1. 遵循标準

• 《工(gōng)業(yè)控制(zhì)系統信息安全防護₩✔指南(nán)》（工(gōng)信軟函〔2016〕338号）

• 《電(diàn)力監控系統安全防護總體(tǐ)方案》(國(guó)家σ↑(jiā)能(néng)源局36号文(wén))

• 《GB/T 22239-2008信息安全等級保護基本要(yào)求》

2. 解決方案

• 邊界隔離(lí)（生(shēng)産控制(z↔ hì)區(qū)和(hé)非控制(zhì)區(qū✘↑)之間(jiān)）

部署具備隔離(lí)保護功能(néng)的(de)安全設備實∏©δ現(xiàn)網絡分(fēn)層分(fēn•®)區(qū)，邊界訪問(wèn)控制(zhì)，避免無授權設備對(duì)區(qū)→ →σ域的(de)訪問(wèn)，實現(xiàn)基于通(t♥™∏‌ōng)信“白(bái)環境”邊界攻擊防禦；

• 區(qū)域隔離(lí)（生(shēng)産控制(zhì)大(dà•Ω★)區(qū)內(nèi)部）

采取接入控制(zhì)措施實現(xiàn)基于區(qū)域和(hé)功₽" •能(néng)的(de)網絡劃分(fēn)及隔離(lí)，對(duì)工(gōng)業(yè)專πλ♠有(yǒu)協議(yì)進行(xíng)深度解析，建立通(tōng)訊↑≥§π“白(bái)環境”，阻止區(qū)域間(jiān)的(de)越權訪問(wèn)，病毒、蠕蟲擴散和×Ω♣¥(hé)入侵，将危險源控制(zhì)在有>×☆ε(yǒu)限範圍內(nèi)； ✘™"↓

• 重要(yào)系統隔離(lí) ★₩

采取安全隔離(lí)措施，對(duì)P¶±"<LC、DCS等工(gōng)控設備或系統安全漏洞利用(yòng)等行(xín↓♠≠↓g)為(wèi)進行(xíng)阻斷，同時(shí÷‌∑£)阻止操作(zuò)員(yuán)或工(gōng)程師(shī•γ)有(yǒu)意無意的(de)非法操作(↕Ω"₹zuò)；

• 工(gōng)控網絡監測與審計(jì)

采用(yòng)安全審計(jì)功能(nén★∑♠εg)，對(duì)網絡運行(xíng)日(rì)志(zhì)、操作(zuò)系統‌♦§運行(xíng)日(rì)志(zhì)、數(shù)據庫訪問♦‍≠β(wèn)日(rì)志(zhì)、業(yε'>è)務應用(yòng)系統運行(xíng)日(rì)志(zhì)、安全設施運行(xíng)日( $↑rì)志(zhì)等進行(xíng)集中收集、自(zì) ♥ ✔動分(fēn)析，及時(shí)發現(xiàn)各種違規行(xíng)為(wèi↓γ→♠)和(hé)病毒、黑(hēi)客的(de)攻擊行(xíng)為(wèi)； >"₩

• 主機(jī)安全防護

對(duì)主機(jī)進行(xíng)安全防護，阻止非授權及惡意軟件(jiàn)運行(xín← g)，同時(shí)對(duì)操作(zuò)系γ"統進行(xíng)加固，如(rú)注冊表、配置文(wén)件(jiàn)等； ☆$

• 入侵檢測系統

檢測網絡通(tōng)訊流量中的(de)入侵ε©<行(xíng)為(wèi)，分(fēn)析潛在威脅并進行(xíng)安全審計(jì)； ®•↑

• 統一(yī)安♠§全管理(lǐ) ≤×₹£

集中管理(lǐ)安全設備，如(rú)工(gōng)業(yè)防火(huǒ)牆、"☆≈工(gōng)控主機(jī)衛士、監測審計(jì)平台等，實現(xiàn)工(gōng)γγ±​控網絡的(de)拓撲管理(lǐ)、安全配置及安全策略管理( ‍♥lǐ)、設備狀态監控、告警日(rì)志(zhì)等。 ₹σ

3. 典型部署

3.1. 火(huǒ)電(diàn)

• 在安全I區(qū)所屬的(de)一(yī)号機(jī)組★✘®₽、二号機(jī)組、輔助車(chē)間(jiān)控制(zhì)網與安全II區(qū)的( ≤α de)SIS系統網絡邊界部署工(gōng±↓)業(yè)防火(huǒ)牆； ✘‌φ

• 在安全I區(qū)內δ&™ (nèi)一(yī)号機(jī)組、二号γβ"機(jī)組與共同使用(yòng)中央空α★✔↑(kōng)調系統、壓縮空(kōng)氣系統、凝結水(sh‍""uǐ)系統、脫硫公用(yòng)系統、電(diàn)氣公用(yòng)♠​系統的(de)公用(yòng)系統網絡邊界部署工(gōng)業(yè)防火(huǒ)牆÷₽'•，保證安全I區(qū)內(nèi)一(yī)号機(₽♥jī)組、二号機(jī)組控制(zhì)系統免受‍↑來(lái)自(zì)于公用(yòng)系統的(de)安全風(fēng)險； λ♥•♦

• 在安全I區(qū)的(de)操作(zuò≠σ∏γ)員(yuán)站(zhàn)、工(gōng)程師(shī)站(zhàn$₽β")、曆史服務器(qì)上(shàng)安裝工(gōng)控主機(jī)衛士，隻允許白(bá‍©$i)名單列表中的(de)程序執行(xíng)，避免非授權訪問(wèn)，同時(φ↕‌☆shí)實施移動存儲介質安全管控，保證主機(jī)間(jiān)數(shù)據交換>♠$安全；

• 在一(yī)号Ω♣©、二号機(jī)組控制(zhì)系統交換機(♥←≈×jī)上(shàng)旁路(lù)部署監測審計(jì)平台，對(duì)控制(©∑±zhì)系統進行(xíng)監控、告警、審 ↕→計(jì)，及時(shí)發現(xiàn)安全問(wèn)題； ‌¶≈

• 旁路(lù)部署統一(yī)安全管理(lǐ)平‍≥λ 台，實現(xiàn)主輔網安全系統的(de)統一(yī)管✔Ω理(lǐ)和(hé)日(rì)志(zhì)彙總¥$®β分(fēn)析。  ® 

3.2. 水(shuǐ)電(diàn)

• 在安全I區(qū)內(nèi↑δπ )的(de)LCU本地(dì)控制(zhì)單元前部署工(gōng)業(∏↑§ yè)防火(huǒ)牆，通(tōng)過工(gōng)控協↓₩ >議(yì)深度解析及應用(yòng)協議(yì)白(bái)名單機(jī)制(z♠↓Ωhì)，實現(xiàn)安全I區(qū)內(nèi)不(bùδ ✔)同LCU本地(dì)控制(zhì)單元的(de)獨立安全；  ÷≠

• 安全I區(qū)與安全II區(qū)之間(ji←∑ān)部署工(gōng)業(yè)防火(huǒ)牆，通$$•α(tōng)過對(duì)OPC數(shù)據采集₩ λλ協議(yì)進行(xíng)深度解析，實現(xiàn)兩個(gè)不(bù)同安全等級區(q↔βū)域間(jiān)的(de)信息安全保護及網絡隔離(lí)； Ω​ " φ ₩↕

• 在安全I區(qū)內(nèi)旁路>∏λ(lù)部署安全監測審計(jì)平台，實時(shí)監測記錄誤操作(zuò)和(&​↑÷hé)各類違規行(xíng)為(wèi)； ←¥

• ≈' 在安全I區(qū)內(nèi)所有(yǒu)操作(zuò)員(yuán)站(zhà​♠ ¥n)、工(gōng)程師(shī)站(zhàn)、應用(y↔↑òng)服務器(qì)、數(shù)據庫服務器(qì)上(shàng$≈•✘)部署工(gōng)控主機(jī)衛士，避免相(♦ xiàng)應惡意軟件(jiàn)、誤操作(zuò)等帶來(×☆≤αlái)的(de)安全風(fēng)險； β<←

• 在安全I區(qū)、安全II區(q★♠ū)內(nèi)，旁路(lù)部署入侵檢測系統，實現(£×xiàn)監測控制(zhì)大(dà)區(qū)內(nèi)¥→¶病毒、木(mù)馬及惡意攻擊行(xíng)為(wèi)等，保護生(s↕₽÷φhēng)産控制(zhì)大(dà)區(qū)內(nèi)工(gōng)控設備及系統免遭惡意$β代碼的(de)攻擊； ¥±

• 在生(s≠↓>λhēng)産控制(zhì)大(dà)區(qū)內(nè← ↑"i)部署統一(yī)安全管理(lǐ)平台，實現(xiàn)工(gōng)業(yè)防火(Ωδ€huǒ)牆、監測審計(jì)平台、工(gōng)控主機(jī)衛士等的(de)集中管理(l&Ω₹ ǐ)和(hé)日(rì)志(zhì)歸并分(fēn)析β≤，降低(dī)運維難度難度，提升安全防護效率。 λ↑☆

3.3. 風(fēng)電(diàn)

• 在集中控制(zhì)網與↕∑調度數(shù)據網、風(fēng)控率預測網、站(zhàn)Ω©內(nèi)控制(zhì)網、風(fēng)機(jε>→÷ī)控制(zhì)網間(jiān)加裝工(gōng)業(yè)防火(huǒ)牆，通(tōng)過協≠∏₽↓議(yì)深度解析和(hé)嚴格訪問(wèn)控制(zhì)策略，避免各控制(zhì)網絡遭 ÷€受來(lái)自(zì)于其它系統的(de)網絡攻擊行(₩π←αxíng)為(wèi)； ₹ →↑

• 在各控制♦‌>₽(zhì)網內(nèi)旁路(lù)署安全監測與審計(jì)系統★♠↑&，實現(xiàn)對(duì)安全I區(qū)內  (nèi)各種惡意攻擊行(xíng)為(wèi)的(de★ )及時(shí)告警及記錄，為(wèi)工(gōng)£÷控網絡安全問(wèn)題提供追蹤溯源技(jì)術(shù™£')手段； ¥§

• ↓∏₽ 在安全I區(qū)和(hé)各控制(zhì)網操作(zuò)員(yuán)站(zhà↓£n)、工(gōng)程師(shī)站(zhàn)、應用(yòng)服務器(qì)、數(shù)據π×₹•庫服務器(qì)上(shàng)部署工(gōng)控主機(jī)衛士軟件(jiàn)♦β，保護主機(jī)和(hé)服務器(qì)免遭惡意攻擊； ‍±

• ‌>∏ 在集中管理(lǐ)區(qū)部署統一(yī)安全管理(lǐ)平台，‍Ω♠™實現(xiàn)工(gōng)業(yè)防火(huǒ)牆、監測審計(jì)平αλ®台、工(gōng)控主機(jī)衛士的(de)集γ₽α中管理(lǐ)。 δ•