【行业案例】煤炭行业工业控制系统网络安全等级保护三级建设方案

煤炭行业工业控制系统

网络安全等级保护三级建设方案马岩工业互联网安全事业部26五月2026目录01煤炭行业典型工控系统及风险分析030204煤炭行业工控安全解决方案工业网络安全现状煤炭行业等保2.0下工控安全建设工业安全事件频发，牵动国计民生挪威海德鲁铝业公司遭“LockerGoga”勒索攻击，多工厂关闭。海德鲁铝业遭勒索停产世界最大的飞机零部件供应商ASCO公司，比利时工厂遭勒索病毒感染，随即关闭了位于德国、加拿大和美国的工厂。ASCO公司遭勒索停产乌克兰电网遭BlackEnergy攻击，导致大规模停电，影响140万居民达数小时。乌克兰电网遭攻击“永恒之蓝”病毒爆发，波及105个国家，涉及能源、电力、交通等重点行业。永恒之蓝勒索病毒委内瑞拉发生全国性断电，除了电网老化原因外，不排除敌对网络攻击。委内瑞拉大断电伊利诺伊州城市供水SCADA系统遭黑客入侵，水泵遭到破坏。伊利诺伊州供水危机印度库丹库拉姆核电站感染恶意软件，导致该核电站的域控服务器被控制，第二座核电机组停止运行。印度核电站遭网络攻击黑客利用恶意软件TRITON攻击了沙特天然气施耐德SIS系统，造成工厂停产。沙特天然气遭攻击台积电遭受WannaCry变种病毒攻击，5大晶圆厂停摆，损失达52亿新台币。台积电中招变种病毒伊朗“震网”事件伊朗核设施遭“震网”病毒攻击，离心机严重受损，被迫推迟发电。2010年11月2015年12月2017年5月2019年3月2019年6月2011年11月2017年12月2018年8月2019年3月2019年10月多家国内企业遭受勒索病毒攻击，损失严重2017.05某汽车模具厂，停产2018.07某冷轧钢板厂，停产2018.10某炼钢厂，停产2019.01某关键IC厂，停产几十余家企业，大多数都导致了工业主机蓝屏，文件加密，生产停工工控系统网络攻击越来越简单

工控网络攻击美国网络武器库遭泄，埋下重大工业信息安全隐患。诸多黑客大会、开源论坛和白帽社区公开大量工控系统入侵案例细节；大量工控系统软硬件设备漏洞及利用方式可通过公开或半公开的渠道获得；暴露在公网的工控设备有增无减截止2019年11月，全球范围内暴漏在互联网上的工控系统及设备数量已经超过10万个，相比2018年年底上升了43%，全球越来越多的工控系统及设备与互联网连接，极易暴露更多的安全风险隐患。已发现的工控漏洞未发现的工控漏洞工业网络安全面临的挑战新型安全威胁工业网络威胁越来越严重，各类安全攻击手段层出不穷，新型威胁发现和处理时间长，如何处理工业数据孤岛日志、工业网络流量和业务流程数据中存在着很多信息，但是各自隔离，如何充分利用运维难度大缺少梳理工控网内的各类设备和节点，集中维护工控网络基本信息以及安全信息的解决方案。安全态势未知各类安全设备和系统投资巨大却看不到效果，如何直观感受安全态势安全事件响应慢安全事件响应慢，缺乏和生产业务相关联的生产监控网络安全应急响应体系监管合规网络安全法的实施，对日志存储，信息安全事件处理，安全态势感知等方面均提出相关要求目录01煤炭行业典型工控系统及风险分析030204煤炭行业工控安全解决方案工业网络安全现状煤炭行业等保2.0下工控安全建设煤炭行业概述煤炭是我国的基础能源，占一次能源消费的70%左右，根据国家统计局2020年2月28日发布的《中华人民共和国2019年国民经济和社会发展统计公报》显示，2019年全国原煤产量达到39.7亿吨，同比增长4%。煤炭生产智能化煤炭生产自动化数字矿山智慧矿山煤炭生产流程介绍煤炭挖掘皮带运送产生原煤成品煤煤炭开采煤炭提升选煤洗煤掘进采煤运输提升原煤选洗成品装备运输装运通风排水供电供压安监压力防火降尘辅控系统煤炭综合自动化系统煤炭行业典型层级架构煤炭一体化协同融合平台煤炭行业一体化协同融合平台煤炭综合自动化系统煤矿综合自动化系统是为采用计算机技术、网络技术、自动化技术等实现对煤矿正常生产有关的各种参数及状态的集中监控，并实施对相关环节的精准控制，保障通风、排水、供电、采掘、运输等重要生产环节、稳定运行的重要设施。环境监控子系统生产设备监控子系统监控矿井环境参数，保障人员及环境安全。监控煤炭生产设备运行工况综合自动化系统中的工业控制系统是煤炭生产基础设施的重要组成部分，也是基础设施的核心，可用性和实时性要求高，生命周期长。煤炭综合自动化系统介绍综采工作面监控系统综掘工作面监控系统主运输监控系统主/副井提升监控系统主排水监控系统供电监控系统主通风机监控系统瓦斯抽放监控系统井工矿工业控制系统介绍井工开采是指通过挖掘巷道到达工作面开采煤炭的开采方式，其与露天开采在开采工艺上存在较大差别，这也导致了井工煤矿的工控系统较露天矿复杂。防爆电器设备、人体传感器、摄像机、广播等地面PLC控制器、电力综保、通信分站调度控制中心、操作员站、工程师站等生产执行系统、调度管理系统、人员车辆定位系统、安全监控系统等OA系统、ERP系统、CRM等L4

企业资源层L3

生产管理层L1

现场控制层L0

现场设备层L2

生产监控层生产网络地面工业以太环网井下工业以太环网调度中心网络煤矿生产工业控制系统的安全风险服务器自身漏洞移动介质感染、泄密病毒、恶意代码入侵运维人员安全风险安全风险缺乏信息安全规划；缺乏工控安全管理制度、应急处置预案、人员工控安全意识和技能培训管理制度缺乏对违规、越权操作尽心更有效审计和管控措施；授权审计第三方开发，安全性无法保证；PLC多为国外产品，高危漏洞较多。组态软件主机操作系统陈旧，存在漏洞和缺陷；调度运维人员主机运维安全风险；主机安全边界定义不清，系统之间缺乏边界防护；边界安全目录01煤炭行业典型工控系统及风险分析030204煤炭行业工控安全解决方案工业网络安全现状等保2.0下的煤炭行业工控安全建设Contents煤炭行业工业安全建设参考依据第31条：关键信息基础设施第38条：风险评估第52条：安全监测与预警通报第53条：应急预案与演练《网络安全法》规定开展工控安全评估对工控系统规划、设计、建设、运行、维护全生命周期开展防护评价；全面指导工业企业的工控安全防护工作。工信部安全防护指南工控系统安全扩展要求除通用要求外，针对工控环境还增加了物理环境、通讯网络、安全边界、计算环境、建设管理等扩展要求等级保护2.0煤炭工业智能化矿井设计标准神华等集团公司的安全要求行业标准井工矿工控系统安全解决方案资源层与管理层之间部署网闸进行物理隔离；监控层到控制层之间部署工业防火墙进行隔离。边界防护生产管理层的服务器部署堡垒机进行安全运维审计。运维审计部署工控漏洞扫描对上、下位机和服务器进行漏洞检查，对工控资产风险评估。威胁检测操作员站、工程师站、工业服务器部署主机安全加固系统主机安全地面环网、井下环网旁路部署工业安全监测系统进行异常流量、行为的安全审计协议分析等。网络监测安全预警部署工业安全态势感知平台对工控全网的资产进行统一管理和态势感知。目录01煤炭行业典型工控系统及风险分析030204煤炭行业工控安全解决方案工业网络安全现状等保2.0下的煤炭行业工控安全建设Contents网络安全等级保护标准的发展近年来，云计算、物联网、移动互联和工业控制等新技术、新应用在国家关键信息基础设施领域的应用日益广泛，这4个领域面临的安全威胁日益严重，原有网络安全等级保护标准体系已经很难适应新技术、新应用的发展，因此对现有的标准体系（GB/T22239《网络安全技术网络安全等级保护基本要求》）进行了修订和补充，形成了以下系列标准：

（１）《网络安全技术网络安全等级保护基本要求第1部分安全通用要求》；（２）《网络安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求》；（３）《网络安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求》；（４）《网络安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求》；（５）《网络安全技术网络安全等级保护基本要求第5部分工业控制系统安全扩展要求》；（６）《网络安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求》。

工业控制系统安全明确纳入等保2.0基本要求等保外延进一步丰富和完善进一步提升适用性和可操作性网络安全法确立等级保护制度地位等保政策体系进一步细化完善21条规定：国家实行等级保护制度；31条规定：国家对关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。等级保护对象不断扩充（云计算、移动互联、物联网、工业控制系统）；工作内容更加完善（供应链安全、通报预警等）保护要求更加适应新威胁形势（针对高级威胁、增加可信计算）。核心标准全部修订，内容精简、结构统一、测评要求细化、充分考虑可操作性；适应新技术发展变化，增加扩展要求。等级保护管理条例/关键信息基础设施保护条例发布征求意见稿；配套管理规范、实施细则正在陆续出台。等保2.0对工控系统明确提出安全防护要求三级要求：安全通用要求+工控安全扩展要求等保2.0工控安全扩展要求-要点工业控制系统定级对象原则定级对象的网络应具有以下特征： -具有确定的主要安全责任主体； -承载相对独立的业务应用（比如设计、组装、物流）； -包含相互关联的多个资源。工业控制系统的定级对象 -现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级。 -生产管理要素可单独定级。 -大型工业控制系统，可根据系统功能、责任主体、控制对象和生产厂商等因素划分为

多个定级对象。工控系统的等保定级目标现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，各要素不单独定级；生产管理要素可单独定级。对于大型工业控制系统，可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。工业控制系统等保三级对工控网络分层技术要求安全控制类L4企业资源层L3生产管理层L2过程监控层L1现场控制层L0现场设备层安全技术要求通用要求安全物理环境YYYYY安全通信网络YYYYY安全区域边界YYYYY安全计算环境YYYYY安全管理中心YYY扩展要求安全物理环境YY安全通信网络YYYY安全区域边界YYYY安全计算环境YY安全管理中心工控安全等保三级控制要求分布序号安全控制类通用要求工业控制系统安全扩展要求安全控制点安全要求项安全控制点安全要求项1安全物理环境1022122安全通信网络38243安全区域边界620384安全计算环境1134155安全管理中心4126安全管理制度477安全管理机构5148安全管理人员4129安全建设管理10342210安全运维管理1448合计71211921目录04等保2.0下的煤炭行业工控安全建设·4.1等保建设框架·4.2技术支撑体系·4.3安全管理体系工控系统安全等级保护建设体系框架以“一个中心、三重防护、三个体系”为核心指导思想，构建工控安全纵深防御保障体系，结合安全服务，实现主动防御的效果。确保人员安全、业务稳定。工业控制系统安全扩展要求通用要求与扩展要求共有通用要求等保2.0下的煤炭企业工控安全建设思路通过安全域划分，将整个工控网络细分为安全域一、安全域二、安全域三、安全管理中心共四个区域，为纵深安全防御体系建设打下基础。通过通信网络安全防护保护工控系统的网络基础平台。通过边界安全防护实现工控网络内部安全域及工控网络与非工控网络的安全隔离，保护工控网络安全。通过工控网络安全监测实现对工控网络进行全流量审计、分析，对工控系统威胁状态进行实施监控。通过计算环境安全防护对工控系统工业主机、工业应用软件、网络设备、安全设备等计算环境进行安全防护。通过数据安全防护对实现工控系统的数据进行安全防护。通过安全管理中心实现对整个工控系统网络安全威胁的集中管控与展示。目录04等保2.0下的煤炭工控安全建设·4.1等保建设框架·4.2技术支撑体系·4.3安全管理体系工控系统等保建设总体规划与核心措施安全通信网络设计安全区域边界设计安全计算环境设计安全管理中心设计煤炭工控安全管理中心－

提升安全运营能力“运营化”安全分析中心资产管理（IT/OT指纹库）风险管理（多维度算法）漏洞管理（4大漏洞库）威胁管理（IT/OT特征库）异常行为（100+工控DPI）关联分析（专利引擎）攻击链分析（killchain）“组态化”工控安全态势全网风险态势全网资产态势全网威胁态势全网漏洞态势异常行为态势网络监控态势客户定制化态势“业务化”工控内生安全组态工艺还原安全与业务融合

行业/客户定制“集中化”运维管理平台设备集中管理（分类管理）设备集中监测（多维监测）日志审计中心（多维日志）拓扑管理（安全融合）报表统计（自定义视图）安全设备/网络设备/工控设备/终端/服务器等安全态势感知安全运营中心集中运维管理业务内生安全资产（IT/OT一体化）采集管控安全管理中心-直观态势呈现，掌控全局风险煤炭工控安全等保三级方案建设整体拓扑图煤炭等保三级建设方案涵盖产品及主要功能清单序号产品名称形态部署位置功能及合规对标1IEP-工业主机安全防护软件安装在工业主机上分单机版和网络版本。主要具备的能力：资产管理；进程管控；漏洞防护；外设管理；移动存储介质管理；主机加固；审计分析；集中管理；策略集中管理2ISG-工业防火墙硬件生产网与监控网之间、不同安全区域的边界工业级软、硬件体系架构。支持访问控制、工控协精准议识别、协议深度包解析技术，具备IPS、AV、流量管理、失陷主机检测、双机热备、硬件Bypass、三权分立等功能3ISS-工业网闸硬件生产网与办公网之间强合规产品，满足物理隔离要求，实现业务数据安全摆渡4ISD-工业安全监测系统硬件旁路部署在L1、L2、L3上通过交换机镜像流量进行安全分析。集成工业IDS、工业审计、病毒检测等能力。实现工业资产发现，工业协议深度解析，漏洞检测、病毒检测、间谍软件检测、WEB攻击检测，内置1920*1080P的可视化大屏5ISV-工业漏洞扫描硬件旁路部署，安全管理中心对工业环境中的信息资产进行漏洞扫描，发现工业主机安全漏洞并进行修复建议。6IMAS-工业安全集中管理系统软件服务器或虚拟机上集中管理工业安全产品，收集工业安全产品的风险日志和资产信息，进行整体安全状况呈现，形成内网安全态势感知。具备三权分立功能等。7LAS-日志审计系统（工业版）硬件旁路部署，安全管理中心将工业环境中的安全设备、网络设备及重要系统的日志进行统一采集存储和分析，满足等保2.0及网络安全法中日志审计的要求项。8堡垒机硬件旁路部署交换机合规产品。对远程维护操作记录进行录象、操作命令留存、日志保存等9数据库审计硬件旁路部署于工业服务器交换机合规产品。对数据库操作、访问进行审计，具有数据库防火墙功能。10无线入侵防御WIPS硬件WIFI环境中对存在Wi-Fi业务的工业网络进行无线安全防护11智慧防火墙硬件串联部署互联网出口互联网出口访问控制、防病毒、防攻击、流量管理12VPN硬件旁路部署交换机上通过认证、授权、通信加密，实现更安全的访问内部业务系统、远程维护等13工控安全服务\安全服务、管理中心工业等级保护咨询、安全运维服务、安全应急响应、安全运营服务。目录04等保2.0下的煤炭工控安全建设·4.1等保建设框架·4.2技术支撑体系·4.3安全管理体系安全管理要求－体系架构等保1.0到2.0中安全管理要求的变化安全管理要求－安全管理制度安全管理要求－安全管理机构安全管理要求－安全管理人员安全管理要求－安全运维管理安全管理要求－安全建设管理目录01工控系统安全等级保护要求0302工控系统安全等级保护三级建设方案工控安全形势严峻－整体框架思路－技术支撑体系

-安全管理体系安全管理要求安全管理设计定位根据国家信息安全政策要求；结合用户单位信息安全工作实际需求；建立以信息安全领导小组为核心的信息安全组织架构；制定完善的安全管理方针、制度、流程及执行表单；形成完整的、可执行的信息安全管理体系。安全管理要求－体系架构依据国家信息安全管理标准，结合信息安全管理现状与经验积累，形成四级安全管理体系架构。安全策略管理制度流程与标准表单与记录信息安全工作的纲领性文件。解决的是“为了什么”的问题。记录活动，阐明所取得结果或提供完成活动的证据。解决的是“做的结果”的问题。用来支撑制度与管理办法有效实施的细则、管理技术标准等文件。解决的是“做到怎样”和“怎么做”的问题。各项安全管理和技术制度、办法和准则，用来规范各部门处室安全管理工作。解决的是“能做什么”的问题。安全管理体系安全管理要求－安全管理制度管理要求安全管理机构安全管理制度安全管理人员安全建设管理安全检查管理规定安全组织体系文件岗位说明书安全方针安全策略安全管理制度体系文件人员安全管理规定安全考核管理规定安全培训教育管理规定等级保护安全管理规范软件开发管理规定工程安全管理规定风险评估管理规范安全运维管理安全管理制度编写及维护规范第三方人员安全管理规定IT外包管理规定产品采购安全管理规定服务商安全管理规定机房管理制度资产安全管理制度介质安全管理规定办公环境安全管理规定设备安全管理规定运行维护安全管理规范网络安全管理规定系统安全管理规定防病毒安全管理规定密码使用管理制度变更管理制度应急预案管理制度安全事件管理制度备份与恢复管理规定安全管理要求－安全管理机构建立信息安全领导小组，作为信息安全工作的决策机构。建立信息安全工作组，作为信息安全工作的监督管理机构。建立各执行人员组成的信息安全工作执行小组，作为信息安全工作的具体开展与执行人员。信息安全领导小组信息安全工作组安全管理员安全审计员系统管理员网络管理员数据库管理员应用管理员应急响应工作组……涉密信息工作组……决策层管理层执行层合作沟通审批授权审核检查安全管理要求－安全管理人员人员录用专人负责背景审核技能考核保密协议岗位协议人员离岗权限回收资产回收保密义务安全意识教育和培训安全意识培训安全意识教育岗位技能培训培训计划技能考核岗位技能培训外来人员访问管理拜访申请连网申请权限清理保密协议安全管理要求－安全建设管理定级备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级测评服务供应商选择安全管理要求－安全运维管理应急预案管理外包运维管理安全事件处置备份与恢复管理漏洞和风险管理密码管理恶意代码防范管理变更管理设备维护管理资产管理网络和系统安全管理配置管理环境管理重大事件不同处理流程和报告程序规定备份方式、介质、频率制定备份策略和恢复策略定期测评，形成报告，采取措施应对信息使用、传输、存储规范化管理专人或专门部门负责机房管理建立变更审批流程三员分立，专人专账户管理检查病毒库升级，分析捕获样本介质安全存放密码算法合规识别需备份的资产识别漏洞建立网络和系统安全管理制度建立设备维护制度制定统一应急预案框架针对重要事件制定预案及时报告事件恶意代码防范制度基本配置信息的变更管理明确变更需求，制定变更方案，批准后实施制定报告与处置事件管理制度选择合规服务商，签订协议，明确范围修补或评估后修补漏洞设备外出审批变更失败回退流程制定设备和配置操作手册报废信息清除记录基本配置信息信息分类标识敏感文档不随意放置外来接入严格杀毒记录和分析日志、监控数据外出介质信息加密严控变更性运维严控远程运维严控外部连接，规范审批，保留日志密码产品合规分析原因，总结教训定期培训与演练定期评估与完善明确服务商安全能力和责任资产清单、资产标识机房安全管理制度介质管理介质存放介质物理传输工控安全服务工控安全产品及服务工控安全评估与检查工控系统应急演练定制化的工控安全检测解决方案支持工控安全攻防演习工控安全体系规划让网络更安全让世界更美好THANKS附1：等级保护技术规范体系序号名称1《计算机信息系统安全等级保护划分准则

》GB/17859-19992《信息安全技术网络安全等级保护定级指南》GB/T22240-20183《信息安全技术网络安全等级保护基本要求》GB/T22239-20194《信息安全技术网络安全等级保护安全管理中心技术要求》GB/T36958-20185《信息安全技术网络安全等级保护安全设计技术要求》GB/T25070-20196《信息安全技术网络安全等级保护测评要求》GB/T28448-20197《信息安全技术网络安全等级保护测评过程指南》GB/T28449-20188《信息安全技术网络安全等级保护测试评估技术指南》GB/T36627-20189《信息安全技术网络安全等级保护测评机构能力要求和评估规范》GB/T36959-201810《计算机信息系统安全等级保护实施指南

》GB/25058-2010附2：等保测评通过依据测评结论判别依据优被测对象中存在安全问题，但不会导致被测对象面临中、高等级安全风险，且系统综合得分90分以上（含90分）。良被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分80分以上（含80分）。中被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分70分以上（含70分）。差被测对象中存在安全问题，而且会导致被测对象面临高等级安全风险，或被测对象综合得分低于70分。附3：等保三级（S3A3G3）权重分布与对应项说

明权重设定安全要求项权重分为三档：1，0.7，0.4；权重为1的为重点测评内容；针对具体测评对象的特点，如果测评结果被认为存在高风险，则一票否决整体不通过；高风险选项主要从权重为1的范围产生权重设定以及高风险判定原则非最终稿，等保推进过程中可能有局部调整符合参考符合：完全满足要求部分符合：部分满足，测评结果需要填写不符合内容不符合：完全不满足要求不适用：当前测评对象无需测评附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施物理位置选择a)机房场地应选择在具有防震、防风和防雨等能力的建筑内；0.7b)机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。0.7物理访问控制机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。1防盗窃和防破坏a)应将设备或主要部件进行固定，并设置明显的不易除去的标识；0.7b)应将通信线缆铺设在隐蔽安全处；0.7c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。1防雷击a)应将各类机柜、设施和设备等通过接地系统安全接地；0.7b)应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。1防火a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；1b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；0.7c)应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。1防水和防潮a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；1b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；0.7c)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。1防静电a)应采用防静电地板或地面并采用必要的接地防静电措施；0.7b)应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。1温湿度控制应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。1电力供应a)应在机房供电线路上配置稳压器和过电压防护设备；0.7b)应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；1c)应设置冗余或并行的电力电缆线路为计算机系统供电。1电磁防护a)电源线和通信线缆应隔离铺设，避免互相干扰；0.7b)应对关键设备实施电磁屏蔽。18.1.1安全物理环境-通用要求注：章节编号与《

GB/T22239-2019信息安全技术网络安全等级保护基本要求》相对应附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施网络架构a)应保证网络设备的业务处理能力满足业务高峰期需要；0.7网络规划区域划分智慧防火墙工业防火墙工业网闸宽带扩容流控设备b)应保证网络各个部分的带宽满足业务高峰期需要；0.7c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；1d)应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；1e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。1通信传输a)应采用校验技术或密码技术保证通信过程中数据的完整性；0.7VPNb)应采用密码技术保证通信过程中数据的保密性。1VPN8.1.2安全通信网络-通用要求8.1.3安全区域边界-通用要求控制点要求项权重应对措施边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；1工业防火墙工业网闸b)应能够对非授权设备私自联到内部网络的行为进行检查或限制；（非法内联）1c)应能够对内部用户非授权联到外部网络的行为进行检查或限制；（非法外联）1d)应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。1访问控制a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；1工业防火墙b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；0.7c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；0.7d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；0.7e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。1附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；1工业防火墙工业网闸入侵防范

a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；1工业防火墙工业安全监测b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；1c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；1d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。1恶意代码和垃圾邮件防范

a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；1工业防火墙智慧防火墙安全邮件系统b)应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。1安全审计

a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；0.7工业安全监测堡垒机b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；0.7c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；0.7d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。18.1.3安全区域边界-通用要求（续）附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施身份鉴别

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；1工业防火墙工业主机防护堡垒机业务系统功能身份安全产品b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；0.7c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；1d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。1访问控制

a)应对登录的用户分配账户和权限；1工业主机防护堡垒机工业防火墙业务系统功能数据库防火墙b)应重命名或删除默认账户，修改默认账户的默认口令；1c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；0.7d)应授予管理用户所需的最小权限，实现管理用户的权限分离；1e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；1f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；1g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。1安全审计

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；1工业安全监测堡垒机数据库审计b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；0.7c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；0.7d)应对审计进程进行保护，防止未经授权的中断。18.1.4安全计算环境-通用要求附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施入侵防范

a)应遵循最小安装的原则，仅安装需要的组件和应用程序；0.7工业主机防护工业安全监测b)应关闭不需要的系统服务、默认共享和高危端口；1c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；0.7d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；1e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；1f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。1恶意代码防范应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。1工业主机防护工业安全监测数据完整性

a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；0.7工业主机防护工业防火墙b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。1数据保密性

a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；1工业主机防护工业防火墙b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。18.1.4安全计算环境-通用要求（续）附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施数据备份恢复

a)应提供重要数据的本地数据备份与恢复功能；1数据备份与恢复产品b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；0.7c)应提供重要数据处理系统的热冗余，保证系统的高可用性。1剩余信息保护

a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；0.7业务系统功能数据安全产品b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。1个人信息保护

a)应仅采集和保存业务必需的用户个人信息；1业务系统功能数据安全产品b)应禁止未授权访问和非法使用用户个人信息。18.1.4安全计算环境-通用要求（续）附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施系统管理a)应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；1工业主机防护堡垒机IMASb)应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。0.7审计管理a)应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；1工业主机防护堡垒机IMAS日志审计b)应通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。0.7安全管理a)应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计；1工业主机防护IMAS日志审计b)应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。1集中管控a)应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；1IMAS工业主机防护日志审计工业漏洞扫描b)应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；1c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；1d)应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；1e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；1f)应能对网络中发生的各类安全事件进行识别、报警和分析。18.1.5安全管理中心-通用要求附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施安全策略应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。1管理制度a)应对安全管理活动中的各类管理内容建立安全管理制度；1b)应对管理人员或操作人员执行的日常管理操作建立操作规程；0.7c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。1制定和发布a)应指定或授权专门的部门或人员负责安全管理制度的制定；0.7b)安全管理制度应通过正式、有效的方式发布，并进行版本控制。0.7评审和修订应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。0.78.1.6安全管理制度-通用要求附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施岗位设置a)应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权；1b)应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；0.7c)应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。1人员配备a)应配备一定数量的系统管理员、审计管理员和安全管理员等；1b)应配备专职安全管理员，不可兼任。1授权和审批a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；0.7b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；0.7c)应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。1沟通和合作a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通，定期召开协调会议，共同协作处理网络安全问题；0.7b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通；0.7c)应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。0.7审核和检查a)应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；1b)应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；1c)应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。18.1.7安全管理机构-通用要求附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施人员录用a)应指定或授权专门的部门或人员负责人员录用；0.7b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核；1c)应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。1人员离岗a)应及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；0.7b)应办理严格的调离手续，并承诺调离后的保密义务后方可离开。1安全意识教育和培训a)应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施；0.7b)应针对不同岗位制定不同的培训计划，对安全基础知识、岗位操作规程等进行培训；1c)应定期对不同岗位的人员进行技能考核。1外部人员访问管理a)应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案；0.7b)应在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案；1c)外部人员离场后应及时清除其所有的访问权限；1d)获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息。18.1.8安全管理人员-通用要求附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施定级和备案a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由；0.7b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定；1c)应保证定级结果经过相关部门的批准；1d)应将备案材料报主管部门和相应公安机关备案。1安全方案设计a)应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；0.7b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件；1c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。1产品采购和使用a)应确保网络安全产品采购和使用符合国家的有关规定；1b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；1c)应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。1自行软件开发a)应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制；1b)应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；1c)应制定代码编写安全规范，要求开发人员参照规范编写代码；1d)应具备软件设计的相关文档和使用指南，并对文档使用进行控制；1e)应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测；1f)应对程序资源库的修改、更新、发布进行授权和批准，并严格进行版本控制；1g)应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查。18.1.9安全建设管理-通用要求附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施外包软件开发a)应在软件交付前检测其中可能存在的恶意代码；1b)应保证开发单位提供软件设计文档和使用指南；0.7c)应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。1工程实施a)应指定或授权专门的部门或人员负责工程实施过程的管理；0.7b)应制定安全工程实施方案控制工程实施过程；0.7c)应通过第三方工程监理控制项目的实施过程。1测试验收a)应制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告；0.7b)应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。1系统交付a)应制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；0.7b)应对负责运行维护的技术人员进行相应的技能培训；0.7c)应提供建设过程文档和运行维护文档。0.7等级测评a)应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改；1b)应在发生重大变更或级别发生变化时进行等级测评；1c)应确保测评机构的选择符合国家有关规定。1服务供应商选择a)应确保服务供应商的选择符合国家的有关规定；1b)应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络安全相关义务；0.7c)应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。18.1.9安全建设管理-通用要求（续）附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施环境管理a)应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；0.7b)应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定；0.7c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。0.7资产管理a)应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；0.7b)应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施；1c)应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。1介质管理a)应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点；0.7b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。0.7配置管理a)应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等；1b)应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。1密码管理a)应遵循密码相关国家标准和行业标准；1b)应使用国家密码管理主管部门认证核准的密码技术和产品。1变更管理a)应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施；0.7b)应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程；1c)应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。18.1.10安全运维管理-通用要求附3：等保三级（S3A3G3）权重分布与对应控制点要求项权重应对措施备份与恢复管理a)应识别需要定期备份的重要业务信息、系统数据及软件系统等；0.7b)应规定备份信息的备份方式、备份频度、存储介质、保存期等；0.7c)应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。1安全事件处置a)应及时向安全管理部门报告所发现的安全弱点和可疑事件；0.7b)应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程