1. 遵循标準

• 《工(gōng)業(yè)控制(zhì)系統信息安全防護指南(nán)》（工(gōng)信軟♥↕函〔2016〕338号）

• 《電(diàn)力監控系統安全防護總體(tǐ)方案》(國(guó)家(jiā)能Ω©(néng)源局36号文(wén))

• 《GB/T 22239-2008信息安全等級保護基本要 β♠(yào)求》

2. 解決方案

• 邊界隔離(lí)（生(shēng)産控  ☆∞制(zhì)區(qū)和(hé)非控制(zhì)區(qū)之間(jiān)§≤ ）

部署具備隔離(lí)保護功能(néng)的(de)安全設備實現(xiàn)網絡分(δ₽fēn)層分(fēn)區(qū)，邊界訪問(wèn)控制(zhì)，避免無授‍✘權設備對(duì)區(qū)域的(de)訪問(wèn)，實現(xiàn)基于←♣©φ通(tōng)信“白(bái)環境”邊界λ≈攻擊防禦；

• 區(qū)域隔離(lí)（生(shēng)産控制(zh≥ δì)大(dà)區(qū)內(nèi)部）

采取接入控制(zhì)措施實現(xiàn)基于區(qū)域和(hé)功能(né∑₹ng)的(de)網絡劃分(fēn)及隔離(lí)，對( ♣÷¥duì)工(gōng)業(yè)專有(yǒu)協議(yì)進行(xíng)>∏↓深度解析，建立通(tōng)訊“白(bái)環境”，阻止區(qū)域間(jiā•₩ ‌n)的(de)越權訪問(wèn)，病毒、蠕蟲擴散≥​和(hé)入侵，将危險源控制(zhì)在有(yǒu)限範圍內(nèi)； Ωδπ

• 重要(yào)系統隔離(lσ★<αí)

采取安全隔離(lí)措施，對(duì)PLC、DCS等工(g£♦↑≠ōng)控設備或系統安全漏洞利用(yòng)等行(xíng)為(wδ★&πèi)進行(xíng)阻斷，同時(shí)阻止操作(zuò)員(yuán)或工(gōng)φ∑$程師(shī)有(yǒu)意無意的(de)非法操作(zuò)； >®∏ 

• 工(gōng)控網絡監測與審計(¶∞∞jì)

采用(yòng)安全審計(jì)功能(néng)，對(duì)網絡運行(xín♣ πg)日(rì)志(zhì)、操作(zuò)系統運行(xíng)日(rì‌≈∏©)志(zhì)、數(shù)據庫訪問(wèn)日(rì)志(zhì)γφ♠♣、業(yè)務應用(yòng)系統運行(xíng)日(rì)志(zhì)、安全設施運行(x±≤íng)日(rì)志(zhì)等進行(xíng)集中收集、自↔₩(zì)動分(fēn)析，及時(shí)發現(xiàn)各種違規行(xíng)為(wè♥ε♥i)和(hé)病毒、黑(hēi)客的(de)攻擊行(xín ≥ ₹g)為(wèi)；

• 主機(jī)安全防護

對(duì)主機(jī)進行(xíng)安全防護，阻止非授權及惡意軟件δ&(jiàn)運行(xíng)，同時(shí♠↑↕)對(duì)操作(zuò)系統進行(xíng)加固，如(rú)注冊‍α$表、配置文(wén)件(jiàn)等； α€

• 入侵檢測系統 &✔φ≤

檢測網絡通(tōng)訊流量中的(de)入侵行(xí​₹ng)為(wèi)，分(fēn)析潛在威脅并進行(xíng)安全審計©$‍(jì)；

• 統一(yī)安全管理(lǐ) ‌↔β

集中管理(lǐ)安全設備，如(rú)工(gō±≈ng)業(yè)防火(huǒ)牆、工(gōng)控主機(∞®jī)衛士、監測審計(jì)平台等，實現(xiàn)工(gōng)控網絡的(de)拓撲管理λ∑π∞(lǐ)、安全配置及安全策略管理(lǐ)、設備狀态監控、告警日(≈≥™γrì)志(zhì)等。

3. 典型部署

3.1. 火(huǒ)電(diàn)

• 在安全I>××區(qū)所屬的(de)一(yī)号機(jī)組、★∞二号機(jī)組、輔助車(chē)間(jiα₽& ān)控制(zhì)網與安全II區(qū)的(de)S§≥∏IS系統網絡邊界部署工(gōng)業(yè)防火(huǒ)牆； ≤β÷

• ∞♥₩λ 在安全I區(qū)內(nèi)一(yī)号機(j$✘♥ī)組、二号機(jī)組與共同使用(yòng)↓✔✔中央空(kōng)調系統、壓縮空(kōn↓β≈≠g)氣系統、凝結水(shuǐ)系統、脫硫公用(yòng)© ε₩系統、電(diàn)氣公用(yòng)系統的(de)公用(yòn✔€♥↔g)系統網絡邊界部署工(gōng)業(yè)防火(¥∑huǒ)牆，保證安全I區(qū)內(nèi)一(yī)号機(jī)組、二号機(≥"jī)組控制(zhì)系統免受來(lái)自(zì)于公用(yòng)系統的(de‍∞≠)安全風(fēng)險；

• 在安全I區(qū)的(de)操作(zuò≠δ'δ)員(yuán)站(zhàn)、工(gōng)程師(sh÷↔✘ī)站(zhàn)、曆史服務器(qì)上(shànλ♠g)安裝工(gōng)控主機(jī)衛士，隻允許白(bái)名單列表中的(de↑™)程序執行(xíng)，避免非授權訪問(wèn)，同時(shí)實施移動存儲介質安全管控，保證主機∏≥×(jī)間(jiān)數(shù)據交換安全 ±ε；

• 在一(yī)号、二号機(jī)組控γ✘↕制(zhì)系統交換機(jī)上(shàng)旁路(lù)部署監測審計(jì® )平台，對(duì)控制(zhì)系統進行(xíng↑π↔)監控、告警、審計(jì)，及時(shí)發現(xiàn)安全問(wèn)題； ®δ™ ↑₽

• 旁路(lù)部署統一(yī)™​<安全管理(lǐ)平台，實現(xiàn)主輔網安全系統的(de)統一(yī)管理∞φδ(lǐ)和(hé)日(rì)志(zhì)彙總分(fēn)析。 £±

3.2. 水(shuǐ)電(diàn)

• 在安全I區(qū)₹★∏φ內(nèi)的(de)LCU本地(dì)控制(zhì)單元前部署工(gōng)業(yèε←₽×)防火(huǒ)牆，通(tōng)過工(gōng)控協議(←♥® yì)深度解析及應用(yòng)協議(yì)白(bái)名單機(jī£¶÷)制(zhì)，實現(xiàn)安全I區(qū)內(nèi)不(bù)同LCU本地∑✘​(dì)控制(zhì)單元的(de)獨立安全； "♥

• 安全I區(qū)與安全II區(qū)之₽ ≤間(jiān)部署工(gōng)業(yè)防火(huǒ)牆，通(tōng)過對(duì)OPC¥₽​數(shù)據采集協議(yì)進行(xín®≤g)深度解析，實現(xiàn)兩個(gè)© •↓不(bù)同安全等級區(qū)域間(jiān)的(de)信息安全保護及網‌×↕ 絡隔離(lí)； ≤ ÷∞

• 在安全I區(qū)內(nèi)旁路(l© γù)部署安全監測審計(jì)平台，實時(shí)監測記錄誤操作(zuò)和(★ hé)各類違規行(xíng)為(wèi)；

• 在安全I區(qū)內(nèi)所有(yǒu)∑∞>操作(zuò)員(yuán)站(zhàn)、工(gōng)程師(shī)站(zhàn)、應≤'✔用(yòng)服務器(qì)、數(shù)據庫服務器(qì)φ€上(shàng)部署工(gōng)控主機(jī)衛士，避免相(xiàng)應惡意軟件(jiàn)、‍✘↑誤操作(zuò)等帶來(lái)的(de)安全風(fēng)險； π≈

• 在安全I區♠γ(qū)、安全II區(qū)內(nèi)，旁路(lù)部署入Ωγ¥侵檢測系統，實現(xiàn)監測控制(z>®↕hì)大(dà)區(qū)內(nèi)病毒、木(mù)馬及惡意攻擊行(xíng)為(wèi)等，保•γ護生(shēng)産控制(zhì)大(dà)區(qū)內(nè©α↕i)工(gōng)控設備及系統免遭惡意代碼的(de)攻擊； •€

• 在生(λ®★shēng)産控制(zhì)大(dà)區(qū)內(nèi)部署統一(yī)安全管理(lǐ)<★平台，實現(xiàn)工(gōng)業(yè)防火(huǒ)牆、監測審計(±<jì)平台、工(gōng)控主機(jī)衛士等的(de)集中管理(lǐ)和σ♠♠±(hé)日(rì)志(zhì)歸并分(fēn)析，降低(dī)運維難度難度∞↓±₽，提升安全防護效率。

3.3. 風(fēng)電(diàn)

• 在集≥¶中控制(zhì)網與調度數(shù)據網、風(fēng)控≠♦ 率預測網、站(zhàn)內(nèi)控制(zhì)網、風 ÷(fēng)機(jī)控制(zhì)網間(jiān)加裝工(gōng)業(yè)防火(huǒ)牆∏∑，通(tōng)過協議(yì)深度解析和(hé)嚴格訪問(wèn)控制(zhì)策略，避免各控制≈♣✔(zhì)網絡遭受來(lái)自(zì)于其它系統的(de)網絡攻擊行(xíng)為(wγγèi)；

• 在各控制(zhì)網內(nè£↕'‍i)旁路(lù)署安全監測與審計(jì)系統，實現(xiàn)對(duì)安β"♦™全I區(qū)內(nèi)各種惡意攻擊行(xíng)為(wèi)的(de)及δ∏時(shí)告警及記錄，為(wèi)工(gōng)控網絡安全問(wèn)題提供 ™♣¥追蹤溯源技(jì)術(shù)手段； ≠ ©↓

• 在安全±∑I區(qū)和(hé)各控制(zhì)網操作(zuò)員(yuán)站(zhàn)、工(gō‍✔←>ng)程師(shī)站(zhàn)、應用(yòng)服務器(qì)、數(shù)據庫服務器(qì)​÷≤∑上(shàng)部署工(gōng)控主機(jī)衛士軟件(jiàn)，保護主機(jī)和₹ (hé)服務器(qì)免遭惡意攻擊； ÷∞

• 在集中管理(lǐ)區↑≠ (qū)部署統一(yī)安全管理(lǐ)平台，實現(xiàn)工(gōng)業(yè)防火(♣ huǒ)牆、監測審計(jì)平台、工(gōng)控主機(jī)∑∞α£衛士的(de)集中管理(lǐ)。 >ε ​