20171222-工业控制系统网络安全等级保护建设方案v1.0.docxVIP

工业控制系统 网络安全等级保护建设方案 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. PAGE ii 目 录 TOC \o 1-3 \h \z \u 1 项目概述 1 1.1 工业控制系统概述 1 1.2 工业控制系统安全现状 1 1.3 政策背景 2 2 方案设计标准 4 2.1 方案设计说明 4 2.2 参考依据 4 2.3 设计原则 4 2.3.1 可靠性原则 4 2.3.2 分区分域防护原则 5 2.3.3 均衡性保护原则 5 2.3.4 技术与管理相结合原则 5 2.3.5 网络安全三同步原则 5 2.4 方案设计思路 5 2.5 方案设计框架 7 3 安全需求分析 8 3.1 等级保护对象现状分析 8 3.1.1 系统现状 8 3.1.2 风险分析 8 3.2 安全技术需求 11 3.2.1 物理和环境安全需求 11 3.2.2 网络和通信安全需求 12 3.2.3 设备和计算安全需求 14 3.2.4 应用和数据安全需求 15 3.3 安全管理需求 16 3.3.1 安全策略和管理制度需求 16 3.3.2 安全管理机构和人员需求 16 3.3.3 安全建设管理需求 17 3.3.4 安全运维管理需求 17 4 技术体系设计方案 18 4.1 技术体系设计目标 18 4.2 技术体系设计框架 19 4.3 安全技术防护体系设计 20 4.3.1 安全计算环境防护设计 20 4.3.2 安全区域边界防护设计 24 4.3.3 安全通信网络防护设计 29 4.3.4 安全管理中心设计 30 5 管理体系设计方案 31 5.1 管理体系设计目标 31 5.2 管理体系设计框架 31 5.3 安全管理防护体系设计 32 5.3.1 安全策略和管理制度设计 32 5.3.2 安全管理机构和人员管理设计 33 5.3.3 安全建设管理设计 34 5.3.4 安全运维管理设计 34 6 安全区域框架及网络拓扑图 40 7 投资概算与设备清单 40 8 等保建设效果及合规性分析 47 8.1 等保建设效果 47 8.2 等级保护合规性分析 48 8.2.1 安全通用要求合规性分析 48 8.2.2 工业控制系统安全扩展要求合规性分析 51 9 附录 52 9.1 先进制造类工控系统安全防护方案 52 9.1.1 系统现状与风险概述 52 9.1.2 防护部署 54 9.2 火电厂工业控制系统防护方案 55 9.2.1 系统现状与风险概述 55 9.2.2 防护部署 58 9.3 油气开采行业安全防护实施方案 60 9.3.1 系统现状与风险分析 60 9.3.2 防护部署 61 9.4 轨道交通行业工控系统安全防护实施方案 63 9.4.1 系统现状及风险概述 63 9.4.2 防护部署 67 PAGE 71 项目概述 工业控制系统概述 工业控制系统是几种类型控制系统的总称，包括监控与数据采集（SCADA）系统、分布式（集散）控制系统（DCS）和其他控制系统，其他控制系统如在工业部门和关键基础设施中经常可以看到的可编程式逻辑控制器（PLC）等。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。 工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成，对于大规模的控制系统，也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等，操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等，管理级包括生产管理系统和企业资源系统等，通信网络包括商用以太网、工业以太网、现场总线等。 工控行业状况 工控行业工控安全需求凸显。 石油行业，三桶油将工控安全作为未来五年重点关注方向，总部都在牵头做工控安全建设规范，每年都在组织力量对下属企业进行安全检查。随着智能制造的推进，生产网普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段，极大地提升了生产效率。与此同时，严峻的网络信息安全风险也如影随形。采油采气、石油管道、炼化、油储、加油工控网络边界隔离、内部监测需求明显，千万级项目逐渐露头。 电力行业，遵循36号文《国家能源局