应用案例｜国电某火电厂SIS系统信息安全防护项目

1、 信息安全专网组网：本方案中设计部署的入侵检测系统、网络准入管理系统、账号管理与运维审计系统、日志审计与分析系统、USB安全隔离系统的管理口采用带外方式单独组网，接入1台信息安全专网接入交换机。在满足统一管控的要求同时满足安全分区、专网专用。安全数据的传输与控制系统业务网络完全独立。

现场设备上架图

2、安全区域边界：旁路部署入侵检测系统和网络准入系统，用于检测发现隐藏于网络边界信息流中的入侵行为，分析潜在威胁并进行安全审计。通过身份认证以及安全域控制等手段，从根本上保证接入网络的终端可信程度，并控制可信计算机的访问权限，为工业企业的终端入网安全管理提供强有效的保障。

3、安全计算环境：在SIS接口机和服务器部署主机安全卫士，有效实现主机防病毒、防第三方软件的非授权安装与使用，主机系统外接口的管控，USB 外接存储设备的认证管控、防病毒与操作行为审计，为主机系统安全运行提供必要的安全保障。同时旁路部署日志审计与分析系统，在网络可达的条件下通过syslog、SNMP等方式、或通过代理方式收集网络中各系统产品的告警日志，进行日志的集中存储、范式化和安全分析与展示。

主机安全卫士

4、安全管理中心：在安全管理专网内，部署工控信息安全监管与分析平台，实现全部安全系统的状态监控，安全风险的集中收集、存储、关联分析与可视化和集中处置等安全管理功能。部署账号管理及运维审计系统通过运维人员账户集中管理、登录集中认证授权、操作全程审计等技手段，来实现目标系统运维可管、可控、可审计，对运维行为进行监管，做到事中告警与事后行为追溯。

工控信息安全监管与分析平台