7.2 邊界防護

7.2 邊界防護

7.2.1 基本要求

基本要求包括：

a) 應監視和控制數控網絡和管理網、互聯網之間的通信以及數控網絡內各區域之間的通信；

b) 應在各邊界默認拒絕所有網絡數據流，僅允許例外的網絡數據流；

c) 應能夠對非授權設備私自連接到數控網絡內部的行為進行限制或檢查，并進行有效阻斷；

d) 應能夠對數控網絡內部用戶私自連接到外部網絡的行為進行限制或檢查，并進行有效阻斷。

7.2.2 增強要求

增強要求包括：

a) 應在數控網絡和管理網絡邊界、數控網絡內部的區域邊界部署保護設備，保證跨越邊界的訪問

b) 當數控網絡與管理網絡的邊界防護機制出現操作失效時，應阻止數控網絡與管理網絡之間的邊

c) 當數控網絡內部安全域之間的邊界防護機制失效時，應能夠進行告警，并確保不影響關鍵設備的通信。