工控系统网络信息安全防护监控技术要求.pdfVIP

士不可以不弘毅，任重而道远。仁以为己任，不亦重乎?死而后已，不亦远乎?——《论语》

工控系统网络信息安全防护监控技术要求

工控系统的网络安全防护标准遵循“安全分区、网络专用、

横向隔离、纵向认证”原则，通过部署工业防火墙、隔离设备、

网络审计、入侵检测、日志审计等安全防护设备，以提升工控系

统网络整体防护能力。

1.1工控系统分区监督

1.1.1业务系统分置于安全区的原则

根据业务系统或其功能模块的实时性、使用者、主要功能、

设备使用场所、各业务系统的相互关系、广域网通信方式以及对

生产的影响程度等，应按照以下规则将业务系统置于相应的安全

区。

对电力生产实现直接控制的系统、有实时控制功能的业务

模块以及未来对电力生产有直接控制功能的业务系统应置于控

制区，其他工控系统置于非控制区。

应尽可能将业务系统完整置于一个安全区内，当业务系统

的某些功能模块与此业务系统不属于同一个安全分区内时，可以

士不可以不弘毅，任重而道远。仁以为己任，不亦重乎?死而后已，不亦远乎?——《论语》

将其功能模块分置于相应的安全区中，经过安全区之间的安全隔

离设施进行通信。

不允许把应属于高安全等级区域的业务系统或其功能模

块迁移到低安全等级区域，但允许把属于低安全等级区域的业务

系统或其功能模块放置于高安全等级区域。

对不存在外部网络联系的孤立业务系统，其安全分区无特

殊要求，但需遵守所在安全区的防护要求。

1.1.2控制区(安全区I)

控制区中的业务系统或其功能模块（或子系统）的典型特

征是电力生产的重要环节，直接实现对生产的实时监控，是安全

防护的重点和核心。

使用电力调度数据网的实时子网或专用通道进行数据传

输的业务系统应划分为控制区。

1.1.3非控制区(安全区Ⅱ)

非控制区中的业务系统或其功能模块（或子系统）的典型

特征是电力生产的必要环节，在线运行但不具备控制功能，与控

制区的业务系统或其功能模块联系紧密。

士不可以不弘毅，任重而道远。仁以为己任，不亦重乎?死而后已，不亦远乎?——《论语》

使用电力调度数据网的非实时子网进行数据传输的业务

系统应按电网要求划分为独立的非控制区。

1.2工控系统边界防护监督

根据安全区划分，网络边界主要有以下几种：生产控制大区

和管理信息大区之间的网络边界，生产控制大区内控制区（安全

区I）与非控制区（安全区II）之间的边界，生产控制大区内部

不同的系统之间的边界，发电厂内生产控制大区与电力调度数据

网之间的边界，发电厂内生产控制大区的业务系统与环保、安监

等政府部门的第三方边界等。安全防护设备宜部署在安全级别高

的一侧。

1.2.1生产控制大区与管理信息大区边界安全防护

发电厂生产控制大区与管理信息大区之间的通信必须部

署经国家指定部门检测认证的电力专用横向单向安全隔离装置，

隔离强度应达到或接近物理隔离。

电力横向单向安全隔离装置作为生产控制大区和管理信

息大区之间的必备边界防护措施，是横向防护的关键设备，应满

足可靠性、传输流量等方面的要求。

士不可以不弘毅，任重而道远。仁以为己任，不亦重乎?死而后已，不亦远乎?——《论语》

按照数据通信方向电力专用横向单向安全隔离装置分为

正向型和反向型。正向安全隔离装置用于生产控制大区到管理信

息大区的非网络方式的单向数据传输。反向安全隔离装置用于从

管理信息大区到生产控制大区的非网络