1、工控系統網絡信息安全技術監督檢查表（總體檢查）項目檢查項目項目分值子項分值評分標準評分值評分原因說明編號1等級保護工作1001.1等保測評和整改工作1000-50開展過本年度的等保測評，取得相 關報告。0-50根據年度等保測評結果制定整改計 劃，形成相關工作記錄，并完成整 改。2安全防護技術要求檢查6502.1安全分區502.1.1業務系統安全分區500-30有完整電廠生產監控系統安全防護 網絡拓撲圖、安全網絡設備部署列 表與描述文檔。0-20有完整的電廠生產監控系統安全分 區表。與規范要求相符合。2.2網絡專用302.2.1網絡專用300-20電力調度數據網在物理層面上實現 與本單位其它數據

2、網及外部公用數 據網的安全隔離。0-10電力調度數據網劃分為邏輯隔離的 實時子網和非實時子網，分別連接 控制區和非控制區。2.3邊界安全防護1502.3.1生產控制大區與管理信息大區邊界安全防400-20生產控制大區和管理信息大區之間 部署經國家指定部門檢測認證的正 向安全隔離裝置；單向安全隔離裝 置滿足可靠性、傳輸流量等方面的 要求。0-10禁止 E-mail、WEB Telnet、Rlogin、FTP等網絡服務；禁止以B/S或C/S方式的數據庫訪問穿越專用橫向單 向安全隔離裝置等。0-10生產控制大區和管理信息大區之間項目檢查項目項目分值子項分值評分標準評分值評分原因說明編號業務系統未出現

3、反向部署情況。2.3.2安全區I與安全區n邊界安全防護300-10安全區I與安全區n間部署工業防 火墻等硬件設備并實現邏輯隔離、 報文過濾、訪問控制等功能；工業 防火墻的功能、性能、電磁兼容性 經過國家相關部門的認證和測試。0-10所選工業防火墻具備對流經安全區I與安全區II工控通信協議進行解 析的功能、參數設置合理并滿足電 廠對業務數據的通信要求。0-10安全區I與安全區n間業務系統未 出現反向部署情況。2.3.3生產控制大區系統間安全防300-30同屬安全區I內或安全區II內的各 系統之間有防火墻、VLAN等邏輯訪 問控制。2.3.4縱向邊界防護300-30部署經國家指定部門檢測認證的電

4、力專用縱向加密認證裝置或加密認 證網關及相應設施。2.3.5第三方邊界安全防護200-20生產控制大區內個別業務（子）系統、功能模塊使用公用通信網絡、 無線通信網絡以及處于非可控狀態下的網絡設備與終端等進行通信 時，設立安全接入區；生產控制大 區內業務系統與環保、安全等政府 部門進行數據傳輸時采用經過國家 指定部門檢測認證的單向安全隔離 裝置。2.4綜合防護4202.4.1物理安全600-20機房、集控室、工程師間等核心重 點生產防護區域和場所具備防風、 防雨、防震、防潮、防火、防靜電、 防雷擊、防盜竊、防破壞等能力。0-20各出入口配置電子門禁系統或配置有24小時的連續視頻監控記錄系統并保存

5、至少30天以上。項目檢查項目項目分值子項分值評分標準評分值評分原因說明編號0-20進入機房的來訪人員有申請和審批 流程記錄單，并對其活動范圍具有 限制和監控能力。2.4.2網絡設備安全防護400-10對登錄網絡設備、安全設備采用了 HTTPS SSH等加密方式或配置堡壘 機。0-20對登錄用戶進行身份鑒別及權限控 制，登錄用戶口令滿足復雜度要求， 且制定有更換策略并由專人負責保 管。0-10是否及時清理網絡及安全設備上的 臨時用戶、多余用戶。2.4.3主機防護1主機加固400-20對DCS NCS等人機交互站，廠級監 控信息系統等關鍵應用系統的主服 務器，以及網絡邊界處的通信

6、網關 機、Web服務器、數據庫服務器等， 采取了安全加固措施。0-10實施加固前，在測試環境中進行了 操作系統及各項生產業務功能方面 的測試并有完整測試記錄或原廠家 的安全承諾。0-10制訂主機安全加固的審核流程與管 理制度以及主機加固技術標準和加 固管理的策略。惡意代碼防范200-20生產控制大區內主機采取免受惡意 代碼攻擊的技術措施或部署惡意代 碼防護軟件或主機白名單軟件等； 具有惡意代碼庫定期更新的工作記 錄。補丁升級200-20對生產控制大區內的服務器和操作 員站等上位機操作系統，嚴格按廠 家要求和操作說明，及時升級系統 補丁和應用軟件補丁；在離線環境 下經

7、過完整測試并提供記錄的。項目檢查項目項目分值子項分值評分標準評分值評分原因說明編號外設管控300-10生產控制大區內各主機上不必要的軟盤、光盤驅動、USB接口、無線、藍牙等外設采取關閉、拆除、訪問 控制等嚴格管控措施。0-10禁止在生產控制大區和管理信息大區之間交叉使用 USB以及便攜計算 機，確需外設接入的，在接入前進 行了病毒查殺等安全預防措施，是 否通過安全管理與技術措施實施嚴 格監控，并履行了電廠安全接入審 批手續。0-10對電廠必'要的 USB外設采取了主機 白名單等技術措施，對移動介質的 插入、拷貝、寫入等操作具有安全 審計功能。2.4.4入侵檢測300-30

8、在生產控制大區和管理信息大區間 部署網絡入侵檢測系統的；設置了 包含有工控系統專有攻擊特征庫的 檢測規則的。2.4.5遠程訪問300-20禁止其他設備生產廠商或其它外部 企業（單位）遠程連接電廠生產控制 大區中的業務系統及設備。0-10對于電廠內部遠程訪問業務系統的 情況，進行身份認證及權限控制， 并采用會話認證、加密與抗抵賴、 日志審計等安全機制。2.4.6安全審計600-30網絡審計：生產控制大區各關鍵生 產系統內部署網絡流量審計設備； 具備針對工控協議的深度包協議解 析、及時發現隱藏在正常流量中的 異常數據包、實時檢測針對工業協 議的網絡攻擊、用戶誤操作、用戶 違規操作、違規外聯、非法設

9、備接 入等內網異常行為的功能。0-30日志審計：安全II區內部署一套日項目編號檢查項目項目分值子項分值評分標準評分值評分原因說明志審計設備的；在安全 1區機組主 控DCS輔控系統即NCS系統需具備 日志審計功能；保證至少 6個月的 日志數據。2.4.7網絡安全監測裝置200-10在安全區II內部署廠級生產安全監 測平臺，具備實時監測生產監控系 統的主機、網絡設備、安全設備運 行狀態和日志采集，進行集中化的 性能狀態監控、日志分析及安全事 件的集中展示的功能。0-10監測平臺留有與集團公司工控安全 監測平臺的數據接口，跨區間的安 全數據傳輸，在邊界處部署了單向 安全隔離裝置、工業防火墻。2.4.

10、8網絡安全監測裝置300-20部署了網絡安全監測裝置并實現了 采集涉網區域內設備安全數據及網 絡安全事件的功能；對電廠網絡安 全事件進行本地監視和管理并轉發 至調控機構網絡安全監管平臺的數 據網關機。（涉網）0-10網絡安全監測裝置可以將數據同步 傳輸至廠級生產安全監測平臺，并 對傳輸網絡通道實施合規的安全防 護。2.4.9備份與容災400-10對生產監控系統的數據備份依據重 要性實現了分級管理，并確保重要 業務數據雙備份以及在故障發生時 至少可異機恢復至f前數據。0-20對關鍵主機設備、網絡設備或關鍵 部件進行了冗余配置；有備份數據 文件清單且不存在將備份數據文件 保存在本機磁盤、移動存儲等

11、不安 全存儲介質上的現象。0-10定期對關鍵業務的數據進行備份，對生產運行等重要數據實現雙備份項目檢查項目項目分值子項分值評分標準評分值評分原因說明編號并保存12個月。3安全防護建設管理要求檢查2503.1組織機構400-20明確電廠工控系統網絡信息安全防 護職責歸口管理部門為信息化及網 絡安全領導小組，確定企業負責人 作為生產監控系統安全主要責任 人，并指定專人負責本單位所轄生 產監控系統的公共安全設施，明確 了各業務系統專責人的安全管理責 任。建立了總工程師、工控系統網 絡信息安全技術監督專責、各專業 部門網絡安全員的三級技術監督 網。0-20對各個部門和崗位的職責明確授權 審批事項、審批

12、部門和批準人。對 于系統變更、重要操作、物理訪問 和系統接入等事項建立審批程序并 按照審批程序執行審批過程，對重 要活動建立逐級審批制度，記錄審 批過程并保存審批文檔。3.2人員管理400-10各單位及業務部門設置信息安全專 職崗位和人員，并簽署保密協議。0-10人員變動、崗位調整后建立有撤銷 權限流程。0-10每年開展工控系統網絡信息安全培 訓。0-10與第三方外包人員簽署保密協議，系統使用權限遵循權限最小化原 則；當崗位調整時能及時向相關負 責人提出變更申請，離職時能及時 收回人員的相關證件，并在系統做 注銷等相應處理。3.3管理制度300-10制訂門禁、人員、權限、訪問控制 管理制度。項

13、目檢查項目項目分值子項分值評分標準評分值評分原因說明編號0-10制訂安全防護系統的維護、常規設 備及各系統的維護管理制度。0-10制訂惡意代碼防護、審計、數據及 系統的備份、用戶口令、安全培訓 等管理制度。3.4系統建設300-20系統建設所涉及到的軟硬件系統、 設備及專用信息安全產品符合國家 及行業資質、質量標準等相關規定 與要求，自行開發或外包開發的軟 件產品投運前進行安全評估并留有 相關工作記錄。0-10選定的施工建設單位和安全服務商 具備國家和行業主管部門要求的資 質；與選定的安全服務商簽訂安全 保護承諾等相關協議并明確約定相 關責任并簽署保密協議。3.5系統運維500-10分別對各類設備、介質、資產、網 絡、業務系統制訂了安全管理制度 并在存放環境、使用以及銷毀、報 廢等方面做出了詳細規定，并建立 了安全審計管理制度。0-10指定專人對網絡和主機進行惡意代 碼檢測并保存檢測記錄。0-20對移動存儲設備、重要文檔的安全 管理具有完整、清晰的工作記錄； 對終端計算機、工作站、便攜機、 系統和網絡等設備的操作符合規范 化管理要求。0-10建立了密碼