1. 遵循标准

• 《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

• 《电力监控系统安全防护总体方案》(国家能源局36号文)

• 《GB/T 22239-2008信息安全等级保护基本要求》

2. 解决方案

• 边界隔离（生产控制区和非控制区之间）

部署具备隔离保护功能的安全设备实现网络分层分区，边界访问控制，避免无授权设备对区域的访问，实现基于通信“白环境”边界攻击防御；

• 区域隔离（生产控制大区内部）

采取接入控制措施实现基于区域和功能的网络划分及隔离，对工业专有协议进行深度解析，建立通讯“白环境”，阻止区域间的越权访问，病毒、蠕虫扩散和入侵，将危险源控制在有限范围内；

• 重要系统隔离

采取安全隔离措施，对PLC、DCS等工控设备或系统安全漏洞利用等行为进行阻断，同时阻止操作员或工程师有意无意的非法操作；

• 工控网络监测与审计

采用安全审计功能，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析，及时发现各种违规行为和病毒、黑客的攻击行为；

• 主机安全防护

对主机进行安全防护，阻止非授权及恶意软件运行，同时对操作系统进行加固，如注册表、配置文件等；

• 入侵检测系统

检测网络通讯流量中的入侵行为，分析潜在威胁并进行安全审计；

• 统一安全管理

集中管理安全设备，如工业防火墙、工控主机卫士、监测审计平台等，实现工控网络的拓扑管理、安全配置及安全策略管理、设备状态监控、告警日志等。

3. 典型部署

3.1. 火电

• 在安全I区所属的一号机组、二号机组、辅助车间控制网与安全II区的SIS系统网络边界部署工业防火墙；

• 在安全I区内一号机组、二号机组与共同使用中央空调系统、压缩空气系统、凝结水系统、脱硫公用系统、电气公用系统的公用系统网络边界部署工业防火墙，保证安全I区内一号机组、二号机组控制系统免受来自于公用系统的安全风险；

• 在安全I区的操作员站、工程师站、历史服务器上安装工控主机卫士，只允许白名单列表中的程序执行，避免非授权访问，同时实施移动存储介质安全管控，保证主机间数据交换安全；

• 在一号、二号机组控制系统交换机上旁路部署监测审计平台，对控制系统进行监控、告警、审计，及时发现安全问题；

• 旁路部署统一安全管理平台，实现主辅网安全系统的统一管理和日志汇总分析。

3.2. 水电

• 在安全I区内的LCU本地控制单元前部署工业防火墙，通过工控协议深度解析及应用协议白名单机制，实现安全I区内不同LCU本地控制单元的独立安全；

• 安全I区与安全II区之间部署工业防火墙，通过对OPC数据采集协议进行深度解析，实现两个不同安全等级区域间的信息安全保护及网络隔离；

• 在安全I区内旁路部署安全监测审计平台，实时监测记录误操作和各类违规行为；

• 在安全I区内所有操作员站、工程师站、应用服务器、数据库服务器上部署工控主机卫士，避免相应恶意软件、误操作等带来的安全风险；

• 在安全I区、安全II区内，旁路部署入侵检测系统，实现监测控制大区内病毒、木马及恶意攻击行为等，保护生产控制大区内工控设备及系统免遭恶意代码的攻击；

• 在生产控制大区内部署统一安全管理平台，实现工业防火墙、监测审计平台、工控主机卫士等的集中管理和日志归并分析，降低运维难度难度，提升安全防护效率。

3.3. 风电

• 在集中控制网与调度数据网、风控率预测网、站内控制网、风机控制网间加装工业防火墙，通过协议深度解析和严格访问控制策略，避免各控制网络遭受来自于其它系统的网络攻击行为；

• 在各控制网内旁路署安全监测与审计系统，实现对安全I区内各种恶意攻击行为的及时告警及记录，为工控网络安全问题提供追踪溯源技术手段；

• 在安全I区和各控制网操作员站、工程师站、应用服务器、数据库服务器上部署工控主机卫士软件，保护主机和服务器免遭恶意攻击；

• 在集中管理区部署统一安全管理平台，实现工业防火墙、监测审计平台、工控主机卫士的集中管理。