工控系统网络信息安全典型部署参考示意图详细请参照发电厂监控系统安全防护方案_第1页
工控系统网络信息安全典型部署参考示意图详细请参照发电厂监控系统安全防护方案_第2页
工控系统网络信息安全典型部署参考示意图详细请参照发电厂监控系统安全防护方案_第3页
工控系统网络信息安全典型部署参考示意图详细请参照发电厂监控系统安全防护方案_第4页
工控系统网络信息安全典型部署参考示意图详细请参照发电厂监控系统安全防护方案_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、工控系统网络信息安全典型部署参考示意图(详细请参照发电厂监控系统安全防护方案)假设典型环境:某新建电厂装机容量2*300MW,含2套DCS系统及1套辅控系统,DCS机组为A B双网结构,需按3级等保要求进行网络安全防护,各安全设备(系统)部署参考示意图如下。图3 电厂工控系统网络信息安全典型部署参考示意图 表4电厂工控系统网络信息安全典型部署列表序号安 全 设 备(系 统)名称部 署 位 置部 署模 式参 考数 量备 注1.1工业防火墙(接口机)安全区I和安全区II边界网络串联3台(依接口机数量定)安全区I向SIS传输数据的业务系统需单独部署工业防火墙。1.2工业防火墙(日志 / 网络审计)安

2、全区I和安全区II边界网络串联1 台此防火墙应具备高吞吐量的性能。1.3工业防火墙(生产控制大区网络安全监测装置)安全区I和安全区II边界网络串联1 台安全区I传输数据至厂级生产控制大区网络安全监测装置处,须单独部署工业防火墙。2.1日志审计功能 (安全区I)安全区I内此功能实现对安全区I机组主控辅控系统及NCS控制系统的日志审计,并保留至少6个月的日志数据。2.2日志审计(安全区II)安全区II核心交换机网络可达1台在安全区II应单独部署一台日志审计。 3入侵检测安全区II核心交换机旁路镜像1台4网络审计安全区I内 旁路镜像3台在安全区I机组主控DCS及辅控系统中应单独部署一台网络审计。5生

3、产控制大区网络安全监测装置安全区II核心交换机网络串联1套实现对电力工控系统网络安全数据的采集存储6网络安全监测装置(涉网侧)安全区I /安全区II和电力调度数据网边界网络串联2套满足电网侧安全监控需求,同时数据需同步上传到厂级生产安全监测平台。7.1正向隔离装置(SIS系统)生产控制大区和管理信息大区边界网络串联1台此设备为电力专用横向单向安全隔离装置。7.2正向隔离装置(生产控制大区网络安全监测装置)生产控制大区的厂级生产安全检测平台和管理信息大区边界网络串联1台此设备为电力专用横向单向安全隔离装置。7.3正向隔离装置(环保/安监/消防)生产控制大区和第三方监管单位边界网络串联1台原则上所

4、有外传到第三方监管单位的数据都需经过正向隔离网闸,网闸须满足当地环保等监管部门及电网的配置要求。8纵向加密装置安全区I /安全区II与电力调度数据网边界处 网络串联2台 应满足当地电网对安全监控需求。9.1主机防护功能 ( 安全区I )安全区I内各操作员站/站实现对主控及辅控DCS站、操作员站等主机进行防护,须在国家相关部门认证的检测机构检测,确认无影响后,后方可部署。9.2主机防护 (安全区II)安全区II内各接口站/服务器本机部署依据主机数量根据业务需求确认需被防护的相关主机后,须在相关检测机构测试环境中进行各项功能的测试,确认无影响后,后方可部署。 各安全设备(系统)部署方式简述:工业防

5、火墙:1.1工业防火墙(接口机)此工业防火墙使用网络串联的方式部署在安全区I和安全区II边界处,实现接口机数据从安全区向安全区传输的逻辑隔离。1.2工业防火墙(日志/网络审计)此工业防火墙使用网络串联的方式部署在安全区I和安全区II边界处,实现网络审计和日志审计数据从安全区向安全区传输的逻辑隔离。1.3工业防火墙(生产控制大区网络安全监测装置):使用网络串联的方式部署在安全区I和安全区II边界处,此工业防火墙与厂级生产控制大区网络安全监测装置相连,保证网络安全监测装置数据与安全区I的逻辑隔离。日志审计:2.1日志审计功能(安全区I):在安全区I机组主控、辅控及NCS控制系统需具备日志审计功能,

6、并保留至少6个月的日志数据。 2.2日志审计(安全区):在安全区内部署1套日志审计,日志信息包括:安全区各种主机、网络及安全设备的日志;3、入侵检测:生产控制大区SIS核心交换机旁路部署1套网络入侵检测系统。4、网络审计:在安全区I各机组主控及辅控控制系统交换机镜像端口处旁路部署。5、生产控制大区网络安全监测装置:在安全区II部署1套厂级生产安全监测平台,通过安全专网收集各安全设备分析结果、日志等、以实现对生产控制大区电力工控系统的主机、网络设备、工控设备及安全设备运行状态的集中监控和展示。6、网络安全监测装置(涉网):分别于安全区I和安全区II按照电网标准要求部署网络安全检测装置,采集电厂涉

7、网区域的服务器、工作站、网络设备和安防设备自身感知的安全数据及网络安全事件,具体部署需遵循当地电网公司要求。7、正向隔离装置7.1正向隔离装置(SIS系统)使用网络串联的方式在生产控制大区与管理信息大区边界处部署,以实现物理隔离。7.2正向隔离装置(生产控制大区网络安全监测装置):使用网络串联方式,在与管理信息大区边界处部署,以实现物理隔离。7.3正向隔离装置(环保/安监/消防):使用网络串联的方式在生产控制大区与第三方监管单位边界处部署,以实现物理隔离。8、纵向加密装置:分别于安全区I与电力调度数据网的边界处以及安全区II与电力调度数据网的边界处部署,以实现与调度端的双向身份认证、数据加密和访问控制。9、主机防护9.1主机防护功能(安全区I):在电厂基建期或对电力工控系统升级改造期,可对生产控制大区的站、操作员站以及服务器开展主机防护工作。与生产控制系统需须在相关检测机构测试环境中,进行各项功能的测试,通过全面测试并书面记录,确认没有影响后,方可正式上线。 9.2主机防护(安全区II):主机防护应部署在安全区II内主机及服务器上,根据业务需求确认需被防护的相关主机

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论