工控系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)監(jiān)督檢查表(總體檢查)

1、工控系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)監(jiān)督檢查表（總體檢查）項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說明編號(hào)1等級(jí)保護(hù)工作1001.1等保測(cè)評(píng)和整改工作1000-50開展過本年度的等保測(cè)評(píng)，取得相關(guān)報(bào)告。0-50根據(jù)年度等保測(cè)評(píng)結(jié)果制定整改計(jì)劃， 形成相關(guān)工作記錄，并完成整改。2安全防護(hù)技術(shù)要求檢查6502. 1安全分區(qū)502. 1. 1業(yè)務(wù)系統(tǒng)安全分區(qū)500-30有完整電廠生產(chǎn)監(jiān)控系統(tǒng)安全防護(hù)網(wǎng)絡(luò) 拓?fù)鋱D、安全網(wǎng)絡(luò)設(shè)備部署列表與描述 文檔。0-20有完整的電廠生產(chǎn)監(jiān)控系統(tǒng)安全分 區(qū)表。與規(guī)范要求相符合。2.2網(wǎng)絡(luò)專用302. 2. 1網(wǎng)絡(luò)專用300-20電力調(diào)度數(shù)據(jù)網(wǎng)在物理層面上實(shí)現(xiàn)與本 單位其

2、它數(shù)據(jù)網(wǎng)及外部公用數(shù)據(jù)網(wǎng)的安 全隔離。0-10電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實(shí)時(shí) 子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接 控制區(qū)和 非控制區(qū)。2. 3邊界安全防護(hù)1502. 3. 1生產(chǎn)控制大區(qū) 與管理信息大 區(qū)邊界安全防 護(hù)400-20生產(chǎn)控制大區(qū)和管理信息大區(qū)之間部署 經(jīng)國家指定部門檢測(cè)認(rèn)證的正向安全隔 離裝置；單向安全隔離裝置滿足可靠 性、傳輸流量等方面的要求。0-10禁止 Emails WEB Tel net、Rlogi n、 FTP等網(wǎng)絡(luò)服務(wù);禁止以B/S或C/S 方式的數(shù)據(jù)庫訪問穿越專用橫向單 向安全隔離裝置等。0-10生產(chǎn)控制大區(qū)和管理信息大區(qū)之間項(xiàng)H編號(hào)檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分

3、值評(píng)分原因說明業(yè)務(wù)系統(tǒng)未出現(xiàn)反向部署情況。232安全區(qū)1與安全區(qū)H邊界安全防護(hù)300-10安全區(qū)1與安全區(qū)H間部署工業(yè)防火墻 等硬件設(shè)備并實(shí)現(xiàn)邏輯隔離、報(bào)文過 濾、訪問控制等功能；工業(yè)防火墻的功 能、性能、電磁兼容性經(jīng)過國家相關(guān)部 門的認(rèn)證和測(cè)試。0-10所選工業(yè)防火墻具備對(duì)流經(jīng)安全區(qū)I與安全區(qū)II工控通信協(xié)議進(jìn)行解析的 功能、參數(shù)設(shè)置合理并滿足電廠對(duì)業(yè)務(wù) 數(shù)據(jù)的通信要求。0-10安全區(qū)1與安全區(qū)H間業(yè)務(wù)系統(tǒng)未出現(xiàn) 反向部署情況。233生產(chǎn)控制大區(qū) 系統(tǒng)間安全防護(hù)300-30同屬安全區(qū)1內(nèi)或安全區(qū)II內(nèi)的各系統(tǒng) 之間有防火墻、VLAN等邏輯訪問控制。2. 3.4縱向邊界防護(hù)300-30部署經(jīng)國

4、家指定部門檢測(cè)認(rèn)證的電力專 用縱向加密認(rèn)證裝置或加密認(rèn) 證網(wǎng)關(guān)及 相應(yīng)設(shè)施。2. 3.5第三方邊界安全防護(hù)200-20生產(chǎn)控制大區(qū)內(nèi)個(gè)別業(yè)務(wù)（子）系統(tǒng)、功能模塊使用公用通信網(wǎng)絡(luò)、無線 通信網(wǎng)絡(luò)以及處于非可控狀態(tài) 下的網(wǎng)絡(luò) 設(shè)備與終端等進(jìn)行通信時(shí)，設(shè)立安全接 入?yún)^(qū)；生產(chǎn)控制大區(qū)內(nèi)業(yè)務(wù)系統(tǒng)與環(huán) 保、安全等政府部門進(jìn)行數(shù)據(jù)傳輸時(shí)采 用經(jīng)過國家指定部門檢測(cè)認(rèn)證的單向安 全隔離裝置。2.4綜合防護(hù)4202.4. 1物理安全600-20機(jī)房、集控室、工程師間等核心重點(diǎn)生 產(chǎn)防護(hù)區(qū)域和場(chǎng)所具備防風(fēng)、防雨、防 震、防潮、防火、防靜電、防雷擊、防 盜竊、防破壞等能力。0-20各出入口配置電子門禁系統(tǒng)或配置有24

5、 小時(shí)的連續(xù)視頻監(jiān)控記錄系統(tǒng)并保存至 少30天以he項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說明編號(hào)0-20進(jìn)入機(jī)房的來訪人員有申請(qǐng)和審批 流程 記錄單，并對(duì)其活動(dòng)范圍具有限制和監(jiān) 控能力。242網(wǎng)絡(luò)設(shè)備安全防護(hù)400-10對(duì)登錄網(wǎng)絡(luò)設(shè)備、安全設(shè)備采用了HTTPS SSH等加密方式或配置堡壘機(jī)。0-20對(duì)登錄用戶進(jìn)行身份鑒別及權(quán)限控制， 登錄用戶口令滿足復(fù)雜度要求，且制定 有更換策略并由專人負(fù)責(zé)保管。0-10是否及時(shí)清理網(wǎng)絡(luò)及安全設(shè)備上的臨時(shí) 用戶、多余用戶。243主機(jī)防護(hù)110243. 1主機(jī)加固400-20對(duì)DCS NCS等人機(jī)交互站，廠級(jí)監(jiān) 控信 息系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服務(wù)器

6、，以 及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)機(jī)、Web服務(wù) 器、數(shù)據(jù)庫服務(wù)器等，采取了安全加固 措施。0-10實(shí)施加固前，在測(cè)試環(huán)境中進(jìn)行了操作 系統(tǒng)及各項(xiàng)生產(chǎn)業(yè)務(wù)功能方面的測(cè)試并 有完整測(cè)試記錄或原廠家的安全承諾。0-10制訂主機(jī)安全加固的審核流程與管理制 度以及主機(jī)加固技術(shù)標(biāo)準(zhǔn)和加固管理的 策略。243.2惡意代碼防范200-20生產(chǎn)控制大區(qū)內(nèi)主機(jī)采取免受惡意 代碼 攻擊的技術(shù)措施或部署惡意代碼防護(hù)軟 件或主機(jī)白名單軟件等；具有惡意代碼 庫定期更新的工作記錄。2.4. 3. 3補(bǔ)丁升級(jí)200-20對(duì)生產(chǎn)控制大區(qū)內(nèi)的服務(wù)器和操作 員站 等上位機(jī)操作系統(tǒng)，嚴(yán)格按廠家要求和 操作說明，及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和應(yīng)用軟

7、件補(bǔ)丁；在離線環(huán)境下經(jīng)過完整測(cè)試并 提供記錄的。項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說明編號(hào)243.4外設(shè)管控300-10生產(chǎn)控制大區(qū)內(nèi)各主機(jī)上不必要的軟 盤、光盤驅(qū)動(dòng)、USB接口、無線、藍(lán)牙等外設(shè)采取關(guān)閉、拆除、訪問控制 等嚴(yán)格管控措施。0-10禁止在生產(chǎn)控制大區(qū)和管理信息大區(qū)之 間交叉使用USB以及便攜計(jì)算機(jī)，確需 外設(shè)接入的，在接入前進(jìn)行了病毒查殺 等安全預(yù)防措施，是否通過安全管理與 技術(shù)措施實(shí)施嚴(yán)格監(jiān)控，并履行了電廠 安全接入審批手續(xù)。0-10對(duì)電廠必要的USB外設(shè)采取了主機(jī)白名 單等技術(shù)措施，對(duì)移動(dòng)介質(zhì)的插入、拷 貝、寫入等操作具有安全審計(jì)功能。244入侵檢測(cè)300-3

8、0在生產(chǎn)控制大區(qū)和管理信息大區(qū)間部署 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的；設(shè)置了包含有工 控系統(tǒng)專有攻擊特征庫的檢測(cè)規(guī)則的。2.4.5遠(yuǎn)程訪問300-20禁止其他設(shè)備生產(chǎn)廠商或其它外部企業(yè) （單位）遠(yuǎn)程連接電廠生產(chǎn)控制 大區(qū)中 的業(yè)務(wù)系統(tǒng)及設(shè)備。0-10對(duì)于電廠內(nèi)部遠(yuǎn)程訪問業(yè)務(wù)系統(tǒng)的情 況，進(jìn)行身份認(rèn)證及權(quán)限控制，并采用 會(huì)話認(rèn)證、加密與抗抵賴、日志審計(jì)等 安全機(jī)制。2.4.6安全審計(jì)600-30網(wǎng)絡(luò)審計(jì)：生產(chǎn)控制大區(qū)各關(guān)鍵生產(chǎn)系 統(tǒng)內(nèi)部署網(wǎng)絡(luò)流量審計(jì)設(shè)備；具備針對(duì) 1：控協(xié)議的深度包協(xié)議解析、及時(shí)發(fā)現(xiàn) 隱藏在正常流量中的異常數(shù)據(jù)包、實(shí)時(shí) 檢測(cè)針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤 操作、用戶違規(guī)操作、違規(guī)外聯(lián)、非法

9、 設(shè)備接入等內(nèi)網(wǎng)異常行為的功能。0-30日志審計(jì)：安全I(xiàn)I區(qū)內(nèi)部署一套日項(xiàng)目編號(hào)檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說明志審計(jì)設(shè)備的；在安全1區(qū)機(jī)組主控 DCS輔控系統(tǒng)即NCS系統(tǒng)需具備日志審計(jì) 功能；保證至少6個(gè)月的日志數(shù)據(jù)。247網(wǎng)絡(luò)安全監(jiān)測(cè)裝置200-10在安全區(qū)II內(nèi)部署廠級(jí)生產(chǎn)安全監(jiān)測(cè) 平臺(tái)，具備實(shí)時(shí)監(jiān)測(cè)生產(chǎn)監(jiān)控系統(tǒng)的主 機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備運(yùn)行狀態(tài)和日 志采集，進(jìn)行集中化的性能狀態(tài)監(jiān)控、 日志分析及安全事件的集中展示的功 能。0-10監(jiān)測(cè)平臺(tái)留有與集團(tuán)公司工控安全 監(jiān)測(cè) 平臺(tái)的數(shù)據(jù)接口，跨區(qū)間的安全數(shù)據(jù)傳 輸，在邊界處部署了單向安全隔離裝 置、工業(yè)防火墻。248網(wǎng)絡(luò)安全

10、監(jiān)測(cè)裝置300-20部署了網(wǎng)絡(luò)安全監(jiān)測(cè)裝置并實(shí)現(xiàn)了采集 涉網(wǎng)區(qū)域內(nèi)設(shè)備安全數(shù)據(jù)及網(wǎng)絡(luò)安全事 件的功能；對(duì)電廠網(wǎng)絡(luò)安全事件進(jìn)行本 地監(jiān)視和管理并轉(zhuǎn)發(fā)至調(diào)控機(jī)構(gòu)網(wǎng)絡(luò)安 全監(jiān)管平臺(tái)的數(shù)據(jù)網(wǎng)關(guān)機(jī)。（涉網(wǎng)）0-10網(wǎng)絡(luò)安全監(jiān)測(cè)裝置可以將數(shù)據(jù)同步 傳輸 至廠級(jí)生產(chǎn)安全監(jiān)測(cè)平臺(tái)，并對(duì)傳輸網(wǎng) 絡(luò)通道實(shí)施合規(guī)的安全防護(hù)。249備份與容災(zāi)400-10對(duì)生產(chǎn)監(jiān)控系統(tǒng)的數(shù)據(jù)備份依據(jù)重 要性 實(shí)現(xiàn)了分級(jí)管理，并確保重要 業(yè)務(wù)數(shù)據(jù) 雙備份以及在故障發(fā)生時(shí)至少可異機(jī)恢 復(fù)至一天前數(shù)據(jù)。0-20對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件 進(jìn)行了冗余配置；有備份數(shù)據(jù)文件清單 旦不存在將備份數(shù)據(jù)文件保存在本機(jī)磁 盤、移動(dòng)存儲(chǔ)等不安全存儲(chǔ)

11、介質(zhì)上的現(xiàn) 象。0-10定期對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)進(jìn)行備份，對(duì)生產(chǎn)運(yùn)行等重要數(shù)據(jù)實(shí)現(xiàn)雙備份項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說明編號(hào)并保存12個(gè)月o3安全防護(hù)建設(shè)管理要求檢查2503. 1組織機(jī)構(gòu)400-20明確電廠工控系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)職 責(zé)歸口管理部門為信息化及網(wǎng)絡(luò)安全領(lǐng) 導(dǎo)小組，確定企業(yè)負(fù)責(zé)人作為生產(chǎn)監(jiān)控 系統(tǒng)安全主要責(zé)任人，并指定專人負(fù)責(zé) 本單位所轄生產(chǎn)監(jiān)控系統(tǒng)的公共安全設(shè) 施，明確了各業(yè)務(wù)系統(tǒng)專責(zé)人的安全管 理責(zé)任。建立了總工程師、工控系統(tǒng)網(wǎng) 絡(luò)信息安全技術(shù)監(jiān)督專責(zé)、各專業(yè)部門 網(wǎng)絡(luò)安全員的三級(jí)技術(shù)監(jiān)督網(wǎng)。0-20對(duì)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批 事項(xiàng)、審批部門和批準(zhǔn)人

12、。對(duì)于系統(tǒng)變 更、重要操作、物理訪問和系統(tǒng)接入等 事項(xiàng)建立審批程序并按照審批程序執(zhí)行 審批過程，對(duì)重要活動(dòng)建立逐級(jí)審批制 度，記錄審批過程并保存審批文檔。3.2人員管理400-10各單位及業(yè)務(wù)部門設(shè)置信息安全專職崗 位和人員，并簽署保密協(xié)議。0-10人員變動(dòng)、崗位調(diào)整后建立有撤銷權(quán)限 流程。0-10每年開展工控系統(tǒng)網(wǎng)絡(luò)信息安全培訓(xùn)。0-10與第三方外包人員簽署保密協(xié)議，系統(tǒng) 使用權(quán)限遵循權(quán)限最小化原貝IJ;當(dāng)崗位 調(diào)整時(shí)能及時(shí)向相關(guān)負(fù)責(zé)人提出變更申 請(qǐng)，離職時(shí)能及時(shí)收回人員的相關(guān)證 件，并在系統(tǒng)做注銷等相應(yīng)處理。3. 3管理制度300-10制訂門禁、人員、權(quán)限、訪問控制管理制明項(xiàng)目編號(hào)檢查項(xiàng)目

13、項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說明0-10制訂安全防護(hù)系統(tǒng)的維護(hù)、常規(guī)設(shè)備及 各系統(tǒng)的維護(hù)管理制度。0-10制訂惡意代碼防護(hù)、審計(jì)、數(shù)據(jù)及系統(tǒng) 的備份、用戶口令、安全培訓(xùn)等管理制 度。3.4系統(tǒng)建設(shè)300-20系統(tǒng)建設(shè)所涉及到的軟硬件系統(tǒng)、設(shè)備 及專用信息安全產(chǎn)品符合國家及行業(yè)資 質(zhì)、質(zhì)量標(biāo)準(zhǔn)等相關(guān)規(guī)定與要求，自行 開發(fā)或外包開發(fā)的軟件產(chǎn)品投運(yùn)前進(jìn)行 安全評(píng)估并留有相關(guān)工作記錄。0-10選定的施工建設(shè)單位和安全服務(wù)商具備 國家和行業(yè)主管部門要求的資質(zhì)；與選 定的安全服務(wù)商簽訂安全保護(hù)承諾等相 關(guān)協(xié)議并明確約定相關(guān)責(zé)任并簽署保密 協(xié)議。3. 5系統(tǒng)運(yùn)維500-10分別對(duì)各類設(shè)備、介質(zhì)、資產(chǎn)、網(wǎng)絡(luò)、 業(yè)務(wù)系統(tǒng)制訂了安全管理制度并在存放 環(huán)境、使用以及銷毀、報(bào)廢等方面做出 了詳細(xì)規(guī)定，并建立了安全審計(jì)管理制 度。0-10指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢 測(cè)并保存檢測(cè)記錄。0-20對(duì)移動(dòng)存儲(chǔ)設(shè)備、重要文檔的安全管理 具有完整、清晰的工作記錄；對(duì)終端計(jì) 算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等 設(shè)備的操作符合規(guī)范化管理要求。0-10建立了密碼使用管