网络安全 - 553 - 1.1 火电站部署设计 遵循与火电厂原有网络结构一致性的原则进行 建设。如果安全 I 区多套控制系统网络相互独立， 分别通过多个接口机与安全区进行通信，则部署多 台工控安全流量日志分析系统分别进行信息采集。 如果安全 I 区多套控制系统汇集到同一网络，通过 同一接口机与安全区进行通信，则部署一台工控安 全流量日志分析系统统一进行信息采集。 1.1.1 组网设计 网络安全态势感知平台安全数据传输链路采用 混合组网方式，态势感知平台组网不影响厂站网络 且之间链路单向隔离，数据单向传输，可保障厂站 现有网络安全性。工控安全流量日志分析系统与业 务系统交换机通过双网络线缆进行连接，一条采集 流量数据（要求交换机配置镜像），另一条采集主 机日志、 安全设备和网络设备日志 （要求网络可达） 。 厂级平台安全数据通过 VPDN 上传国家监管平台，同 时国家监管平台下发安全情报到各厂站，并将全部 厂站安全分析报告同时发送至集团侧平台。 1.1.2 覆盖范围 火电厂网络结构复杂并且系统繁多，本方案的 建设原则为覆盖网络中所有非涉网侧控制系统（主 控涉及到 DCS 和 PLC 的系统）及相关业务系统，但 不包含独立组网系统，例如火灾报警系统等。 1.1.3 安全信息采集范围 非涉网侧系统/设备的安全信息采集，主要为业 务系统全流量数据、安全设备和网络设备日志的采 集，包括安全 I 区：DCS 主控；非涉网服务器、工程 师站等；安全设备和网络设备（如防火墙、隔离设 备、IDS、交换机等）；安全 II 区：SIS 系统；非涉 网应用服务器、 工作站等； 安全设备和网络设备 （如 防火墙、隔离设备、IDS、交换机等）；安全 III 区： MIS 系统；非涉网应用服务器、工作站等；安全设备 和网络设备 （如防火墙、 隔离设备、 IDS、 交换机等） 。 1.1.4 流量采集 安全 I 区采集的网络流量须是主机（工程师站、 操作员站、服务器等）与控制系统或设备（DCS，PLC 等）之间交互的原始流量，一般接入点为根交换机； 安全 II 区和安全 III 区采集业务系统之间交互的原 始流量，一般接入点为核心交换机。流量采集通过 在交换机上配置镜像的方式实现。 1.1.5 日志采集 安全设备和网络设备的日志（syslog）采集需 要厂方提供配置所需要的管理员用户和密码并配合 完成，通过获取安全设备和网络设备的日志，可有 效的监测安全设备和网络设备的行为和告警。 1.2 水电站部署设计 遵循与水电厂原有网络结构一致性的原则进行 建设。 如果安全 I 区和安全 II 区之间没有业务交互， 网络完全独立，则安全 I 区和安全 II 区分别部署工 控安全流量日志分析系统并分别将安全数据向安全 区传送。如果水电厂安全 II 区无非涉网侧系统，则 安全 II 区可不部署工控安全流量日志分析系统。 1.2.1 组网设计 网络安全态势感知平台安全数据传输链路采用 混合组网方式，数据单向传输。工控安全流量日志 分析系统与业务系统交换机通过双网络线缆进行连 接，一条采集流量数据（要求交换机配置镜像）， 另一条采集主机日志、 安全设备和网络设备日志 （要 求网络可达）。厂级平台安全数据通过 VPDN 上传国 家监管平台，同时国家监管平台下发安全情报到各 厂站，并将全部厂站安全分析报告同时发送至集团 侧平台。 1.2.2 覆盖范围 水电厂网络结构多样化，本方案的建设原则为 覆盖网络中所有非涉网侧控制系统（LCU 等）及相关 业务系统，但不包含独立组网系统，例如火灾报警 系统等。 1.2.3 安全信息采集范围 非涉网侧系统/设备的安全信息采集，主要为业 务系统全流量数据、安全设备和网络设备日志，包 括安全 I 区：LCU 系统等；非涉网服务器、工程师站 等；安全设备和网络设备（如防火墙、隔离设备、 IDS、交换机等）；安全 II 区：梯级调度、水情测