《發(fā)電廠監(jiān)控系統(tǒng)信息安全防護(hù)技術(shù)規(guī)范》

ICS17.100

F30

DL

中華人民共和國(guó)電力行業(yè)標(biāo)準(zhǔn)

XX/TXXXXX—XXXX

發(fā)電廠監(jiān)控系統(tǒng)信息安全防護(hù)技術(shù)規(guī)范

Technicalspecificationforinformationsecurityprotectionofpowerplant

monitoringsystem

點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

（征求意見(jiàn)稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

發(fā)布

XX/TXXXXX—XXXX

I

XX/TXXXXX—XXXX

發(fā)電廠監(jiān)控系統(tǒng)信息安全防護(hù)技術(shù)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)范了發(fā)電廠監(jiān)控系統(tǒng)信息安全防護(hù)的技術(shù)條件。

本標(biāo)準(zhǔn)適用于燃煤、燃?xì)狻⑺?、風(fēng)力、光伏發(fā)電廠監(jiān)控系統(tǒng)信息安全防護(hù)工作的技術(shù)指導(dǎo)。

2規(guī)范性引用文件

本標(biāo)準(zhǔn)引用下列文件或其中的條款。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是

不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南

GB/T20984-2007信息安全技術(shù)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T25069-2010信息安全技術(shù)_術(shù)語(yǔ)

GB/T26863-2011火電站監(jiān)控系統(tǒng)術(shù)語(yǔ)（參考術(shù)語(yǔ)）

GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分:評(píng)估規(guī)范

GB/T30976.2-2014工業(yè)控制系統(tǒng)信息安全第2部分:驗(yàn)收規(guī)范

GB/T32919-2016信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

GB5060-2011大中型火力發(fā)電廠設(shè)計(jì)規(guī)范

GB/T33008.1-2016工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器(PLC)第1部分:系統(tǒng)要求

GB/T33009.1-2016工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第1部分:防護(hù)要求

GB/T33009.2-2016工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第2部分:管理要求

GB/T33009.3-2016工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第3部分:評(píng)估指南

GB/T33009.4-2016工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第4部分:風(fēng)險(xiǎn)與脆弱性

檢測(cè)要求

3術(shù)語(yǔ)和定義

GB/T7721和JJG195界定的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。為了便于使用，以下重復(fù)列出了

這些標(biāo)準(zhǔn)中的一些術(shù)語(yǔ)和定義。

3.1

發(fā)電廠監(jiān)控系統(tǒng)powerplantmonitoringandcontrolsystem

用于監(jiān)視和控制發(fā)電廠生產(chǎn)過(guò)程、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為基礎(chǔ)支

撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等，包括發(fā)電廠的主控制系統(tǒng)、外圍輔助控制系統(tǒng)、控制區(qū)電氣二次系統(tǒng)、現(xiàn)場(chǎng)總

線設(shè)備與智能化儀表等控制區(qū)實(shí)時(shí)系統(tǒng)，以及廠級(jí)監(jiān)控信息系統(tǒng)等非控制區(qū)監(jiān)控系統(tǒng)。

3.2

1

XX/TXXXXX—XXXX

生產(chǎn)控制大區(qū)productioncontrolzone

由具有數(shù)據(jù)采集與控制功能、縱向聯(lián)接使用專用網(wǎng)絡(luò)或?qū)Ｓ猛ǖ赖碾娏ΡO(jiān)控系統(tǒng)構(gòu)成的安全區(qū)域。

3.3

控制區(qū)controlsubzone

由具有實(shí)時(shí)監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或者專用通道的各業(yè)務(wù)系統(tǒng)構(gòu)成的

安全區(qū)域。

3.4

非控制區(qū)non-controlsubzone

在生產(chǎn)控制范圍內(nèi)由在線運(yùn)行但不直接參與控制、是電力生產(chǎn)過(guò)程的必要環(huán)節(jié)、縱向聯(lián)接使用電力

調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。

3.5

主控制系統(tǒng)maincontrolsystems

對(duì)發(fā)電廠發(fā)電過(guò)程實(shí)施集中或分布式控制的主要監(jiān)控系統(tǒng)、獨(dú)立控制裝置與智能儀表等，主要包括

火電廠單元機(jī)組的分散控制系統(tǒng)與可編程控制器系統(tǒng)、水電廠集中監(jiān)控系統(tǒng)、梯級(jí)水電站調(diào)度監(jiān)控系統(tǒng)、

風(fēng)電場(chǎng)監(jiān)控系統(tǒng)、光伏電站運(yùn)行監(jiān)控系統(tǒng)等。。

3.6

輔助控制系統(tǒng)auxiliarycontrolsystems

對(duì)發(fā)電廠全廠公用的外圍輔助設(shè)備系統(tǒng)進(jìn)行控制的監(jiān)控系統(tǒng)、獨(dú)立控制裝置與智能儀表等，主要包

括燃煤電廠外圍公用的水、煤、灰控制系統(tǒng)、燃機(jī)電廠的全廠BOP控制系統(tǒng)、火警探測(cè)系統(tǒng)、以及其他

電廠的全廠輔助設(shè)備的相關(guān)控制系統(tǒng)等

3.7

控制區(qū)電氣二次系統(tǒng)electricsecondarysystemsincontrolsubzone

對(duì)發(fā)電廠電氣設(shè)備與發(fā)電機(jī)實(shí)施保護(hù)、測(cè)控與調(diào)度的自動(dòng)化系統(tǒng)與設(shè)備，主要包括升壓站監(jiān)控系統(tǒng)、

AGC及AVC系統(tǒng)、發(fā)電機(jī)勵(lì)磁系統(tǒng)、五防監(jiān)控系統(tǒng)、繼電保護(hù)及安全自動(dòng)化裝置、相量測(cè)量裝置等。

3.8

非控制區(qū)監(jiān)控系統(tǒng)real-timesystemsinnon-controlsubzone

對(duì)發(fā)電廠運(yùn)行參數(shù)與監(jiān)控信息進(jìn)行在線監(jiān)測(cè)分析但不直接參與控制的系統(tǒng)，主要包括火電廠廠級(jí)監(jiān)

控信息系統(tǒng)、梯級(jí)水庫(kù)調(diào)度自動(dòng)化系統(tǒng)、水情自動(dòng)測(cè)報(bào)系統(tǒng)、水電廠水庫(kù)調(diào)度自動(dòng)化系統(tǒng)、光功率預(yù)測(cè)

系統(tǒng)、風(fēng)功率預(yù)測(cè)系統(tǒng)、電能量采集裝置、電力市場(chǎng)報(bào)價(jià)終端、故障錄波裝置及信息管理終端等

3.9

威脅threat

能夠通過(guò)未授權(quán)訪問(wèn)、毀壞、揭露、數(shù)據(jù)修改和/或拒絕服務(wù)對(duì)系統(tǒng)造成潛在危害的任何環(huán)境或事

件。

3.10

脆弱性vulnerability

在信息系統(tǒng)、系統(tǒng)安全程序、管理控制、物理設(shè)計(jì)、內(nèi)部控制或?qū)崿F(xiàn)中的，可能被攻擊者利用來(lái)獲

得未授權(quán)的信息或破壞關(guān)鍵處理的弱點(diǎn)。

3.11

2

XX/TXXXXX—XXXX

身份鑒別identityauthentication

驗(yàn)證實(shí)體所聲稱的身份。

3.12

訪問(wèn)控制accesscontrol

防止對(duì)資源的未授權(quán)使用，包括防止以未授權(quán)方式使用某一資源。

3.13

安全審計(jì)securityaudit

為了測(cè)試出系統(tǒng)的安全控制是否足夠，為了保證與已建立的策略和操作堆積相符合，為了發(fā)現(xiàn)安全

中的漏洞，以及為了建議在控制、策略和堆積中做任何指定的改變，而對(duì)系統(tǒng)記錄與活動(dòng)進(jìn)行的獨(dú)立觀

察和考核。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

BPCBypasscontrolsystem旁路控制系統(tǒng)

DCSDistributedControlSystem分散控制系統(tǒng)

DEHDigitalElectricHydraulicControlSystem數(shù)字電液控制系統(tǒng)

ETSEmergencytripsystem汽輪機(jī)跳閘保護(hù)系統(tǒng)

FSSSFurnacesafeguardsupervisorysystem爐膛安全監(jiān)控系統(tǒng)

HMIHuman-MachineInterface人機(jī)接口

ICSIndustrialControlSystem工業(yè)控制系統(tǒng)

NCSNetworkcomputerizedmonitoringandcontrolsystem網(wǎng)絡(luò)監(jiān)控系統(tǒng)

OCSOptimizedControlSystem優(yōu)化控制系統(tǒng)

PCUProcessControlUnit過(guò)程控制單元

PLCProgrammableLogicController可編程邏輯控制器

PMUPhasormeasurementunit相量測(cè)量單元

RTURemoteTerminalUnit遠(yuǎn)程終端單元

SISSupervisoryInformationSystemForPlantLevel廠級(jí)監(jiān)控信息系統(tǒng)

TCSTurbineControlSystem汽輪機(jī)控制系統(tǒng)

TSITurbinesupervisoryinstruments汽輪機(jī)監(jiān)視儀表

5監(jiān)控系統(tǒng)信息安全基本要求

5.1發(fā)電廠監(jiān)控系統(tǒng)范圍

發(fā)電廠監(jiān)控系統(tǒng)應(yīng)包括主控制系統(tǒng)、輔助控制系統(tǒng)、控制區(qū)電氣二次系統(tǒng)和非控制區(qū)監(jiān)控系統(tǒng)等。

發(fā)電廠監(jiān)控系統(tǒng)的主要類型包括：分散控制系統(tǒng)（DCS、DEH、TCS等）、獨(dú)立監(jiān)測(cè)控制系統(tǒng)（ETS、BPC、

TSI、FSSS、OCS等）、就地設(shè)備控制系統(tǒng)、智能儀表、調(diào)度自動(dòng)化系統(tǒng)（NCS、RTU、PMU等）、繼電保

護(hù)裝置、廠級(jí)監(jiān)控信息系統(tǒng)（SIS）和資源預(yù)測(cè)預(yù)報(bào)系統(tǒng)等。

火電廠和水電廠在控制區(qū)（安全Ⅰ區(qū)）主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：火電機(jī)組分散控制系統(tǒng)

（DCS）、火電機(jī)組輔機(jī)控制系統(tǒng)、自動(dòng)發(fā)電控制系統(tǒng)（AGC）、自動(dòng)電壓控制系統(tǒng)（AVC）、火電廠廠

級(jí)信息監(jiān)控系統(tǒng)（SIS）的監(jiān)控功能、水電廠集中監(jiān)控系統(tǒng)、梯級(jí)調(diào)度監(jiān)控系統(tǒng)、網(wǎng)控系統(tǒng)、相量測(cè)量

3

XX/TXXXXX—XXXX

裝置（PMU）、繼電保護(hù)、各種控制裝置（調(diào)速系統(tǒng)、勵(lì)磁系統(tǒng)、快關(guān)汽門裝置等）和五防系統(tǒng)等。在

非控制區(qū)（安全Ⅱ區(qū)）主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：火電廠廠級(jí)信息監(jiān)控系統(tǒng)（SIS）的優(yōu)化功

能、梯級(jí)水庫(kù)調(diào)度自動(dòng)化系統(tǒng)、水情自動(dòng)測(cè)報(bào)系統(tǒng)、水電廠水庫(kù)調(diào)度自動(dòng)化系統(tǒng)、電能量采集裝置、電

力市場(chǎng)報(bào)價(jià)終端和故障錄波管理終端等。

風(fēng)電場(chǎng)在控制區(qū)主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：風(fēng)電場(chǎng)監(jiān)控系統(tǒng)、無(wú)功電壓控制、發(fā)電功率控

制、升壓站監(jiān)控系統(tǒng)、繼電保護(hù)和相量測(cè)量裝置（PMU）等。在非控制區(qū)（安全Ⅱ區(qū)）主要包括以下業(yè)

務(wù)系統(tǒng)和功能模塊：風(fēng)功率預(yù)測(cè)系統(tǒng)、狀態(tài)監(jiān)測(cè)系統(tǒng)、電能量采集裝置和故障錄波裝置等。

光伏電站在控制區(qū)主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：光伏電站運(yùn)行監(jiān)控系統(tǒng)、無(wú)功電壓控制、發(fā)

電功率控制、升壓站監(jiān)控系統(tǒng)和繼電保護(hù)等。在非控制區(qū)（安全Ⅱ區(qū)）主要包括以下業(yè)務(wù)系統(tǒng)和功能模

塊：光功率預(yù)測(cè)系統(tǒng)、電能量采集裝置和故障錄波裝置等。

燃機(jī)電廠在控制區(qū)主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：燃機(jī)電廠廠級(jí)分散控制系統(tǒng)（DCS）、燃?xì)?/p>

輪機(jī)控制系統(tǒng)（TCS）、廠級(jí)信息監(jiān)控系統(tǒng)（SIS）的監(jiān)控功能、自動(dòng)發(fā)電控制系統(tǒng)（AGC）、自動(dòng)電壓

控制系統(tǒng)（AVC）、相量測(cè)量裝置（PMU）、火警探測(cè)系統(tǒng)、升壓站監(jiān)控系統(tǒng)和繼電保護(hù)等。在非控制區(qū)

（安全Ⅱ區(qū)）主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：廠級(jí)信息監(jiān)控系統(tǒng)（SIS）的優(yōu)化功能、電能量采集

裝置和故障錄波裝置等。

5.2潛在的脆弱性及主要威脅

發(fā)電廠監(jiān)控系統(tǒng)潛在的脆弱性及面臨的主要威脅，隨著時(shí)間的推移和系統(tǒng)研發(fā)技術(shù)、信息安全攻防

技術(shù)的變化和更新始終會(huì)有新的發(fā)現(xiàn)。一般來(lái)講，發(fā)電廠監(jiān)控系統(tǒng)的脆弱性都可以歸為策略管理類、平

臺(tái)類和網(wǎng)絡(luò)類，當(dāng)然也可能有一些特殊的脆弱性，不包括這三類之中。而發(fā)電廠所面臨的威脅也源自各

個(gè)方面，主要來(lái)源可分為兩類,一類是對(duì)抗性來(lái)源，另一類是自然來(lái)源。其中自然來(lái)源主要源自：系統(tǒng)

的復(fù)雜性、人為的錯(cuò)誤、意外事故、設(shè)備故障和自然災(zāi)害，他們屬于傳統(tǒng)的生產(chǎn)安全范疇。

5.2.1潛在的脆弱性

5.2.1.1策略管理類脆弱性,主要是由于企業(yè)安全策略及管理程序不完整、不適合或缺失所致。常見(jiàn)的

脆弱性包括：

a)監(jiān)控系統(tǒng)安全策略不當(dāng)；員工安全培訓(xùn)和意識(shí)不足；

b)安全架構(gòu)和設(shè)計(jì)不足；

c)對(duì)于監(jiān)控系統(tǒng)沒(méi)有明確的；

d)書面的安全策略和管理文件；

e)安全措施的保障機(jī)制缺失；

f)監(jiān)控系統(tǒng)缺乏安全審計(jì)機(jī)制；

g)缺乏實(shí)用的應(yīng)急響應(yīng)預(yù)案或預(yù)案缺乏演練；

h)缺乏明確配置變更管理機(jī)制或管理不到位。

5.2.1.2平臺(tái)類的脆弱性主要包括但不限于以下方面：

a)平臺(tái)配置方面的典型脆弱性主要有：系統(tǒng)漏洞被發(fā)現(xiàn)后，系統(tǒng)廠商沒(méi)有及時(shí)開(kāi)發(fā)相應(yīng)的補(bǔ)??；

漏洞補(bǔ)丁不能及時(shí)安裝；漏洞補(bǔ)丁缺乏廣泛而有效的測(cè)試；系統(tǒng)使用廠家的缺省配置；關(guān)鍵配

置文件沒(méi)有可靠的備份；沒(méi)有有效的訪問(wèn)控制策略；密碼策略設(shè)置不當(dāng)、沒(méi)有密碼或密碼不當(dāng)。

b)平臺(tái)硬件方面的典型脆弱性主要有：安全環(huán)境變更時(shí)沒(méi)有充分的測(cè)試；未授權(quán)用戶可接觸設(shè)備；

允許遠(yuǎn)程訪問(wèn)；雙網(wǎng)卡跨接不同的網(wǎng)絡(luò)環(huán)境；未注冊(cè)設(shè)備；使用無(wú)線傳輸?shù)脑O(shè)備；關(guān)鍵設(shè)備無(wú)

冗余；關(guān)鍵設(shè)備無(wú)備用電源。

c)平臺(tái)軟件方面的脆弱性主要有：使用不安全的協(xié)議；采用明文傳輸；開(kāi)啟不必要的服務(wù)；存在

緩沖區(qū)溢出的可能；自身的安全功能未開(kāi)啟；無(wú)日志或日志維護(hù)不當(dāng)。

4

XX/TXXXXX—XXXX

d)惡意軟件防護(hù)方面的脆弱性主要有：未安裝防惡意軟件的工具；防惡意軟件的工具的版本或特

征庫(kù)為更新；防惡意軟件的工具安全前未進(jìn)行有效的廣泛測(cè)試。

5.2.1.3網(wǎng)絡(luò)方面的脆弱性主要包括但不限于以下方面：

a)網(wǎng)絡(luò)配置脆弱性主要有：網(wǎng)絡(luò)安全架構(gòu)的脆弱性；為實(shí)施數(shù)據(jù)流控制；安全設(shè)備配置不當(dāng)；網(wǎng)

絡(luò)設(shè)備配置文件保存不當(dāng)；網(wǎng)絡(luò)設(shè)備密碼修改周期過(guò)長(zhǎng)；訪問(wèn)控制措施不充分。

b)網(wǎng)絡(luò)硬件脆弱性主要有：網(wǎng)絡(luò)設(shè)備物理防護(hù)不足；不安全的物理接口；物理環(huán)境控制缺失；非

授權(quán)人員對(duì)設(shè)備和網(wǎng)絡(luò)連接的訪問(wèn)；關(guān)鍵網(wǎng)絡(luò)設(shè)備沒(méi)有冗余備份措施。

c)網(wǎng)絡(luò)邊界脆弱性主要有：未定義網(wǎng)絡(luò)邊界；邊界未安裝適當(dāng)?shù)姆雷o(hù)設(shè)備或設(shè)備的防護(hù)策略配置

不當(dāng)；專網(wǎng)中存在非法流量；專網(wǎng)運(yùn)行非專用的協(xié)議和應(yīng)用。

d)網(wǎng)絡(luò)監(jiān)控和日志方面的脆弱性主要有：網(wǎng)絡(luò)設(shè)備和安全設(shè)備未開(kāi)啟日志或日志保存不當(dāng)；沒(méi)有

安裝信息安全監(jiān)控系統(tǒng)或監(jiān)控設(shè)備。

e)網(wǎng)絡(luò)通信方面的脆弱性主要有：采用未加密的通用的協(xié)議；未識(shí)別關(guān)鍵監(jiān)測(cè)點(diǎn)和控制路徑；用

戶、數(shù)據(jù)與設(shè)備的認(rèn)證手段不足；網(wǎng)絡(luò)通信數(shù)據(jù)完整性校驗(yàn)不足。

f)無(wú)線連接的脆弱性主要有：無(wú)線客戶端和接入點(diǎn)的認(rèn)證措施不足；無(wú)線客戶端和接入點(diǎn)的傳輸

保護(hù)措施不足。

5.2.2面臨的主要威脅

5.2.2.1發(fā)電廠監(jiān)控系統(tǒng)面臨的主要自然威脅來(lái)源，屬于傳統(tǒng)的生產(chǎn)安全范疇。

5.2.2.2發(fā)電廠監(jiān)控系統(tǒng)面臨的對(duì)抗性威脅來(lái)源則主要來(lái)自：敵對(duì)的國(guó)家、犯罪集團(tuán)、工業(yè)間諜、惡

意攻擊的黑客和心懷不滿的員工：

a)敵對(duì)的國(guó)家：國(guó)家情報(bào)部門將網(wǎng)絡(luò)滲透工具作為情報(bào)收集和開(kāi)展間諜活動(dòng)的重要手段。一些國(guó)

家正在積極地發(fā)展信息戰(zhàn)學(xué)說(shuō)，建立網(wǎng)絡(luò)戰(zhàn)能力，從事網(wǎng)絡(luò)戰(zhàn)實(shí)踐。

b)犯罪集團(tuán)：一般性的犯罪集團(tuán)，利用網(wǎng)絡(luò)攻擊來(lái)獲取經(jīng)濟(jì)利益。恐怖分子則利用網(wǎng)絡(luò)來(lái)破壞國(guó)

家的關(guān)鍵基礎(chǔ)設(shè)施，通過(guò)造成經(jīng)濟(jì)損失和人員的傷亡來(lái)威脅國(guó)家安全。

c)工業(yè)間諜：利用網(wǎng)絡(luò)秘密獲取知識(shí)產(chǎn)權(quán)和技術(shù)秘密，目的是打擊競(jìng)爭(zhēng)對(duì)手和獲取經(jīng)濟(jì)利益。

d)惡意攻擊的黑客：掌握了網(wǎng)絡(luò)滲透能力的個(gè)人或組織，通過(guò)制作、使用和擴(kuò)散惡意軟件和間諜

軟件對(duì)用戶形成威脅，他們的動(dòng)機(jī)各不相同。

e)心懷不滿的內(nèi)部員工：內(nèi)部人員因?yàn)樗麄儗?duì)目標(biāo)系統(tǒng)的了解，往往使他們能夠不受限制地訪問(wèn)

系統(tǒng)。所以他們?nèi)绻獙?duì)系統(tǒng)造成損害或竊取系統(tǒng)數(shù)據(jù)，往往并不需要大量的計(jì)算機(jī)入侵知識(shí)。

5.3等級(jí)保護(hù)

發(fā)電廠監(jiān)控系統(tǒng)實(shí)行國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，信息安全防護(hù)應(yīng)滿足信息安全等級(jí)保護(hù)的相關(guān)要

求。發(fā)電廠信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則，根據(jù)不同安全區(qū)域的安全防護(hù)要求，確

定其安全等級(jí)和防護(hù)水平，從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)等層面進(jìn)行安全防護(hù)。

發(fā)電廠應(yīng)按照《信息安全等級(jí)保護(hù)管理辦法》《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T25058-2010）

具體實(shí)施等級(jí)保護(hù)工作。發(fā)電廠監(jiān)控系統(tǒng)的定級(jí)，可參考《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（BG/T

22240-2008）和《電力行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn)》（電監(jiān)信息[2007]44號(hào)）進(jìn)行。“電

力行業(yè)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)建議”參見(jiàn)附錄A，其中三級(jí)系統(tǒng)實(shí)行監(jiān)督保護(hù)、二級(jí)系統(tǒng)實(shí)行

指導(dǎo)保護(hù)，其中未涉及的其他系統(tǒng)實(shí)行自主保護(hù)。

（注：本節(jié)依據(jù)國(guó)家能源局關(guān)于印發(fā)《電力行業(yè)信息安全等級(jí)保護(hù)管理辦法》的通知（國(guó)能安全

[2014]318號(hào)）

5.4關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)

5

XX/TXXXXX—XXXX

關(guān)鍵信息基礎(chǔ)設(shè)施是指面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公共事業(yè)等重

要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，且這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，會(huì)影響重要行業(yè)正常運(yùn)行，

對(duì)國(guó)家政治、經(jīng)濟(jì)、科技、社會(huì)、文化、國(guó)防、環(huán)境以及人民生命財(cái)產(chǎn)造成嚴(yán)重?fù)p失。

關(guān)鍵信息基礎(chǔ)設(shè)施的確定，首先是確定關(guān)鍵業(yè)務(wù)；其次是確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制

系統(tǒng)；三是根據(jù)關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可

能造成的損失來(lái)加以確定。根據(jù)一般的工控信息安全工作實(shí)踐，電力生產(chǎn)的發(fā)電、輸電、變電和配電等

環(huán)節(jié)均被認(rèn)定為關(guān)鍵業(yè)務(wù)，其相應(yīng)的設(shè)備和設(shè)施也應(yīng)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施。監(jiān)控系統(tǒng)作為發(fā)電生

產(chǎn)自動(dòng)化的核心系統(tǒng)，其信息安全防護(hù)工作應(yīng)滿足國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)要求。

（注：本節(jié)依據(jù)《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室關(guān)于開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查

的通知》(中網(wǎng)辦發(fā)文〔2016〕3號(hào))）

5.5信息安全防護(hù)基本原則

發(fā)電廠工控網(wǎng)絡(luò)與信息系統(tǒng)的安全防護(hù)總體原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。

安全防護(hù)主要針對(duì)用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過(guò)程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)

備，以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)。通過(guò)將發(fā)電廠業(yè)務(wù)系統(tǒng)根據(jù)不同的功能特性劃分為不同的安

全區(qū)域，重點(diǎn)強(qiáng)化邊界的安全防護(hù)，同時(shí)加強(qiáng)區(qū)域內(nèi)部的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全，加強(qiáng)安

全管理制度、機(jī)構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維的管理，提高系統(tǒng)整體安全防護(hù)能力，保證發(fā)電廠業(yè)務(wù)

系統(tǒng)及重要數(shù)據(jù)的安全，提高機(jī)組運(yùn)行可靠性和安全經(jīng)濟(jì)性。

發(fā)電廠監(jiān)控系統(tǒng)的分區(qū)結(jié)構(gòu)與邊界防護(hù)應(yīng)滿足如圖5.1的基本形式，發(fā)電廠監(jiān)控系統(tǒng)與企業(yè)的管理

信息系統(tǒng)進(jìn)行單向通信，采用物理隔離方式保證邊界安全。

圖5.1發(fā)電廠監(jiān)控系統(tǒng)分區(qū)結(jié)構(gòu)與邊界防護(hù)示意圖

5.5.1安全分區(qū)

發(fā)電廠網(wǎng)絡(luò)與信息系統(tǒng)按業(yè)務(wù)功能劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，發(fā)電廠監(jiān)控系統(tǒng)屬于生產(chǎn)

控制大區(qū)，并根據(jù)監(jiān)控系統(tǒng)的重要性和對(duì)電力系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)（安全區(qū)Ⅰ）

及非控制區(qū)（安全區(qū)Ⅱ）。生產(chǎn)控制大區(qū)內(nèi)個(gè)別業(yè)務(wù)系統(tǒng)或其功能模塊（或子系統(tǒng)）需要使用公用通信

網(wǎng)絡(luò)、無(wú)線通信網(wǎng)絡(luò)以及處于非可控狀態(tài)下的網(wǎng)絡(luò)設(shè)備與終端等進(jìn)行通信時(shí)，應(yīng)設(shè)立安全接入?yún)^(qū)。

5.5.2網(wǎng)絡(luò)專用

電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò)，發(fā)電廠端的電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通

6

XX/TXXXXX—XXXX

道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與電廠其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)絡(luò)的安全隔離。

發(fā)電廠端的電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接控制區(qū)和非控制

區(qū)。

5.5.3橫向隔離

橫向隔離是安全防護(hù)體系的橫向防線，生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門

檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安

全區(qū)之間應(yīng)當(dāng)采用具有訪問(wèn)控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。安全接

入?yún)^(qū)與生產(chǎn)控制大區(qū)中的其他部分的聯(lián)接處必須設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向安全隔

離裝置。

5.5.4縱向認(rèn)證

縱向加密認(rèn)證是安全防護(hù)體系的縱向防線。電廠生產(chǎn)控制大區(qū)系統(tǒng)與調(diào)度端系統(tǒng)通過(guò)電力調(diào)度數(shù)據(jù)

網(wǎng)進(jìn)行遠(yuǎn)程通信時(shí)，應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)

關(guān)及相應(yīng)設(shè)施。

6監(jiān)控系統(tǒng)信息安全技術(shù)要求

6.1物理安全

6.1.1物理位置的選擇應(yīng)滿足：

a)機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防塵和防雨等能力的建筑內(nèi)；

b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施；

c)機(jī)房外安裝的設(shè)備應(yīng)符合發(fā)電行業(yè)相關(guān)標(biāo)準(zhǔn)對(duì)所選用設(shè)備使用的物理和環(huán)境的要求。

自主保護(hù)：c)指導(dǎo)保護(hù)：c)監(jiān)督保護(hù)：a)、b)、c)

6.1.2電源系統(tǒng)安全應(yīng)包括：

a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；

b)應(yīng)為機(jī)房提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求。

自主保護(hù)：a)指導(dǎo)保護(hù)：a)監(jiān)督保護(hù)：a)、b)

6.1.3溫濕度控制應(yīng)包括：

a)機(jī)房應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)；

b)機(jī)房外安裝的設(shè)備應(yīng)符合發(fā)電行業(yè)相關(guān)標(biāo)準(zhǔn)對(duì)所應(yīng)用的物理和環(huán)境的要求。

自主保護(hù)：a)、b)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)

6.1.4防火應(yīng)包括：

a)機(jī)房應(yīng)設(shè)置相應(yīng)的滅火設(shè)備；

b)機(jī)房應(yīng)設(shè)置火災(zāi)報(bào)警消防系統(tǒng)，能夠檢測(cè)火情、報(bào)警，并滅火。

7

XX/TXXXXX—XXXX

自主保護(hù)：a)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)

6.1.5防水和防潮應(yīng)包括：

a)水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下；

b)機(jī)房窗戶、屋頂和墻壁應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透；

c)機(jī)房應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；

d)機(jī)房應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；

e)機(jī)房外安裝的設(shè)備應(yīng)符合發(fā)電行業(yè)相關(guān)標(biāo)準(zhǔn)對(duì)其所選用設(shè)備使用的物理和環(huán)境的要求。

自主保護(hù)：a)、b)、c)、e)指導(dǎo)保護(hù)：a)、b)、c)、e)監(jiān)督保護(hù)：a)、b)、c)、d)、e)

6.1.6防雷與電磁防護(hù)應(yīng)包括：

應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過(guò)接地系統(tǒng)安全接地，接地電阻應(yīng)滿足相關(guān)標(biāo)準(zhǔn)的要求。

6.1.7電磁防護(hù)應(yīng)包括：

應(yīng)符合發(fā)電行業(yè)相關(guān)標(biāo)準(zhǔn)對(duì)其所選用設(shè)備使用的物理和環(huán)境的要求。

6.1.8防靜電應(yīng)包括：

a)機(jī)房應(yīng)安裝防靜電地板或采用必要的接地等防靜電措施；

b)機(jī)房外安裝的設(shè)備應(yīng)符合發(fā)電行業(yè)相關(guān)標(biāo)準(zhǔn)對(duì)所應(yīng)用的物理和環(huán)境的要求。

自主保護(hù)：a)、b)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)

6.1.9防盜和防外力破壞應(yīng)包括：

a)應(yīng)將設(shè)備或主要部件進(jìn)行固定；

b)應(yīng)對(duì)通信線纜實(shí)施防護(hù)，如：可鋪設(shè)在地下或管道中。

自主保護(hù)：a)指導(dǎo)保護(hù)：a)監(jiān)督保護(hù)：a)、b)

6.1.10物理訪問(wèn)控制應(yīng)包括：

a)進(jìn)入安全區(qū)域邊界有明確的防止非授權(quán)人員接觸的提示標(biāo)志；

b)有防止非授權(quán)人員進(jìn)入的物理措施（如，柵欄）；

c)有身份識(shí)別機(jī)制手段（如，門禁、視頻監(jiān)視等）或?qū)Ｈ酥凳亍?/p>

自主保護(hù)：a)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)、c)

6.2邊界安全

6.2.1邊界安全要求應(yīng)包括：

a)在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單

向安全隔離裝置，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡(luò)服務(wù)；

b)在與電力調(diào)度數(shù)據(jù)網(wǎng)等廣域網(wǎng)的縱向聯(lián)接處，應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門檢測(cè)認(rèn)證的電力專

8

XX/TXXXXX—XXXX

用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施；

c)使用無(wú)線通信網(wǎng)、非電力調(diào)度數(shù)據(jù)網(wǎng)或者外部公用數(shù)據(jù)網(wǎng)的虛擬專用網(wǎng)（VPN）等進(jìn)行通信

的，應(yīng)當(dāng)設(shè)立“安全接入?yún)^(qū)”；

d)生產(chǎn)控制大區(qū)與“安全接入?yún)^(qū)”的聯(lián)接處必須設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向

單向安全隔離裝置；

e)生產(chǎn)控制大區(qū)內(nèi)部控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)之間應(yīng)當(dāng)采用具有訪問(wèn)控制功能的設(shè)備、防火墻或

者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離；

f)應(yīng)對(duì)控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，以及控制網(wǎng)絡(luò)內(nèi)安全域和安全域之間的邊界，進(jìn)行監(jiān)視

和控制區(qū)域邊界通信；

g)應(yīng)在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，以及控制網(wǎng)絡(luò)內(nèi)安全域和安全域之間的邊界，默認(rèn)拒絕

所有非必要的網(wǎng)絡(luò)數(shù)據(jù)流，但可允許例外的網(wǎng)絡(luò)數(shù)據(jù)流；

h)應(yīng)在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，以及控制系統(tǒng)內(nèi)安全域和安全域之間的邊界上，阻止任

何通過(guò)的非必要通信；

i)應(yīng)在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界防護(hù)機(jī)制失效時(shí)，能阻止所有邊界通信（也稱故障關(guān)閉）；

但故障關(guān)閉功能的設(shè)計(jì)不應(yīng)干擾相關(guān)安全功能的運(yùn)行；

j)應(yīng)在控制網(wǎng)絡(luò)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警，并保障關(guān)鍵設(shè)

備的通信；

k)應(yīng)能識(shí)別控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)上的邊界通信的入侵行為，并進(jìn)行有效阻斷；

l)生產(chǎn)控制大區(qū)中除安全接入?yún)^(qū)外，不應(yīng)選用具有無(wú)線通信功能的設(shè)備；

m)可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)程序等進(jìn)行

可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警；

n)在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)應(yīng)進(jìn)行動(dòng)態(tài)可信驗(yàn)證；

o)可信驗(yàn)證結(jié)果應(yīng)形成審計(jì)記錄送至安全管理中心。

自主保護(hù)：a)、b)、指導(dǎo)保護(hù)：a)、b)、c)、d)、監(jiān)督保護(hù)：a)、b)、c)、d)、e)、f)、

c)、d)、e)、l)、m)e)、f)、g)、k)、l)、m)、o)g)、h)、i)、j)、k)、l)、m)、n)、o)

6.2.2信息安全集中管控應(yīng)包括

a)應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；

b)應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理；

c)應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)；

d)應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析；

e)應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理；

f)應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析。

自主保護(hù)：無(wú)指導(dǎo)保護(hù)：無(wú)監(jiān)督保護(hù)：a)、b)、c)、d)、e)、f)

6.3網(wǎng)絡(luò)和通信安全

6.3.1網(wǎng)絡(luò)架構(gòu)安全應(yīng)包括：

a)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；

b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；

c)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；

9

XX/TXXXXX—XXXX

d)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒(méi)有邊界防護(hù)措施；

e)應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證系統(tǒng)的可用性；

f)應(yīng)將控制系統(tǒng)網(wǎng)絡(luò)與非控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行邏輯分區(qū)，將關(guān)鍵控制系統(tǒng)網(wǎng)絡(luò)與非關(guān)鍵控制系統(tǒng)

網(wǎng)絡(luò)進(jìn)行邏輯分區(qū)；

g)應(yīng)將控制系統(tǒng)網(wǎng)絡(luò)與非控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行物理分段，將關(guān)鍵控制系統(tǒng)網(wǎng)絡(luò)與非關(guān)鍵控制系統(tǒng)

網(wǎng)絡(luò)進(jìn)行物理分段；

h)應(yīng)在不與非控制系統(tǒng)網(wǎng)絡(luò)相連的情況下，能為關(guān)鍵或非關(guān)鍵控制系統(tǒng)網(wǎng)絡(luò)提供網(wǎng)絡(luò)服務(wù)。

自主保護(hù)：f)、g)指導(dǎo)保護(hù)：a)、b)、c)、d)、e)、f)、g)監(jiān)督保護(hù)：a)、b)、c)、d)、e)、f)、g)、h)

6.3.2通信傳輸安全應(yīng)包括：

a)應(yīng)利用會(huì)話完整性機(jī)制，保護(hù)會(huì)話完整性；控制系統(tǒng)應(yīng)拒絕任何非法會(huì)話ID的使用；

b)應(yīng)在用戶退出或其他會(huì)話結(jié)束（包括瀏覽器會(huì)話）后使會(huì)話ID失效。

自主保護(hù)：無(wú)指導(dǎo)保護(hù)：a)監(jiān)督保護(hù)：a)、b)

6.3.3無(wú)線通信安全應(yīng)包括：

a)根據(jù)普遍接受的工控安全實(shí)踐，應(yīng)對(duì)無(wú)線連接的授權(quán)、監(jiān)視以及操作的使用進(jìn)行限制；

b)應(yīng)對(duì)所有參與無(wú)線通信的用戶（人員、軟件進(jìn)程或者設(shè)備）提供唯一性標(biāo)識(shí)和鑒別；

c)應(yīng)識(shí)別在控制系統(tǒng)物理環(huán)境中使用的未經(jīng)授權(quán)的無(wú)線設(shè)備，并報(bào)告未經(jīng)授權(quán)的試圖接入或干

擾控制系統(tǒng)行為；

d)對(duì)于采用工業(yè)無(wú)線網(wǎng)絡(luò)進(jìn)行通信的聯(lián)網(wǎng)設(shè)備，應(yīng)確保無(wú)線空中接口的安全。

自主保護(hù)：a)指導(dǎo)保護(hù)：a)、b)、d)監(jiān)督保護(hù)：a)、b)、c)、d)

6.3.4訪問(wèn)控制應(yīng)包括：

a)對(duì)一個(gè)可配置的時(shí)間或事件序列，應(yīng)支持高權(quán)限主管手動(dòng)超馳當(dāng)前用戶的授權(quán)；

b)應(yīng)通過(guò)手動(dòng)或在一個(gè)可配置的非活動(dòng)周期后系統(tǒng)可自動(dòng)啟動(dòng)會(huì)話鎖定功能，以防止對(duì)系統(tǒng)的

進(jìn)一步訪問(wèn)。會(huì)話鎖定應(yīng)一直保持有效，直到擁有會(huì)話權(quán)限的用戶或其它授權(quán)的用戶使用適

當(dāng)?shù)纳矸輼?biāo)識(shí)和鑒別規(guī)程重新建立訪問(wèn)；

c)應(yīng)在一個(gè)可配置的非活動(dòng)時(shí)間周期后自動(dòng)地或由發(fā)起會(huì)話的用戶手動(dòng)終止遠(yuǎn)程會(huì)話；

d)應(yīng)在網(wǎng)絡(luò)邊界或安全域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，受控接口應(yīng)具備設(shè)置“白

名單制”的訪問(wèn)控制規(guī)則的能力；

e)應(yīng)刪除多余的或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化。

f)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效

阻斷。

自主保護(hù)：b)、c)、d)、e)指導(dǎo)保護(hù)：b)、c)、d)、e)監(jiān)督保護(hù)：a)、b)、c)、d)、e)、f)

6.3.5可信驗(yàn)證應(yīng)包括：

a)可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序進(jìn)行可

信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警；

10

XX/TXXXXX—XXXX

b)可信驗(yàn)證結(jié)果應(yīng)形成審計(jì)記錄送至安全管理中心；

c)在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)應(yīng)進(jìn)行動(dòng)態(tài)可信驗(yàn)證。

自主保護(hù)：a)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)、c)

6.3.6入侵防范應(yīng)包括：

a)在有效的補(bǔ)救條件下，識(shí)別和處理錯(cuò)誤狀況。在此過(guò)程中，不應(yīng)暴露任何可被攻擊者利用的

信息，除非透露這一信息對(duì)于及時(shí)排除故障是必要的；

b)不得傳輸、接收私人消息；

c)不得未經(jīng)授權(quán)的數(shù)據(jù)傳輸；

d)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為，重要網(wǎng)段應(yīng)采取技術(shù)手段

防止地址欺騙；

e)采取技術(shù)措施對(duì)網(wǎng)絡(luò)的使用行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢

測(cè)和分析；

f)當(dāng)檢測(cè)到攻擊行為時(shí)，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的和攻擊時(shí)間，在發(fā)生嚴(yán)重入侵

事件時(shí)應(yīng)及時(shí)發(fā)出報(bào)警信息。

自主保護(hù)：無(wú)指導(dǎo)保護(hù)：a)監(jiān)督保護(hù)：a)、b)、c)、d)、e)、f)

6.3.7惡意代碼防范應(yīng)包括：

a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新；

b)應(yīng)在所有入口和出口提供惡意代碼防護(hù)機(jī)制；

c)應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄。

自主保護(hù)：無(wú)指導(dǎo)保護(hù)：b)、c)監(jiān)督保護(hù)：a)、b)、c)

6.3.8安全審計(jì)應(yīng)包括：

a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重

要安全事件進(jìn)行審計(jì)；

b)應(yīng)能生成與安全相關(guān)的審計(jì)記錄，包括:訪問(wèn)控制、請(qǐng)求錯(cuò)誤、操作系統(tǒng)事件、備份和恢復(fù)

事件、配置改變、潛在的偵察活動(dòng)和審計(jì)日志事件。單個(gè)審計(jì)記錄應(yīng)包括時(shí)間戳、來(lái)源（源

設(shè)備、軟件進(jìn)程或人員用戶賬戶）、分類、類型、事件ID和事件結(jié)果；

c)應(yīng)能集中管理審計(jì)事件，對(duì)來(lái)自系統(tǒng)范圍（包括邏輯或物理）內(nèi)的多個(gè)組件進(jìn)行審計(jì)記錄收

集，并能集中管理與時(shí)間相關(guān)的審計(jì)蹤跡。應(yīng)按照工業(yè)標(biāo)準(zhǔn)格式輸出這些審計(jì)記錄，用日志

分析工具進(jìn)行分析，例如，安全信息和事件管理；

d)根據(jù)一般公認(rèn)的日志管理和系統(tǒng)配置的建議，系統(tǒng)應(yīng)設(shè)置足夠的審計(jì)記錄存儲(chǔ)容量，并采用

有效機(jī)制來(lái)減少超出容量的可能性；

e)當(dāng)所分配的審計(jì)記錄存儲(chǔ)值達(dá)到最大審計(jì)記錄存儲(chǔ)容量的配置時(shí)，系統(tǒng)應(yīng)能發(fā)出警告，當(dāng)容

量超出時(shí)，應(yīng)采用合理的機(jī)制支持記錄的覆蓋；

f)在審計(jì)事件的處理失敗時(shí)，系統(tǒng)能對(duì)人員進(jìn)行警示并防止喪失基本服務(wù)和功能；根據(jù)普遍接

受的工業(yè)實(shí)踐和建議，系統(tǒng)應(yīng)能在審計(jì)處理失敗的情況下，采取恰當(dāng)?shù)捻憫?yīng)行動(dòng)；

g)在審計(jì)記錄生成時(shí)，系統(tǒng)應(yīng)提供時(shí)間戳；

11

XX/TXXXXX—XXXX

h)應(yīng)在可配置的頻率下，對(duì)系統(tǒng)時(shí)鐘進(jìn)行同步；

i)應(yīng)保護(hù)審計(jì)信息和審計(jì)工具（如有），防止其在未授權(quán)情況下被獲取、修改和刪除；

j)授權(quán)人員和/或工具以只讀方式訪問(wèn)審計(jì)日志。

自主保護(hù)：b)、d)、f)、j)指導(dǎo)保護(hù)：a)、b)、d)、f)、監(jiān)督保護(hù)：a)、b)、c)、d)、

g)、i)、j)e)、f)、g)、h)、i)、j)

6.4主機(jī)和設(shè)備安全

6.4.1系統(tǒng)軟件版本更新應(yīng)包括：

a)跟蹤主機(jī)和智能設(shè)備系統(tǒng)軟件的版本更新、漏洞和補(bǔ)丁發(fā)布情況，嚴(yán)格進(jìn)行軟件升級(jí)和補(bǔ)丁

安裝等工作管理，防止病毒、木馬等惡意代碼的侵入；

b)系統(tǒng)軟件的升級(jí)、補(bǔ)丁安裝，在工作開(kāi)始前宜請(qǐng)專業(yè)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證，應(yīng)在與生產(chǎn)

環(huán)境一致的驗(yàn)證環(huán)境或平臺(tái)上對(duì)更新的有效性、安全性和對(duì)系統(tǒng)安全穩(wěn)定運(yùn)行的影響進(jìn)行評(píng)

估和驗(yàn)證，并對(duì)更新進(jìn)行記錄。

自主保護(hù)：a)、b)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)

6.4.2身份鑒別應(yīng)包括：

a)應(yīng)能唯一地鑒別和認(rèn)證信息設(shè)備和全部人員用戶，應(yīng)在所有接口上執(zhí)行標(biāo)識(shí)和鑒別，當(dāng)有人

員用戶訪問(wèn)時(shí)，應(yīng)根據(jù)適用的安全策略和規(guī)程實(shí)施職責(zé)分離和最小權(quán)限；

b)應(yīng)能對(duì)所有使用人員用戶實(shí)施多因子鑒別；

c)應(yīng)能對(duì)所有設(shè)備提供唯一性的標(biāo)識(shí)和鑒別，應(yīng)在進(jìn)行系統(tǒng)訪問(wèn)時(shí)，使所有接口根據(jù)適用的安

全策略和規(guī)程支持最小權(quán)限，實(shí)施標(biāo)識(shí)和鑒別；

d)應(yīng)支持用戶、組、角色或者接口的標(biāo)識(shí)符管理功能；

e)應(yīng)能初始化鑒別器內(nèi)容；系統(tǒng)一經(jīng)安裝完成，立即改變所有鑒別器的默認(rèn)值；改變或者刷新

所有的鑒別器；當(dāng)存儲(chǔ)或者傳輸?shù)臅r(shí)候，要保護(hù)鑒別器免受未經(jīng)授權(quán)的泄露和修改；

f)對(duì)于使用設(shè)備的用戶，應(yīng)通過(guò)硬件機(jī)制保護(hù)相關(guān)鑒別器；

g)對(duì)于使用口令鑒別機(jī)制的設(shè)備，設(shè)備應(yīng)能通過(guò)設(shè)置最小長(zhǎng)度和多種字符類型，實(shí)現(xiàn)強(qiáng)制配置

口令強(qiáng)度；可能對(duì)實(shí)時(shí)性產(chǎn)生影響進(jìn)而影響到系統(tǒng)正常操作的，應(yīng)采用其他替代安全手段或

通過(guò)管理手段來(lái)進(jìn)行彌補(bǔ)；

h)設(shè)備應(yīng)防止任何已有的用戶賬戶重復(fù)使用同一批口令，應(yīng)對(duì)用戶口令使用的最大和最小有效

期進(jìn)行限制，這些能力應(yīng)符合一般公認(rèn)的信息安全實(shí)踐要求；

i)應(yīng)根據(jù)通用的可以接受的安全行業(yè)實(shí)踐和建議，通過(guò)硬件機(jī)制來(lái)保護(hù)相關(guān)的私鑰；

j)應(yīng)能夠隱藏鑒別過(guò)程中的鑒別信息反饋；

k)應(yīng)針對(duì)任何用戶（人員、軟件進(jìn)程或設(shè)備）在可配置時(shí)間周期內(nèi)的連續(xù)無(wú)效的訪問(wèn)嘗試，進(jìn)

行可配置次數(shù)的訪問(wèn)限制；當(dāng)限制次數(shù)超出后，應(yīng)在規(guī)定的周期內(nèi)拒絕訪問(wèn)或者直到管理員

解鎖；對(duì)于代表關(guān)鍵服務(wù)或者服務(wù)器運(yùn)行的系統(tǒng)賬戶，不應(yīng)允許交互式登錄；

l)在進(jìn)行鑒別之前，應(yīng)能顯示系統(tǒng)提示信息。使用提示信息應(yīng)可通過(guò)授權(quán)人進(jìn)行配置；

m)應(yīng)不允許進(jìn)行遠(yuǎn)程管理,或采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；

自主保護(hù)：a)、d)、e)、f)、指導(dǎo)保護(hù)：a)、d)、e)、f)、監(jiān)督保護(hù)：a)、b)、c)、d)、

g)、j)、k)、l)g)、j)、k)、l)、m)e)、f)、g)、h)、i)、j)、k)、

12

XX/TXXXXX—XXXX

l)、m)

6.4.3訪問(wèn)控制應(yīng)包括：

a)應(yīng)能支持授權(quán)用戶管理所有賬戶，包括添加、激活、修改、禁用和刪除賬戶；

b)應(yīng)能支持統(tǒng)一賬戶管理；

c)應(yīng)在一個(gè)可配置的非活動(dòng)時(shí)間周期后自動(dòng)地或由發(fā)起會(huì)話的用戶手動(dòng)終止遠(yuǎn)程會(huì)話；

d)對(duì)于所有接口，應(yīng)根據(jù)職責(zé)分離和最小權(quán)限對(duì)特定用戶（人員、軟件進(jìn)程或設(shè)備）實(shí)施系統(tǒng)

的控制使用授權(quán)；

e)對(duì)于授權(quán)的用戶或角色，應(yīng)能對(duì)所有用戶到角色的映射進(jìn)行規(guī)定和修改；

f)應(yīng)能在日常維護(hù)時(shí)，進(jìn)行安全功能操作的驗(yàn)證和異常事件的報(bào)告；

g)禁止在工程師站、操作員站、服務(wù)器使用默認(rèn)賬戶，應(yīng)限制默認(rèn)賬戶的訪問(wèn)權(quán)限，應(yīng)重命名

系統(tǒng)默認(rèn)賬戶、修改默認(rèn)口令；

h)應(yīng)及時(shí)刪除多余的、過(guò)期的賬戶，避免共享賬戶的存在。

自主保護(hù)：a)、g)、h)指導(dǎo)保護(hù)：a)、c)、d)、e)、監(jiān)督保護(hù)：a)、b)、c)、d)、

f)、g)、h)e)、f)、g)、h)

6.4.4可信驗(yàn)證應(yīng)包括：

d)可基于可信根對(duì)主機(jī)和設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序進(jìn)行

可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警；

e)可信驗(yàn)證結(jié)果應(yīng)形成審計(jì)記錄送至安全管理中心；

f)在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)應(yīng)進(jìn)行動(dòng)態(tài)可信驗(yàn)證。

自主保護(hù)：a)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)、c)

6.4.5入侵防范應(yīng)包括：

a)所有主機(jī)設(shè)備均應(yīng)采用最小化原則進(jìn)行系統(tǒng)安裝，除了必要的安全組件或軟件外，只安裝與

自身業(yè)務(wù)相關(guān)的操作系統(tǒng)組件及應(yīng)用軟件，如：工程師站、操作員站只安裝組態(tài)軟件、監(jiān)控

軟件、編程軟件、報(bào)表軟件以及與此相關(guān)的操作系統(tǒng)組件；OPC服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器

只安裝數(shù)據(jù)庫(kù)軟件、服務(wù)器軟件以及與此業(yè)務(wù)相關(guān)的操作系統(tǒng)組件；

b)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；

c)應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍等措施，限制通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端；

d)應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞；

e)應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行的入侵行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；

f)應(yīng)自動(dòng)執(zhí)行可配置的使用限制，包括：防止使用便攜式或移動(dòng)設(shè)備、要求訪問(wèn)特定內(nèi)容的授

權(quán)、限制便攜式或移動(dòng)設(shè)備的代碼讀寫和數(shù)據(jù)傳輸操作；

g)應(yīng)可通過(guò)手動(dòng)，或在一個(gè)可配置的非活動(dòng)周期后系統(tǒng)自動(dòng)啟動(dòng)會(huì)話鎖定操作，以防止對(duì)系統(tǒng)

的進(jìn)一步訪問(wèn)；會(huì)話鎖定應(yīng)一直保持有效，直到擁有會(huì)話權(quán)限的用戶或被授權(quán)的其他用戶使

用適當(dāng)?shù)纳矸輼?biāo)識(shí)和鑒別規(guī)程重新建立訪問(wèn)；可能對(duì)實(shí)時(shí)性產(chǎn)生影響進(jìn)而影響到系統(tǒng)正常操

作的，應(yīng)采用其他替代安全手段或通過(guò)管理手段來(lái)進(jìn)行彌補(bǔ)；

h)應(yīng)在有效的補(bǔ)救條件下識(shí)別和處理錯(cuò)誤狀況，在此過(guò)程中不應(yīng)泄露任何與安全相關(guān)的信息，

除非該信息是為及時(shí)排除故障所必需的信息。

13

XX/TXXXXX—XXXX

自主保護(hù)：a)、f)、g)指導(dǎo)保護(hù)：a)、b)、c)、d)、監(jiān)督保護(hù)：a)、b)、c)、d)、

e)、f)、g)、h)e)、f)、g)、h)

6.4.6惡意代碼防范應(yīng)包括：

a)應(yīng)能對(duì)可能造成損害的可移動(dòng)代碼技術(shù)進(jìn)行使用限制，包括：監(jiān)視可移動(dòng)代碼的執(zhí)行、對(duì)于

可移動(dòng)代碼的來(lái)源進(jìn)行適當(dāng)?shù)蔫b別和授權(quán)、限制可移動(dòng)代碼的傳入和傳出；

b)應(yīng)能應(yīng)用保護(hù)機(jī)制，防止、檢測(cè)、報(bào)告和減輕惡意代碼或未經(jīng)授權(quán)軟件的影響，應(yīng)能及時(shí)更

新防護(hù)機(jī)制；

c)應(yīng)在所有出、入口提供可管理的惡意代碼防護(hù)機(jī)制；

d)應(yīng)能允許代碼執(zhí)行之前驗(yàn)證移動(dòng)代碼完整性；

e)應(yīng)能管理惡意代碼防護(hù)機(jī)制；

f)可采用可信計(jì)算技術(shù)建立從系統(tǒng)到應(yīng)用的信任鏈，實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中重要程序或文件完整

性檢測(cè)，并在檢測(cè)到破壞后進(jìn)行恢復(fù)。

自主保護(hù)：a)、b)指導(dǎo)保護(hù)：a)、b)、c)監(jiān)督保護(hù)：a)、b)、c)、d)、e)、f)

6.4.7安全審計(jì)應(yīng)包括：

a)應(yīng)啟用安全審計(jì)功能，審計(jì)要覆蓋每個(gè)用戶，審計(jì)的內(nèi)容包括：訪問(wèn)控制、請(qǐng)求錯(cuò)誤、控制

系統(tǒng)事件、備份和恢復(fù)事件、配置改變和審計(jì)日志事件；

b)審計(jì)記錄應(yīng)包括時(shí)間戳、來(lái)源（源設(shè)備、軟件進(jìn)程或人員賬戶）、類型、事件ID和事件結(jié)果

及其他與審計(jì)相關(guān)的信息；

c)應(yīng)保護(hù)審計(jì)信息和審計(jì)工具（如有），防止其在未授權(quán)情況下被獲取、修改和刪除；

d)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷；

e)審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生，以確保審計(jì)分析的正確性；

f)設(shè)備應(yīng)能夠?yàn)榧袑徲?jì)管理提供接口，可將生成的審計(jì)記錄上傳；

g)應(yīng)提供編程訪問(wèn)審計(jì)記錄的能力；

h)應(yīng)向授權(quán)人員和/或工具提供以只讀的方式訪問(wèn)審計(jì)日志。

自主保護(hù)：a)、b)、h)指導(dǎo)保護(hù)：a)、b)、c)、d)、監(jiān)督保護(hù)：a)、b)、c)、d)、

f)、h)e)、f)、g)、h)

6.4.8資源控制應(yīng)包括：

a)在不影響當(dāng)前安全狀態(tài)的情況下，系統(tǒng)應(yīng)能在正常供電電源和應(yīng)急電源之間進(jìn)行切換；

b)應(yīng)參照供應(yīng)商提供的指南，根據(jù)所推薦的網(wǎng)絡(luò)和安全配置進(jìn)行系統(tǒng)設(shè)置；

c)應(yīng)對(duì)重要節(jié)點(diǎn)如：工程師站、操作員站和服務(wù)器等系統(tǒng)的運(yùn)行資源進(jìn)行監(jiān)視，監(jiān)視包括：CPU、

硬盤和內(nèi)存等資源的使用情況，在資源使用情況達(dá)到預(yù)先設(shè)置的閾值時(shí)，可觸發(fā)報(bào)警；

d)應(yīng)能對(duì)重要節(jié)點(diǎn)的服務(wù)水平進(jìn)行檢測(cè)，并在其降低到預(yù)先設(shè)定的最小值時(shí)進(jìn)行報(bào)警；

e)應(yīng)能實(shí)時(shí)監(jiān)控設(shè)備的運(yùn)行和通信狀態(tài)，并在發(fā)現(xiàn)異常時(shí)能及時(shí)報(bào)警；

f)應(yīng)提供重要節(jié)點(diǎn)設(shè)備的硬件冗余，保證系統(tǒng)的可用性。

g)應(yīng)對(duì)于任何給定設(shè)備的每個(gè)接口限制并發(fā)會(huì)話數(shù)量；

h)應(yīng)把當(dāng)前的安全配置設(shè)置生成一個(gè)設(shè)備可讀的報(bào)告列表；

14

XX/TXXXXX—XXXX

自主保護(hù)：a)、b)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)、c)、d)、e)、f)、g)、h)

6.5應(yīng)用軟件和數(shù)據(jù)安全

6.5.1軟件版本和系統(tǒng)更新應(yīng)包括：

c)跟蹤監(jiān)控系統(tǒng)應(yīng)用軟件的版本更新、漏洞和補(bǔ)丁發(fā)布情況，嚴(yán)格進(jìn)行軟件升級(jí)和補(bǔ)丁安裝等

工作管理，防止病毒、木馬等惡意代碼的侵入；

d)重要監(jiān)控系統(tǒng)的軟件升級(jí)、補(bǔ)丁安裝，在工作開(kāi)始前宜請(qǐng)專業(yè)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證，應(yīng)

在與生產(chǎn)環(huán)境一致的驗(yàn)證環(huán)境或平臺(tái)上對(duì)更新的有效性、安全性和對(duì)系統(tǒng)安全穩(wěn)定運(yùn)行的影

響進(jìn)行評(píng)估和驗(yàn)證，并對(duì)更新進(jìn)行記錄。

自主保護(hù)：a)、b)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)

6.5.2身份鑒別應(yīng)包括：

a)應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)應(yīng)具有唯一性，鑒別信息應(yīng)滿足復(fù)雜度要求

并定期更換，標(biāo)識(shí)和鑒別應(yīng)在所有系統(tǒng)接口上執(zhí)行；

b)所有用戶到角色的映射和訪問(wèn)授權(quán)，應(yīng)根據(jù)適用的安全策略和規(guī)程實(shí)施職責(zé)的分離，并遵循

最小權(quán)限原則；

c)應(yīng)提供并啟用登錄失敗處理功能，多次登錄失敗后應(yīng)采取必要的保護(hù)措施；

d)應(yīng)強(qiáng)制用戶首次登錄時(shí)修改初始口令，口令設(shè)置應(yīng)具備對(duì)最小長(zhǎng)度、多字符類型組合等通用

原則的校驗(yàn)功能，未達(dá)到強(qiáng)度要求的口令設(shè)置不能生效；對(duì)口令設(shè)置可能對(duì)系統(tǒng)的實(shí)時(shí)性產(chǎn)

生影響，進(jìn)而影響到系統(tǒng)正常操作的，應(yīng)采用其他身份鑒別手段替代或通過(guò)管理手段進(jìn)行彌

補(bǔ)；

e)應(yīng)防止任何已有的用戶賬戶重復(fù)使用同一批口令，并對(duì)用戶口令最大和最小有效期進(jìn)行限

制，以符合一般公認(rèn)的安全產(chǎn)業(yè)的實(shí)踐要求；

f)應(yīng)在可配置時(shí)間周期內(nèi)，對(duì)連續(xù)無(wú)效的訪問(wèn)嘗試進(jìn)行可配置次數(shù)限制；

g)當(dāng)無(wú)效訪問(wèn)次數(shù)超出限制后，應(yīng)進(jìn)行報(bào)警；對(duì)于代表關(guān)鍵服務(wù)或者服務(wù)器運(yùn)行的系統(tǒng)賬戶，

應(yīng)不允許交互式登錄。

h)應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別。

i)用戶身份鑒別信息丟失或失效時(shí)，應(yīng)采用鑒別信息重置或其他技術(shù)措施保證系統(tǒng)

安全；

自主保護(hù)：a)、b)、c)、f)指導(dǎo)保護(hù)：a)、b)、c)、d)、監(jiān)督保護(hù)：a)、b)、c)、d)、

f)、h)、i）e)、f)、g)、h)、i)

6.5.3訪問(wèn)控制應(yīng)包括：

a)應(yīng)提供訪問(wèn)控制功能，對(duì)登錄的用戶分配賬號(hào)和權(quán)限；

b)應(yīng)具備默認(rèn)賬號(hào)重命名或賬號(hào)默認(rèn)口令修改的管控機(jī)制，禁止在工程師站、操作員站、服務(wù)

器使用默認(rèn)賬戶；

c)應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬號(hào)，避免共享賬號(hào)的存在；

d)系統(tǒng)賬號(hào)權(quán)限的授予應(yīng)遵循最小化原則，授權(quán)應(yīng)僅以完成其自身任務(wù)為限，并在不同角色的

賬戶之間形成相互制約的關(guān)系；

15

XX/TXXXXX—XXXX

e)應(yīng)對(duì)敏感信息資源設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記的信息資源的訪問(wèn)；

f)應(yīng)能支持授權(quán)用戶管理所有賬戶，包括添加、激活、修改、禁用和刪除賬戶；

g)應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；

h)訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)、記錄或字段級(jí)；

i)應(yīng)支持統(tǒng)一賬戶管理；

j)應(yīng)通過(guò)手動(dòng)或在一個(gè)可配置的非活動(dòng)周期后自動(dòng)啟動(dòng)會(huì)話鎖定操作，以防止對(duì)系統(tǒng)的進(jìn)一步

訪問(wèn)；會(huì)話鎖定應(yīng)一直保持有效，直到擁有會(huì)話權(quán)限的用戶或被授權(quán)的其他用戶使用適當(dāng)?shù)?/p>

身份標(biāo)識(shí)和鑒別規(guī)程重新建立訪問(wèn)；可能對(duì)實(shí)時(shí)性產(chǎn)生影響進(jìn)而影響到系統(tǒng)正常操作的，應(yīng)

采用其他替代安全手段或通過(guò)管理手段來(lái)進(jìn)行彌補(bǔ)；

k)對(duì)于所有接口，應(yīng)根據(jù)職責(zé)分離和最小權(quán)限原則為所有用戶分配訪問(wèn)授權(quán)。

自主保護(hù)：a)、b)、c)、f)、指導(dǎo)保護(hù)：a)、b)、c)、d)、監(jiān)督保護(hù)：a)、b)、c)、d)、

g)、k)f)、g)、h)、j)e)、f)、g)、h)、i)、j）

6.5.4可信驗(yàn)證應(yīng)包括：

a)可基于可信根對(duì)應(yīng)用程序進(jìn)行可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警；

b)可信驗(yàn)證結(jié)果應(yīng)形成審計(jì)記錄送至安全管理中心；

c)在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)應(yīng)進(jìn)行動(dòng)態(tài)可信驗(yàn)證。

自主保護(hù)：a)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)、c)

6.5.5安全審計(jì)應(yīng)包括：

d)應(yīng)啟用安全審計(jì)功能，審計(jì)應(yīng)覆蓋每個(gè)用戶，審計(jì)的內(nèi)容包括：訪問(wèn)控制、請(qǐng)求錯(cuò)誤、控制

系統(tǒng)事件、備份和恢復(fù)事件、配置改變和審計(jì)日志事件；

e)審計(jì)記錄應(yīng)包括時(shí)間戳、來(lái)源（源設(shè)備、軟件進(jìn)程或人員賬戶）、類型、事件ID和事件結(jié)果

及其他與審計(jì)相關(guān)的信息；

f)應(yīng)保護(hù)審計(jì)信息和審計(jì)工具（如果有），防止其在未授權(quán)情況下被獲取、修改和刪除；

g)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷；

h)審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生，且具備可配置的頻率，以確保

審計(jì)分析的正確性；

i)應(yīng)能夠?yàn)榧袑徲?jì)管理提供接口，提供編程訪問(wèn)審計(jì)記錄的能力；

j)應(yīng)向授權(quán)人員和/或工具提供以只讀的方式訪問(wèn)審計(jì)日志。

自主保護(hù)：a)、b)、g)指導(dǎo)保護(hù)：a)、b)、c)、g)監(jiān)督保護(hù)：a)、b)、c)、d)、e)、

f)、g)

6.5.6軟件容錯(cuò)應(yīng)包括：

a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)

定的要求；

b)在故障發(fā)生時(shí)，應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?/p>

c)應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，以保證系統(tǒng)能夠進(jìn)行恢復(fù)。

16

XX/TXXXXX—XXXX

自主保護(hù)：a)指導(dǎo)保護(hù)：a)、b)、c)監(jiān)督保護(hù)：a)、b)、c)

6.5.7資源控制應(yīng)包括：

a)當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；

b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；

c)應(yīng)能夠?qū)蝹€(gè)賬號(hào)的多重并發(fā)會(huì)話進(jìn)行限制；

d)應(yīng)能夠?qū)Σl(fā)進(jìn)程的每個(gè)進(jìn)程所占用資源的最大限額進(jìn)行分配。

自主保護(hù)：c)指導(dǎo)保護(hù)：a)、b)、c)、d)監(jiān)督保護(hù)：a)、b)、c)、d)

6.5.8數(shù)據(jù)完整性應(yīng)包括：

a)應(yīng)采用加解密、校驗(yàn)碼或同等的安全技術(shù)手段，保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性；

b)應(yīng)采用加解密、校驗(yàn)碼或同等的安全技術(shù)手段，保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性；

c)應(yīng)具備檢測(cè)、記錄和報(bào)告機(jī)制，防止對(duì)軟件和信息的未經(jīng)授權(quán)更改；

d)在完整性驗(yàn)證過(guò)程中如發(fā)現(xiàn)差異，應(yīng)提供自動(dòng)化工具通知給一組可配置的接收者；

e)應(yīng)對(duì)發(fā)電廠監(jiān)控系統(tǒng)的輸入或直接影響控制系統(tǒng)動(dòng)作的輸入內(nèi)容和語(yǔ)法的合法性進(jìn)行校驗(yàn)；

f)對(duì)于采用工業(yè)無(wú)線或現(xiàn)場(chǎng)總線網(wǎng)絡(luò)通信的聯(lián)網(wǎng)設(shè)備，應(yīng)保護(hù)其傳輸信息的完整性。

g)對(duì)于采用工業(yè)無(wú)線或現(xiàn)場(chǎng)總線網(wǎng)絡(luò)通信的聯(lián)網(wǎng)設(shè)備，應(yīng)能使用密碼學(xué)機(jī)制識(shí)別信息在通信過(guò)

程中是否被篡改。

自主保護(hù)：a)、c)、e)、f)指導(dǎo)保護(hù)：a)、c)、e)、f)監(jiān)督保護(hù)：a)、b)、c)、d)、

e)、f)、g)

6.5.9數(shù)據(jù)保密性應(yīng)包括：

a)無(wú)論在信息存儲(chǔ)或傳輸時(shí)，都應(yīng)對(duì)有明確的讀權(quán)限的信息提供保密性保護(hù)；

b)在進(jìn)行加密時(shí)，應(yīng)按照國(guó)家相關(guān)保密部門的要求采用合適的加密算法、密鑰長(zhǎng)度和密鑰管理

機(jī)制；

c)應(yīng)支持國(guó)家密碼管理部門批準(zhǔn)使用的密碼算法，使用國(guó)家密碼管理部門認(rèn)證核準(zhǔn)的密碼產(chǎn)

品，遵循與密碼相關(guān)的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；

d)當(dāng)信息穿過(guò)任何安全域邊界時(shí)，應(yīng)保證保密性。

自主保護(hù)：a)、b)指導(dǎo)保護(hù)：a)、b)監(jiān)督保護(hù)：a)、b)、c)、d)

6.5.10數(shù)據(jù)備份和恢復(fù)應(yīng)包括：

a)應(yīng)提供重要數(shù)據(jù)的本地備份與恢復(fù)功能；

b)應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地；

c)應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，以保證系統(tǒng)的高可用性；

d)對(duì)于包括采用工業(yè)無(wú)線或現(xiàn)場(chǎng)總線網(wǎng)絡(luò)通信在內(nèi)的設(shè)備，應(yīng)在不影響正常設(shè)備使用的前提

下，識(shí)別和定位關(guān)鍵文件，以及備份用戶級(jí)和系統(tǒng)級(jí)的信息（包括系統(tǒng)狀態(tài)信息）；

e)對(duì)于包括采用工業(yè)無(wú)線或現(xiàn)場(chǎng)總線網(wǎng)絡(luò)通信在內(nèi)的設(shè)備，應(yīng)提供備份機(jī)制的可靠性驗(yàn)證能

力；

f)應(yīng)具備可配置頻率的自動(dòng)備份能力；

17

XX/TXXXXX—XXX