控系统网络信息安全防护典型部署参考示意图.doc

《控系统网络信息安全防护典型部署参考示意图.doc》由会员分享，可在线阅读，更多相关《控系统网络信息安全防护典型部署参考示意图.doc（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、控系统网络信息安全防护典型部署参考示意图某新建发电厂装机容量2*300MW，含2套DCS系统及1套辅控系统，DCS机组为AB双网结构，需按3级等保要求进行网络安全防护，各安全设备（系统）部署参考示意图如下。发电厂工控系统网络信息安全防护典型部署参考示意图3D.1 发电厂工控系统网络信息安全防护典型部署列表序号安全设备（系 统）名称部署位置部 署模 式参考数量备 注1.1工业防火墙（接口机）安全区I和安全区II边界网络串联3台（依接口机数量定）安全区I向SIS传输数据的业务系统需单独部署工业防火墙1.2工业防火墙（日志/网络审计）安全区I和安全区II边界网络串联1 台此防火墙应具备高吞吐量的性能

2、1.3工业防火墙（生产控制大区网络安全监测装置）安全区I和安全区II边界网络串联1 台安全区I传输数据至厂级生产控制大区网络安全监测装置处，须单独部署工业防火墙2.1日志审计功能 (安全区I）安全区I内此功能实现对安全区I机组主控辅控系统及NCS控制系统的日志审计，并保留至少6个月的日志数据2.2日志审计（安全区II）安全区II核心交换机网络可达1台在安全区II应单独部署一台日志审计3入侵检测安全区II核心交换机旁路镜像1台4网络审计安全区I内 旁路镜像3台在安全区I机组主控DCS及辅控系统中应单独部署一台网络审计5生产控制大区网络安全监测装置安全区II核心交换机网络串联1套实现对工控系统网络

3、安全数据的采集存储6网络安全监测装置（涉网侧）安全区I /安全区II和电力调度数据网边界网络串联2套满足电网侧安全监控需求，同时数据需同步上传到厂级生产安全监测平台7.1正向隔离装置（SIS系统）生产控制大区和管理信息大区边界网络串联1台此设备为电力专用横向单向安全隔离装置7.2正向隔离装置（生产控制大区网络安全监测装置）生产控制大区的厂级生产安全检测平台和管理信息大区边界网络串联1台此设备为电力专用横向单向安全隔离装置7.3正向隔离装置（环保/安监/消防）生产控制大区和第三方监管单位边界网络串联1台原则上所有外传到第三方监管单位的数据都需经过正向隔离网闸，网闸须满足当地环保等监管部门及电网的配置要求8纵向加密装置安全区I /安全区II与电力调度数据网边界处 网络串联2台 应满足当地电网对安全监控需求9.1主机防护功能 （ 安全区I ）安全区I内各操作员站/站实现对主控及辅控DCS站、操作员站等主机进行防护，须在国家相关部门认证的检测机构检测，确认无影响后，后方可部署