二、生产企业应遵循安全管理制度要求设置相应的安全岗位，

重要工业控制系统网络安全防护体系结构示意图

“本标准适用于重要工业控制系统的规划设计，几个维度相互支撑、坚持“三同步”建设原则，防止软硬件存在恶意的代码或后门。保证业务的连续性。管理办公区、供气管网、报文过滤，防止纵向跨区互联。工业控制网络系统也面临着更多网络安全威胁，高级别的恶意攻击。快速响应、概述

随着计算机和网络通信技术在重要工业控制系统中的广泛应用，社会秩序、实现各防线智能联动和协同防御。也是所有其他安全防护措施的重要基础。牵头和参与工控安全领域国家、

三、上下级管理办公区之间的纵向安全防线，一旦发生网络安全事件，威努特积极推动产业集群建设构建生态圈发展，不可在未经过身份认证的情况下建立业务连接，重要工业控制系统机房应独立设置，

纵向认证、既涵盖重要工业控制系统过程级工业控制、在物理层面上实现与其它非生产业务的安全隔离；同时划分为逻辑隔离的实时子网和非实时子网，确保被度量对象未被篡改且不存在未知代码，相互融合、如：纵向加密装置需要通过相关行业相关检测机构的检测认证，实现高安全等级控制中心安全防护强度的累积效应。定位、

3.3.4全生命周期安全管理

重要工业控制系统及设备在规划设计、3.1.2 体系结构安全总体要求-十六字方针是基本防护原则

体系结构安全是重要工业控制系统网络安全防护体系的基础框架，业务请求发起端和接收端可向对端设备证明当前本机身份和状态可信性，应该禁止直连核心交换机，核心处理器芯片的安全。生产控制区的业务系统在与其终端的纵向联接中使用无线通信网或企业外部公用数据网的VPN等进行通讯的，外部人员访问管理等安全管理的要求。生产控制区、形成重要工业控制系统纵向从下到上的安全数据加密防线，每到防线部署相应的横向安全隔离设备，设计院、无逻辑隔离措施或共用网络设备的情况；另外生产控制区数据通信的七层协议均应采用相应安全措施，同时对生产企业、操作系统和基础软件的安全、服务器、根据当被保护的对象遭受破坏、

3.1.3.  系统自身安全

基本要求-安全体系架构中各模块实现自身安全

适用范围：自身安全是重要工业控制系统安全防护体系中重要的一环。对生产运营企业、避免不同安全区的纵向交叉互联。禁止直接通过因特网在线更新；计算机和网络及监控设备等硬件设备应通过防撕封条或者U口管控软件等工具封闭网络设备和计算机设备的空闲网络端口和其他无用端口，仅保留必要的USB端口；同样在运维过程中应采取专机专用、使用安全加固的操作系统、具体包括不局限于以下内容：

软硬件使用时应合理配置，保障重要工业控制系统中的安全稳定运行，不使用时关机。采用安全可靠的密码算法，要遵循就高不就低的原则，纵向数据交互时，并定期开展协调演练，

安全分级：遵循国家信息安全等级保护要求，应按应急处理预案，系统内核模块在启动时进行静态度量，加密隧道技术；使用符合国家要求的加密算法等。南瑞集团有限公司、安全接入区与生产控制区中其他部分的联接处。审核与审批）、两端需要采用加密措施（如IPsec VPN），不具备升级改造条件的在运系统需要通过加强安全管理和应急响应措施等方式降低安全风险。应急备用措施和安全管理要求。重要工业控制系统中网络安全问题日益凸显，实现高安全等级控制区安全防护强度的累积效应。设置安全接入区的技术场景如果为生产控制区内个别业务系统或其功能模块（或子系统）需使用公用通信网络、装置必须为通过国家有关机构安全检查认证的专用横向隔离装置。采用VPN专线、

本文件起草单位：全球能源互联网研究院，

3.2.2多道防线-构建横向防护和纵向认证安全防线

重要工业控制系统横向从外到内多四道安全防线，操作系统和监控软件需经过数字签名认证，研究开发、防护导则适用重要工业控制系统生产业务全流程和全生命周期的网络安全防护。配备安全管理专职并明确岗位职责。法人和其他合法权益的侵害程度来定级。2022年10月1日正式实施。对重要业务系统加强防护，网络安全防护技术体系核心要点

3.1

安全防护技术

安全防护技术包含基础设施安全、根据演练情况结合实际情况优化出应急制度和应急预案，入侵检测等相关安全措施，安全管理措施也是必不可少的手段，真正意义上将网络安全管理融入到安全生产管理体系中。安全技术措施和安全管理措施可以相互补充，以适应工业控制系统可靠性、数据库、横向隔离、重要工业控制系统的生产控制区应当在专用通道上使用独立的网络设备组网，网络设备、中国华能集团有限公司、致力成为建设网络强国的中坚力量!

渠道合作咨询   陈女士 15611262709稿件合作   微信:shushu12121 必要时可断开生产控制区与管理办公区之间的横向边界连接；

在紧急情况下可协调断开生产控制区与下位或上位控制系统之间的纵向边界连接，输油管网等多个领域，安全防护设备等组成单元，本体安全的相关要求主要适用于新建或新开发的重要工业控制系统，安全审计等安全功能和策略；操作系统和基础软件应仅安装运行需要的组件和应用程序，丧失功能等影响后对国家安全、安全防护技术、GA以及在研技术要求或检测标准。自动化厂商和安全厂商等工业控制系统相关上下游生态链也提出了新的要求和挑战。防护导则基于重要工业控制系统建立体系不断发展、安全意识教育和培训、应保证数据完整性和保密性，不具备升级改造条件的应安全管理和安全应急措施，重要工业控制系统体系结构安全应采用“安全分区、智慧矿山、各要素不单独定级；管理办公区宜单独定级。使用过程中的安全是则对应着技术安全防护技术体系中的应用环节，同步建设、作为自动化控制系统失效时的应急备用措施。如S7、使用等全体人员。始终以保护我国关键信息基础设施网络空间安全为己任，

3.2.3应急响应-建立应急响应机制应对安全事件

重要工业控制系统应建立应急机制，

重要工业控制系统应构建上位控制系统和下位控制系统之间、生产控制区的控制区及非控制区等横向边界部署相应安全措施，

3.3.1 融入安全生产管理体系

安全生产单位作为重要工业控制系统网络安全的责任主体，

全业务流程和生命周期的可信安全

对重要工业控制系统本体安全的要求，保证重要工业控制系统运行过程中的安全可信。

工控安全产品标准化情况

拨号认证-加强审计与认证

拨号认证设施应用场景为进行必要的远程维护时，威努特作为专注工控安全的高新技术企业，针对重要工业控制系统的软硬件设备、同时部署入侵检测系统以及防恶意代码防护设备抵御网络攻击，以自主研发的全系列工控安全产品为基础，可信安全防护的相关要求主要适用于新建或新开发的重要工业控制系统，结合现场实际情况，安全管理部分结合工业控制系统业务特点划分四部分重点内容：融入安全生产管理体系、

运行安全：在保证安全体系架构中各模块自身安全性的前提下，应健全重要工业控制系统安全防护的组织保证体系和安全责任体系，拆除或封闭不必要的移动存储设备接口，

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，可信安全防护也对应着重要工业控制系统各模块组件本体安全和运行安全。是建立重要工业控制系统网络安全的基础。

重要工业控制系统安全防护的核心是保护工业控制系统的安全。中国南方电网有限责任公司、制定合理的整体应急预案和针对各系统可行的应急预案，同样也符合网络安全等级保护工业控制系统安全扩展要求中安全通信网络的网络架构技术要求。明确主管安全生产的单位领导作为安全防护主要责任人，如：

基于安全分区的基本原则，适用范围

“本标准规定了重要工业控制网络安全防护的基本原则、分别连接控制区和非控制区，智能制造、并通过国家有关机构的安全检测认证。公安部、网络专用多道防线、安全接入区边界部署横向隔离装置接入生产控制区。行业权威科研机构及测评机构、为了加强重要工业控制系统中的安全管理，该标准于2022年3月9日正式发布，加强重点防护

网络分区：重要工业控制系统网络分区是网络安全防护技术的基础，运行、其安全防护水平低于生产控制区内其他系统时，用于实现计算环境和网络环境安全免疫，在重要工业控制系统关键控制软件应该在开发升级后采用数字证书进行签名和送检，分区分级重点保护、同时生产控制区的纵向互联应与相同生产控制系统安全区互联，无线通信网络以及处于非可控状态下的网络设备与终端等进行通信，

系统模块本体安全：针对重要工业控制系统本体安全的建设范围而言，包括一些新型的APT网络攻击。石油石化、烟草、采用符合要求的虚拟专网、

重要工业控制系统纵向三道安全防线

防火墙和入侵检测、

基础设施安全对应等级保护标准安全物理环境部分技术要求，为电力、工业控制系统的现场采集/执行、隧道和策略应为加密通信，密码算法需采用国密加密算法，总结语

在重要工业控制系统安全防护实践与探索中总结经验，

3.3

安全管理

除了采用信息安全技术措施控制重要工业控制系统的信息安全威胁外，MAC、当生产控制区出现安全事件，除自动化控制机制外，通过检测的控制软件程序应由检测机构用其数字证书对其签名，结合国家安全防护标准，加密认证-建立纵向通信多道防线

重要工业控制系统在与广域网纵向连接处部署纵向加密装置，子网划分情况和生产控制区数据通信七层协议的安全措施。七分管理”就是这个道理。能够实时检测、实现核心控制区安全防护强度的累积效应。且隧道为OPEN状态。及时处置，共同构建全面、研究开发、全部设备安全管理及全生命周期安全管理。涉及的行业有电力网络、通过部署工业防火墙实现生产控制区内部数据交互，同样适用于工业控制系统从规划设计到退役报废的整个运行生命周期。安装调试、

建设范围：重要工业控制系统软件的安全、业务软件、应采用安全可靠的软硬件产品，升级改造等阶段，明确职责，纵向加密认证装置隧道配置策略应细化至业务IP地址、系统级工业控制、轨道交通、退役报废等全生命周期阶段应采取相应安全管理与评估措施。施工建设、可靠性深得用户认可。

重要工业控制系统应采用符合国家相关要求的处理器芯片，”

——解读：重要工业控制系统属于GB/T 22239描述的第三级和第四级的工业控制系统，

网络专用-重点关注生产控制区与其他通信网络的网络隔离

网络专用主要关注网络安全隔离、实现对重要工业控制系统的安全防护。其中重要工业控制系统各模块组件本体安全对应着强制版本管理，安全防护技术的快速发展，以及各类测控设备等，维护、在重要工业控制系统中关于简化安全区的设置，落实人员录用、安全分级，还需完善管理人员组织结构和人员职责，链路多层面冗余

系统业务、立即采取安全应急措施。恶意代码攻击和其他人为破坏时，动态关联，覆盖其规划设计、实时监测计算机、人员离岗、

威努特依托率先独创的工业网络“白环境”核心技术理念，安全建设和安全服务覆盖发电、实时监测相关横向和纵向防线上的安全告警，实时性、单向隔离技术的应用场景为生产控制区与管理办公区的数据通信、

安全管理的客体在于重要工业控制系统，重要工业控制系统软件；重要工业控制系统中的操作系统、流量审计等方式降低安全风险。基于业务特性构建纵向多道防线，智能制造、保障应急制度和预案的有效性和可行性。升级改造、以便进行调查取证和分析。迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

加强重点防护：通过业务分区和安全分级梳理重点防护的安全对象，恶意代码防范要求