水利水电工程施工管理概论
             Introduction to the Construction Management of Water Conservancy and Hydropower Projects



                 在物理安全方面，从安全分区、网络专用、横向隔离、纵向加密等方面对工
             控网络进行了优化。在电力监控系统和信息管理大区之间串行部署电力专用单向
             隔离网闸，用于电力监控系统到管理信息大区的单向。数据传输。在业务分区的
             基础上规划网络安全管理区域，使用带外组网的方式与业务网络隔离，根据实际

             情况将部署在安全Ⅰ区和安全Ⅱ区的网络安全产品通过防火墙进行逻辑隔离。进
             一步加强机房规范化管理，将主要设备放置在机房进行集中管理，控制人员进出，
             在线缆敷设、消防、防水等方面满足规范要求。建设机房环境监控系统，对机房
             环境、设备状态、设备使用等情况进行记录，保障机房设备和信息系统的物理安全。

                 在边界安全方面，在工控内外网之间部署隔离设备，通过物理隔离的手段，
             使内外网之间无法进行基于网络协议的数据交换，实现网络安全隔离。在安全Ⅰ
             区与安全Ⅱ区之间串接部署工控防火墙产品，并按照最小化原则配置访问控制策
             略，实现区域逻辑隔离，通过 IP/MAC 绑定、建立边界访问黑白名单等安全策略，

             建立不同安全域之间的访问控制策略，确保非授权的设备不能在内外网之间随意
             连接，避免在一个系统或区域里爆发的工控安全事件扩散到其他系统或区域，从
             而保障区域间通信网络安全。通过使用工业防火墙在子网边界进行隔离，进一步
             提高了工业控制系统的网络安全防护能力，工业防火墙在传统防火墙的功能基础

             上提供多种工控协议的深度解析，支持 30 多种工控协议识别与深度解析，支持
             基于工控行为构建白名单访问控制策略，实现细粒度的安全防护。
                 在主机安全方面，水利工业控制系统往往实现的功能较为单一，这个特点非
             常适合采用白名单机制，只允许白名单内受信任的程序执行，将木马、病毒等非

             法程序隔离在外。同时，通过部署主机加固系统，针对安全策略、用户权限、系
             统补丁、U 盘使用、重点目录、外设、网络连接等多个维度进行全方位监控和管理，
             从而提升操作系统安全级别、确保业务连续不中断、核心数据不丢失。项目实施
             过程中，对操作员站、工程师站、主服务器以及网络边界通信网关等部署了主机

             防护系统客户端，采用白名单的主动防御机制，有效实现了主机防病毒、防第三
             方软件的非授权安装与使用，以及主机系统外接口的管控，USB 外接存储设备
             的认证管控、防病毒与操作行为审计，为主机系统安全运行提供必要的安全保障。
             对工控主机进行了人工加固，完成所有服务器、工控机、主机未使用的 USB 接口、

             串行口、无线、蓝牙、光驱等关闭工作，完善了操作系统、数据库、应用系统口
             令长度及复杂度，配置用户登录失败处理机制。


             94