廠站電力監(jiān)控系統(tǒng)安全防護(hù)驗(yàn)收標(biāo)準(zhǔn)

ICS29.240

K45

備案號(hào)：DL

中華人民共和國(guó)電力行業(yè)標(biāo)準(zhǔn)

DL/TXXXX—20XX

廠站電力監(jiān)控系統(tǒng)安全防護(hù)驗(yàn)收標(biāo)準(zhǔn)

Acceptancetestspecificationofsecurityprotectionforelectricpower

systemsupervisionandcontrolinpowerstationandsubstation

（征求意見(jiàn)稿）

20XX-XX-XX發(fā)布20XX-XX-XX實(shí)施

國(guó)家能源局發(fā)布

DL/TXXXX—20XX

前??言

本標(biāo)準(zhǔn)按照GB/T1.1—2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)》的要求編寫(xiě)。

本標(biāo)準(zhǔn)由中國(guó)電力企業(yè)聯(lián)合會(huì)提出。

本標(biāo)準(zhǔn)由全國(guó)電網(wǎng)運(yùn)行與控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口并負(fù)責(zé)解釋。

本標(biāo)準(zhǔn)主要起草單位：

本標(biāo)準(zhǔn)主要參加單位：

本標(biāo)準(zhǔn)主要起草人：

本標(biāo)準(zhǔn)首次發(fā)布。

本標(biāo)準(zhǔn)在執(zhí)行過(guò)程中的意見(jiàn)或建議請(qǐng)反饋至中國(guó)電力企業(yè)聯(lián)合會(huì)標(biāo)準(zhǔn)化管理中心(北京市白廣路二

條一號(hào)，100761)。

II

DL/TXXXX—20XX

廠站電力監(jiān)控系統(tǒng)安全防護(hù)驗(yàn)收標(biāo)準(zhǔn)

1范圍

本標(biāo)準(zhǔn)規(guī)定了并網(wǎng)電廠電力監(jiān)控系統(tǒng)涉網(wǎng)部分、變電站電力監(jiān)控系統(tǒng)安全防護(hù)驗(yàn)收的管理要求和技

術(shù)要求。

本標(biāo)準(zhǔn)適用于35kV及以上電壓等級(jí)并網(wǎng)電廠涉網(wǎng)部分、變電站新建、改（擴(kuò)）建工程的電力監(jiān)控系

統(tǒng)安全防護(hù)驗(yàn)收。其他廠站、分布式電源可參照?qǐng)?zhí)行。

2并網(wǎng)電廠規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20270信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

GB/T20271信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求

GB/T20272信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求

GB/T20273信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求

GB/T20275信息安全技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)

GB/T20281信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法

GB/T21028信息安全技術(shù)服務(wù)器安全技術(shù)要求

GB/T21052信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T22240信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

國(guó)家發(fā)展改革委員會(huì)2014年第14號(hào)令電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定

國(guó)能安全〔2015〕36號(hào)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1

電力監(jiān)控系統(tǒng)electricpowersupervisionandcontrolsystem

用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過(guò)程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為

基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等。

3.2

安全防護(hù)securityprotection

1

DL/TXXXX—20XX

是指為保障核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)信息安全而建立一整套綜合安全防護(hù)措施，包括安全防護(hù)技術(shù)、應(yīng)

急備用措施、全面安全管理等多個(gè)方面。

3.3

網(wǎng)絡(luò)安全管理平臺(tái)cybersecuritymanagementplatform

部署于調(diào)度機(jī)構(gòu)，具備網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)視告警、分析定位、安全審計(jì)、風(fēng)險(xiǎn)核查和協(xié)同管控等功能

的軟件系統(tǒng)。

3.4

網(wǎng)絡(luò)安全監(jiān)測(cè)裝置cybersecuritymonitoringdevice

部署于電力監(jiān)控系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)中，用于對(duì)監(jiān)測(cè)對(duì)象的網(wǎng)絡(luò)安全信息進(jìn)行采集、分析處理并與網(wǎng)絡(luò)

安全管理平臺(tái)通信的裝置，為網(wǎng)絡(luò)安全管理平臺(tái)上傳事件并提供服務(wù)代理功能。

4縮略語(yǔ)

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）

USB：通用串行總線（UniversalSerialBus）

IDS：入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem）

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

HTTP：超文本傳輸協(xié)議（Hyper-TextTransferProtocol）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

SSH：安全外殼協(xié)議（SecureShell）

NTP：網(wǎng)絡(luò)時(shí)間協(xié)議（NetworkTimeProtocol）

MAC：介質(zhì)存取控制地址碼（MediaAccessControl）

5總則

5.1電廠和變電站電力監(jiān)控系統(tǒng)安全防護(hù)應(yīng)符合國(guó)家發(fā)展和改革委員會(huì)2014年14號(hào)令、國(guó)能安全

〔2015〕36號(hào)、GB/T22239等文件和標(biāo)準(zhǔn)要求，堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”

的基本原則，保障電力監(jiān)控系統(tǒng)安全可靠運(yùn)行。

5.2本標(biāo)準(zhǔn)并網(wǎng)電廠指35kV及以上電壓等級(jí)并網(wǎng)電廠涉網(wǎng)部分；本標(biāo)準(zhǔn)變電站指35kV及以上電壓等

級(jí)的變電站，包括換流站、開(kāi)關(guān)站、用戶站等。本標(biāo)準(zhǔn)驗(yàn)收的具體范圍為35kV及以上電壓等級(jí)并網(wǎng)電

廠涉網(wǎng)部分電力監(jiān)控系統(tǒng)以及35kV及以上電壓等級(jí)變電站電力監(jiān)控系統(tǒng)。

5.3并網(wǎng)電廠和變電站在新建、改（擴(kuò)）建工程完成后，并網(wǎng)投運(yùn)或移交生產(chǎn)運(yùn)行前，應(yīng)開(kāi)展電力監(jiān)

控系統(tǒng)安全防護(hù)驗(yàn)收工作。驗(yàn)收工作包括基礎(chǔ)設(shè)施驗(yàn)收、網(wǎng)絡(luò)結(jié)構(gòu)驗(yàn)收、設(shè)備及軟件系統(tǒng)驗(yàn)收、安全管

理驗(yàn)收等內(nèi)容。

5.4并網(wǎng)電廠和變電站電力監(jiān)控系統(tǒng)安全防護(hù)驗(yàn)收工作除應(yīng)遵循本標(biāo)準(zhǔn)外，尚應(yīng)符合國(guó)家、電力行業(yè)

相關(guān)文件和標(biāo)準(zhǔn)要求。

6驗(yàn)收組織和流程

2

DL/TXXXX—20XX

6.1驗(yàn)收人員

6.1.1驗(yàn)收組負(fù)責(zé)現(xiàn)場(chǎng)驗(yàn)收工作，由被驗(yàn)收廠站上級(jí)專業(yè)主管部門、信息安全主管部門以及相應(yīng)電力

調(diào)度機(jī)構(gòu)組成；

6.1.2被驗(yàn)收廠站建設(shè)單位或部門作為責(zé)任主體，接受現(xiàn)場(chǎng)驗(yàn)收，并組織設(shè)計(jì)、監(jiān)理、施工、調(diào)試等

單位做好配合工作。

6.1.3驗(yàn)收組主要職責(zé)

a)負(fù)責(zé)編制驗(yàn)收方案和驗(yàn)收大綱，根據(jù)工作量合理安排驗(yàn)收時(shí)間；

b)負(fù)責(zé)審查設(shè)備調(diào)試報(bào)告、自驗(yàn)收?qǐng)?bào)告、技術(shù)文件、管理制度等文檔資料的真實(shí)性、準(zhǔn)確性、完整

性和可執(zhí)行性，并依據(jù)驗(yàn)收方案開(kāi)展驗(yàn)收工作；

c)負(fù)責(zé)下達(dá)驗(yàn)收?qǐng)?bào)告，對(duì)工作開(kāi)展情況、發(fā)現(xiàn)及解決問(wèn)題情況、工程遺留問(wèn)題及解決建議等進(jìn)行全

面總結(jié)，并對(duì)工程驗(yàn)收情況給出明確結(jié)論；

d)負(fù)責(zé)通知并監(jiān)督被驗(yàn)收單位對(duì)問(wèn)題、缺陷及隱患及時(shí)整改，并對(duì)整改情況開(kāi)展復(fù)查驗(yàn)收。

6.1.4被驗(yàn)收單位主要職責(zé)

a)負(fù)責(zé)提供完整的符合工程實(shí)際的紙質(zhì)版和電子版圖紙資料，包括電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖、電力

監(jiān)控系統(tǒng)安全防護(hù)拓?fù)鋱D等；

b)負(fù)責(zé)提供電力監(jiān)控系統(tǒng)安全防護(hù)調(diào)試報(bào)告、自驗(yàn)收?qǐng)?bào)告；提供電力監(jiān)控系統(tǒng)設(shè)備臺(tái)賬、安全防護(hù)

實(shí)施方案、主要設(shè)備配置文件、安全防護(hù)組織機(jī)構(gòu)證明以及相關(guān)管理制度等；提供現(xiàn)場(chǎng)驗(yàn)收工作所需的

專用工器具及測(cè)試設(shè)備；

c)負(fù)責(zé)組織設(shè)計(jì)、監(jiān)理、施工、調(diào)試等單位配合現(xiàn)場(chǎng)驗(yàn)收工作。

d)負(fù)責(zé)對(duì)驗(yàn)收發(fā)現(xiàn)的問(wèn)題、缺陷及隱患進(jìn)行整改；

e)做好驗(yàn)收期間現(xiàn)場(chǎng)安全措施；

6.2驗(yàn)收必備條件

a)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)安全防護(hù)實(shí)施方案應(yīng)由本企業(yè)上級(jí)專業(yè)主管部門、信息安全主管部門以

及相應(yīng)電力調(diào)度機(jī)構(gòu)審核通過(guò)；

b)被驗(yàn)收廠站建設(shè)單位或部門組織完成系統(tǒng)及設(shè)備安裝、調(diào)試工作；

c)被驗(yàn)收廠站建設(shè)單位或部門自驗(yàn)收合格，并具有完整的自驗(yàn)收?qǐng)?bào)告；

d)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)完成網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)；

e)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)應(yīng)按照國(guó)家及行業(yè)要求，由具備資質(zhì)的第三方評(píng)估機(jī)構(gòu)完成系統(tǒng)安全防

護(hù)評(píng)估，根據(jù)評(píng)估結(jié)果完成整改并出具報(bào)告；

f)應(yīng)具有完整并符合工程實(shí)際的紙質(zhì)版和電子版圖紙資料、系統(tǒng)及設(shè)備清單、主要設(shè)備配置文件、

調(diào)試報(bào)告、安全防護(hù)組織機(jī)構(gòu)和相關(guān)管理制度等文檔資料；

g)應(yīng)具有必要的測(cè)試工器具及設(shè)備。

6.3驗(yàn)收流程

6.3.1被驗(yàn)收單位（發(fā)電企業(yè)或建設(shè)部門）在組織完成廠站相關(guān)施工調(diào)試工作、自驗(yàn)收合格、相關(guān)文

檔資料準(zhǔn)備齊全、其他驗(yàn)收準(zhǔn)備工作確認(rèn)完備后向上級(jí)專業(yè)主管部門、信息安全主管部門以及相應(yīng)電力

調(diào)度機(jī)構(gòu)提出驗(yàn)收申請(qǐng)；在確認(rèn)其具備驗(yàn)收條件后，上述單位或部門組成驗(yàn)收組開(kāi)展現(xiàn)場(chǎng)驗(yàn)收工作；

3

DL/TXXXX—20XX

6.3.2檢查組對(duì)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)安全防護(hù)管理體系進(jìn)行核查，確認(rèn)其組織機(jī)構(gòu)、人員配置、

管理制度是否符合要求；

6.3.3檢查組對(duì)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)物理環(huán)境進(jìn)行核查，確認(rèn)是否滿足相關(guān)要求；

6.3.4檢查組對(duì)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)設(shè)備選型、系統(tǒng)組網(wǎng)、軟件配置、安全策略進(jìn)行核查，確認(rèn)

是否滿足相關(guān)要求；

6.3.5檢查組根據(jù)核查結(jié)果并下達(dá)驗(yàn)收?qǐng)?bào)告；

6.3.6被驗(yàn)收單位按照?qǐng)?bào)告提出的問(wèn)題組織整改，整改后由驗(yàn)收組進(jìn)行復(fù)查。

7驗(yàn)收內(nèi)容及要求

7.1安全管理驗(yàn)收

a)應(yīng)成立電力監(jiān)控系統(tǒng)安全防護(hù)工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)，

應(yīng)配備網(wǎng)絡(luò)安全專責(zé)。等級(jí)保護(hù)三級(jí)廠站應(yīng)配備專職網(wǎng)絡(luò)安全管理人員；

b)應(yīng)建立電力監(jiān)控系統(tǒng)安全管理制度，包括門禁管理、人員管理、權(quán)限管理、訪問(wèn)控制管理、設(shè)備

及系統(tǒng)維護(hù)管理、惡意代碼防護(hù)管理、審計(jì)管理、數(shù)據(jù)級(jí)系統(tǒng)備份管理、培訓(xùn)管理等；

c)應(yīng)建立系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立管理流程，對(duì)重要活動(dòng)建立逐級(jí)審

批制度；

d)應(yīng)編制并保存與安全防護(hù)相關(guān)的資產(chǎn)清單，應(yīng)制定重要設(shè)備的配置和操作手冊(cè)；

e)應(yīng)與關(guān)鍵崗位人員、接觸內(nèi)部敏感信息的第三方人員簽署保密協(xié)議；

f)應(yīng)制定應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等；

g)應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)安全責(zé)任和懲戒措施。

7.2物理安全驗(yàn)收

7.2.1設(shè)備物理安全驗(yàn)收

a)屏體及設(shè)備應(yīng)安裝牢靠，外觀良好、銘牌清晰，數(shù)量、型號(hào)與設(shè)計(jì)相符；

b)電纜、光纖、網(wǎng)線等二次接線應(yīng)整齊牢固，標(biāo)簽標(biāo)識(shí)應(yīng)清晰、規(guī)范；

c)設(shè)備應(yīng)對(duì)靜電放電、電磁輻射、電磁傳導(dǎo)等電磁干擾有一定抗擾度，符合GB/T21052的相關(guān)要求。

7.2.2環(huán)境物理安全驗(yàn)收

a)物理環(huán)境應(yīng)具備防水、防火、防小動(dòng)物、防雷、防盜、防塵、防磁、防靜電等措施；

b)機(jī)房出入口應(yīng)安排專人值守，并進(jìn)行出入登記。等級(jí)保護(hù)三級(jí)系統(tǒng)所在機(jī)房應(yīng)配置電子門禁系統(tǒng)，

控制、鑒別和記錄進(jìn)出機(jī)房的人員；

c)應(yīng)采用防靜電地板或地面，其靜電性能需符合相關(guān)要求，且長(zhǎng)期穩(wěn)定。等級(jí)保護(hù)三級(jí)系統(tǒng)所在機(jī)

房應(yīng)采用靜電消除器、佩戴防靜電手環(huán)等措施；

d)機(jī)柜和設(shè)備的金屬外殼、框架應(yīng)良好接地并符合GB/T21052的相關(guān)規(guī)定；

e)電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。等級(jí)保護(hù)三級(jí)系統(tǒng)所在機(jī)房關(guān)鍵設(shè)備應(yīng)實(shí)施電磁

屏蔽；

f)機(jī)房應(yīng)配備至少兩路獨(dú)立電源供電，且每路電源容量能夠獨(dú)立支撐機(jī)房?jī)?nèi)設(shè)備持續(xù)運(yùn)行；

g)重要設(shè)備應(yīng)具有冗余電源模塊并雙路供電，每路電源應(yīng)配置獨(dú)立空氣開(kāi)關(guān)或?qū)Ｓ霉I(yè)插座；

h)應(yīng)配備火災(zāi)自動(dòng)消防系統(tǒng)，并具備自動(dòng)報(bào)警及滅火功能，應(yīng)在機(jī)房明顯位置張貼防火標(biāo)識(shí)；

4

DL/TXXXX—20XX

i)應(yīng)配備空氣調(diào)節(jié)設(shè)施，機(jī)房溫濕度的變化應(yīng)在設(shè)備運(yùn)行所允許的范圍內(nèi)。等級(jí)保護(hù)三級(jí)系統(tǒng)所在

機(jī)房應(yīng)配備溫濕度監(jiān)控設(shè)備，并具備自動(dòng)告警功能；

j)等級(jí)保護(hù)三級(jí)系統(tǒng)所在機(jī)房應(yīng)設(shè)置防盜報(bào)警系統(tǒng)或配備有專人（本地或遠(yuǎn)程）值守的視頻監(jiān)控系

統(tǒng)；

7.3網(wǎng)絡(luò)結(jié)構(gòu)驗(yàn)收

a)電力監(jiān)控系統(tǒng)部署應(yīng)符合安全分區(qū)原則，同一系統(tǒng)不同安全等級(jí)的功能模塊應(yīng)分置于不同安全

區(qū)，并通過(guò)安全隔離設(shè)施進(jìn)行通信；嚴(yán)禁將高安全區(qū)的系統(tǒng)或功能模塊部署至低安全區(qū)；生產(chǎn)控制

大區(qū)內(nèi)業(yè)務(wù)系統(tǒng)使用公用通信網(wǎng)絡(luò)、無(wú)線通信網(wǎng)絡(luò)以及其他安全不可控網(wǎng)絡(luò)與終端進(jìn)行通信的應(yīng)設(shè)

立安全接入?yún)^(qū)；嚴(yán)禁非法接入、違規(guī)外聯(lián)和跨區(qū)混聯(lián)；

b)不同安全區(qū)的設(shè)備必須連接至不同交換機(jī)；嚴(yán)禁通過(guò)劃分VLAN的方式將不同安全區(qū)的設(shè)備接入

同一臺(tái)交換機(jī)；同一安全區(qū)內(nèi)不同業(yè)務(wù)系統(tǒng)應(yīng)采用VLAN劃分實(shí)現(xiàn)訪問(wèn)控制；

c)生產(chǎn)控制大區(qū)與管理信息大區(qū)或其他非生產(chǎn)控制大區(qū)之間數(shù)據(jù)通信必須通過(guò)經(jīng)國(guó)家指定部門檢

測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置，實(shí)現(xiàn)物理隔離訪問(wèn)控制；

d)生產(chǎn)控制大區(qū)內(nèi)部控制區(qū)與非控制區(qū)之間數(shù)據(jù)通信應(yīng)采用硬件防火墻等隔離措施，實(shí)現(xiàn)邏輯訪

問(wèn)控制；

e)生產(chǎn)控制大區(qū)在調(diào)度數(shù)據(jù)網(wǎng)縱向邊界必須部署縱向加密認(rèn)證裝置，實(shí)現(xiàn)雙向身份認(rèn)證、訪問(wèn)控

制和數(shù)據(jù)加密；

f)新能源場(chǎng)站站控系統(tǒng)與就地終端之間數(shù)據(jù)通信應(yīng)部署縱向加密認(rèn)證裝置，實(shí)現(xiàn)安全通信；

g)嚴(yán)禁將電力調(diào)度數(shù)據(jù)網(wǎng)延伸至廠站外其他區(qū)域。

7.4設(shè)備及軟件系統(tǒng)驗(yàn)收

7.4.1通用驗(yàn)收要求

a)禁止選用存在已知漏洞和風(fēng)險(xiǎn)的設(shè)備及軟件系統(tǒng)；

b)安全防護(hù)設(shè)備應(yīng)獲得國(guó)家指定機(jī)構(gòu)安全檢測(cè)認(rèn)證，并經(jīng)電力系統(tǒng)電磁兼容檢測(cè)合格；

c)涉及密碼產(chǎn)品的設(shè)備及軟件系統(tǒng)應(yīng)當(dāng)嚴(yán)格執(zhí)行國(guó)家商用密碼管理的有關(guān)規(guī)定；

d)除安全接入?yún)^(qū)外，嚴(yán)禁使用無(wú)線通信功能的設(shè)備；

e)IC卡或USBkey等身份認(rèn)證部件應(yīng)從設(shè)備拔出并由專人妥善保管。

7.4.2主機(jī)驗(yàn)收

a)禁止主機(jī)KVM系統(tǒng)或帶外管理網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)共用。禁止生產(chǎn)控制大區(qū)和管理信息大區(qū)的KVM或

帶外管理網(wǎng)絡(luò)共用；

b)應(yīng)按照最小授權(quán)原則對(duì)帶外管理用戶授權(quán)，并采取有效認(rèn)證措施；

c)空閑網(wǎng)絡(luò)端口、USB接口、光驅(qū)等應(yīng)采取軟件關(guān)閉、限制驅(qū)動(dòng)程序和物理封堵等措施，防止非法

接入；

7.4.3網(wǎng)絡(luò)設(shè)備驗(yàn)收

a)入網(wǎng)設(shè)備應(yīng)符合網(wǎng)絡(luò)接入規(guī)范，與縱向通信無(wú)關(guān)的設(shè)備不得接入調(diào)度數(shù)據(jù)網(wǎng)；

b)網(wǎng)絡(luò)設(shè)備使用的固件版本應(yīng)經(jīng)過(guò)具備相關(guān)資質(zhì)的檢測(cè)單位檢測(cè)合格，并提供檢測(cè)報(bào)告；

c)應(yīng)根據(jù)需求分配用戶權(quán)限，不應(yīng)存在共享用戶、多余用戶、過(guò)期用戶；

d)遠(yuǎn)程及本地管理設(shè)備應(yīng)采用用戶名和口令認(rèn)證，口令應(yīng)符合復(fù)雜度要求，并加密存儲(chǔ)；

e)應(yīng)開(kāi)啟用戶登錄鑒別處置功能，具備結(jié)束會(huì)話、限制非法登錄次數(shù)、連接超時(shí)自動(dòng)退出等措施；

5

DL/TXXXX—20XX

f)遠(yuǎn)程管理設(shè)備應(yīng)使用SSH等安全協(xié)議，并配置受信任網(wǎng)絡(luò)管理地址范圍。嚴(yán)禁使用telnet、HTTP

等高風(fēng)險(xiǎn)管理服務(wù)；

g)應(yīng)刪除缺省Banner信息，防止通過(guò)登錄界面泄漏敏感信息；

h)應(yīng)禁用本體HTTP、FTP、Rlogin、DNS等不必要的公共網(wǎng)絡(luò)服務(wù)；

i)應(yīng)開(kāi)啟對(duì)時(shí)功能，確保設(shè)備與時(shí)鐘同步裝置或時(shí)鐘同步服務(wù)端時(shí)間一致；

j)應(yīng)配置訪問(wèn)控制列表，拒絕不必要的高風(fēng)險(xiǎn)服務(wù)端口訪問(wèn)；

k)應(yīng)將IP地址、MAC地址和物理端口進(jìn)行綁定，防止惡意攻擊和非法接入。

l)空閑物理端口應(yīng)采取配置關(guān)閉和物理封堵措施；

m)避免使用默認(rèn)路由，關(guān)閉網(wǎng)絡(luò)邊界的OSPF路由功能；

n)應(yīng)采用SNMPv2及以上版本的網(wǎng)管協(xié)議，通信團(tuán)體字應(yīng)符合復(fù)雜度要求，并加密存儲(chǔ)。禁止使用

默認(rèn)團(tuán)體字；

o)應(yīng)開(kāi)啟日志服務(wù)，日志信息至少保存六個(gè)月；

p)網(wǎng)管信息、日志信息格式應(yīng)符合網(wǎng)絡(luò)安全監(jiān)測(cè)裝置數(shù)據(jù)采集接口規(guī)范，相關(guān)信息應(yīng)接入本地網(wǎng)絡(luò)

安全監(jiān)測(cè)裝置或所屬調(diào)度機(jī)構(gòu)網(wǎng)管系統(tǒng)，實(shí)現(xiàn)運(yùn)行監(jiān)視和管理；

7.4.4安全防護(hù)設(shè)備驗(yàn)收

a)應(yīng)根據(jù)需求分配用戶權(quán)限，不應(yīng)存在共享用戶、多余用戶、過(guò)期用戶；

b)遠(yuǎn)程及本地管理安全防護(hù)設(shè)備應(yīng)采用用戶名和口令認(rèn)證，口令應(yīng)符合復(fù)雜度要求，并加密存儲(chǔ)；

c)應(yīng)開(kāi)啟用戶登錄鑒別處置功能，具備結(jié)束會(huì)話、限制非法登錄次數(shù)、連接超時(shí)自動(dòng)退出等措施；

d)遠(yuǎn)程管理設(shè)備應(yīng)使用SSH等安全協(xié)議，并配置受信任網(wǎng)絡(luò)管理地址范圍。嚴(yán)禁使用telnet、HTTP

等高風(fēng)險(xiǎn)管理服務(wù)；

e)應(yīng)禁用HTTP、FTP、Rlogin、DNS等不必要的通用網(wǎng)絡(luò)服務(wù)；

f)應(yīng)開(kāi)啟對(duì)時(shí)功能，實(shí)現(xiàn)基于IRIG-B碼或NTP的時(shí)鐘同步；

g)安全信息和日志信息應(yīng)符合電力系統(tǒng)通用告警格式規(guī)范要求，并接入本地網(wǎng)絡(luò)安全監(jiān)測(cè)裝置或所

屬調(diào)度機(jī)構(gòu)網(wǎng)絡(luò)安全管理平臺(tái)，實(shí)現(xiàn)安全監(jiān)視和管理。

h)縱向加密認(rèn)證裝置、防火墻禁止開(kāi)啟默認(rèn)通過(guò)或旁路的工作模式；

i)縱向加密認(rèn)證裝置、防火墻安全策略應(yīng)細(xì)化到具體IP地址、服務(wù)端口、模式和協(xié)議類型，并對(duì)

不符合安全策略的數(shù)據(jù)流進(jìn)行阻斷和告警；

j)縱向加密認(rèn)證裝置應(yīng)確保所有業(yè)務(wù)通信隧道協(xié)商成功；

k)縱向加密認(rèn)證裝置應(yīng)實(shí)現(xiàn)所屬調(diào)度機(jī)構(gòu)網(wǎng)絡(luò)安全管理平臺(tái)的遠(yuǎn)程管控；

l)橫向隔離裝置應(yīng)根據(jù)業(yè)務(wù)需求配置基于IP地址、MAC地址、服務(wù)端口、傳輸協(xié)議以及通信方向的

數(shù)據(jù)流控制；

m)入侵檢測(cè)系統(tǒng)應(yīng)確保有效獲取被檢測(cè)網(wǎng)絡(luò)的流量信息，配置合理檢測(cè)策略，實(shí)現(xiàn)異常網(wǎng)絡(luò)行為監(jiān)

視預(yù)警；

n)入侵檢測(cè)系統(tǒng)應(yīng)將特征庫(kù)升級(jí)至最新；

o)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置應(yīng)實(shí)現(xiàn)站控層主機(jī)、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備等監(jiān)測(cè)對(duì)象運(yùn)行信息及網(wǎng)絡(luò)安全

事件信息采集；

p)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置應(yīng)通過(guò)調(diào)度數(shù)據(jù)網(wǎng)接入所屬調(diào)度機(jī)構(gòu)網(wǎng)絡(luò)安全管理平臺(tái)，實(shí)現(xiàn)集中安全監(jiān)視和

管理；

q)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置應(yīng)合理配置網(wǎng)絡(luò)信息白名單及關(guān)鍵文件目錄黑名單，防止網(wǎng)絡(luò)安全事件漏報(bào)、

錯(cuò)報(bào)、誤報(bào)；

r)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置應(yīng)實(shí)現(xiàn)圖形化界面的網(wǎng)絡(luò)安全態(tài)勢(shì)本地監(jiān)視。

6

DL/TXXXX—20XX

7.4.5操作系統(tǒng)驗(yàn)收

a)系統(tǒng)功能應(yīng)安全可控，生產(chǎn)控制大區(qū)主機(jī)應(yīng)采用經(jīng)國(guó)家有關(guān)部門檢測(cè)認(rèn)證的安全操作系統(tǒng)；

b)應(yīng)按照“三權(quán)分立”原則和業(yè)務(wù)需求分配用戶權(quán)限，不應(yīng)存在共享用戶、多余用戶、過(guò)期用戶；

c)應(yīng)采用用戶名和口令認(rèn)證，口令應(yīng)符合復(fù)雜度要求，并加密存儲(chǔ)；

d)應(yīng)開(kāi)啟用戶登錄鑒別處置功能，具備結(jié)束會(huì)話、限制非法登錄次數(shù)、連接超時(shí)自動(dòng)退出等措施；

e)等級(jí)保護(hù)三級(jí)系統(tǒng)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別；

f)遠(yuǎn)程登錄應(yīng)使用SSH等安全協(xié)議，并配置受信任網(wǎng)絡(luò)管理地址范圍。嚴(yán)禁使用telnet、HTTP等高

風(fēng)險(xiǎn)管理服務(wù)。處于網(wǎng)絡(luò)邊界的主機(jī)不宜開(kāi)啟遠(yuǎn)程管理服務(wù)；

g)應(yīng)遵循最小安裝原則，并進(jìn)行安全加固；關(guān)閉E-Mail、HTTP、FTP、telnet、SMB、Rlogin、DNS

等不必要服務(wù)；禁止在控制區(qū)內(nèi)使用通用WEB服務(wù)；

h)應(yīng)開(kāi)啟自身訪問(wèn)控制策略，實(shí)現(xiàn)對(duì)來(lái)訪主機(jī)IP地址、端口、協(xié)議的限制；

i)等級(jí)保護(hù)三級(jí)系統(tǒng)訪問(wèn)控制粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)，應(yīng)

由授權(quán)主體配置訪問(wèn)控制策略，規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；

j)應(yīng)啟用安全審計(jì)功能，并對(duì)審計(jì)記錄進(jìn)行保護(hù)；等級(jí)保護(hù)三級(jí)系統(tǒng)主機(jī)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，

防止未經(jīng)授權(quán)的中斷；

k)應(yīng)具備備份及故障恢復(fù)功能；

l)應(yīng)安裝防惡意代碼軟件，并升級(jí)至最新代碼庫(kù)；等級(jí)保護(hù)三級(jí)系統(tǒng)主機(jī)宜采用免受惡意代碼攻

擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為；

m)應(yīng)部署操作系統(tǒng)監(jiān)測(cè)組件，將運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件等信息上送至網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，并提

供安全核查、審計(jì)等代理服務(wù)功能；

n)應(yīng)開(kāi)啟對(duì)時(shí)功能，確保設(shè)備與時(shí)鐘同步裝置或時(shí)鐘同步服務(wù)端時(shí)間一致；

7.4.6關(guān)系數(shù)據(jù)庫(kù)驗(yàn)收

a)應(yīng)按照“三權(quán)分立”原則和業(yè)務(wù)需求分配用戶權(quán)限，不應(yīng)存在共享用戶、多余用戶、過(guò)期用戶；

b)應(yīng)采用用戶名和口令認(rèn)證，口令應(yīng)符合復(fù)雜度要求，并加密存儲(chǔ)；

c)應(yīng)開(kāi)啟用戶登錄鑒別處置功能，具備結(jié)束會(huì)話、限制非法登錄次數(shù)、連接超時(shí)自動(dòng)退出等措施；

d)應(yīng)配置身份鑒別、訪問(wèn)控制、權(quán)限劃分、資源控制、安全審計(jì)及備份等管理策略；

e)應(yīng)對(duì)日志記錄、配置參數(shù)重要數(shù)據(jù)進(jìn)行數(shù)據(jù)保護(hù)，杜絕非授權(quán)的訪問(wèn)、修改、刪除等操作；

f)日志信息至少保存六個(gè)月。

7.4.7軟件系統(tǒng)驗(yàn)收

a)應(yīng)按照業(yè)務(wù)需求分配用戶權(quán)限，不應(yīng)存在共享用戶、多余用戶、過(guò)期用戶；

b)應(yīng)采用用戶名和口令認(rèn)證，口令應(yīng)符合復(fù)雜度要求，并加密存儲(chǔ)；

c)應(yīng)開(kāi)啟用戶登錄鑒別處置功能，具備結(jié)束會(huì)話、限制非法登錄次數(shù)、連接超時(shí)自動(dòng)退出等措施；

d)應(yīng)配置日志審計(jì)功能，對(duì)用戶登錄、用戶退出、增加用戶、修改用戶權(quán)限等重要安全事件進(jìn)行日

志記錄，能夠?qū)徲?jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和查詢；

e)軟件系統(tǒng)應(yīng)升級(jí)到最新、最安全版本，確保無(wú)已知的安全漏洞；

f)重要軟件系統(tǒng)應(yīng)采用雙機(jī)或多機(jī)冗余部署方式，實(shí)現(xiàn)熱備用功能。

_________________________________

7

DL/TXXXX—XXXX

目??次

目??次...............................................................................................................................................................I

前言.............................................................................................................................................................II

廠站電力監(jiān)控系統(tǒng)安全防護(hù)驗(yàn)收標(biāo)準(zhǔn)...............................................................................................................1

1范圍...................................................................................................................................................................1

2并網(wǎng)電廠規(guī)范性引用文件...............................................................................................................................1

3術(shù)語(yǔ)和定義.......................................................................................................................................................1

4縮略語(yǔ)...............................................................................................................................................................2

5總則...................................................................................................................................................................2

6驗(yàn)收組織和流程...............................................................................................................................................2

7驗(yàn)收內(nèi)容及要求...............................................................................................................................................4

I

DL/TXXXX—20XX

廠站電力監(jiān)控系統(tǒng)安全防護(hù)驗(yàn)收標(biāo)準(zhǔn)

1范圍

本標(biāo)準(zhǔn)規(guī)定了并網(wǎng)電廠電力監(jiān)控系統(tǒng)涉網(wǎng)部分、變電站電力監(jiān)控系統(tǒng)安全防護(hù)驗(yàn)收的管理要求和技

術(shù)要求。

本標(biāo)準(zhǔn)適用于35kV及以上電壓等級(jí)并網(wǎng)電廠涉網(wǎng)部分、變電站新建、改（擴(kuò)）建工程的電力監(jiān)控系

統(tǒng)安全防護(hù)驗(yàn)收。其他廠站、分布式電源可參照?qǐng)?zhí)行。

2并網(wǎng)電廠規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20270信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

GB/T20271信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求

GB/T20272信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求

GB/T20273信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求

GB/T20275信息安全技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)

GB/T20281信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法

GB/T21028信息安全技術(shù)服務(wù)器安全技術(shù)要求

GB/T21052信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T22240信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

國(guó)家發(fā)展改革委員會(huì)2014年第14號(hào)令電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定

國(guó)能安全〔2015〕36號(hào)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1

電力監(jiān)控系統(tǒng)electricpowersupervisionandcontrolsystem

用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過(guò)程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為

基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等。

3.2

安全防護(hù)securityprotection

1

DL/TXXXX—20XX

是指為保障核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)信息安全而建立一整套綜合安全防護(hù)措施，包括安全防護(hù)技術(shù)、應(yīng)

急備用措施、全面安全管理等多個(gè)方面。

3.3

網(wǎng)絡(luò)安全管理平臺(tái)cybersecuritymanagementplatform

部署于調(diào)度機(jī)構(gòu)，具備網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)視告警、分析定位、安全審計(jì)、風(fēng)險(xiǎn)核查和協(xié)同管控等功能

的軟件系統(tǒng)。

3.4

網(wǎng)絡(luò)安全監(jiān)測(cè)裝置cybersecuritymonitoringdevice

部署于電力監(jiān)控系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)中，用于對(duì)監(jiān)測(cè)對(duì)象的網(wǎng)絡(luò)安全信息進(jìn)行采集、分析處理并與網(wǎng)絡(luò)

安全管理平臺(tái)通信的裝置，為網(wǎng)絡(luò)安全管理平臺(tái)上傳事件并提供服務(wù)代理功能。

4縮略語(yǔ)

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）

USB：通用串行總線（UniversalSerialBus）

IDS：入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem）

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

HTTP：超文本傳輸協(xié)議（Hyper-TextTransferProtocol）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

SSH：安全外殼協(xié)議（SecureShell）

NTP：網(wǎng)絡(luò)時(shí)間協(xié)議（NetworkTimeProtocol）

MAC：介質(zhì)存取控制地址碼（MediaAccessControl）

5總則

5.1電廠和變電站電力監(jiān)控系統(tǒng)安全防護(hù)應(yīng)符合國(guó)家發(fā)展和改革委員會(huì)2014年14號(hào)令、國(guó)能安全

〔2015〕36號(hào)、GB/T22239等文件和標(biāo)準(zhǔn)要求，堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”

的基本原則，保障電力監(jiān)控系統(tǒng)安全可靠運(yùn)行。

5.2本標(biāo)準(zhǔn)并網(wǎng)電廠指35kV及以上電壓等級(jí)并網(wǎng)電廠涉網(wǎng)部分；本標(biāo)準(zhǔn)變電站指35kV及以上電壓等

級(jí)的變電站，包括換流站、開(kāi)關(guān)站、用戶站等。本標(biāo)準(zhǔn)驗(yàn)收的具體范圍為35kV及以上電壓等級(jí)并網(wǎng)電

廠涉網(wǎng)部分電力監(jiān)控系統(tǒng)以及35kV及以上電壓等級(jí)變電站電力監(jiān)控系統(tǒng)。

5.3并網(wǎng)電廠和變電站在新建、改（擴(kuò)）建工程完成后，并網(wǎng)投運(yùn)或移交生產(chǎn)運(yùn)行前，應(yīng)開(kāi)展電力監(jiān)

控系統(tǒng)安全防護(hù)驗(yàn)收工作。驗(yàn)收工作包括基礎(chǔ)設(shè)施驗(yàn)收、網(wǎng)絡(luò)結(jié)構(gòu)驗(yàn)收、設(shè)備及軟件系統(tǒng)驗(yàn)收、安全管

理驗(yàn)收等內(nèi)容。

5.4并網(wǎng)電廠和變電站電力監(jiān)控系統(tǒng)安全防護(hù)驗(yàn)收工作除應(yīng)遵循本標(biāo)準(zhǔn)外，尚應(yīng)符合國(guó)家、電力行業(yè)

相關(guān)文件和標(biāo)準(zhǔn)要求。

6驗(yàn)收組織和流程

2

DL/TXXXX—20XX

6.1驗(yàn)收人員

6.1.1驗(yàn)收組負(fù)責(zé)現(xiàn)場(chǎng)驗(yàn)收工作，由被驗(yàn)收廠站上級(jí)專業(yè)主管部門、信息安全主管部門以及相應(yīng)電力

調(diào)度機(jī)構(gòu)組成；

6.1.2被驗(yàn)收廠站建設(shè)單位或部門作為責(zé)任主體，接受現(xiàn)場(chǎng)驗(yàn)收，并組織設(shè)計(jì)、監(jiān)理、施工、調(diào)試等

單位做好配合工作。

6.1.3驗(yàn)收組主要職責(zé)

a)負(fù)責(zé)編制驗(yàn)收方案和驗(yàn)收大綱，根據(jù)工作量合理安排驗(yàn)收時(shí)間；

b)負(fù)責(zé)審查設(shè)備調(diào)試報(bào)告、自驗(yàn)收?qǐng)?bào)告、技術(shù)文件、管理制度等文檔資料的真實(shí)性、準(zhǔn)確性、完整

性和可執(zhí)行性，并依據(jù)驗(yàn)收方案開(kāi)展驗(yàn)收工作；

c)負(fù)責(zé)下達(dá)驗(yàn)收?qǐng)?bào)告，對(duì)工作開(kāi)展情況、發(fā)現(xiàn)及解決問(wèn)題情況、工程遺留問(wèn)題及解決建議等進(jìn)行全

面總結(jié)，并對(duì)工程驗(yàn)收情況給出明確結(jié)論；

d)負(fù)責(zé)通知并監(jiān)督被驗(yàn)收單位對(duì)問(wèn)題、缺陷及隱患及時(shí)整改，并對(duì)整改情況開(kāi)展復(fù)查驗(yàn)收。

6.1.4被驗(yàn)收單位主要職責(zé)

a)負(fù)責(zé)提供完整的符合工程實(shí)際的紙質(zhì)版和電子版圖紙資料，包括電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖、電力

監(jiān)控系統(tǒng)安全防護(hù)拓?fù)鋱D等；

b)負(fù)責(zé)提供電力監(jiān)控系統(tǒng)安全防護(hù)調(diào)試報(bào)告、自驗(yàn)收?qǐng)?bào)告；提供電力監(jiān)控系統(tǒng)設(shè)備臺(tái)賬、安全防護(hù)

實(shí)施方案、主要設(shè)備配置文件、安全防護(hù)組織機(jī)構(gòu)證明以及相關(guān)管理制度等；提供現(xiàn)場(chǎng)驗(yàn)收工作所需的

專用工器具及測(cè)試設(shè)備；

c)負(fù)責(zé)組織設(shè)計(jì)、監(jiān)理、施工、調(diào)試等單位配合現(xiàn)場(chǎng)驗(yàn)收工作。

d)負(fù)責(zé)對(duì)驗(yàn)收發(fā)現(xiàn)的問(wèn)題、缺陷及隱患進(jìn)行整改；

e)做好驗(yàn)收期間現(xiàn)場(chǎng)安全措施；

6.2驗(yàn)收必備條件

a)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)安全防護(hù)實(shí)施方案應(yīng)由本企業(yè)上級(jí)專業(yè)主管部門、信息安全主管部門以

及相應(yīng)電力調(diào)度機(jī)構(gòu)審核通過(guò)；

b)被驗(yàn)收廠站建設(shè)單位或部門組織完成系統(tǒng)及設(shè)備安裝、調(diào)試工作；

c)被驗(yàn)收廠站建設(shè)單位或部門自驗(yàn)收合格，并具有完整的自驗(yàn)收?qǐng)?bào)告；

d)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)完成網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)；

e)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)應(yīng)按照國(guó)家及行業(yè)要求，由具備資質(zhì)的第三方評(píng)估機(jī)構(gòu)完成系統(tǒng)安全防

護(hù)評(píng)估，根據(jù)評(píng)估結(jié)果完成整改并出具報(bào)告；

f)應(yīng)具有完整并符合工程實(shí)際的紙質(zhì)版和電子版圖紙資料、系統(tǒng)及設(shè)備清單、主要設(shè)備配置文件、

調(diào)試報(bào)告、安全防護(hù)組織機(jī)構(gòu)和相關(guān)管理制度等文檔資料；

g)應(yīng)具有必要的測(cè)試工器具及設(shè)備。

6.3驗(yàn)收流程

6.3.1被驗(yàn)收單位（發(fā)電企業(yè)或建設(shè)部門）在組織完成廠站相關(guān)施工調(diào)試工作、自驗(yàn)收合格、相關(guān)文

檔資料準(zhǔn)備齊全、其他驗(yàn)收準(zhǔn)備工作確認(rèn)完備后向上級(jí)專業(yè)主管部門、信息安全主管部門以及相應(yīng)電力

調(diào)度機(jī)構(gòu)提出驗(yàn)收申請(qǐng)；在確認(rèn)其具備驗(yàn)收條件后，上述單位或部門組成驗(yàn)收組開(kāi)展現(xiàn)場(chǎng)驗(yàn)收工作；

3

DL/TXXXX—20XX

6.3.2檢查組對(duì)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)安全防護(hù)管理體系進(jìn)行核查，確認(rèn)其組織機(jī)構(gòu)、人員配置、

管理制度是否符合要求；

6.3.3檢查組對(duì)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)物理環(huán)境進(jìn)行核查，確認(rèn)是否滿足相關(guān)要求；

6.3.4檢查組對(duì)被驗(yàn)收廠站電力監(jiān)控系統(tǒng)設(shè)備選型、系統(tǒng)組網(wǎng)、軟件配置、安全策略進(jìn)行核查，確認(rèn)

是否滿足相關(guān)要求；

6.3.5檢查組根據(jù)核查結(jié)果并下達(dá)驗(yàn)收?qǐng)?bào)告；

6.3.6被驗(yàn)收單位按照?qǐng)?bào)告提出的問(wèn)題組織整改，整改后由驗(yàn)收組進(jìn)行復(fù)查。

7驗(yàn)收內(nèi)容及要求

7.1安全管理驗(yàn)收

a)應(yīng)成立電力監(jiān)控系統(tǒng)安全防護(hù)工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)，

應(yīng)配備網(wǎng)絡(luò)安全專責(zé)。等級(jí)保護(hù)三級(jí)廠站應(yīng)配備專職網(wǎng)絡(luò)安全管理人員；

b)應(yīng)建立電力監(jiān)控系統(tǒng)安全管理制度，包括門禁管理、人員管理、權(quán)限管理、訪問(wèn)控制管理、設(shè)備

及系統(tǒng)維護(hù)管理、惡意代碼防護(hù)管理、審計(jì)管理、數(shù)據(jù)級(jí)系統(tǒng)備份管理、培訓(xùn)管理等；

c)應(yīng)建立系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立管理流程，對(duì)重要活動(dòng)建立逐級(jí)審

批制度；

d)應(yīng)編制并保存與安全防護(hù)相關(guān)的資產(chǎn)清單，應(yīng)制定重要設(shè)備的配置和操作手冊(cè)；

e)應(yīng)與關(guān)鍵崗位人員、接觸內(nèi)部敏感信息的第三方人員簽署保密協(xié)議；

f)應(yīng)制定應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等；

g)應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)安全責(zé)任和懲戒措施。

7.2物理安全驗(yàn)收

7.2.1設(shè)備物理安全驗(yàn)收

a)屏體及設(shè)備應(yīng)安裝牢靠，外觀良好、銘牌清晰，數(shù)量、型號(hào)與設(shè)計(jì)相符；

b)電纜、光纖、網(wǎng)線等二次接線應(yīng)整齊牢固，標(biāo)簽標(biāo)識(shí)應(yīng)清晰、規(guī)范；

c)設(shè)備應(yīng)對(duì)靜電放電、電磁輻射、電磁傳導(dǎo)等電磁干擾有一定抗擾度，符合GB/T21052的相關(guān)要求。

7.2.2環(huán)境物理安全驗(yàn)收

a)物理環(huán)境應(yīng)具備防水、防火、防小動(dòng)物、防雷、防盜、防塵、防磁、防靜電等措施；

b)機(jī)房出入口應(yīng)安排專人值守，并進(jìn)行出入登記。等級(jí)保護(hù)三級(jí)系統(tǒng)所在機(jī)房應(yīng)配置電子門禁系統(tǒng)，

控制、鑒別和記錄進(jìn)出機(jī)房的人員；

c)應(yīng)采用防靜電地板或地面，其靜電性能需符合相關(guān)要求，且長(zhǎng)期穩(wěn)定。等級(jí)保護(hù)三級(jí)系統(tǒng)所在機(jī)

房應(yīng)采用靜電消除器、佩戴防靜電手環(huán)等措施；

d)機(jī)柜和設(shè)備的金屬外殼、框架應(yīng)良好接地并符合GB/T21052的相關(guān)規(guī)定；

e)電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。等級(jí)保護(hù)三級(jí)系統(tǒng)所在機(jī)房關(guān)鍵設(shè)備應(yīng)實(shí)施電磁

屏蔽；

f)機(jī)房應(yīng)配備至少兩路獨(dú)立電源供電，且每路電源容量能夠獨(dú)立支撐機(jī)房?jī)?nèi)設(shè)備持續(xù)運(yùn)行；

g)重要設(shè)備應(yīng)具有冗余電源模塊并雙路供電，每路電源應(yīng)配置獨(dú)立空氣開(kāi)關(guān)或?qū)Ｓ霉I(yè)插座；

h)應(yīng)配備火災(zāi)自動(dòng)消防系統(tǒng)，并具備自動(dòng)報(bào)警及滅火功能，應(yīng)在機(jī)房明顯位置張貼防火標(biāo)識(shí)；

4

DL/TXXXX—20XX

i)應(yīng)配備空氣調(diào)節(jié)設(shè)施，機(jī)房溫濕度的變化應(yīng)在設(shè)備運(yùn)行所允許的范圍內(nèi)。等級(jí)保護(hù)三級(jí)系統(tǒng)所在

機(jī)房應(yīng)配備溫濕度監(jiān)控設(shè)備，并具備自動(dòng)告警功能；

j)等級(jí)保護(hù)三級(jí)系統(tǒng)所在機(jī)房應(yīng)設(shè)置防盜報(bào)警系統(tǒng)或配備有專人（本地或遠(yuǎn)程）值守的視頻監(jiān)控系

統(tǒng)；

7.3網(wǎng)絡(luò)結(jié)構(gòu)驗(yàn)收

a)電力監(jiān)控系統(tǒng)部署應(yīng)符合安全分區(qū)原則，同一系統(tǒng)不同安全等級(jí)的功能模塊應(yīng)分置于不同安全

區(qū)，并通過(guò)安全隔離設(shè)施進(jìn)行通信；嚴(yán)禁將高安全區(qū)的系統(tǒng)或功能模塊部署至低安全區(qū)；生產(chǎn)控制

大區(qū)內(nèi)業(yè)務(wù)系統(tǒng)使用公用通信網(wǎng)絡(luò)、無(wú)線通信網(wǎng)絡(luò)以及其他安全不可控網(wǎng)絡(luò)與終端進(jìn)行通信的應(yīng)設(shè)

立安全接入?yún)^(qū)；嚴(yán)禁非法接入、違規(guī)外聯(lián)和跨區(qū)混聯(lián)；

b)不同安全區(qū)的設(shè)備必須連接至不同交換機(jī)；嚴(yán)禁通過(guò)劃分VLAN的方式將不同安全區(qū)的設(shè)備接入

同一臺(tái)交換機(jī)；同一安全區(qū)內(nèi)不同業(yè)務(wù)系統(tǒng)應(yīng)采用VLAN劃分實(shí)現(xiàn)訪問(wèn)控制；

c)生產(chǎn)控制大區(qū)與管理信息大區(qū)或其他非生產(chǎn)控制大區(qū)之間數(shù)據(jù)通信必須通過(guò)經(jīng)國(guó)家指定部門檢

測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置，實(shí)現(xiàn)物理隔離訪問(wèn)控制；

d)生產(chǎn)控制大區(qū)內(nèi)部控制區(qū)與非控制區(qū)之間數(shù)據(jù)通信應(yīng)采用硬件防火墻等隔離措施，實(shí)現(xiàn)邏輯訪

問(wèn)控制；

e)生產(chǎn)控制大區(qū)在調(diào)度數(shù)據(jù)網(wǎng)縱向邊界必須部署縱向加密認(rèn)證裝置，實(shí)現(xiàn)雙向身份認(rèn)證、訪問(wèn)控

制和數(shù)據(jù)加密；

f)新能源場(chǎng)站站控系統(tǒng)與就地終端之間數(shù)據(jù)通信應(yīng)部署縱向加密認(rèn)證裝置，實(shí)現(xiàn)安全通信；

g)嚴(yán)禁將電力調(diào)度數(shù)據(jù)網(wǎng)延伸至廠站外其他區(qū)域。

7.4設(shè)備及軟件系統(tǒng)驗(yàn)收

7.4.1通用驗(yàn)收要求

a)禁止選用存在已知漏洞和風(fēng)險(xiǎn)的設(shè)備及軟件系統(tǒng)；

b)安全防護(hù)設(shè)備應(yīng)獲得國(guó)家指定機(jī)構(gòu)安全檢測(cè)認(rèn)證，并經(jīng)電力系統(tǒng)電磁兼容檢測(cè)合格；

c)涉及密碼產(chǎn)品的設(shè)備及軟件系統(tǒng)應(yīng)當(dāng)嚴(yán)格執(zhí)行國(guó)家商用密碼管理的有關(guān)規(guī)定；

d)除安全接入?yún)^(qū)外，嚴(yán)禁使用無(wú)線