2022火电厂电力监控系统网络安全解决方案

火电厂电力监控系统网络安全解决方案2电力系统业务总览2电力系统业务总览发电企业及电网分布发电企业及电网分布五大发电集团中国华能集团公司、中国大唐集团公司、中国华电集团公司、中国国电集团公司、中国电力投资集团公司四小豪门国投电力、国华电力、华润电力、中广核两大电网公司国家电网公司、中国南方电网有限责任公司发电集团整合重组神华和国电合并为国家能源集团两网区域划分南方电网公司供电区域为广东、广西、云南、贵州和海南，其余为国网供电3内蒙古电力（集团）盟之外自治区其余8个盟市供电营业区的电网建设、经营、管理和农电工作3发电形态及特点-火电发电形态及特点-火电45发电形态及特点-水电5发电形态及特点-水电发电形态及特点-风电备调主调调度接入网备调主调实时实时

路由器 非实时纵向加密非实时交换机

实时实时

路由器 非实时纵向加密非实时交换机安全I区远动

远动 同步向

保信子站 电能

安全II

管理信息大区 公网装置1

装置

SVG

保护测控

采集 功率预服务器故障录波功率预测工作站

信息申报发布平台AGC/AVC监控主机1监控主机2 五工作站

反向隔离

服务器

防火墙工作站

服务器

服务器

风机环网6发电形态及特点-光伏备调主调调度接入网备调主调实时实时交换机

路由器 非实时纵向加密

实时实时交换机

路由器 非实时纵向加密非实时交换机安全I区

安全II区

管理信息大区 公网远动装置1

远动装置

SVG

保信 电能子站 采集故障录波

工作站

服务器

天气预报服务器AGC/AVC监控主机1监控主机2 五工作站

反向隔离

防火墙工作站

服务器

加数据采集 密服务器 装置

逆变器汇流箱光伏矩阵加 数 密 据装 集器置 中 逆变器汇流箱光伏矩阵器

工作站

外网主机70203火电厂网络安全解决方案国家和行业政策法规要求CONTENTS0203火电厂网络安全解决方案国家和行业政策法规要求01电力行业网络安全形势01电力行业网络安全形势目录04解决方案合规性04解决方案合规性05典型客户案例分享05典型客户案例分享01电力行业网络安全形势0110工控网络安全态势10工控网络安全态势以上数据来自CNCERT国家工业互联网安全应急响应中心2019年上半年度报告工业控制网络安全事件在近几年呈现稳步增长的趋势，2019年被ICS-CERT收录的攻击事件达到329件 2012-2019年全球工控安全事件报告数量 2019年工控安全事件所属行业细分近年来电力行业安全事件近年来电力行业安全事件2014年Havex袭击北美 电力控制设备

年03 年BlackEnergy、Industroyer造乌克兰电网断电

2019年 06南非电力公司遭勒索病毒攻击陷入瘫痪2010年 01Stuxnet奇袭伊朗核设施

2017年11山东43座风电、光伏电站由于安全防护和机组涉网管理方面存在重大隐患被强制断网11

2018年宁夏九彩某风电厂05 网络安全事故，被04 断网整改并通报乌克兰电网攻击事件解析乌克兰电网攻击事件解析2015年12月23停电的网络攻击；以BlackEnergy入口；通过远程控制SCADA以摧毁破坏SCADA12以DDoS社会混乱的具有信息战水准的网络攻击事件。12安全形势发生的变化安全形势发生的变化攻击来源：量开始介入。攻击技术：度空前加快。

攻击手段：化、复杂化，APT技术运用越来越多。13变化13变化14发电企业典型问题14发电企业典型问题漏洞缺乏防控漏洞缺乏防控恶意代码防护失效网络行为和日志无监测安全理念落后安全意识淡漠02国家和行业政策法规要求0216主要遵循的法规和标准16主要遵循的法规和标准1国家法律《中华人民共和国网络安全法》21国家法律《中华人民共和国网络安全法》2行业法规《电力监控系统安全防护规定》发改委[2014]14号令《电力监控系统安全防护总体方案》国能安全[2015]36号文3建设标准《信息安全技术网络安全等级保护基本要求》《信息安全技术关键信息基础设施网络安全保护基本要求》4指导文件《工业控制系统信息安全防护指南》17网络安全法与电力监控系统17网络安全法与电力监控系统法律法规年6月1日《中华人民共和国网络安全法》正式施行。《中华人民共和国网络安全法》第十二届全国人民代表大会常务委员会第二十四次会议通过表1关键信息基础设施业务判定表《国家网络安全检查操作指南》中央网信办网络安全协调局2016年6月电力监控系统安全防护总体方案电力监控系统安全防护总体方案国能安全[2015]36号附件1电力监控系统安全防护总体方案国能安全[2015]36号附件2省级以上调度中心监控系统安全防护方案附件3地级调度中心监控系统安全防护方案附件4发电厂监控系统安全防护方案附件5变电站监控系统安全防护方案附件6配电监控系统安全防护方案18附件7电力监控系统安全防护评价规范1819电力监控系统安全防护总体方案19电力监控系统安全防护总体方案安全分区网络专用横向隔离纵向认证综合防护（国能安全【2015】36号文件）安全分区网络专用横向隔离纵向认证综合防护2.5综合防护2.5综合防护综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。综合安全防护综合安全防护入侵检测主机与网络设备加固应用安全控制安全审计专用安全产品的管理备份与容灾恶意代码防范设备选型及漏洞整改20电力监控系统等级保护定级20电力监控系统等级保护定级类别定级对象系统级别省级以上地级以下电力监控系统能量管理系统（具有SCADA、AGC、AVC等控制功能）43变电站自动化系统（含开关站、换流站、集控站）220千伏及以上变电站3级，以下为2级火电厂监控（含燃气电厂）系统DCS（含辅机控制系统）单机容量300MW及以上为3级，以下为2级水电厂梯级调度监控系统3核电站监控系统DOS(含辅机控制系统)3风电场监控系统风电厂总装机容量200MW及以上为3级，以下为2级光伏电站监控系统光伏电站总装机容200MW及以上为3级，以下为2级电能量计量系统32广域相量测量系统（WAMS）3无电网动态预警系统3无调度交易计划系统3无水调自动化系统2调度管理系统2电力调度数据网络3221等级保护基本要求21等级保护基本要求22关键信息基础设施网络安全保护基本要求22关键信息基础设施网络安全保护基本要求关键信息基础设施网络安全保护基本要求信安标委召开国家标准《信息安全技术关键信息基础设施网络安全保护基本要求》（报批稿）试点工作启动会。关键信息基础设施网络安全保护基本要求信安标委召开国家标准《信息安全技术关键信息基础设施网络安全保护基本要求》（报批稿）试点工作启动会。工业控制系统信息安全防护指南工业控制系统信息安全防护指南工业控制系统信息安全防护指南一、安全软件选择与管理二、配置和补丁管理工业控制系统信息安全防护指南三、边界安全防护四、物理和环境安全防护五、身份认证六、远程访问安全七、安全监测和应急预案演练八、资产安全23九、数据安全2303火电厂网络安全解决方案03设计依据 解决思路 解决方案火电厂电力监控系统安全体系建设思路火电厂电力监控系统安全体系建设思路安全规划风险评估差距分析明确目标

安全建设方案设计方案实施安全运营日常运营安全运维应急演练25不断改进25

安全评估自行检查等保测评基于“白环境”的“纵深防御安全防护技术体系”基于“白环境”的“纵深防御安全防护技术体系”①强化安全区域边界访问控制能力②提高网络内、外入侵和恶意代码防御能力③提高违规内联、外联检测能力电力监控系统④提高系统内主机病毒防范能力电力监控系统⑤提高主机身份认证能力，采用双因子认证机制⑥一键式安全加固，提高主机安全基线⑦关闭不必要的服务端口，提高入侵防范能力⑧利用访问控制策略，保证业务配置文件不被篡改⑨提高日志审计能力，审计日志至少保存12个月⑩加强运维人员行为管理⑪建立统一安全管理中心，强化集中管控能力26⑫技术手段辅助业主完成定期自检26切入点—全面风险评估，寻找问题症结点切入点—全面风险评估，寻找问题症结点风险评估分析是对电力监控系统网络内各资产进行安全管理的先决条件，其目的在于识别和评估不同用户所面临的生产安全风险和网络安全风险。风险分析的典型内容：工控系统资产梳理，分析价值；识别已有的安全防护措施；资产脆弱性及面临的威胁分析；27安全风险综合分析。271.强化安全区域边界访问控制能力1.强化安全区域边界访问控制能力师站 打印机镜像服务器 SIS服务器师站 打印机镜像服务器 SIS服务器公用系统 2#DCS 辅控系统接口机 接口机 接口机隔离装置 隔离装置 隔离装二号机组接口机 操作员站工程师站历史数据库打印机 接口机辅二号控制系统 控系统安全II区（SIS）

管理信息大区

ACL+应用级白名单 1计算服务器 操作员站 工

工控协议合规性验证 2协议功能码、点值控制 3控制逻辑合理性验证 4安全I区（DCS)安全I区（DCS)

公用系统操作员站公用系统操作员站工程师站操作员站工程师站历史数据库打印机 接口机一号控制系统28工业防火墙ACL+白名单工业防火墙ACL+白名单配置ACL访问控制规则，仅允许业务相关IP通过。29工控协议深度解析，形成协议白名单，保证只有可信任的协议、指令才可以通过。29

针对具体指令的具体值域范围进行保护。2.提高网络内、外入侵和恶意代码防御能力2.提高网络内、外入侵和恶意代码防御能力安全II区（SIS）安全II区（SIS）

管理信息大程师站 打印机镜像服务器 SIS服务器公程师站 打印机镜像服务器 SIS服务器公用系统 2#DCS 辅控系统接口机 接口机 接口机隔离装置 隔离装置 隔离装二号机组接口机 操作员站工程师站历史数据库打印机 接口机辅二号控制系统 控系统

基于白名单的工业流监测 1关键网络节点基于流量威胁测 2对APT攻击的实时检测 3安全I区（DCS)安全I区（DCS)

隔离装置

公用系统操作员站工程师站历史数据库打印机 接口

操作员站

工程师站一号控制系统30工控安全监测与审计系统-工业协议白名单工控安全监测与审计系统-工业协议白名单3132工控安全监测与审计系统-值域告警32工控安全监测与审计系统-值域告警网络威胁感知系统（APT）网络威胁感知系统（APT）内置威胁情报检测，APT情报检测能力，内置IOC数据库覆盖主流的APT家族，覆盖家族数量≥240个；33网络威胁感知系统（APT）网络威胁感知系统（APT）采用基因图谱模糊比对技术对流量中的文件进行静态检测，通过结合图像文理分析技术与恶意代码变种检测技术将可疑文件的二进制代码映射为无法压缩的灰阶图片，与已有的恶意代码基因库图片进行相似度匹配，根据相似度判断是否为威胁变种343.提高违规内联、外联检测能力3.提高违规内联、外联检测能力师站 打印机镜像服务器 SIS服务器师站 打印机镜像服务器 SIS服务器公用系统 2#DCS 辅控系统接口机 接口机 接口机隔离装置 隔离装置 隔离装二号机组接口机 操作员站工程师站历史数据库打印机 接口机辅二号控制系统 控系统安全II区（SIS）

管理信息大区

交换机关闭不必要端口 1计算服务器 操作员站 工

进行IP/MAC绑定 2工控主机卫士开启非法外联策略3安全I区（DCS)安全I区（DCS)

隔离装置

公用系统操作员站工程师站历史数据库打印机 接口

操作员站

工程师站一号控制系统354.提高系统内主机病毒防范能力4.提高系统内主机病毒防范能力安全II区（SIS）安全II区（SIS）

管理信息大区计算服务器 操作员站 工程师站

切断恶意代码/病毒通过U盘摆渡到系统内部的途径打印机镜像服务器 SIS服务器公用打印机镜像服务器 SIS服务器公用系统 2#DCS 辅控系统接口机 接口机 接口机离装置 隔离装置 隔离装二号机组接口机 操作员站工程师站历史数据库打印机 接口机辅二号控制系统 控系统12安全I区（DCS)安全I区（DCS)

公用系统公用系统操作员站工程师站历史数据库打印机 接口

操作员站

工程师站一号控制系统

传统安全解决方案难以及时更新、打补丁缓冲区溢出、0day漏洞利用等攻击方式，传统杀毒杀毒软件或将业务软件误识为病毒而删除3637工控主机卫士-病毒防范37工控主机卫士-病毒防范保证只有经过授权的可执行程序才可以执行保证只有经过授权的U盘才允许使用5.提高主机身份认证能力，采用双因子认证机制5.提高主机身份认证能力，采用双因子认证机制安全II区（SIS）安全II区（SIS）

管理信息大区计算服务器 操作员站 工程师站

静态密码+UKEY 1打印机镜像服务器 SIS服务器用打印机镜像服务器 SIS服务器用系统 2#DCS 辅控系统接口机 接口机 接口机离装置 隔离装置 隔离装二号机组口机 操作员站工程师站历史数据库打印机 接口机辅二号控制系统 控系统安全I区（DCS)安全I区（DCS)

公公公用系统隔离装置操作员站工程师站历史数据库打印机 接口

操作员站

工程师站 接一号控制系统386.一键式安全加固，提高主机安全基线6.一键式安全加固，提高主机安全基线管理信息大区安全II区（SIS）安全II区（SIS）

计算服务器 操作员站 工程

内置42条安全基线规则 1师站 打印机镜像服务器 SIS服务器公师站 打印机镜像服务器 SIS服务器公用系统 2#DCS 辅控系统接口机 接口机 接口机隔离装置 隔离装置 隔离装二号机组接口机 操作员站工程师站历史数据库打印机 接口机辅二号控制系统 控系统安全I区（DCS)安全I区（DCS)

隔离装置

公用系统操作员站工程师站历史数据库打印机 接口

操作员站

工程师站一号控制系统3940工控主机卫士-主机加固40工控主机卫士-主机加固根据不同加固等级，一键加固7.关闭不必要的服务端口，提高入侵防范能力7.关闭不必要的服务端口，提高入侵防范能力安全II区（SIS）隔离装置安全II区（SIS）

计算服务器

内置防火墙功能，关闭不必要端口师站 打印机镜像服务器 SIS服务器公师站 打印机镜像服务器 SIS服务器公用系统 2#DCS 辅控系统接口机 接口机 接口机隔离装置 隔离装置 隔离装二号机组接口机 操作员站工程师站历史数据库打印机 接口机辅二号控制系统 控系统管理信息大区操作员站工程公用系统1加固成本 2安全I区（DCS)安全I区（DCS)

隔离装置操作员站工程师站历史数据库打印机 接口

操作员站

工程师站一号控制系统418.利用访问控制策略，保证业务配置文件不被篡改8.利用访问控制策略，保证业务配置文件不被篡改安全II区（SIS）安全II区（SIS）

管理信息大区

自主访问控制 1打印机镜像服务器 SIS服务器公用系统 打印机镜像服务器 SIS服务器公用系统 2#DCS 辅控系统接口机 接口机 接口机离装置 隔离装置 隔离装二号机组口机 操作员站工程师站历史数据库打印机 接口机辅二号控制系统 控系统

基于标记的强制访问控制 2安全I区（DCS)安全I区（DCS)

公用系统公用系统操作员站工程师站历史数据库打印机 接口

操作员站

工程师站 接一号控制系统429.提高日志审计能力，审计日志至少保存12个月9.提高日志审计能力，审计日志至少保存12个月管理信息大区隔离装置计算服务器 管理信息大区隔离装置计算服务器 操作员站 工程师站 打印机安全 镜像服务器 SIS服务器II区（SIS）公用系统 2#DCS 辅控接机 接口机 接口机 接口隔离装置 隔离装置 隔离装置 隔一号机组 公用系统 二号机组操作员站工程师站历史数据库打印机 接口机 操作员站 工程师站 接口机 操作员站工程师站历史数据库打印机 接口机安全I区 一号控制系统 二号控制系统（DCS)

管理信息大区安全II区

隔离装置

范式化多种类设备（主机、1工程师站 打印机工程师站 打印机镜像服务器 SIS服务器2#DCS 辅控系统 统接口机 接口机机隔离装置 隔离装装二号机组操作员站工程师站历史数据库打印机 接口机辅辅二号控制系统 控控系系统统计算服务器操作员站计算服务器操作员站

一号机组

公用系统接口机公用系统

快速准确的识别安全事件，2发现违规行为操作员站工程师站历史数据库打印机 接口

操作员站工程师站接口机安全I区（DCS)

一号控制系统安全管理中心43安全管理中心

管理信息大区

运维人员身份授权 1安全II区（SIS）

隔离装置

计算服务器 操作员站

运维人员操作授权 2工程师站 打印机镜像服务器 SIS服务器2#DCS 工程师站 打印机镜像服务器 SIS服务器2#DCS 辅控系统接口机 接口机隔离装置 隔离装二号机组操作员站工程师站历史数据库打印机 接口机辅控一号机组

公用系统接口机公用系统二号控制系统 统操作员站工程师站历史数据库打印机 二号控制系统 统

操作员站工程师站接口机安全I区（DCS)

一号控制系统安全管理中心44安全运维管理系统-统一账户管理安全运维管理系统-统一账户管理45建立统一安全管理中心，强化集中管控能力安全II区（SIS）

隔离装置

安全产品统一管理 1工程师站 打印机镜像服务器 SIS服务器2#DCS 工程师站 打印机镜像服务器 SIS服务器2#DCS 辅控系统接口机 接口机隔离装置 隔离装二号机组操作员站工程师站历史数据库打印机 接口机辅控二号控制系统 系统中心高度可视化 3双机热备，高度可靠 4管理信息大区管理信息大区计算服务器操作员站公用系统接口机公用系统打印机 接口机 操作员站工程师站接口机一号机组操作员站工程师站历史数据库安全I区（DCS)

一号控制系统安全管理4612.技术手段辅助业主完成定期自检12.技术手段辅助业主完成定期自检计算服务器操作员站计算服务器操作员站

安全管理中心

管理信息大区

漏洞扫描 1安全II区（SIS）

报告输出 2工程师站 打印机镜像服务器 SIS服务器2#DCS 工程师站 打印机镜像服务器 SIS服务器2#DCS 辅控系统接口机 接口机隔离装置 隔离装二号机组操作员站工程师站历史数据库打印机 接口机辅控二号控制系统 系统一号机组

公用系统接口机公用系统操作员站工程师站历史数据库打印机 接口

操作员站工程师站接口机安全I区（DCS)

一号控制系统47图例工控安全监测与审计系统统一安全管理平台工业防火墙图例工控安全监测与审计系统统一安全管理平台工业防火墙工控漏洞扫描平台网络威胁感知系统安全运维管理系统工控主机卫士安全管理主机4849区域边界通信网络计算环境49区域边界通信网络计算环境生产区探针探针探针统一安全管理平台厂级统一安全运营中心资产可视号，自动识别网络拓扑化体验。威胁可视关联分析，自动发现攻击路径。合规评估将合规评估量化分析，提供企业集团量化的健康指数。厂级统一安全运营中心安全管理制度完善安全管理制度完善全工作的顺利开展；建立企业自身的工控网络安全制度与标准，需要企业业务主管部门、安全管理部门与我司共同配合完成，在满足国家等级保护相关要求基础上，能够与企业自身生产特点相融合。规定、手册1一级规定、手册1一级文件二级文件三级文件管理办法2管理办法250执行模板350执行模板3管理要求安全管理体系完善管理要求安全管理体系完善安全管理制度安全策略管理制度制定和发布评审和修订

安全管理机构岗位设置人员配置授权和审批沟通和合作审核和检查制度

安全管理人员人员录用人员离岗安全意识和培训外部访问人员安全管理人员安全运维管理

安全建设管理定级和备案自行软件开发外包软件开发工程实施测试验收系统交付等级测评服务商选择

安全运维管理环境管理资产管理介质管理设备维护管理网络安全管理恶意代码防范管理密码管理变更管理51安全事件处理应急预案管理外包运维管理5104解决方案合规性0453国能安全[2015]36号合规性53国能安全[2015]36号合规性目录发电厂具体要求解决方案对应2.基本原则/2.1安全分区原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区I)及非控制区(安全区II/2.2网络专用区。/墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。电力专用单向隔离装置工业防火墙2.3横向隔离2.4纵向认证证装置，实现双向身份认证、数据加密和访问控制。电力专用纵向加密认证装置意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护。工控主机卫士统一安全管理平台工业防火墙网络威胁感知系统2.5综合防护国能安全[2015]36号合规性国能安全[2015]36号合规性目录发电厂具体要求解决方案对应3.安全区的划分/4.边界安全防护4.1横向边界防护4.1.1生产控制大区与管理信息大区边界安全防护。发电厂生产控制大区与管理信息大区之间通信应当部署电力专用横向单向安全隔离装置。电力专用单向隔离装置4.1.2控制区(安全区I)与非控制区(安全区II)边界安全防护安全区I与安全区II设备，实现逻辑隔离、报文过滤、访问控制等功能。所选设备的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。发电厂(DCS)系统部署在安全区I，与运行在安全区II的发电厂厂级监控系统(SIS)优化功能进行信息交换应当采用逻辑隔离的安全防护措施。工业防火墙4.1.3系统间安全防护发电厂内同属于安全区I的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的不同功能访问控制措施，如防火墙、VLAN等。发电厂内同属于安全区II的各系统之间、各不同位置的厂站网络之间，根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、VLAN等。的逻辑访问控制措施，如防火墙、VLAN等。用电力专用横向单向安全隔离装置。发电企业的市场报价终端与同安全区内其它业务系统进行数据交换时，应当采取必要的安全措施，以保证敏感数据的安全。工业防火墙电力专用单向隔离装置4.2纵向边界防护发电厂生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时，应当采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。电力专用纵向加密认证装置4.3第三方边界安全防护如果发电厂生产控制大区中的业务系统与环保、安全等政府部门进行数据传输，其边界防护应当采用生产控制大区与管理信息大区之间的安全防护措施。电力专用单向隔离装置管理信息大区与外部网络之间应采取防火墙、VPN和租用专线等方式，保证边界与数据传输的安全。工业互联防火墙禁止设备生产厂商或其它外部企业(单位)远程连接发电厂生产控制大区中的业务系统及设备。/ 5455国能安全[2015]36号合规性55国能安全[2015]36号合规性目录发电厂具体要求解决方案对应5综合安全防护5.1入侵检测生产控制大区可以统一部署一套网络入侵检测系统，应当合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。入侵检测系统网络威胁感知系统5.2主机与网络设备加固发电厂厂级信息监控系统等关键应用系统的主服务器，以及网络边界处的通信网关机、Web服务器等，应当使用安全加固的操作系统。加固方式包括:安全配置、安全补丁、采用专用软件强化操作系统访问控制能力以及配置安全的应用程序，其中配置的更改和补丁的安装应当经过测试。非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。可以应用电力调度数字证书，在网络设备和安全设备实现支持HTTPS的纵向安全Web服务，能够对浏览器客户端访问进行身份认证及加密传输。应当对外部存储器、打印机等外设的使用进行严格管理。生产控制大区中除安全接入区外，应当禁止选用具有无线通信功能的设备；管理信息大区业务系统使用无线网络传输业务信息时，应当具备接入认证、加密等安全机制。工控主机卫士5.3应用安全控制操作进行身份认证，提供登录失败处理功能，根据身份与权限进行访问控制，并且对操作行为进行安全审计。对于发电厂内部远程访问业务系统的情况，应当进行会话控制，并采用会话认证、加密与抗抵赖等安全机制。安全运维管理系统5.4安全审计生产控制大区的监控系统应当具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。工控安全监测与审计系统可以采用安全审计功能，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。统一安全管理平台5.5专用安全产品的管理安全防护工作中涉及使用横向单向安全隔离装置、纵向加密认证装置、防火墙、入侵检测系统等专用安全产品的应当按照国家有关要求做好保密工作，禁止关键技术和设备的扩散。/5.6备用与容灾应当定期对关键业务的数据进行备份，并实现历史归档数据的异地保存。关键主机设备、网络设备或关键部件应当进行相应的冗余配置。控制区的业务系统(应用)应当采用冗余方式。/5.7恶意代码防范应当及时更新特征码，查看查杀记录。恶意代码更新文件的安装应当经过测试。禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。工控主机卫士5.8设备选型及漏洞整改发电厂电力监控系统在设备选型及配置时，应当禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备；对于已经投入运行的系统及设备，应当按照国家能源局及其派出机构的要求及时进行整改，同时应当加强相关系统及设备的运行管理和安全防护。生产控制大区中除安全接入区外，应当禁止选用具有无线通信功能的设备。工控漏洞扫描平台56等级保护2.0-安全通信网络56等级保护2.0-安全通信网络序号基本要求控制项基本要求控制点方案应标1安全通信网络网络架构a)应保证网络设备的业务处理能力满足业务高峰期需要；——2b)应保证网络各个部分的带宽满足业务高峰期需要；——3c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；——4d)应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；工业防火墙5e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。——6a)工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用单向的技术隔离手段；——7b)工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段；工业防火墙8c)涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其它数据网及外部公共信息网的安全隔离。——9通信传输a)应采用校验技术或密码技术保证通信过程中数据的完整性；——10b)应采用密码技术保证通信过程中数据的保密性。——11在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。——12可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。——57等级保护2.0-安全区域边界57等级保护2.0-安全区域边界序号基本要求控制项基本要求控制点方案应标13边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；工业防火墙14b)应能够对非授权设备私自联到内部网络的行为进行检查或限制；IP/MAC绑定工业防火墙15c)应能够对内部用户非授权联到外部网络的行为进行检查或限制；工控主机卫士16d)应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。工业防火墙17访问控制a)工业防火墙18b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；工业防火墙19c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；工业防火墙20d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；工业防火墙21e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。工业防火墙22a)E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务；工业防火墙23b)应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警。工业防火墙24入侵防范a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；工控安全监测与审计系统网络威胁感知系统25b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；工控安全监测与审计系统26c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；网络威胁感知系统27d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。工控安全监测与审计系统网络威胁感知系统28恶意代码和垃圾邮件防范a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；工控安全监测与审计系统29b)应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。工控安全监测与审计系统30安全审计a)工业防火墙工控安全监测与审计系统31b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；32c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；统一安全管理平台58等级保护2.0-安全计算环境58等级保护2.0-安全计算环境序号基本要求控制项基本要求控制点方案应标33安全计算环境身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；工控主机卫士34b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；工控主机卫士35c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；工控主机卫士统一安全管理平台36d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。工控主机卫士37访问控制a)应对登录的用户分配账户和权限；工控主机卫士38b)应重命名或删除默认账户，修改默认账户的默认口令；工控主机卫士39c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；工控主机卫士40d)应授予管理用户所需的最小权限，实现管理用户的权限分离；工控主机卫士41e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；工控主机卫士42f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级工控主机卫士43g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。工控主机卫士44安全审计a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；工控主机卫士45b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；工控主机卫士46c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；工控主机卫士日志审计系统统一安全管理平台47d)应对审计进程进行保护，防止未经授权的中断。工控主机卫士48入侵防范a)应遵循最小安装的原则，仅安装需要的组件和应用程序；工控主机卫士49b)应关闭不需要的系统服务、默认共享和高危端口；工控主机卫士50c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；工控主机卫士51d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；工控主机卫士52e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；——53f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。工控主机卫士59等级保护2.0-安全计算环境59等级保护2.0-安全计算环境序号基本要求控制项基本要求控制点方案应标54安全计算环境恶意代码防范应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。工控主机卫士55可信验证——56数据完整性a)——57b工控主机卫士58数据保密性a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；——59b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。——60数据备份恢复a)应提供重要数据的本地数据备份与恢复功能；——61b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；——62c)应提供重要数据处理系统的热冗余，保证系统的高可用性。——63剩余信息保护a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；工控主机卫士64b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。工控主机卫士65个人信息保护a)应仅采集和保存业务必需的用户个人信息；——66b)应禁止未授权访问和非法使用用户个人信息。——67工控扩