注
1.1 工业防火
墙(接口
机)
安全区I
和安全区
II边界
网络串
联
3台
(依
接口
机数
量定)
安全区I向SIS传输数据
的业务系统需单独部署
工业防火墙
1.2 工业防火
墙(日志/
网络审
计)
安全区I
和安全区
II边界
网络串
联
1 台
此防火墙应具备高吞吐
量的性能
1.3 工业防火
墙(生产
控制大区
网络安全
监测装
置)
安全区I
和安全区
II边界
网络串
联
1 台
安全区I传输数据至厂
级生产控制大区网络安
全监测装置处,须单独部
署工业防火墙
2.1
日志审计
功能安全区I
内
此功能实现对安全区I
机组主控辅控系统及NCS
(安全区I)控制系统的日志审计,并保留至少6个月的日志数据
2.2 日志审计
(安全区
II)
安全区
II核心
交换机
网络可
达
1台
在安全区II应单独部署
一台日志审计
3 入侵检测安全区
II核心
交换机
旁路镜
像
1台
4 网络审计
安全区I
内旁路镜
像
3台
在安全区I机组主控DCS
及辅控系统中应单独部
署一台网络审计
5 生产控制
大区网络
安全监测
装置
安全区
II核心
交换机
网络串
联
1套
实现对工控系统网络安
全数据的采集存储
6 网络安全
监测装置
(涉网
侧)
安全区I
/安全区
II和电
力调度数
据网边界
网络串
联
2套
满足电网侧安全监控需
求,同时数据需同步上传
到厂级生产安全监测平
台
7.1 正向隔离生产控制网络串1台此设备为电力专用横向
装置(SIS 系统)大区和管
理信息大
区边界
联单向安全隔离装置
7.2 正向隔离
装置(生
产控制大
区网络安
全监测装
置)
生产控制
大区的厂
级生产安
全检测平
台和管理
信息大区
边界
网络串
联
1台
此设备为电力专用横向
单向安全隔离装置
7.3 正向隔离
装置(环
保/安监/
消防)
生产控制
大区和第
三方监管
单位边界
网络串
联
1台
原则上所有外传到第三
方监管单位的数据都需
经过正向隔离网闸,网闸
须满足当地环保等监管
部门及电网的配置要求
8
纵向加密
装置安全区I
/安全区
II与电
力调度数
据网边界
处
网络串
联
2台
应满足当地电网对安全
监控需求
9.1 主机防护安全区I实现对主控及辅控DCS
功能(安全区I )内各操作
员站/站
站、操作员站等主机进行
防护,须在国家相关部门
认证的检测机构检测,确
认无影响后,后方可部署