工控系统网络信息安全技术监督检查表(总体检查)

工控系统网络信息安全技术监督检查表（总体检查）项目编号

检项

项分

子分

评标

评值

评原说1

等保工0-50

开展过本年的等保测，取得相关报告。1.1

等保测评和改工作

100

根据年度等测评结果定整改计0-50

划，形成相工作记录并完成整改。22.1

安防技要检安分

0-30

有完整电厂产监控系安全防护网络拓扑图安全网络备部署列2.1.1

业务系统安分区

50

表与描述文。0-20

有完整的电生产监控统安全分区表。与规要求相符。2.2

网专300-20

电力调度数网在物理面上实现与本单位其数据网及部公用数据网的安全离。2.2.1

网络专用300-10

电力调度数网划分为辑隔离的实时子网和实时子网分别连接控制区和非制区。2.3

边安防0-20

生产控制大和管理信大区之间部署经国家定部门检认证的正向安全隔离置；单向全隔离装2.3.1

生产控制大与管理信息区边界安全

40

置满足可靠、传输流等方面的要求。禁止E-mailWEBTelnetRlogin、护

0-100-10

FTP网络服；禁止以B/S或C/S方式的数据访问穿越用横向单向安全隔离置等。生产控制大和管理信大区之间

项目编号

检项

项分

子分

评标

评值

评原说.3

安全区I与安全区Ⅱ边界全防护生产控制大系统间安全护

0-10300-100-10300-30

业务系统未现反向部情况。安全区I与安区Ⅱ间部工业防火墙等硬件备并实现辑隔离、报文过滤、问控制等能；工业防火墙的功、性能、磁兼容性经过国家相部门的认和测试。所选工业防墙具备对经安全区I与安全区II控通信协进行解析的功能、数设置合并满足电厂对业务数的通信要。安全区I与安区Ⅱ间业系统未出现反向部情况。同属安全区I内或全区II内的各系统之间有火墙、VLAN逻辑访问控制。2.3.4

纵向边界防300-30

部署经国家定部门检认证的电力专用纵向密认证装或加密认证网关及相设施。生产控制大内个别业(子)系统、功能模使用公用信网络、无线通信网以及处于可控状态2.3.5

第三方边界全防护

200-20

下的网络备与端进通信时，设立安接入区；产控制大区内业务系与环保、全等政府部门进行数传输时采经过国家指定部门检认证的单安全隔离装置。2.4

综防4200-20

机房、集控、工程师等核心重点生产防护域和场所备防风、防雨、防震防潮、防、防静电2.4.1

物理安全60

防雷击、防窃、防破等能力。各出入口配电子门禁统或配置0-20

有24小时的连续视频监控记录系统并保存至少30天上。

项目编号

检项

项分

子分

评标

评值

评原说0-20

进入机房的访人员有请和审批流程记录单并对其活范围具有限制和监控力。对登录网络备、安全备采用了0-10HTTPS、SSH加密方或配置堡垒机。2.4.2

网络设备安防护

40

0-20

对登录用户行身份鉴及权限控制，登录用口令满足杂度要求且制定有更策略并由人负责保2.4.3主机防护1主机加固40

0-100-200-100-10

管。是否及时清网络及安设备上的临时用户、余用户。对DCS、人机互站，厂级监控信息系统关键应用统的主服务器，以及络边界处通信网关机、Web服务器、数库服务器，采取了安全固措施。实施加固前在测试环中进行了操作系统及项生产业功能方面的测试并有整测试记或原厂家的安全承诺制订主机安加固的审流程与管理制度以及机加固技标准和加固管理的策。生产控制大内主机采免受恶意代码攻击的术措施或署恶意代恶意代码防200-补丁升级200-20

码防护软件主机白名软件等；具有恶意代库定期更的工作记录。对生产控制区内的服器和操作员站等上位操作系统严格按厂家要求和操说明，及升级系统补丁和应用件补丁；离线环境下经过完整试并提供录的。

项目编号

检项

项分

子分

评标

评值

评原说0-外设管控300-100-10

生产控制大内各主机不必要的软盘、光盘动、接口、线、蓝牙等外设取关闭、除、访问控制等严格控措施。禁止在生产制大区和理信息大区之间交叉用USB以及便计算机，确需外接入的，接入前进行了病毒查等安全预措施，是否通过安全理与技术施实施严格监控，并行了电厂全接入审批手续。对电厂必要USB设采取了机白名单等技措施，对动介质的插入、拷贝写入等操具有安全审计功能。在生产控制区和管理息大区间.5

入侵检测300-300-20远程访问300-10

部署网络入检测系统；设置了包含有工控统专有攻特征库的检测规则的禁止其他设生产厂商其它外部企业(单)远程接电厂生控制大区中的业系统及设。对于电厂内远程访问务系统的情况，进行份认证及限控制，并采用会话证、加密抗抵赖、日志审计等全机制。网络审计：产控制大各关键生产系统内部网络流量计设备；具备针对工协议的深包协议解2.4.6

安全审计60

0-300-30

析、及时发隐藏在正流量中的异常数据包实时检测对工业协议的网络攻、用户误作、用户违规操作、规外联、法设备接入等内网异行为的功。日志审计：全II区内部署一套日

项目编号

检项

项分

子分

评标

评值

评原说网络安全监2.4.720装置网络安全监装置2.4.830

0-100-100-20

志审计设备；在安全1区机组控DCS辅系统即NCS系统需备日志审计功；保证至6个月的日志数据。在安全区II内部厂级生产全监测平台，具实时监测产监控系统的主机、络设备、全设备运行状态和日采集，进集中化的性能状态监、日志分及安全事件的集中展的功能。监测平台留与集团公工控安全监测平台的据接口，区间的安全数据传输在边界处署了单向安全隔离装、工业防墙。部署了网络全监测装并实现了采集涉网区内设备安数据及网络安全事件功能；对厂网络安全事件进行地监视和理并转发至调控机构络安全监平台的数据网关机。网络安全监装置可以数据同步2.4.9

（涉网）0-100-10备份与容灾400-200-10

传输至厂级产安全监平台，并对传输网络道实施合的安全防护。对生产监控统的数据份依据重要性实现了级管理，确保重要业务数据双份以及在障发生时至少可异机复至一天数据。对关键主机备、网络备或关键部件进行了余配置；备份数据文件清单且存在将备数据文件保存在本机盘、移动储等不安全存储介质的现象。定期对关键务的数据行备份，对生产运行重要数据现双备份

项目编号

检项

项分

子分

评标

评值

评原说并保存12个月。33.13.2

安防建管要检组织机构40人员管理40

0-200-200-100-100-10

明确电厂工系统网络息安全防护职责归口理部门为息化及网络安全领导组，确定业负责人作为生产控系安主责任人，并指定人负责本位所辖生产监控系统公共安全施，明确了各业务系专责人的全管理责任。建立了工程师、控系统网络信息安全术监督专、各专业部门网络全员三技监督网。对各个部门岗位的职明确授权审批事项、批部门和准人。对于系统变更重要操作物理访问和系统接入事项建立批程序并按照审批程执行审批程，对重要活动建立级审批制，记录审批过程并保审批文档各单位及业部门设置息安全专职岗位和人，并签署密协议。人员变动、位调整后立有撤销权限流程。每年开展工系统网络息安全培训。3.3

0-10管理制度300-10

与第三方外人员签署密协议，系统使用限遵权最化原则；当岗位整时能及向相关负责人提出变申请，离时能及时收回人员的关证件，在系统做注销等相应理。制订门禁、员、权限访问控制管理制度。

项目编号

检项

项分

子分

评标

评值

评原说0-100-100-20

制订安全防系统的维、常规设备及各系统维护管理度。制订恶意代防护、审、数据及系统的备份用户口令安全培训等管理制度系统建设所及到的软件系统、设备及专用息安全产符合国家及行业资质质量标准相关规定与要求，自开发或外开发的软件产品投运进行安全估并留有3.4

系统建设30

相关工作记。选定的施工设单位和全服务商具备国家和业主管部要求的资0-100-100-10

质；与选定安全服务签订安全保护承诺等关协议并确约定相关责任并签保密协议分别对各类备、介质资产、网络、业务系制订了安管理制度并在存放环、使用以销毁、报废等方面做了详细规，并建立了安全审计理制度。指定专人对络和主机行恶意代码检测并保检测记录3.5

系统运维50

对移动存储备、重要档的安全管理具有完、清晰的作记录；0-200-100-10

对终端计算、工作站便携机、系统和网络设备的操符合规范化管理要求建立了密码用管理制，如