工控安全 - 187 - 控系统安全防护总体方案（国能安全〔2015〕36 号） 的相关规定，参照中国大唐集团有限公司企业标准 《工控系统网络信息安全技术监督标准》进行设计。 2.2 系统升级方案 根据目前全厂工业水控制系统存在的工控网络 安全问题，结合本系统的实际网络结构，在“安全 分区、网络专用、横向隔离、纵向认证、综合防护” 原则的基础上制定改造方案。 1、老旧交换机更换及 UPS 不间断电源技改 全厂工业水控制系统包括：水处理系统、综合 节水系统、废水零排放系统、无线数据采集系统和 1-4 单元小型水网系统（包括精处理、汽水取样、循 环水加药、旁流和制氢站）等，其中老旧交换机众 多，设备老化导致设备性能下降、极易出现故障， 存在很大的安全隐患。因此需要将这部分交换机进 行更换。UPS 不间断电源技改，消除安全隐患，保障 各信息网络系统稳定运行。 2、增加工控网络安全准入、 入侵检测和审计功能 全厂工业水控制系统部署具有网络准入、日志 审计、流量审计、安管平台、入侵检测等功能的设 备，实时监测生产过程中产生的所有流量，完全不 影响现有系统的生产运行。严格按照工业级硬件的 要求进行设计，能够满足各种工业现场的环境要求， 可广泛应用于各类网络应用环境。对操作系统、数 据库、业务应用的重要操作进行记录、分析，及时 发现各种违规行为以及病毒和黑客的攻击行为。 3、主机安全加固 为确保工控系统稳定性，全厂工业水控制系统 操作员站、工程师站、接口机等工控机一般采用具 有白名单防护技术的工控主机卫士用来加固，提高 主机的防护能力。具体为：将工控主机卫士以软件 形式安装客户端于工控机上，然后把现有系统使用 的所有合法可执行文件添加至白名单列表，并进行 固化。所有不在白名单列表内的可执行文件，均无 法在此系统上执行。另外，对 USB 接口进行管控， 禁止非法外接设备的接入。 4、划分安全隔离区 全厂工业水控制系统划分为多个工控安全域： 节水系统安全域、废水零排放系统安全域、水网系 统安全域、水处理系统安全域、全厂工业水控制系 统 DCS 系统安全域、综合节水处理系统安全域、全 厂工业水控制系统平台安全域等。 在各安全域与 DCS 系统互联之间根据安全需要工业部署边界防火墙， 合理配置安全策略，实现逻辑隔离、报文过滤、访 问控制等功能，加强边界之间的安全防护和监控。 5、等级保护备案及测评 根据国家网络安全等级保护制度，对全厂工业 水控制系统进行等级保护备案及测评工作，满足等 级保护 2.0 要求。 2.3 可行性分析 1、本系统划分为多个工控安全域，在各安全域 与 DCS 系统互联之间分别安装一台工业防火墙，合 理配置安全策略，实现逻辑隔离、报文过滤、访问 控制等功能，加强了边界之间的安全防护和监控。 2、本系统中的 DCS 核心交换机处部署具有网络 准入、日志审计、入侵检测等功能的设备，对操作 系统、数据库、业务应用的重要操作进行记录、分 析，及时发现各种违规行为以及病毒和黑客的攻击 行为。 3、本系统采用具有白名单防护技术的工控安全 主机卫士，来加固工控机，提高主机的防护能力。 根据升级方案，本系统更换老旧交换机及 UPS 不间断电源，消除安全隐患，保障各信息网络系统 稳定运行；通过部署等保一体机，具备了及时发现 各种违规行为以及病毒和黑客的攻击行为的能力； 通过安装工控安全主机卫士，提高主机的防护能力； 通过在各安全域网络出口处分别安装工业防火墙， 加强边界之间的安全防护和监控。升级方案实施后， 根据国家网络安全等级保护制度的要求，经过对全 厂工业水控制系统进行等级保护备案及测评工作， 本系统满足等级保护 2.0 要求。本项目建设符合全 厂工业水控制系统智慧化建设发展的需要。 随着智慧城市的进一步发展，国家工业互联网