网络安全生产控制系统对照核查表.docx

《网络安全生产控制系统对照核查表.docx》由会员分享，可在线阅读，更多相关《网络安全生产控制系统对照核查表.docx（33页珍藏版）》请在第一文库网上搜索。

1、网络安全生产控制系统对照核查表检查项检查细则是否排查是否整改一、安全软件选择与管理(-)在工控主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过自身授权和安全评估的软件运行。a)工控主机上安装防病毒软件或应用程序白名单软件，确保有效防护病毒、木马等恶意软件及未授权应用程序和服务工控主机安装防病毒软件或应用程序白名单软件是是防病毒软件或应用程序白名单软件的来源合理正规是是病毒库或白名单规则及时更新确认是是b)工控主机上安装防病毒软件或应用程序白名单软件,应在离线环境中充分测试验证，确保其不会对工控控制系统防病毒软件或应用程序白名单软件实施安装前在离线环境应已充分测试

2、是是的正常运行造成影响（二）建立防病毒和恶意软件入侵管理机制，对工控控制系统及临时接入的设备采取病毒查杀等安全预防措施。a）建立工控控制系统防病毒和恶意软件入侵管理机制，确保该管理机制可有效规范防病毒和恶意软件入侵管理工作建立工控控制系统防病毒和恶意软件管理制度是是防病毒和恶意软件管理制度完善、合理是是人员制度充分了解是是制度应执行并归档存有执行记录是是b）针对工控控制系统及临时接入的设备开展查杀，并做详细查杀记录定期对工控控制系统进行查杀是是对临时接入工控控制系统的设备进行查杀，并有查杀记录是是二、配置和补丁（-）做好工控网络、工控主机和工控控制设备的a）做好工控控制网络、工控主机和工控控制

3、设备的安全建立工控控制网络的安全策略配置是是工控控制网络的安全策略配置合理，根据实是是管理安全配置，建立工控控制系统配置清单，开启配置审计。策略配置，确保工控控制系统相关安全配置的效性际运营场景进行动态调整建立工控主机的安全策略配置是是工控主机的安全策略配置不合理是是建立工控控制设备的安全策略配置是是工控控制设备的安全策略配置合理是是b）应建立工控控制系统安全策略配置清单，确保该清单满足工控控制系统安全可靠运行的需要建立工控控制系统安全策略配置清单是是工控控制系统安全策略配置清单全面、合理是是C）自行对工控控制系统安全配置进行核查审计，避免因调试或其它操作导致配置变更后，未及时更新配置清单对配

4、置清单进行更新和维护是是定期审计配置清单是是（二）密切关注重大工控安全漏洞及其补丁发布，及时采取补丁升级措施。在补丁安装前，需对补丁进行严格的安全评估和测a）密切关注重大工控安全相关漏洞和可能影响工控安全的主机软硬件漏洞，及时跟踪补丁发布，并一定时间内（原则上不超过180天）及时开展补丁升级或消减措施，确保工控控制系统及时针对已知安全漏洞采取安全防护措施印发或传达重大工控安全相关漏洞和可能影响工控安全的主机软硬件漏洞及补丁升级通知是是及时对重大工控安全相关漏洞和可能影响工控安全的主机软硬件漏洞进行补丁升级是是试验证。b）应在补丁安装前，针对补补丁安装前，对补丁进行安全评估测试是是丁进行安全评估

5、测试，必要时进行离线评估，确保补丁安装后工控控制系统的正常运行制定详细的安全评估测试方案及报告是是三、边界安全防护（-）分离工控控制系统的开发、测试和生产环境。a）对工控控制系统的开发、测试和生产分别提供独立环境，避免开发、测试环境中的安全风险引入生产系统工控控制系统的生产环境未与开发、测试环境分离是是（二）遵循“安全专区、网络专用、横向隔离、纵向认证、综合防护”相关要求a）严格落实安全专区要求根据影响程度将生产控制大区划分为控制区（安全区1）及非控制区（安全区II）,重点保护生产控制以及直接影响电力生产（机组运行）的系统。是是b）严格落实网络专用要求为生产控制大区服务的专用数据网络应配置专用

6、网络是是C）严格落实横向隔离要求在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近是是或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。是是d）严格落实纵向认证要求采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。是是对处于外部网络边界的其他通信网关，应当进行操作系统的安全加固，对于新上的系统应当支持加密认证的功能。是是e）严格落实综合防护要求物理安全防护:配置电子门禁系统以加强物理访问控制，加强重点区域的巡查检查是是备用与容灾：对关键

7、业务的数据与系统进行备份，建立历史归档数据备份制度是是入侵检测：生产控制大区部署网络入侵检测系统，合理设置检测规则，及时捕获网络异常行为，分析潜在威胁、进行安全审计是是主机加固：生产控制大区主机操作系统应当进行安全加固是是（1）确保生产控制大区（安全I1区）与管理信息大区（安全川区）边界防护设备（正、反向隔离装置）及其防护策略已按有关配置要求投运，严禁跨区域直连，隔离设备须使用国家指定部门检测认证的电力专用横向单向安全隔离装置；是是（三）确保边界防护严格控制网络边界防护（2）确保生产控制大区（安全I区）与（安全I1区）边界防护设备（正、反向隔离装置或硬件防火墙）及其防护策略已投运，没有被人为旁

8、路或发生直连的现象，相关设备使用了国家指定部门检测认证的装置；是是（3）确认安全I区、I1区内的工控系统没有直连安全川区、企业内网或互联网；是是（4）确认发电厂端的电力调度数据网已独立组网，在物理层面确保与电厂其它数据网络及外部公共信息网络安全隔离；发电厂端的电力调度数据网已划分逻辑隔离的实时子网和非实时子网，分别连接生产控制大区（安全I区与安全I1区），有条件的单位应是是在边界部署安全防护措施(如：入侵检测、审计、网络安全监测装置等)；(5)同一安全区内系统间的边界如采用网络通讯方式，断开非必要的业务连接，如需要，应部署一定强度的逻辑访问控制措施，如防火墙、V1AN等；(6)禁止设备生产厂商

9、或其他外部企业(单位)原厂直接连接发电厂生产控制大区中的业务系统及设备。是是是是应对边界访问控制策略配置文件进行备份和归档是是（-）对重要工程师站、数据库、服务器等核心工控控制软硬件所在区域采a）应自行基于重要工程师站、数据库、服务器等核心工控控制软硬件明确重点物理安全防护区域明确划分重点物理安全防护区域是是是是四、物理取访问控制、视频监控、b）应对重点物理安全防护区建立物理安全防护措施是是专人值守等物理安全防护域采取物理隔离、访问控制、物理安全防护措施满足安全需求是是和环境措施。视频监控、专人值守等物理安安全防护全防护措施提供物理安全防护措施落实的记录是是（二）拆除或封闭工控主a）应拆除或封

10、闭工控主机上拆除或封闭工控主机上不必要的USB、光是是机上不必要的USB、光不必要的USB、光驱、无线驱、无线等接口驱、无线等接口。若确需等接口，以防止病毒、木马、使用，通过主机外设安全蠕虫等恶意代码入侵，并避免有未授权的外设终端或设备接入记录是是管理技术手段实施严格访数据泄露未建立工控主机外设接口管理制度是是(1)生产控制大区中，除安全接入区外，禁止使用具有无线通信功能的设备接入控制系统；(2)信息内网严禁布设任何无线网络，信息外网无线网络必须采取接入授权与认证措施；(3)排查并关闭外部存储器、打印机等外是是是是是是问控制。b）在确需使用工控主机外设接口时，应建立主机外设接口管理制度，并通过

11、主机外设安全管理技术手段实施访问控制，以避免未授权的外设终端接入C）严格管控企业无线网络设无线功能；(4)警惕富充企业无线网络的可疑SSID,一旦发现可疑SSID立即处理并上报；是是五、身份认证(-)在工控主机登录、应用服务资源访问、工控管理系统平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。a)应在工控主机登录、应用服务资源访问、工控辅助平台访问等过程中使用身份认证管理技术(如口令密码、USB-key等)，以确保访问过程安全可控建立工控主机登录、应用服务资源访问、工控辅助系统访问等身份认证管理制度是是具备身份认证管理制度是是b)根据自身实际情况，明确重要核心关

12、键设备、系统和平台，并在访问过程中，采用两种或两种以上因素认证方式，建立关键设备、系统和平台清单是是重要核心系统应采用多因素认证方式，对关键设备、系统和平台进行身份认证是是以避免非法登录等安全隐患（二）合理分类设置账户权限，以最小特权原则分配账户权限。a）应根据不同业务需求、岗位职责等，合理分类设置账户根据不同业务需求和岗位职责分类设置账户是是b）应以满足工作要求的最小特权原则来进行系统账户权限分配，降低因事故、错误、篡改等原因造成损失的可能性执行工控控制系统账户分配规则是是工控控制系统未按照最小特权原则进行权限分配是是C）审计分配的账户权限是否超出工作需要，确保超出工作需要的账户权限及时调整

13、有工控控制系统账户权限分配情况的定期审计记录是是（三）强化工控控制设备、SCADA软件、工控通信a）应为工控控制设备、SCADA软件、工控通信设备的工控控制设备、SCADA软件、工控通信设备等登录账户及密码强度不满足需求，或是是使用默认口令和弱口令未妥善管理密码是是是是身份认证证书传输、存储方式不满足安全要求是是是是设备等的登录账户及密等的登录账户设定足够强度码，避免使用默认口令或的登录密码，并妥善管理，避弱口令,定期更新口令。免使用默认口令和弱口令，以降低对设备未授权登录和操作的可能性；b）应采定期更新口令（四）加强对身份认证证书信息保护力度，禁止在不同系统和网络环境下共享。a）确保其身份认证证书传输、存储的安全可靠，避免证书的未授权使用六、远程（-）原则上严格禁止工a）应制定规章制度，原则上访问安控控制系统面向互联网开严格禁止工控控制系统面向全HTTP.FTP、Te1net互联网开通HTTP、FTP、等高风险通用网络服务。Te1net等高风险通用网络服务（二）确需远程访问的，采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略。