工控系统网络信息安全技术监督检查表

1、工控系统网络信息安全技术监督检查表（总体检查）项目检查项目项目分值子项分值评分标准评分值评分原因说明编号1等级保护工作1001.1等保测评和整改工作1000-50开展过本年度的等保测评，取得相 关报告。0-50根据年度等保测评结果制定整改计 划，形成相关工作记录，并完成整 改。2安全防护技术要求检查6502.1安全分区50业务系统安全分区500-30有完整电厂生产监控系统安全防护 网络拓扑图、安全网络设备部署列 表与描述文档。0-20有完整的电厂生产监控系统安全分区表。与规范要求相符合。2.2网络专用30网络专用300-20电力调度数据网在物理层面上实现 与本单位其它数据网及外部公用数 据网的

2、安全隔离。0-10电力调度数据网划分为逻辑隔离的 实时子网和非实时子网，分别连接 控制区和非控制区。2.3边界安全防护150生产控制大区 与管理信息大 区边界安全防 护400-20生产控制大区和管理信息大区之间 部署经国家指定部门检测认证的正 向安全隔离装置；单向安全隔离装 置满足可靠性、传输流量等方面的 要求。0-10禁止 E-mail、WEB Tel net、Rlogi n、FTP等网络服务；禁止以 B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置等。0-10生产控制大区和管理信息大区之间项目检查项目项目分值子项分值评分标准评分值评分原因说明编号业务系统未岀现反向部署情况。232

3、安全区1与安全区H边界安全防护300-10安全区1与安全区H间部署工业防 火墙等硬件设备并实现逻辑隔离、 报文过滤、访问控制等功能；工业 防火墙的功能、性能、电磁兼容性 经过国家相关部门的认证和测试。0-10所选工业防火墙具备对流经安全区I与安全区II工控通信协议进行解 析的功能、参数设置合理并满足电 厂对业务数据的通信要求。0-10安全区1与安全区H间业务系统未 岀现反向部署情况。233生产控制大区系统间安全防护300-30同属安全区1内或安全区II内的各 系统之间有防火墙、VLAN等逻辑访 问控制。纵向边界防护300-30部署经国家指定部门检测认证的电 力专用纵向加密认证装置或加密认 证网

4、关及相应设施。第三方边界安全防护200-20生产控制大区内个别业务（子）系统、功能模块使用公用通信网络、 无线通信网络以及处于非可控状态 下的网络设备与终端等进行通信 时，设立安全接入区；生产控制大 区内业务系统与环保、安全等政府 部门进行数据传输时采用经过国家 指定部门检测认证的单向安全隔离 装置。2.4综合防护420物理安全600-20机房、集控室、工程师间等核心重 点生产防护区域和场所具备防风、 防雨、防震、防潮、防火、防静电、 防雷击、防盗窃、防破坏等能力。0-20各岀入口配置电子门禁系统或配置 有24小时的连续视频监控记录系统 并保存至少30天以上。项目检查项目项目分值子项分值评分标

5、准评分值评分原因说明编号0-20进入机房的来访人员有申请和审批 流程记录单，并对其活动范围具有 限制和监控能力。242网络设备安全防护400-10对登录网络设备、安全设备采用了HTTPS SSH等加密方式或配置堡垒 机。0-20对登录用户进行身份鉴别及权限控 制，登录用户口令满足复杂度要求， 且制定有更换策略并由专人负责保 管。0-10是否及时清理网络及安全设备上的 临时用户、多余用户。243主机防护110243.1主机加固400-20对DCS NCS等人机交互站，厂级监 控信息系统等关键应用系统的主服 务器，以及网络边界处的通信网关 机、Web服务器、数据库服务器等， 采取了安全加固措施。0

6、-10实施加固前，在测试环境中进行了 操作系统及各项生产业务功能方面 的测试并有完整测试记录或原厂家 的安全承诺。0-10制订主机安全加固的审核流程与管 理制度以及主机加固技术标准和加 固管理的策略。243.2恶意代码防范200-20生产控制大区内主机采取免受恶意 代码攻击的技术措施或部署恶意代 码防护软件或主机白名单软件等； 具有恶意代码库定期更新的工作记 录。补丁升级200-20对生产控制大区内的服务器和操作 员站等上位机操作系统，严格按厂 家要求和操作说明，及时升级系统 补丁和应用软件补丁；在离线环境 下经过完整测试并提供记录的。项目检查项目项目分值子项分值评分标准评分值评分原因说明编号

7、243.4外设管控300-10生产控制大区内各主机上不必要的 软盘、光盘驱动、USB接口、无线、蓝牙等外设采取关闭、拆除、访问 控制等严格管控措施。0-10禁止在生产控制大区和管理信息大 区之间交叉使用 USB以及便携计算 机，确需外设接入的，在接入前进 行了病毒查杀等安全预防措施，是 否通过安全管理与技术措施实施严 格监控，并履行了电厂安全接入审 批手续。0-10对电厂必要的 USB外设采取了主机 白名单等技术措施，对移动介质的 插入、拷贝、写入等操作具有安全 审计功能。244入侵检测300-30在生产控制大区和管理信息大区间 部署网络入侵检测系统的；设置了 包含有工控系统专有攻击特征库的

8、检测规则的。远程访问300-20禁止其他设备生产厂商或其它外部 企业（单位）远程连接电厂生产控制 大区中的业务系统及设备。0-10对于电厂内部远程访冋业务系统的 情况，进行身份认证及权限控制， 并采用会话认证、加密与抗抵赖、 日志审计等安全机制。安全审计600-30网络审计：生产控制大区各关键生 产系统内部署网络流量审计设备； 具备针对工控协议的深度包协议解 析、及时发现隐藏在正常流量中的 异常数据包、实时检测针对工业协 议的网络攻击、用户误操作、用户 违规操作、违规外联、非法设备接 入等内网异常行为的功能。0-30日志审计：安全II区内部署一套日项目检查项目项目分值子项分值评分标准评分值评分

9、原因说明编号志审计设备的；在安全 1区机组主 控DCS辅控系统即NCS系统需具备 日志审计功能；保证至少 6个月的 日志数据。247网络安全监测装置200-10在安全区II内部署厂级生产安全监 测平台，具备实时监测生产监控系 统的主机、网络设备、安全设备运 行状态和日志采集，进行集中化的 性能状态监控、日志分析及安全事 件的集中展示的功能。0-10监测平台留有与集团公司工控安全 监测平台的数据接口，跨区间的安 全数据传输，在边界处部署了单向 安全隔离装置、工业防火墙。248网络安全监测装置300-20部署了网络安全监测装置并实现了 采集涉网区域内设备安全数据及网 络安全事件的功能；对电厂网络安

10、 全事件进行本地监视和管理并转发 至调控机构网络安全监管平台的数 据网关机。（涉网）0-10网络安全监测装置可以将数据同步 传输至厂级生产安全监测平台，并 对传输网络通道实施合规的安全防 护。249备份与容灾400-10对生产监控系统的数据备份依据重 要性实现了分级管理，并确保重要 业务数据双备份以及在故障发生时 至少可异机恢复至一天前数据。0-20对关键主机设备、网络设备或关键 部件进行了冗余配置；有备份数据 文件清单且不存在将备份数据文件 保存在本机磁盘、移动存储等不安 全存储介质上的现象。0-10定期对关键业务的数据进行备份，对生产运行等重要数据实现双备份项目检查项目项目分值子项分值评分

11、标准评分值评分原因说明编号并保存12个月。3安全防护建设管理要求检查2503.1组织机构400-20明确电厂工控系统网络信息安全防 护职责归口管理部门为信息化及网 络安全领导小组，确定企业负责人 作为生产监控系统安全主要责任 人，并指定专人负责本单位所辖生 产监控系统的公共安全设施，明确 了各业务系统专责人的安全管理责 任。建立了总工程师、工控系统网 络信息安全技术监督专责、各专业 部门网络安全员的三级技术监督 网。0-20对各个部门和岗位的职责明确授权 审批事项、审批部门和批准人。对 于系统变更、重要操作、物理访问 和系统接入等事项建立审批程序并 按照审批程序执行审批过程，对重 要活动建立逐

12、级审批制度，记录审 批过程并保存审批文档。3.2人员管理400-10各单位及业务部门设置信息安全专 职岗位和人员，并签署保密协议。0-10人员变动、岗位调整后建立有撤销 权限流程。0-10每年开展工控系统网络信息安全培 训。0-10与第三方外包人员签署保密协议， 系统使用权限遵循权限最小化原 则；当岗位调整时能及时向相关负 责人提出变更申请，离职时能及时 收回人员的相关证件，并在系统做 注销等相应处理。3.3管理制度300-10制订门禁、人员、权限、访问控制 管理制度。项目检查项目项目分值子项分值评分标准评分值评分原因说明编号0-10制订安全防护系统的维护、常规设 备及各系统的维护管理制度。0

13、-10制订恶意代码防护、审计、数据及 系统的备份、用户口令、安全培训 等管理制度。3.4系统建设300-20系统建设所涉及到的软硬件系统、 设备及专用信息安全产品符合国家 及行业资质、质量标准等相关规定 与要求，自行开发或外包开发的软 件产品投运前进行安全评估并留有 相关工作记录。0-10选定的施工建设单位和安全服务商 具备国家和行业主管部门要求的资 质；与选定的安全服务商签订安全 保护承诺等相关协议并明确约定相 关责任并签署保密协议。3.5系统运维500-10分别对各类设备、介质、资产、网 络、业务系统制订了安全管理制度 并在存放环境、使用以及销毁、报 废等方面做出了详细规定，并建立 了安全审计管理制度。0-10指定专人对网络和主机进行恶意代 码检测并保存检测记录。0-20对移动存储设备、重要文档的安全 管理具有完整、清晰的工作记录； 对终端计算机、工作站、便携机、 系统和网络等设备的操作符合规范 化管理要求。0-10建立了密码使用管理制