【正文】 cess 問的應(yīng)用程序驅(qū)動程序據(jù)進行訪問Contr01)多用于單個用戶或vPN——虛擬專用阿 電信營運商提供的遠(yuǎn)程網(wǎng)絡(luò)網(wǎng)絡(luò)從遠(yuǎn)程對電廠信絡(luò)(vlrtual Pnvate N“ 連接通道，實現(xiàn)局域阿間或單息系統(tǒng)進行網(wǎng)絡(luò)連接work) 用戶與局域罔問投據(jù)傳送和訪問DDNLL——數(shù)字?jǐn)?shù)據(jù) 電信營運商提供的較高速的 用于電廠信息系統(tǒng) 阿絡(luò)專線(ⅡgltaI Data 網(wǎng)絡(luò)連接通道，實現(xiàn)遠(yuǎn)程的局 網(wǎng)絡(luò)與上級機構(gòu)信息N㈣ufk L ed LlIlc) 域網(wǎng)問多種敷據(jù)傳送 網(wǎng)培的遠(yuǎn)程通信連接用于電廠信息系統(tǒng)IEEE 802．3 IEEE局中各局域網(wǎng)之間的網(wǎng)域網(wǎng)[LocaI Area Net定義局域網(wǎng)物理層和鏈路層 絡(luò)連接works!Carner Sense的協(xié)議，采用載波偵聽多點訪 (注：802 3已經(jīng)形Multlnle AccesswIfh問及碰撞檢測(csMA／cD)的 成標(biāo)準(zhǔn)序列，其中CollIslon DetectIon(CS通信協(xié)議 802．3u為100Mbps標(biāo)MA／CD)——(ETII準(zhǔn)，802．3z為loooMbpsERNET)]標(biāo)準(zhǔn))1EEE 802 3ab標(biāo)準(zhǔn) 在5類取絞線上運行1 0。0M 可用于電廠綜合布1EEE Std 802 3ab 局域網(wǎng)的物理層參數(shù)標(biāo)準(zhǔn) 線34續(xù)裹7．7．1標(biāo)準(zhǔn)／協(xié)議名稱 技術(shù)特點 技術(shù)用途IEEE 802．1l一一無 可用于電廠會議室 無線局域網(wǎng)介質(zhì)訪問控制和線局域網(wǎng) 或技術(shù)培訓(xùn)場所(需物理層參數(shù)規(guī)范(Wlreless LANs) 要時可臨時設(shè)置)用于電廠輔控網(wǎng)絡(luò) TcP／IP——傳輸與控問、管理信息系統(tǒng)網(wǎng)制協(xié)議／網(wǎng)問協(xié)議 定義局域網(wǎng)網(wǎng)絡(luò)層的數(shù)據(jù)傳(Tra lssIon Con 輸和局域同之間網(wǎng)絡(luò)層的數(shù)據(jù) 絡(luò)與生產(chǎn)實時系統(tǒng)網(wǎng)tTol PTot㈣l，hternet 傳輔 絡(luò)間、信息系統(tǒng)網(wǎng)絡(luò) 與機組控制系統(tǒng)網(wǎng)絡(luò)Protoc01)問散據(jù)通信有兩種連接 用于電廠信息系統(tǒng) Modbus——總線通信 1)基于Rs 232／Rs 4 85串 網(wǎng)絡(luò)與機組控制網(wǎng) 協(xié)議 口{ 絡(luò)．輔助控制網(wǎng)培問2)基于TcP，1P協(xié)議層 的致?lián)ㄐ庞糜陔姀S信息系統(tǒng) AP卜應(yīng)用編程接 提供應(yīng)用程序級的相互連應(yīng)用軟件與宴時數(shù)據(jù)口 (Appllcatlon Pro 接，可以在不同系統(tǒng)或程序之庫系統(tǒng)數(shù)據(jù)訪問及其grammlng InterfMe) 間宴現(xiàn)數(shù)據(jù)訪問他備類軟件間接口用于信息系統(tǒng)與部 定義串口通信方式的物理連RS Z32／RS 485 分自動化．智能設(shè)備 接和電平信號標(biāo)準(zhǔn)的字符信息傳送注：表中“技術(shù)用途”參考由國際標(biāo)準(zhǔn)化組織(Is0)發(fā)布的開放系統(tǒng)互聯(lián)模型(Opensystem Interconnectlon RefeT Model)(1s0／IEc 7498)。7．7．2各接口應(yīng)明確所用標(biāo)準(zhǔn)或協(xié)議所規(guī)定的網(wǎng)絡(luò)通信層次，并 應(yīng)統(tǒng)一考慮與所用標(biāo)準(zhǔn)或協(xié)議相關(guān)的其他網(wǎng)絡(luò)層次的配置和選型 問題。8信息安全8．1一般規(guī)定8．1．1信息系統(tǒng)應(yīng)滿足保密性、完整性、可用性、可控性和可靠性 的基本安全目標(biāo)要求。8．1．2信息安全應(yīng)涵蓋信息系統(tǒng)全生命周期的各個階段。8．1．3信息安全設(shè)計應(yīng)執(zhí)行國家有關(guān)法令和標(biāo)準(zhǔn)。8．1．4信息系統(tǒng)安全設(shè)計宜遵循電廠的信息安全規(guī)劃及信息安 全管理體系要求，滿足信息安全目標(biāo)、符合信息安全方針和安全 策略。8．1．5信息系統(tǒng)安全設(shè)計應(yīng)符合下列設(shè)計原則：1基于安全需求原則。2分權(quán)原則。3選用成熟技術(shù)原則。4分級保護原則。5同步建設(shè)原則。6動態(tài)調(diào)整原則。8．1．6信息系統(tǒng)各項功能的安全保護等級由低到高劃分為用戶 自主保護級、系統(tǒng)審計保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級、訪 問驗證保護級等五級。安全保護等級的定級應(yīng)符合《計算機信息 系統(tǒng)安全保護等級劃分準(zhǔn)則》GB 1785《信息安全技術(shù)信息系 統(tǒng)安全等級保護定級指南》GB／T 22240的規(guī)定。8．1．7信息系統(tǒng)的總體安全規(guī)劃和安全設(shè)計應(yīng)符合《信息系統(tǒng)安 全等級保護基本要求》GB／T 2223《信息安全技術(shù)信息系統(tǒng)通 用安全技術(shù)要求》GB／T 20271的規(guī)定。8．1．8應(yīng)根據(jù)所確定的信息系統(tǒng)安全保護等級選用經(jīng)國家指定36部門檢測認(rèn)證的且不低于其對應(yīng)安全等級的信息安全產(chǎn)品。8．2袖理安全8．2．1信息系統(tǒng)的物理安全應(yīng)符合《信息安全技術(shù)信息系統(tǒng)物 理安全技術(shù)要求》GB／T 21052的規(guī)定。8．2．2信息系統(tǒng)機房的安全應(yīng)符合《電子信息系統(tǒng)機房設(shè)計規(guī)范》GB 50174的規(guī)定。8．2．3信息系統(tǒng)中的服務(wù)器、網(wǎng)絡(luò)及安全防護設(shè)備、數(shù)據(jù)存儲及 備份設(shè)備、終端／工作站等應(yīng)按等級保護要求，采取相應(yīng)的防盜竊、 防破壞、防靜電、電源保護、電磁防護等安全保護措施。8．3網(wǎng)絡(luò)安全8．3．1應(yīng)按照國家信息系統(tǒng)安全等級保護相關(guān)標(biāo)準(zhǔn)劃分信息系 統(tǒng)安全區(qū)域，并應(yīng)采用與安全等級相對應(yīng)的網(wǎng)閘、防火墻、路由器 等網(wǎng)絡(luò)安全設(shè)備，對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)設(shè)備自身運行安全 防護設(shè)計。8．3．2網(wǎng)絡(luò)安全防護設(shè)計應(yīng)符合《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全 技術(shù)要求》GB／T 20270的規(guī)定。8．3．3網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、安全審計、邊界完整性檢查、人侵防 范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等網(wǎng)絡(luò)安全層面的設(shè)計，應(yīng)滿足《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GB／T 22239等系列等級保護技術(shù)標(biāo)準(zhǔn)的要求。8．4系統(tǒng)軟件安全8．4．1 系統(tǒng)軟件安全應(yīng)符合國家信息系統(tǒng)安全等級保護相關(guān)標(biāo) 準(zhǔn)的要求，確保包括服務(wù)器、終端／工作站等在內(nèi)的計算機設(shè)備在 操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。8．4．2系統(tǒng)軟件安全應(yīng)符合《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GB／T 22239的規(guī)定，在身份鑒別、訪問控制、安全37審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等方面 采取相應(yīng)措施。8．4．3操作系統(tǒng)安全應(yīng)符合《信息安全技術(shù)操作系統(tǒng)安全技術(shù) 要求》GB／T 20272的規(guī)定。8．4．4數(shù)據(jù)庫管理系統(tǒng)安全應(yīng)符合《信息安全技術(shù)數(shù)據(jù)庫管理 系統(tǒng)安全技術(shù)要求》GB／T 20273的規(guī)定。8．5應(yīng)用軟件安全8．5．1應(yīng)用軟件安全應(yīng)符合信息系統(tǒng)安全等級及國家等級保護 的相關(guān)規(guī)定，具有身份鑒別、訪問控制、安全審計、剩余信息保護、 通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等功能。8．5．2應(yīng)用軟件應(yīng)具有權(quán)限管理功能，可實現(xiàn)權(quán)限的分散管理和 按照功能的授權(quán)管理。8．6數(shù)據(jù)安全及備份恢復(fù)8．6．1數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)的安全控制應(yīng) 符合《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》 GB／T 22239的規(guī)定。8．6．2信息系統(tǒng)應(yīng)具備正常運行時定期或按某種條件實施備份 和恢復(fù)數(shù)據(jù)的功能，并應(yīng)具有用戶自蕕信息備份與恢復(fù)、增量信息 備份與恢復(fù)、局部系統(tǒng)備份與恢復(fù)、設(shè)備備份與容錯等功能。8．6．3對于關(guān)鍵信息系統(tǒng)的數(shù)據(jù)，應(yīng)增加網(wǎng)絡(luò)備份與容錯功能、全系統(tǒng)備份與恢復(fù)功能等。8．6．4當(dāng)條件許可時，宜考慮設(shè)置異地災(zāi)難備份與恢復(fù)的功能。8．7安全防護措施8．7．1應(yīng)按所確定的安全保護等級，通過對局域計算環(huán)境中物理 安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等安全機制的配置和集成，保 護局域計算環(huán)境中的數(shù)據(jù)信息不被非授權(quán)的泄露和破壞，保護局38域計算環(huán)境的安全有效運行。8．7．2局域計算環(huán)境邊界的安全宜采取表8．7．2的防護措施。表8．7．2 局域計算環(huán)境邊界的安全防護措攤安全等級 安全防護措施一級安全的普通防火墻，一級安全的昔通人侵檢測機制，一疆安全的 普通惡意代碼防護網(wǎng)關(guān)．其他一級安全的邊界防護技術(shù)機制二級安全的高性能防火墻．二級安全的高性能人侵檢測機制．二級安 全的高性能惡意代碼防護網(wǎng)關(guān)，其他二級安全的邊界防護技術(shù)機箭三級安全的高性能加固防火墻，三級安全的高性能加固人侵檢測機 制。三級安全的高性能加固惡意代碼防護阿美，其他三綴安全的邊界防 護技術(shù)機制8．7．3用戶環(huán)境和邊界的安全宜采取表8．7．3的防護措施表8．7．3用戶環(huán)境和邊界的安全防護措施安全等級 安全防護措施一級安全的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，一級安全的螭計算機系統(tǒng)l 個人防火墻，一級安全的端計算機系統(tǒng)惡意代碼防護網(wǎng)關(guān)，一級安全的 墻計算機系境人侵檢測系統(tǒng)，其他一級安全的用戶環(huán)境安全機翩二級安全的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)．二級安全的端計算機系統(tǒng)2 個人防火墻．二級安全的端計算機系統(tǒng)惡意代碼防護罔關(guān)．二級安全蒔 端計算機系統(tǒng)人侵檢測系統(tǒng)，其他二級安全的用戶環(huán)境安全機制三級安全的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)．j級安全的端計算機系統(tǒng)3 個人防火墻，三級安全的端計算機系統(tǒng)惡意代碼防護阿關(guān)，三級安全的 螭計算機系統(tǒng)人侵檢測系統(tǒng)．其他三級安全的用戶環(huán)境安全機制8．7．4 網(wǎng)絡(luò)系統(tǒng)的安全宜采取表8．7．4的安全防護措施裹s．7．4 廚絡(luò)系統(tǒng)的安全防護措施安全物理安全 運行安全 投據(jù)傳輸安全 應(yīng)用安全等級1．一級安全的罔終】一級安1．一級安 通信應(yīng)用安全機制； 全的環(huán)境安1一緩安全的 全的網(wǎng)絡(luò)協(xié) 2一級安全的網(wǎng)絡(luò)全機制；惡意代碼防護機 議安全機制I 信息測覽與信息管理2．一級安● 制{ 2．一級安 安全機制I 全的設(shè)備安z．一級安全的 全的數(shù)據(jù)傳 3一級安全的罔培全機制；1 備份與故障恢復(fù) 輸整體安全 數(shù)據(jù)庫訪問與信息管3．一級安機制。 機翻； 理安全機制；全的介質(zhì)安3．一級安全的 3．一級安 4．一緩安全的網(wǎng)絡(luò)全機制I其他網(wǎng)絡(luò)運行安 全的其他數(shù) 應(yīng)用自身安全保護機4．一級安全機制 據(jù)傳輸安全 制j全的其他物機制 5．一級安全的其他 理安全機制網(wǎng)絡(luò)應(yīng)用安全機制1_二緩安全的 網(wǎng)絡(luò)安全性梭鍘1二級安全的網(wǎng)絡(luò)1．二緞安 分析機制}1二級安 通信應(yīng)用安全機制；全的環(huán)境安 2二級安全的全的網(wǎng)絡(luò)協(xié) 2二級安全的網(wǎng)絡(luò)全機制． 安全審計機制；議安全機制； 信息瀏覽與信息管理z二級安 3．二級安全的2二緩安 安全機制l全的設(shè)備安 惡意代碼防殺機全的數(shù)據(jù)傳 3二級安全的網(wǎng)絡(luò)全機制； 制；2 輸整體安全 散據(jù)庫訪同與信息管3二級安 4．二級安壘的機穗‘ 理安全機制f全的升質(zhì)安 備份與故障恢復(fù)3二級安 4．二綴安全的網(wǎng)絡(luò)全機制} 機翩；全的其他數(shù) 應(yīng)用自身安壘保護機4．二緩安 5．二級安全的據(jù)傳輸安全 制I全的其他物 應(yīng)急處理機制；機制 5二級安全的其他 理安全機翻 6．二級安全的用絡(luò)應(yīng)用安全機制 其他同緒運行安全機制40續(xù)寰8．7．4安全物理安全 運行安全 數(shù)據(jù)傳轄安全 應(yīng)用安全等級1．三級安全的 網(wǎng)絡(luò)安全性檢測 分析機制}2．三緩安全的 l_三級安全的網(wǎng)絡(luò)1三綴安網(wǎng)培安全監(jiān)控機 1．三級安 通信應(yīng)用安全機制}全的環(huán)境安制； 全的阿培西 2．三級安全的網(wǎng)絡(luò)全機制；3．三級安全的 議安全機制} 信息瀏覽與信息管理2三級安安全審計機制{ 2．三級安 安全機制I全的設(shè)備安4三級安全的 全的數(shù)據(jù)傳 3．三級安全的網(wǎng)絡(luò)全機制I3 惡意代碼防殺機 輸整體安全 敷據(jù)庫訪問與信息管3三級安制I 機制} 理安全機制； 全的介質(zhì)安5．三級安全的 3．三級安 4三級安全的網(wǎng)絡(luò)全機制；備份與故障恢復(fù) 全的其他數(shù) 應(yīng)用自身安全保護機4．三級安機制； 據(jù)傳輸安全 制{全的其他物6專級安全的 機制 5．三級安全的其他理安全機制應(yīng)急處理機嗣； 網(wǎng)絡(luò)應(yīng)用安全機鉗7 j級安全的 其他網(wǎng)絡(luò)運行安 全機制8．7．5安全域間互操作的安全宜采用下列防護措施l身份鑒別機制。2訪問控制機制。3信息流動控制機制。4標(biāo)記信息控制機制。5信息流動過程中的安全保護機制。8．7．6密碼安全機制應(yīng)按照國家有關(guān)密碼管理部門對密碼分級 管理的規(guī)定執(zhí)行。對具有不同安全等級的信息系統(tǒng)，宜選擇配置 具有相應(yīng)安全等級／強度的密碼安全機制。429布置與安裝9．1生產(chǎn)信息系統(tǒng)9．1．1生產(chǎn)信息系統(tǒng)設(shè)備的布置與安裝應(yīng)符合下列要求：1應(yīng)根據(jù)生產(chǎn)信息系統(tǒng)的安全區(qū)域劃分進行布置。2服務(wù)器、網(wǎng)絡(luò)交換機、接口設(shè)備等核心設(shè)備宜布置在電廠 集中控制室電子設(shè)備間內(nèi)，并與其他設(shè)備布置統(tǒng)一規(guī)劃設(shè)計。3服務(wù)器、網(wǎng)絡(luò)交換機、接口設(shè)備等核心設(shè)備也可布置在電 廠管理信息系統(tǒng)中心機房內(nèi)，并與管理信息系統(tǒng)中心機房內(nèi)的其 他設(shè)備布置統(tǒng)一規(guī)劃設(shè)計。4生產(chǎn)信息系統(tǒng)值長站宜布置在集中控制室內(nèi)。9．1．2生產(chǎn)信息系統(tǒng)供配電設(shè)計應(yīng)符合下列要求：l生產(chǎn)信息系統(tǒng)設(shè)備應(yīng)設(shè)置兩路電源供電，其中一路應(yīng)帶UPS電源裝置。2交流不問斷電源系統(tǒng)的電池容量應(yīng)滿足生產(chǎn)信息系統(tǒng)設(shè) 備維持供電至少1小時的要求。9