電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估規(guī)范（正式版）

1、 專(zhuān)業(yè)技術(shù)文件 / Technical documentation 編號(hào)： 電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估規(guī)范Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly.編制：_日期：_電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估規(guī)范溫馨提示：該文件為本公司員工進(jìn)行生產(chǎn)和各項(xiàng)管理工作共同的技術(shù)依據(jù)，通過(guò)對(duì)具體的工作環(huán)節(jié)進(jìn)行規(guī)范、約束，以確保生產(chǎn)、管理活動(dòng)的正常、有序

2、、優(yōu)質(zhì)進(jìn)行。本文檔可根據(jù)實(shí)際情況進(jìn)行修改和使用。 摘要 為了加強(qiáng)電力監(jiān)控系統(tǒng)的信息安全管理, 防范黑客及惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊及侵害, 保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行, 根據(jù)電力監(jiān)管條例、中華人民共和國(guó)計(jì)算機(jī)信息保護(hù)條例和國(guó)家有關(guān)規(guī)定, 結(jié)合電力監(jiān)控系統(tǒng)的實(shí)際情況, 近日, 國(guó)家發(fā)展改革委最新頒布的第14號(hào)令電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定(以下簡(jiǎn)稱(chēng)規(guī)定)正式實(shí)施。這一國(guó)家和政府層面出臺(tái)的法規(guī)性文件, 無(wú)疑為保障電力系統(tǒng)的安全運(yùn)行、促進(jìn)電力企業(yè)在新形勢(shì)下做好電力監(jiān)控系統(tǒng)安全防護(hù)工作上了一道安全鎖。為了加強(qiáng)電力監(jiān)控系統(tǒng)的信息安全管理, 防范黑客及惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊及侵害, 保障電力系統(tǒng)的

3、安全穩(wěn)定運(yùn)行, 根據(jù)電力監(jiān)管條例、中華人民共和國(guó)計(jì)算機(jī)信息保護(hù)條例和國(guó)家有關(guān)規(guī)定, 結(jié)合電力監(jiān)控系統(tǒng)的實(shí)際情況, 近日, 國(guó)家發(fā)展改革委最新頒布的第14號(hào)令電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定(以下簡(jiǎn)稱(chēng)規(guī)定)正式實(shí)施。這一國(guó)家和政府層面出臺(tái)的法規(guī)性文件, 無(wú)疑為保障電力系統(tǒng)的安全運(yùn)行、促進(jìn)電力企業(yè)在新形勢(shì)下做好電力監(jiān)控系統(tǒng)安全防護(hù)工作上了一道安全鎖。 嚴(yán)格做好保密工作規(guī)定要求電力監(jiān)控系統(tǒng)相關(guān)設(shè)備及系統(tǒng)的開(kāi)發(fā)單位、供應(yīng)商應(yīng)當(dāng)以合同條款或者保密協(xié)議的方式保證其所提供的設(shè)備及系統(tǒng)符合安全標(biāo)準(zhǔn), 并在設(shè)備及系統(tǒng)的全生命周期內(nèi)對(duì)其負(fù)責(zé), 還要禁止關(guān)鍵技術(shù)和設(shè)備的擴(kuò)散。作為電力企業(yè)本身也要加強(qiáng)技術(shù)管理來(lái)提高電網(wǎng)的安全

4、性, 此外在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向聯(lián)接處應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施。確保生產(chǎn)控制大區(qū)中的重要業(yè)務(wù)系統(tǒng)都要認(rèn)證加密。對(duì)生產(chǎn)控制大區(qū)安全評(píng)估的所有評(píng)估資料和評(píng)估結(jié)果, 應(yīng)當(dāng)按國(guó)家有關(guān)要求做好保密工作。建立安全防護(hù)管理制度據(jù)了解, 電力監(jiān)控系統(tǒng)比較復(fù)雜和龐大, 安全防護(hù)的相關(guān)組織機(jī)構(gòu)也比較龐大, 要將政府監(jiān)管部門(mén)、企業(yè)和個(gè)人整合在一起, 發(fā)揮集體的力量做好電力監(jiān)控系統(tǒng)安全防護(hù)工作。建立行之有效的監(jiān)督與管理要理清政府監(jiān)管部門(mén)、企業(yè)等的責(zé)任, 成立符合實(shí)際的安全防護(hù)組織機(jī)構(gòu), 制定行之有效的管理制度。規(guī)定指出, 電力企業(yè)應(yīng)當(dāng)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)

5、, 誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則, 建立健全電力監(jiān)控系統(tǒng)安全防護(hù)管理制度, 將電力監(jiān)控系統(tǒng)安全防護(hù)工作及其信息報(bào)送納入日常安全生產(chǎn)管理體系, 落實(shí)分級(jí)負(fù)責(zé)的責(zé)任制。在方案實(shí)施方面, 電力調(diào)度機(jī)構(gòu)、發(fā)電廠、變電站等運(yùn)行單位的電力監(jiān)控系統(tǒng)安全防護(hù)實(shí)施方案必須經(jīng)本企業(yè)的上級(jí)專(zhuān)業(yè)管理部門(mén)和信息安全管理部門(mén)以及相應(yīng)電力調(diào)度機(jī)構(gòu)的審核, 方案實(shí)施完成后應(yīng)當(dāng)由上述機(jī)構(gòu)驗(yàn)收。接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的設(shè)備和應(yīng)用系統(tǒng), 其接入技術(shù)方案和安全防護(hù)措施必須經(jīng)直接負(fù)責(zé)的電力調(diào)度機(jī)構(gòu)同意。另外電企還需建立健全電力監(jiān)控系統(tǒng)安全的聯(lián)合防護(hù)和應(yīng)急機(jī)制, 制定應(yīng)急預(yù)案。電力調(diào)度機(jī)構(gòu)負(fù)責(zé)統(tǒng)一指揮調(diào)度范圍內(nèi)的電力監(jiān)控系統(tǒng)安全應(yīng)急處, 當(dāng)遭受網(wǎng)

6、絡(luò)攻擊, 生產(chǎn)控制大區(qū)的電力監(jiān)控系統(tǒng)出現(xiàn)異?；蛘吖收蠒r(shí), 應(yīng)當(dāng)立即向其上級(jí)電力調(diào)度機(jī)構(gòu)以及當(dāng)?shù)貒?guó)家能源局派出機(jī)構(gòu)報(bào)告, 并聯(lián)合采取緊急防護(hù)措施, 防止事態(tài)擴(kuò)大, 同時(shí)應(yīng)當(dāng)注意保護(hù)現(xiàn)場(chǎng), 以便進(jìn)行調(diào)查取證。另外企業(yè)應(yīng)當(dāng)建立健全電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估制度, 采取以自評(píng)估為主、檢查評(píng)估為輔的方式, 將電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估納入電力系統(tǒng)安全評(píng)價(jià)體系。提高電力企業(yè)的安全管理。此外規(guī)定還提出, 電力企業(yè)在設(shè)備選型及配置時(shí), 應(yīng)當(dāng)禁止選用經(jīng)國(guó)家相關(guān)管理部門(mén)檢測(cè)認(rèn)定并經(jīng)國(guó)家能源局通報(bào)存在漏洞和風(fēng)險(xiǎn)的系統(tǒng)及設(shè)備;對(duì)于已經(jīng)投入運(yùn)行的系統(tǒng)及設(shè)備, 應(yīng)當(dāng)按照國(guó)家能源局及其派出機(jī)構(gòu)的要求及時(shí)進(jìn)行整改, 同時(shí)應(yīng)當(dāng)加強(qiáng)

7、相關(guān)系統(tǒng)及設(shè)備的運(yùn)行管理和安全防護(hù)。關(guān)鍵是要建立技術(shù)標(biāo)準(zhǔn)企業(yè)的發(fā)展最終是要靠技術(shù), 電力企業(yè)的安全防范管理也一樣, 最終是要靠技術(shù)來(lái)解決。為此規(guī)定特意指出要加強(qiáng)電力監(jiān)控系統(tǒng)安全防護(hù)技術(shù)標(biāo)準(zhǔn)體系建設(shè), 發(fā)電企業(yè)、電網(wǎng)企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng), 應(yīng)當(dāng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問(wèn)控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施, 實(shí)現(xiàn)邏輯隔離。安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中其他部分的聯(lián)接處必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置。生產(chǎn)控

8、制大區(qū)的業(yè)務(wù)系統(tǒng)在與其終端的縱向聯(lián)接中使用無(wú)線通信網(wǎng)、電力企業(yè)其它數(shù)據(jù)網(wǎng)(非電力調(diào)度數(shù)據(jù)網(wǎng))或者外部公用數(shù)據(jù)網(wǎng)的虛擬專(zhuān)用網(wǎng)絡(luò)方式(VPN)等進(jìn)行通信的, 應(yīng)當(dāng)設(shè)立安全接入?yún)^(qū)。安全區(qū)邊界也應(yīng)當(dāng)采取必要的安全防護(hù)措施, 禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡(luò)服務(wù), 保證生產(chǎn)控制大區(qū)中的業(yè)務(wù)系統(tǒng)的高安全性和高可靠性。安全防護(hù)問(wèn)題最終還是要靠技術(shù)進(jìn)步來(lái)解決, 有了技術(shù)標(biāo)準(zhǔn)體系, 就可以使全國(guó)范圍的電力系統(tǒng)安全防護(hù)有所參照;再次要加強(qiáng)技術(shù)監(jiān)督管理。安全防護(hù)真正的落腳點(diǎn)還是在企業(yè), 需要采用技術(shù)監(jiān)督手段來(lái)發(fā)現(xiàn)問(wèn)題、解決問(wèn)題, 從而不斷提高企業(yè)的安全防護(hù)能力;最后要加強(qiáng)培訓(xùn), 不斷提高系統(tǒng)

9、內(nèi)人員的技術(shù)能力。技術(shù)與管理并重?fù)?jù)了解, 第14號(hào)令附件發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案在原來(lái)“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的基礎(chǔ)上增加了綜合防護(hù)的內(nèi)容;同時(shí)在原來(lái)火電和水電安全防護(hù)的基礎(chǔ)上增加了核電、風(fēng)電、光伏發(fā)電、天然氣、生物質(zhì)等新能源形式的監(jiān)控系統(tǒng)安全防護(hù)要求。從發(fā)電企業(yè)角度來(lái)看, 規(guī)定改變了原來(lái)僅用隔離的方式解決電廠監(jiān)控系統(tǒng)安全威脅問(wèn)題, 要求企業(yè)通過(guò)安全加固、邊界防護(hù)、訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)備份、入侵檢測(cè)等手段, 進(jìn)行多層面的信息安全防護(hù)。此外, 電力監(jiān)控系統(tǒng)加強(qiáng)安全防護(hù)的重點(diǎn)是要抵御黑客、病毒、惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊和侵害, 保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。除了構(gòu)筑邊界安全防護(hù)網(wǎng), 還要特別注重內(nèi)部的安全防護(hù)能力。除了依靠安全技術(shù), 更要重視安全管理,