工控系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)監(jiān)督檢查表

1、工控系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)監(jiān)督檢查表（總體檢查）項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說(shuō)明編號(hào)1等級(jí)保護(hù)工作1001.1等保測(cè)評(píng)和整改工作1000-50開(kāi)展過(guò)本年度的等保測(cè)評(píng)，取得相 關(guān)報(bào)告。0-50根據(jù)年度等保測(cè)評(píng)結(jié)果制定整改計(jì) 劃，形成相關(guān)工作記錄，并完成整 改。2安全防護(hù)技術(shù)要求檢查6502.1安全分區(qū)50業(yè)務(wù)系統(tǒng)安全分區(qū)500-30有完整電廠生產(chǎn)監(jiān)控系統(tǒng)安全防護(hù) 網(wǎng)絡(luò)拓?fù)鋱D、安全網(wǎng)絡(luò)設(shè)備部署列 表與描述文檔。0-20有完整的電廠生產(chǎn)監(jiān)控系統(tǒng)安全分區(qū)表。與規(guī)范要求相符合。2.2網(wǎng)絡(luò)專用30網(wǎng)絡(luò)專用300-20電力調(diào)度數(shù)據(jù)網(wǎng)在物理層面上實(shí)現(xiàn) 與本單位其它數(shù)據(jù)網(wǎng)及外部公用數(shù) 據(jù)網(wǎng)的

2、安全隔離。0-10電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的 實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接 控制區(qū)和非控制區(qū)。2.3邊界安全防護(hù)150生產(chǎn)控制大區(qū) 與管理信息大 區(qū)邊界安全防 護(hù)400-20生產(chǎn)控制大區(qū)和管理信息大區(qū)之間 部署經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的正 向安全隔離裝置；單向安全隔離裝 置滿足可靠性、傳輸流量等方面的 要求。0-10禁止 E-mail、WEB Tel net、Rlogi n、FTP等網(wǎng)絡(luò)服務(wù)；禁止以 B/S或C/S方式的數(shù)據(jù)庫(kù)訪問(wèn)穿越專用橫向單向安全隔離裝置等。0-10生產(chǎn)控制大區(qū)和管理信息大區(qū)之間項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說(shuō)明編號(hào)業(yè)務(wù)系統(tǒng)未岀現(xiàn)反向部署情況。232

3、安全區(qū)1與安全區(qū)H邊界安全防護(hù)300-10安全區(qū)1與安全區(qū)H間部署工業(yè)防 火墻等硬件設(shè)備并實(shí)現(xiàn)邏輯隔離、 報(bào)文過(guò)濾、訪問(wèn)控制等功能；工業(yè) 防火墻的功能、性能、電磁兼容性 經(jīng)過(guò)國(guó)家相關(guān)部門(mén)的認(rèn)證和測(cè)試。0-10所選工業(yè)防火墻具備對(duì)流經(jīng)安全區(qū)I與安全區(qū)II工控通信協(xié)議進(jìn)行解 析的功能、參數(shù)設(shè)置合理并滿足電 廠對(duì)業(yè)務(wù)數(shù)據(jù)的通信要求。0-10安全區(qū)1與安全區(qū)H間業(yè)務(wù)系統(tǒng)未 岀現(xiàn)反向部署情況。233生產(chǎn)控制大區(qū)系統(tǒng)間安全防護(hù)300-30同屬安全區(qū)1內(nèi)或安全區(qū)II內(nèi)的各 系統(tǒng)之間有防火墻、VLAN等邏輯訪 問(wèn)控制?？v向邊界防護(hù)300-30部署經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電 力專用縱向加密認(rèn)證裝置或加密認(rèn) 證網(wǎng)

4、關(guān)及相應(yīng)設(shè)施。第三方邊界安全防護(hù)200-20生產(chǎn)控制大區(qū)內(nèi)個(gè)別業(yè)務(wù)（子）系統(tǒng)、功能模塊使用公用通信網(wǎng)絡(luò)、 無(wú)線通信網(wǎng)絡(luò)以及處于非可控狀態(tài) 下的網(wǎng)絡(luò)設(shè)備與終端等進(jìn)行通信 時(shí)，設(shè)立安全接入?yún)^(qū)；生產(chǎn)控制大 區(qū)內(nèi)業(yè)務(wù)系統(tǒng)與環(huán)保、安全等政府 部門(mén)進(jìn)行數(shù)據(jù)傳輸時(shí)采用經(jīng)過(guò)國(guó)家 指定部門(mén)檢測(cè)認(rèn)證的單向安全隔離 裝置。2.4綜合防護(hù)420物理安全600-20機(jī)房、集控室、工程師間等核心重 點(diǎn)生產(chǎn)防護(hù)區(qū)域和場(chǎng)所具備防風(fēng)、 防雨、防震、防潮、防火、防靜電、 防雷擊、防盜竊、防破壞等能力。0-20各岀入口配置電子門(mén)禁系統(tǒng)或配置 有24小時(shí)的連續(xù)視頻監(jiān)控記錄系統(tǒng) 并保存至少30天以上。項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)

5、準(zhǔn)評(píng)分值評(píng)分原因說(shuō)明編號(hào)0-20進(jìn)入機(jī)房的來(lái)訪人員有申請(qǐng)和審批 流程記錄單，并對(duì)其活動(dòng)范圍具有 限制和監(jiān)控能力。242網(wǎng)絡(luò)設(shè)備安全防護(hù)400-10對(duì)登錄網(wǎng)絡(luò)設(shè)備、安全設(shè)備采用了HTTPS SSH等加密方式或配置堡壘 機(jī)。0-20對(duì)登錄用戶進(jìn)行身份鑒別及權(quán)限控 制，登錄用戶口令滿足復(fù)雜度要求， 且制定有更換策略并由專人負(fù)責(zé)保 管。0-10是否及時(shí)清理網(wǎng)絡(luò)及安全設(shè)備上的 臨時(shí)用戶、多余用戶。243主機(jī)防護(hù)110243.1主機(jī)加固400-20對(duì)DCS NCS等人機(jī)交互站，廠級(jí)監(jiān) 控信息系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服 務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān) 機(jī)、Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等， 采取了安全加固措施。0

6、-10實(shí)施加固前，在測(cè)試環(huán)境中進(jìn)行了 操作系統(tǒng)及各項(xiàng)生產(chǎn)業(yè)務(wù)功能方面 的測(cè)試并有完整測(cè)試記錄或原廠家 的安全承諾。0-10制訂主機(jī)安全加固的審核流程與管 理制度以及主機(jī)加固技術(shù)標(biāo)準(zhǔn)和加 固管理的策略。243.2惡意代碼防范200-20生產(chǎn)控制大區(qū)內(nèi)主機(jī)采取免受惡意 代碼攻擊的技術(shù)措施或部署惡意代 碼防護(hù)軟件或主機(jī)白名單軟件等； 具有惡意代碼庫(kù)定期更新的工作記 錄。補(bǔ)丁升級(jí)200-20對(duì)生產(chǎn)控制大區(qū)內(nèi)的服務(wù)器和操作 員站等上位機(jī)操作系統(tǒng)，嚴(yán)格按廠 家要求和操作說(shuō)明，及時(shí)升級(jí)系統(tǒng) 補(bǔ)丁和應(yīng)用軟件補(bǔ)?。辉陔x線環(huán)境 下經(jīng)過(guò)完整測(cè)試并提供記錄的。項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說(shuō)明編號(hào)

7、243.4外設(shè)管控300-10生產(chǎn)控制大區(qū)內(nèi)各主機(jī)上不必要的 軟盤(pán)、光盤(pán)驅(qū)動(dòng)、USB接口、無(wú)線、藍(lán)牙等外設(shè)采取關(guān)閉、拆除、訪問(wèn) 控制等嚴(yán)格管控措施。0-10禁止在生產(chǎn)控制大區(qū)和管理信息大 區(qū)之間交叉使用 USB以及便攜計(jì)算 機(jī)，確需外設(shè)接入的，在接入前進(jìn) 行了病毒查殺等安全預(yù)防措施，是 否通過(guò)安全管理與技術(shù)措施實(shí)施嚴(yán) 格監(jiān)控，并履行了電廠安全接入審 批手續(xù)。0-10對(duì)電廠必要的 USB外設(shè)采取了主機(jī) 白名單等技術(shù)措施，對(duì)移動(dòng)介質(zhì)的 插入、拷貝、寫(xiě)入等操作具有安全 審計(jì)功能。244入侵檢測(cè)300-30在生產(chǎn)控制大區(qū)和管理信息大區(qū)間 部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的；設(shè)置了 包含有工控系統(tǒng)專有攻擊特征庫(kù)的

8、檢測(cè)規(guī)則的。遠(yuǎn)程訪問(wèn)300-20禁止其他設(shè)備生產(chǎn)廠商或其它外部 企業(yè)（單位）遠(yuǎn)程連接電廠生產(chǎn)控制 大區(qū)中的業(yè)務(wù)系統(tǒng)及設(shè)備。0-10對(duì)于電廠內(nèi)部遠(yuǎn)程訪冋業(yè)務(wù)系統(tǒng)的 情況，進(jìn)行身份認(rèn)證及權(quán)限控制， 并采用會(huì)話認(rèn)證、加密與抗抵賴、 日志審計(jì)等安全機(jī)制。安全審計(jì)600-30網(wǎng)絡(luò)審計(jì)：生產(chǎn)控制大區(qū)各關(guān)鍵生 產(chǎn)系統(tǒng)內(nèi)部署網(wǎng)絡(luò)流量審計(jì)設(shè)備； 具備針對(duì)工控協(xié)議的深度包協(xié)議解 析、及時(shí)發(fā)現(xiàn)隱藏在正常流量中的 異常數(shù)據(jù)包、實(shí)時(shí)檢測(cè)針對(duì)工業(yè)協(xié) 議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶 違規(guī)操作、違規(guī)外聯(lián)、非法設(shè)備接 入等內(nèi)網(wǎng)異常行為的功能。0-30日志審計(jì)：安全I(xiàn)I區(qū)內(nèi)部署一套日項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分

9、原因說(shuō)明編號(hào)志審計(jì)設(shè)備的；在安全 1區(qū)機(jī)組主 控DCS輔控系統(tǒng)即NCS系統(tǒng)需具備 日志審計(jì)功能；保證至少 6個(gè)月的 日志數(shù)據(jù)。247網(wǎng)絡(luò)安全監(jiān)測(cè)裝置200-10在安全區(qū)II內(nèi)部署廠級(jí)生產(chǎn)安全監(jiān) 測(cè)平臺(tái)，具備實(shí)時(shí)監(jiān)測(cè)生產(chǎn)監(jiān)控系 統(tǒng)的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備運(yùn) 行狀態(tài)和日志采集，進(jìn)行集中化的 性能狀態(tài)監(jiān)控、日志分析及安全事 件的集中展示的功能。0-10監(jiān)測(cè)平臺(tái)留有與集團(tuán)公司工控安全 監(jiān)測(cè)平臺(tái)的數(shù)據(jù)接口，跨區(qū)間的安 全數(shù)據(jù)傳輸，在邊界處部署了單向 安全隔離裝置、工業(yè)防火墻。248網(wǎng)絡(luò)安全監(jiān)測(cè)裝置300-20部署了網(wǎng)絡(luò)安全監(jiān)測(cè)裝置并實(shí)現(xiàn)了 采集涉網(wǎng)區(qū)域內(nèi)設(shè)備安全數(shù)據(jù)及網(wǎng) 絡(luò)安全事件的功能；對(duì)電廠網(wǎng)絡(luò)安

10、 全事件進(jìn)行本地監(jiān)視和管理并轉(zhuǎn)發(fā) 至調(diào)控機(jī)構(gòu)網(wǎng)絡(luò)安全監(jiān)管平臺(tái)的數(shù) 據(jù)網(wǎng)關(guān)機(jī)。（涉網(wǎng)）0-10網(wǎng)絡(luò)安全監(jiān)測(cè)裝置可以將數(shù)據(jù)同步 傳輸至廠級(jí)生產(chǎn)安全監(jiān)測(cè)平臺(tái)，并 對(duì)傳輸網(wǎng)絡(luò)通道實(shí)施合規(guī)的安全防 護(hù)。249備份與容災(zāi)400-10對(duì)生產(chǎn)監(jiān)控系統(tǒng)的數(shù)據(jù)備份依據(jù)重 要性實(shí)現(xiàn)了分級(jí)管理，并確保重要 業(yè)務(wù)數(shù)據(jù)雙備份以及在故障發(fā)生時(shí) 至少可異機(jī)恢復(fù)至一天前數(shù)據(jù)。0-20對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵 部件進(jìn)行了冗余配置；有備份數(shù)據(jù) 文件清單且不存在將備份數(shù)據(jù)文件 保存在本機(jī)磁盤(pán)、移動(dòng)存儲(chǔ)等不安 全存儲(chǔ)介質(zhì)上的現(xiàn)象。0-10定期對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)進(jìn)行備份，對(duì)生產(chǎn)運(yùn)行等重要數(shù)據(jù)實(shí)現(xiàn)雙備份項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分

11、標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說(shuō)明編號(hào)并保存12個(gè)月。3安全防護(hù)建設(shè)管理要求檢查2503.1組織機(jī)構(gòu)400-20明確電廠工控系統(tǒng)網(wǎng)絡(luò)信息安全防 護(hù)職責(zé)歸口管理部門(mén)為信息化及網(wǎng) 絡(luò)安全領(lǐng)導(dǎo)小組，確定企業(yè)負(fù)責(zé)人 作為生產(chǎn)監(jiān)控系統(tǒng)安全主要責(zé)任 人，并指定專人負(fù)責(zé)本單位所轄生 產(chǎn)監(jiān)控系統(tǒng)的公共安全設(shè)施，明確 了各業(yè)務(wù)系統(tǒng)專責(zé)人的安全管理責(zé) 任。建立了總工程師、工控系統(tǒng)網(wǎng) 絡(luò)信息安全技術(shù)監(jiān)督專責(zé)、各專業(yè) 部門(mén)網(wǎng)絡(luò)安全員的三級(jí)技術(shù)監(jiān)督 網(wǎng)。0-20對(duì)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán) 審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人。對(duì) 于系統(tǒng)變更、重要操作、物理訪問(wèn) 和系統(tǒng)接入等事項(xiàng)建立審批程序并 按照審批程序執(zhí)行審批過(guò)程，對(duì)重 要活動(dòng)建立逐

12、級(jí)審批制度，記錄審 批過(guò)程并保存審批文檔。3.2人員管理400-10各單位及業(yè)務(wù)部門(mén)設(shè)置信息安全專 職崗位和人員，并簽署保密協(xié)議。0-10人員變動(dòng)、崗位調(diào)整后建立有撤銷 權(quán)限流程。0-10每年開(kāi)展工控系統(tǒng)網(wǎng)絡(luò)信息安全培 訓(xùn)。0-10與第三方外包人員簽署保密協(xié)議， 系統(tǒng)使用權(quán)限遵循權(quán)限最小化原 則；當(dāng)崗位調(diào)整時(shí)能及時(shí)向相關(guān)負(fù) 責(zé)人提出變更申請(qǐng)，離職時(shí)能及時(shí) 收回人員的相關(guān)證件，并在系統(tǒng)做 注銷等相應(yīng)處理。3.3管理制度300-10制訂門(mén)禁、人員、權(quán)限、訪問(wèn)控制 管理制度。項(xiàng)目檢查項(xiàng)目項(xiàng)目分值子項(xiàng)分值評(píng)分標(biāo)準(zhǔn)評(píng)分值評(píng)分原因說(shuō)明編號(hào)0-10制訂安全防護(hù)系統(tǒng)的維護(hù)、常規(guī)設(shè) 備及各系統(tǒng)的維護(hù)管理制度。0

13、-10制訂惡意代碼防護(hù)、審計(jì)、數(shù)據(jù)及 系統(tǒng)的備份、用戶口令、安全培訓(xùn) 等管理制度。3.4系統(tǒng)建設(shè)300-20系統(tǒng)建設(shè)所涉及到的軟硬件系統(tǒng)、 設(shè)備及專用信息安全產(chǎn)品符合國(guó)家 及行業(yè)資質(zhì)、質(zhì)量標(biāo)準(zhǔn)等相關(guān)規(guī)定 與要求，自行開(kāi)發(fā)或外包開(kāi)發(fā)的軟 件產(chǎn)品投運(yùn)前進(jìn)行安全評(píng)估并留有 相關(guān)工作記錄。0-10選定的施工建設(shè)單位和安全服務(wù)商 具備國(guó)家和行業(yè)主管部門(mén)要求的資 質(zhì)；與選定的安全服務(wù)商簽訂安全 保護(hù)承諾等相關(guān)協(xié)議并明確約定相 關(guān)責(zé)任并簽署保密協(xié)議。3.5系統(tǒng)運(yùn)維500-10分別對(duì)各類設(shè)備、介質(zhì)、資產(chǎn)、網(wǎng) 絡(luò)、業(yè)務(wù)系統(tǒng)制訂了安全管理制度 并在存放環(huán)境、使用以及銷毀、報(bào) 廢等方面做出了詳細(xì)規(guī)定，并建立 了安全審計(jì)管理制度。0-10指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代 碼檢測(cè)并保存檢測(cè)記錄。0-20對(duì)移動(dòng)存儲(chǔ)設(shè)備、重要文檔的安全 管理具有完整、清晰的工作記錄； 對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、 系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作符合規(guī)范 化管理要求。0-10建立了密碼使用管理制