遵循标准

《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

《GB/T 22239-2008 信息系统安全等级保护基本要求》

《关于加强工业控制系统信息安全管理的通知》（工信部协[2010]451号文）

解决方案

对调度中心、有人值守站控系统、无人值守站控系统边界进行访问控制、病毒防护，保护系统数据不被非法访问、窃取或篡改，保障工控网络安全运行。

在工作站和服务器上部署终端防护软件，阻止非法程序和未经授权软件运行，保障主机全生命周期的安全。

对工控网络中传输的数据进行实时监测，记录，审计，及时发现网络违规操作和异常行为，实现事前部署，事中监控，事后追溯。

对工业网络中的安全设备进行统一的配置和管理，并对其日志信息进行统一收集、管理和分析。

部署方案

边界、区域安全防护

在调度中心各区域边界部署工业防火墙，对各区域进行逻辑隔离，并根据业务需要进行访问控制策略设置。

在调度中心和有人值守站控系统、无人值守站控系统之间部署工业防火墙进行网络层级间的安全隔离和防护。

在各场站PLC/RTU等工控设备的网络出口位置部署工业防火墙，以达到重要工控装置的单体设备级安全防护。

主机安全防护

在调度中心和各场站的工程师站、操作员站及服务器上部署工控主机卫士，保护各主机免受病毒、木马、蠕虫等恶意代码的侵袭。

网络监测与审计

在调度中心核心交换机上旁路部署安全监测审计平台，实时发现针对PLC、DCS等重要工业控制系统的攻击和破坏行为，以及病毒、木马等恶意软件的扩散和传播行为，为工业控制网络安全事件调查提供依据；

集中管理

在调度中心部署统一安全管理平台，实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等。