《發(fā)電廠監(jiān)控系統(tǒng)信息安全防護技術(shù)規(guī)范》

ICS17.100

F30

DL

中華人民共和國電力行業(yè)標準

XX/TXXXXX—XXXX

發(fā)電廠監(jiān)控系統(tǒng)信息安全防護技術(shù)規(guī)范

Technicalspecificationforinformationsecurityprotectionofpowerplant

monitoringsystem

點擊此處添加與國際標準一致性程度的標識

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

發(fā)布

XX/TXXXXX—XXXX

I

XX/TXXXXX—XXXX

發(fā)電廠監(jiān)控系統(tǒng)信息安全防護技術(shù)規(guī)范

1范圍

本標準規(guī)范了發(fā)電廠監(jiān)控系統(tǒng)信息安全防護的技術(shù)條件。

本標準適用于燃煤、燃氣、水力、風力、光伏發(fā)電廠監(jiān)控系統(tǒng)信息安全防護工作的技術(shù)指導。

2規(guī)范性引用文件

本標準引用下列文件或其中的條款。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是

不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求

GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全保護等級定級指南

GB/T20984-2007信息安全技術(shù)信息系統(tǒng)安全風險評估規(guī)范

GB/T25069-2010信息安全技術(shù)_術(shù)語

GB/T26863-2011火電站監(jiān)控系統(tǒng)術(shù)語（參考術(shù)語）

GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分:評估規(guī)范

GB/T30976.2-2014工業(yè)控制系統(tǒng)信息安全第2部分:驗收規(guī)范

GB/T32919-2016信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應用指南

GB5060-2011大中型火力發(fā)電廠設計規(guī)范

GB/T33008.1-2016工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全可編程序控制器(PLC)第1部分:系統(tǒng)要求

GB/T33009.1-2016工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全集散控制系統(tǒng)(DCS)第1部分:防護要求

GB/T33009.2-2016工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全集散控制系統(tǒng)(DCS)第2部分:管理要求

GB/T33009.3-2016工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全集散控制系統(tǒng)(DCS)第3部分:評估指南

GB/T33009.4-2016工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全集散控制系統(tǒng)(DCS)第4部分:風險與脆弱性

檢測要求

3術(shù)語和定義

GB/T7721和JJG195界定的以及下列術(shù)語和定義適用于本標準。為了便于使用，以下重復列出了

這些標準中的一些術(shù)語和定義。

3.1

發(fā)電廠監(jiān)控系統(tǒng)powerplantmonitoringandcontrolsystem

用于監(jiān)視和控制發(fā)電廠生產(chǎn)過程、基于計算機及網(wǎng)絡技術(shù)的業(yè)務系統(tǒng)及智能設備，以及作為基礎支

撐的通信及數(shù)據(jù)網(wǎng)絡等，包括發(fā)電廠的主控制系統(tǒng)、外圍輔助控制系統(tǒng)、控制區(qū)電氣二次系統(tǒng)、現(xiàn)場總

線設備與智能化儀表等控制區(qū)實時系統(tǒng)，以及廠級監(jiān)控信息系統(tǒng)等非控制區(qū)監(jiān)控系統(tǒng)。

3.2

1

XX/TXXXXX—XXXX

生產(chǎn)控制大區(qū)productioncontrolzone

由具有數(shù)據(jù)采集與控制功能、縱向聯(lián)接使用專用網(wǎng)絡或?qū)Ｓ猛ǖ赖碾娏ΡO(jiān)控系統(tǒng)構(gòu)成的安全區(qū)域。

3.3

控制區(qū)controlsubzone

由具有實時監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或者專用通道的各業(yè)務系統(tǒng)構(gòu)成的

安全區(qū)域。

3.4

非控制區(qū)non-controlsubzone

在生產(chǎn)控制范圍內(nèi)由在線運行但不直接參與控制、是電力生產(chǎn)過程的必要環(huán)節(jié)、縱向聯(lián)接使用電力

調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各業(yè)務系統(tǒng)構(gòu)成的安全區(qū)域。

3.5

主控制系統(tǒng)maincontrolsystems

對發(fā)電廠發(fā)電過程實施集中或分布式控制的主要監(jiān)控系統(tǒng)、獨立控制裝置與智能儀表等，主要包括

火電廠單元機組的分散控制系統(tǒng)與可編程控制器系統(tǒng)、水電廠集中監(jiān)控系統(tǒng)、梯級水電站調(diào)度監(jiān)控系統(tǒng)、

風電場監(jiān)控系統(tǒng)、光伏電站運行監(jiān)控系統(tǒng)等。。

3.6

輔助控制系統(tǒng)auxiliarycontrolsystems

對發(fā)電廠全廠公用的外圍輔助設備系統(tǒng)進行控制的監(jiān)控系統(tǒng)、獨立控制裝置與智能儀表等，主要包

括燃煤電廠外圍公用的水、煤、灰控制系統(tǒng)、燃機電廠的全廠BOP控制系統(tǒng)、火警探測系統(tǒng)、以及其他

電廠的全廠輔助設備的相關(guān)控制系統(tǒng)等

3.7

控制區(qū)電氣二次系統(tǒng)electricsecondarysystemsincontrolsubzone

對發(fā)電廠電氣設備與發(fā)電機實施保護、測控與調(diào)度的自動化系統(tǒng)與設備，主要包括升壓站監(jiān)控系統(tǒng)、

AGC及AVC系統(tǒng)、發(fā)電機勵磁系統(tǒng)、五防監(jiān)控系統(tǒng)、繼電保護及安全自動化裝置、相量測量裝置等。

3.8

非控制區(qū)監(jiān)控系統(tǒng)real-timesystemsinnon-controlsubzone

對發(fā)電廠運行參數(shù)與監(jiān)控信息進行在線監(jiān)測分析但不直接參與控制的系統(tǒng)，主要包括火電廠廠級監(jiān)

控信息系統(tǒng)、梯級水庫調(diào)度自動化系統(tǒng)、水情自動測報系統(tǒng)、水電廠水庫調(diào)度自動化系統(tǒng)、光功率預測

系統(tǒng)、風功率預測系統(tǒng)、電能量采集裝置、電力市場報價終端、故障錄波裝置及信息管理終端等

3.9

威脅threat

能夠通過未授權(quán)訪問、毀壞、揭露、數(shù)據(jù)修改和/或拒絕服務對系統(tǒng)造成潛在危害的任何環(huán)境或事

件。

3.10

脆弱性vulnerability

在信息系統(tǒng)、系統(tǒng)安全程序、管理控制、物理設計、內(nèi)部控制或?qū)崿F(xiàn)中的，可能被攻擊者利用來獲

得未授權(quán)的信息或破壞關(guān)鍵處理的弱點。

3.11

2

XX/TXXXXX—XXXX

身份鑒別identityauthentication

驗證實體所聲稱的身份。

3.12

訪問控制accesscontrol

防止對資源的未授權(quán)使用，包括防止以未授權(quán)方式使用某一資源。

3.13

安全審計securityaudit

為了測試出系統(tǒng)的安全控制是否足夠，為了保證與已建立的策略和操作堆積相符合，為了發(fā)現(xiàn)安全

中的漏洞，以及為了建議在控制、策略和堆積中做任何指定的改變，而對系統(tǒng)記錄與活動進行的獨立觀

察和考核。

4縮略語

下列縮略語適用于本文件。

BPCBypasscontrolsystem旁路控制系統(tǒng)

DCSDistributedControlSystem分散控制系統(tǒng)

DEHDigitalElectricHydraulicControlSystem數(shù)字電液控制系統(tǒng)

ETSEmergencytripsystem汽輪機跳閘保護系統(tǒng)

FSSSFurnacesafeguardsupervisorysystem爐膛安全監(jiān)控系統(tǒng)

HMIHuman-MachineInterface人機接口

ICSIndustrialControlSystem工業(yè)控制系統(tǒng)

NCSNetworkcomputerizedmonitoringandcontrolsystem網(wǎng)絡監(jiān)控系統(tǒng)

OCSOptimizedControlSystem優(yōu)化控制系統(tǒng)

PCUProcessControlUnit過程控制單元

PLCProgrammableLogicController可編程邏輯控制器

PMUPhasormeasurementunit相量測量單元

RTURemoteTerminalUnit遠程終端單元

SISSupervisoryInformationSystemForPlantLevel廠級監(jiān)控信息系統(tǒng)

TCSTurbineControlSystem汽輪機控制系統(tǒng)

TSITurbinesupervisoryinstruments汽輪機監(jiān)視儀表

5監(jiān)控系統(tǒng)信息安全基本要求

5.1發(fā)電廠監(jiān)控系統(tǒng)范圍

發(fā)電廠監(jiān)控系統(tǒng)應包括主控制系統(tǒng)、輔助控制系統(tǒng)、控制區(qū)電氣二次系統(tǒng)和非控制區(qū)監(jiān)控系統(tǒng)等。

發(fā)電廠監(jiān)控系統(tǒng)的主要類型包括：分散控制系統(tǒng)（DCS、DEH、TCS等）、獨立監(jiān)測控制系統(tǒng)（ETS、BPC、

TSI、FSSS、OCS等）、就地設備控制系統(tǒng)、智能儀表、調(diào)度自動化系統(tǒng)（NCS、RTU、PMU等）、繼電保

護裝置、廠級監(jiān)控信息系統(tǒng)（SIS）和資源預測預報系統(tǒng)等。

火電廠和水電廠在控制區(qū)（安全Ⅰ區(qū)）主要包括以下業(yè)務系統(tǒng)和功能模塊：火電機組分散控制系統(tǒng)

（DCS）、火電機組輔機控制系統(tǒng)、自動發(fā)電控制系統(tǒng)（AGC）、自動電壓控制系統(tǒng)（AVC）、火電廠廠

級信息監(jiān)控系統(tǒng)（SIS）的監(jiān)控功能、水電廠集中監(jiān)控系統(tǒng)、梯級調(diào)度監(jiān)控系統(tǒng)、網(wǎng)控系統(tǒng)、相量測量

3

XX/TXXXXX—XXXX

裝置（PMU）、繼電保護、各種控制裝置（調(diào)速系統(tǒng)、勵磁系統(tǒng)、快關(guān)汽門裝置等）和五防系統(tǒng)等。在

非控制區(qū)（安全Ⅱ區(qū)）主要包括以下業(yè)務系統(tǒng)和功能模塊：火電廠廠級信息監(jiān)控系統(tǒng)（SIS）的優(yōu)化功

能、梯級水庫調(diào)度自動化系統(tǒng)、水情自動測報系統(tǒng)、水電廠水庫調(diào)度自動化系統(tǒng)、電能量采集裝置、電

力市場報價終端和故障錄波管理終端等。

風電場在控制區(qū)主要包括以下業(yè)務系統(tǒng)和功能模塊：風電場監(jiān)控系統(tǒng)、無功電壓控制、發(fā)電功率控

制、升壓站監(jiān)控系統(tǒng)、繼電保護和相量測量裝置（PMU）等。在非控制區(qū)（安全Ⅱ區(qū)）主要包括以下業(yè)

務系統(tǒng)和功能模塊：風功率預測系統(tǒng)、狀態(tài)監(jiān)測系統(tǒng)、電能量采集裝置和故障錄波裝置等。

光伏電站在控制區(qū)主要包括以下業(yè)務系統(tǒng)和功能模塊：光伏電站運行監(jiān)控系統(tǒng)、無功電壓控制、發(fā)

電功率控制、升壓站監(jiān)控系統(tǒng)和繼電保護等。在非控制區(qū)（安全Ⅱ區(qū)）主要包括以下業(yè)務系統(tǒng)和功能模

塊：光功率預測系統(tǒng)、電能量采集裝置和故障錄波裝置等。

燃機電廠在控制區(qū)主要包括以下業(yè)務系統(tǒng)和功能模塊：燃機電廠廠級分散控制系統(tǒng)（DCS）、燃氣

輪機控制系統(tǒng)（TCS）、廠級信息監(jiān)控系統(tǒng)（SIS）的監(jiān)控功能、自動發(fā)電控制系統(tǒng)（AGC）、自動電壓

控制系統(tǒng)（AVC）、相量測量裝置（PMU）、火警探測系統(tǒng)、升壓站監(jiān)控系統(tǒng)和繼電保護等。在非控制區(qū)

（安全Ⅱ區(qū)）主要包括以下業(yè)務系統(tǒng)和功能模塊：廠級信息監(jiān)控系統(tǒng)（SIS）的優(yōu)化功能、電能量采集

裝置和故障錄波裝置等。

5.2潛在的脆弱性及主要威脅

發(fā)電廠監(jiān)控系統(tǒng)潛在的脆弱性及面臨的主要威脅，隨著時間的推移和系統(tǒng)研發(fā)技術(shù)、信息安全攻防

技術(shù)的變化和更新始終會有新的發(fā)現(xiàn)。一般來講，發(fā)電廠監(jiān)控系統(tǒng)的脆弱性都可以歸為策略管理類、平

臺類和網(wǎng)絡類，當然也可能有一些特殊的脆弱性，不包括這三類之中。而發(fā)電廠所面臨的威脅也源自各

個方面，主要來源可分為兩類,一類是對抗性來源，另一類是自然來源。其中自然來源主要源自：系統(tǒng)

的復雜性、人為的錯誤、意外事故、設備故障和自然災害，他們屬于傳統(tǒng)的生產(chǎn)安全范疇。

5.2.1潛在的脆弱性

5.2.1.1策略管理類脆弱性,主要是由于企業(yè)安全策略及管理程序不完整、不適合或缺失所致。常見的

脆弱性包括：

a)監(jiān)控系統(tǒng)安全策略不當；員工安全培訓和意識不足；

b)安全架構(gòu)和設計不足；

c)對于監(jiān)控系統(tǒng)沒有明確的；

d)書面的安全策略和管理文件；

e)安全措施的保障機制缺失；

f)監(jiān)控系統(tǒng)缺乏安全審計機制；

g)缺乏實用的應急響應預案或預案缺乏演練；

h)缺乏明確配置變更管理機制或管理不到位。

5.2.1.2平臺類的脆弱性主要包括但不限于以下方面：

a)平臺配置方面的典型脆弱性主要有：系統(tǒng)漏洞被發(fā)現(xiàn)后，系統(tǒng)廠商沒有及時開發(fā)相應的補??；

漏洞補丁不能及時安裝；漏洞補丁缺乏廣泛而有效的測試；系統(tǒng)使用廠家的缺省配置；關(guān)鍵配

置文件沒有可靠的備份；沒有有效的訪問控制策略；密碼策略設置不當、沒有密碼或密碼不當。

b)平臺硬件方面的典型脆弱性主要有：安全環(huán)境變更時沒有充分的測試；未授權(quán)用戶可接觸設備；

允許遠程訪問；雙網(wǎng)卡跨接不同的網(wǎng)絡環(huán)境；未注冊設備；使用無線傳輸?shù)脑O備；關(guān)鍵設備無

冗余；關(guān)鍵設備無備用電源。

c)平臺軟件方面的脆弱性主要有：使用不安全的協(xié)議；采用明文傳輸；開啟不必要的服務；存在

緩沖區(qū)溢出的可能；自身的安全功能未開啟；無日志或日志維護不當。

4

XX/TXXXXX—XXXX

d)惡意軟件防護方面的脆弱性主要有：未安裝防惡意軟件的工具；防惡意軟件的工具的版本或特

征庫為更新；防惡意軟件的工具安全前未進行有效的廣泛測試。

5.2.1.3網(wǎng)絡方面的脆弱性主要包括但不限于以下方面：

a)網(wǎng)絡配置脆弱性主要有：網(wǎng)絡安全架構(gòu)的脆弱性；為實施數(shù)據(jù)流控制；安全設備配置不當；網(wǎng)

絡設備配置文件保存不當；網(wǎng)絡設備密碼修改周期過長；訪問控制措施不充分。

b)網(wǎng)絡硬件脆弱性主要有：網(wǎng)絡設備物理防護不足；不安全的物理接口；物理環(huán)境控制缺失；非

授權(quán)人員對設備和網(wǎng)絡連接的訪問；關(guān)鍵網(wǎng)絡設備沒有冗余備份措施。

c)網(wǎng)絡邊界脆弱性主要有：未定義網(wǎng)絡邊界；邊界未安裝適當?shù)姆雷o設備或設備的防護策略配置

不當；專網(wǎng)中存在非法流量；專網(wǎng)運行非專用的協(xié)議和應用。

d)網(wǎng)絡監(jiān)控和日志方面的脆弱性主要有：網(wǎng)絡設備和安全設備未開啟日志或日志保存不當；沒有

安裝信息安全監(jiān)控系統(tǒng)或監(jiān)控設備。

e)網(wǎng)絡通信方面的脆弱性主要有：采用未加密的通用的協(xié)議；未識別關(guān)鍵監(jiān)測點和控制路徑；用

戶、數(shù)據(jù)與設備的認證手段不足；網(wǎng)絡通信數(shù)據(jù)完整性校驗不足。

f)無線連接的脆弱性主要有：無線客戶端和接入點的認證措施不足；無線客戶端和接入點的傳輸

保護措施不足。

5.2.2面臨的主要威脅

5.2.2.1發(fā)電廠監(jiān)控系統(tǒng)面臨的主要自然威脅來源，屬于傳統(tǒng)的生產(chǎn)安全范疇。

5.2.2.2發(fā)電廠監(jiān)控系統(tǒng)面臨的對抗性威脅來源則主要來自：敵對的國家、犯罪集團、工業(yè)間諜、惡

意攻擊的黑客和心懷不滿的員工：

a)敵對的國家：國家情報部門將網(wǎng)絡滲透工具作為情報收集和開展間諜活動的重要手段。一些國

家正在積極地發(fā)展信息戰(zhàn)學說，建立網(wǎng)絡戰(zhàn)能力，從事網(wǎng)絡戰(zhàn)實踐。

b)犯罪集團：一般性的犯罪集團，利用網(wǎng)絡攻擊來獲取經(jīng)濟利益?？植婪肿觿t利用網(wǎng)絡來破壞國

家的關(guān)鍵基礎設施，通過造成經(jīng)濟損失和人員的傷亡來威脅國家安全。

c)工業(yè)間諜：利用網(wǎng)絡秘密獲取知識產(chǎn)權(quán)和技術(shù)秘密，目的是打擊競爭對手和獲取經(jīng)濟利益。

d)惡意攻擊的黑客：掌握了網(wǎng)絡滲透能力的個人或組織，通過制作、使用和擴散惡意軟件和間諜

軟件對用戶形成威脅，他們的動機各不相同。

e)心懷不滿的內(nèi)部員工：內(nèi)部人員因為他們對目標系統(tǒng)的了解，往往使他們能夠不受限制地訪問

系統(tǒng)。所以他們?nèi)绻獙ο到y(tǒng)造成損害或竊取系統(tǒng)數(shù)據(jù)，往往并不需要大量的計算機入侵知識。

5.3等級保護

發(fā)電廠監(jiān)控系統(tǒng)實行國家網(wǎng)絡安全等級保護制度，信息安全防護應滿足信息安全等級保護的相關(guān)要

求。發(fā)電廠信息安全等級保護堅持自主定級、自主保護的原則，根據(jù)不同安全區(qū)域的安全防護要求，確

定其安全等級和防護水平，從物理和環(huán)境、網(wǎng)絡和通信、設備和計算、應用和數(shù)據(jù)等層面進行安全防護。

發(fā)電廠應按照《信息安全等級保護管理辦法》《信息系統(tǒng)安全等級保護實施指南》（GB/T25058-2010）

具體實施等級保護工作。發(fā)電廠監(jiān)控系統(tǒng)的定級，可參考《信息系統(tǒng)安全等級保護定級指南》（BG/T

22240-2008）和《電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見》（電監(jiān)信息[2007]44號）進行?！半?/p>

力行業(yè)重要信息系統(tǒng)安全等級保護定級建議”參見附錄A，其中三級系統(tǒng)實行監(jiān)督保護、二級系統(tǒng)實行

指導保護，其中未涉及的其他系統(tǒng)實行自主保護。

（注：本節(jié)依據(jù)國家能源局關(guān)于印發(fā)《電力行業(yè)信息安全等級保護管理辦法》的通知（國能安全

[2014]318號）

5.4關(guān)鍵信息基礎設施安全保護

5

XX/TXXXXX—XXXX

關(guān)鍵信息基礎設施是指面向公眾提供網(wǎng)絡信息服務或支撐能源、通信、金融、交通、公共事業(yè)等重

要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，且這些系統(tǒng)一旦發(fā)生網(wǎng)絡安全事故，會影響重要行業(yè)正常運行，

對國家政治、經(jīng)濟、科技、社會、文化、國防、環(huán)境以及人民生命財產(chǎn)造成嚴重損失。

關(guān)鍵信息基礎設施的確定，首先是確定關(guān)鍵業(yè)務；其次是確定支撐關(guān)鍵業(yè)務的信息系統(tǒng)或工業(yè)控制

系統(tǒng)；三是根據(jù)關(guān)鍵業(yè)務對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網(wǎng)絡安全事件后可

能造成的損失來加以確定。根據(jù)一般的工控信息安全工作實踐，電力生產(chǎn)的發(fā)電、輸電、變電和配電等

環(huán)節(jié)均被認定為關(guān)鍵業(yè)務，其相應的設備和設施也應被認定為關(guān)鍵信息基礎設施。監(jiān)控系統(tǒng)作為發(fā)電生

產(chǎn)自動化的核心系統(tǒng)，其信息安全防護工作應滿足國家對關(guān)鍵信息基礎設施的安全保護要求。

（注：本節(jié)依據(jù)《中央網(wǎng)絡安全和信息化領(lǐng)導小組辦公室關(guān)于開展關(guān)鍵信息基礎設施網(wǎng)絡安全檢查

的通知》(中網(wǎng)辦發(fā)文〔2016〕3號)）

5.5信息安全防護基本原則

發(fā)電廠工控網(wǎng)絡與信息系統(tǒng)的安全防護總體原則為“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”。

安全防護主要針對用于監(jiān)視和控制電力生產(chǎn)及供應過程的、基于計算機及網(wǎng)絡技術(shù)的業(yè)務系統(tǒng)及智能設

備，以及作為基礎支撐的通信及數(shù)據(jù)網(wǎng)絡。通過將發(fā)電廠業(yè)務系統(tǒng)根據(jù)不同的功能特性劃分為不同的安

全區(qū)域，重點強化邊界的安全防護，同時加強區(qū)域內(nèi)部的物理、網(wǎng)絡、主機、應用和數(shù)據(jù)安全，加強安

全管理制度、機構(gòu)、人員、系統(tǒng)建設、系統(tǒng)運維的管理，提高系統(tǒng)整體安全防護能力，保證發(fā)電廠業(yè)務

系統(tǒng)及重要數(shù)據(jù)的安全，提高機組運行可靠性和安全經(jīng)濟性。

發(fā)電廠監(jiān)控系統(tǒng)的分區(qū)結(jié)構(gòu)與邊界防護應滿足如圖5.1的基本形式，發(fā)電廠監(jiān)控系統(tǒng)與企業(yè)的管理

信息系統(tǒng)進行單向通信，采用物理隔離方式保證邊界安全。

圖5.1發(fā)電廠監(jiān)控系統(tǒng)分區(qū)結(jié)構(gòu)與邊界防護示意圖

5.5.1安全分區(qū)

發(fā)電廠網(wǎng)絡與信息系統(tǒng)按業(yè)務功能劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，發(fā)電廠監(jiān)控系統(tǒng)屬于生產(chǎn)

控制大區(qū)，并根據(jù)監(jiān)控系統(tǒng)的重要性和對電力系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)（安全區(qū)Ⅰ）

及非控制區(qū)（安全區(qū)Ⅱ）。生產(chǎn)控制大區(qū)內(nèi)個別業(yè)務系統(tǒng)或其功能模塊（或子系統(tǒng)）需要使用公用通信

網(wǎng)絡、無線通信網(wǎng)絡以及處于非可控狀態(tài)下的網(wǎng)絡設備與終端等進行通信時，應設立安全接入?yún)^(qū)。

5.5.2網(wǎng)絡專用

電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務的專用數(shù)據(jù)網(wǎng)絡，發(fā)電廠端的電力調(diào)度數(shù)據(jù)網(wǎng)應當在專用通

6

XX/TXXXXX—XXXX

道上使用獨立的網(wǎng)絡設備組網(wǎng)，在物理層面上實現(xiàn)與電廠其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)絡的安全隔離。

發(fā)電廠端的電力調(diào)度數(shù)據(jù)網(wǎng)應當劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制

區(qū)。

5.5.3橫向隔離

橫向隔離是安全防護體系的橫向防線，生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門

檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應接近或達到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安

全區(qū)之間應當采用具有訪問控制功能的網(wǎng)絡設備、防火墻或者相當功能的設施，實現(xiàn)邏輯隔離。安全接

入?yún)^(qū)與生產(chǎn)控制大區(qū)中的其他部分的聯(lián)接處必須設置經(jīng)國家指定部門檢測認證的電力專用橫向安全隔

離裝置。

5.5.4縱向認證

縱向加密認證是安全防護體系的縱向防線。電廠生產(chǎn)控制大區(qū)系統(tǒng)與調(diào)度端系統(tǒng)通過電力調(diào)度數(shù)據(jù)

網(wǎng)進行遠程通信時，應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)

關(guān)及相應設施。

6監(jiān)控系統(tǒng)信息安全技術(shù)要求

6.1物理安全

6.1.1物理位置的選擇應滿足：

a)機房場地應選擇在具有防震、防塵和防雨等能力的建筑內(nèi)；

b)機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施；

c)機房外安裝的設備應符合發(fā)電行業(yè)相關(guān)標準對所選用設備使用的物理和環(huán)境的要求。

自主保護：c)指導保護：c)監(jiān)督保護：a)、b)、c)

6.1.2電源系統(tǒng)安全應包括：

a)應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；

b)應為機房提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求。

自主保護：a)指導保護：a)監(jiān)督保護：a)、b)

6.1.3溫濕度控制應包括：

a)機房應設置溫濕度自動調(diào)節(jié)設施，使機房溫濕度的變化在設備運行所允許的范圍之內(nèi)；

b)機房外安裝的設備應符合發(fā)電行業(yè)相關(guān)標準對所應用的物理和環(huán)境的要求。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)

6.1.4防火應包括：

a)機房應設置相應的滅火設備；

b)機房應設置火災報警消防系統(tǒng)，能夠檢測火情、報警，并滅火。

7

XX/TXXXXX—XXXX

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)

6.1.5防水和防潮應包括：

a)水管安裝，不得穿過機房屋頂和活動地板下；

b)機房窗戶、屋頂和墻壁應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；

c)機房應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；

d)機房應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警；

e)機房外安裝的設備應符合發(fā)電行業(yè)相關(guān)標準對其所選用設備使用的物理和環(huán)境的要求。

自主保護：a)、b)、c)、e)指導保護：a)、b)、c)、e)監(jiān)督保護：a)、b)、c)、d)、e)

6.1.6防雷與電磁防護應包括：

應將各類機柜、設施和設備等通過接地系統(tǒng)安全接地，接地電阻應滿足相關(guān)標準的要求。

6.1.7電磁防護應包括：

應符合發(fā)電行業(yè)相關(guān)標準對其所選用設備使用的物理和環(huán)境的要求。

6.1.8防靜電應包括：

a)機房應安裝防靜電地板或采用必要的接地等防靜電措施；

b)機房外安裝的設備應符合發(fā)電行業(yè)相關(guān)標準對所應用的物理和環(huán)境的要求。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)

6.1.9防盜和防外力破壞應包括：

a)應將設備或主要部件進行固定；

b)應對通信線纜實施防護，如：可鋪設在地下或管道中。

自主保護：a)指導保護：a)監(jiān)督保護：a)、b)

6.1.10物理訪問控制應包括：

a)進入安全區(qū)域邊界有明確的防止非授權(quán)人員接觸的提示標志；

b)有防止非授權(quán)人員進入的物理措施（如，柵欄）；

c)有身份識別機制手段（如，門禁、視頻監(jiān)視等）或?qū)Ｈ酥凳亍?/p>

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)、c)

6.2邊界安全

6.2.1邊界安全要求應包括：

a)在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單

向安全隔離裝置，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡服務；

b)在與電力調(diào)度數(shù)據(jù)網(wǎng)等廣域網(wǎng)的縱向聯(lián)接處，應當設置經(jīng)過國家指定部門檢測認證的電力專

8

XX/TXXXXX—XXXX

用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應設施；

c)使用無線通信網(wǎng)、非電力調(diào)度數(shù)據(jù)網(wǎng)或者外部公用數(shù)據(jù)網(wǎng)的虛擬專用網(wǎng)（VPN）等進行通信

的，應當設立“安全接入?yún)^(qū)”；

d)生產(chǎn)控制大區(qū)與“安全接入?yún)^(qū)”的聯(lián)接處必須設置經(jīng)國家指定部門檢測認證的電力專用橫向

單向安全隔離裝置；

e)生產(chǎn)控制大區(qū)內(nèi)部控制網(wǎng)絡和非控制網(wǎng)絡之間應當采用具有訪問控制功能的設備、防火墻或

者相當功能的設施，實現(xiàn)邏輯隔離；

f)應對控制網(wǎng)絡和非控制網(wǎng)絡的邊界，以及控制網(wǎng)絡內(nèi)安全域和安全域之間的邊界，進行監(jiān)視

和控制區(qū)域邊界通信；

g)應在控制網(wǎng)絡和非控制網(wǎng)絡的邊界，以及控制網(wǎng)絡內(nèi)安全域和安全域之間的邊界，默認拒絕

所有非必要的網(wǎng)絡數(shù)據(jù)流，但可允許例外的網(wǎng)絡數(shù)據(jù)流；

h)應在控制網(wǎng)絡和非控制網(wǎng)絡的邊界，以及控制系統(tǒng)內(nèi)安全域和安全域之間的邊界上，阻止任

何通過的非必要通信；

i)應在控制網(wǎng)絡和非控制網(wǎng)絡的邊界防護機制失效時，能阻止所有邊界通信（也稱故障關(guān)閉）；

但故障關(guān)閉功能的設計不應干擾相關(guān)安全功能的運行；

j)應在控制網(wǎng)絡內(nèi)安全域和安全域之間的邊界防護機制失效時，及時進行報警，并保障關(guān)鍵設

備的通信；

k)應能識別控制網(wǎng)絡和非控制網(wǎng)絡上的邊界通信的入侵行為，并進行有效阻斷；

l)生產(chǎn)控制大區(qū)中除安全接入?yún)^(qū)外，不應選用具有無線通信功能的設備；

m)可基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護程序等進行

可信驗證，在檢測到其可信性受到破壞后進行報警；

n)在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)應進行動態(tài)可信驗證；

o)可信驗證結(jié)果應形成審計記錄送至安全管理中心。

自主保護：a)、b)、指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、e)、f)、

c)、d)、e)、l)、m)e)、f)、g)、k)、l)、m)、o)g)、h)、i)、j)、k)、l)、m)、n)、o)

6.2.2信息安全集中管控應包括

a)應劃分出特定的管理區(qū)域，對分布在網(wǎng)絡中的安全設備或安全組件進行管控；

b)應能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡中的安全設備或安全組件進行管理；

c)應對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測；

d)應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析；

e)應對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理；

f)應能對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析。

自主保護：無指導保護：無監(jiān)督保護：a)、b)、c)、d)、e)、f)

6.3網(wǎng)絡和通信安全

6.3.1網(wǎng)絡架構(gòu)安全應包括：

a)應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要；

b)應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要；

c)應劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址；

9

XX/TXXXXX—XXXX

d)應避免將重要網(wǎng)絡區(qū)域部署在網(wǎng)絡邊界處且沒有邊界防護措施；

e)應提供通信線路、關(guān)鍵網(wǎng)絡設備的硬件冗余，保證系統(tǒng)的可用性；

f)應將控制系統(tǒng)網(wǎng)絡與非控制系統(tǒng)網(wǎng)絡進行邏輯分區(qū)，將關(guān)鍵控制系統(tǒng)網(wǎng)絡與非關(guān)鍵控制系統(tǒng)

網(wǎng)絡進行邏輯分區(qū)；

g)應將控制系統(tǒng)網(wǎng)絡與非控制系統(tǒng)網(wǎng)絡進行物理分段，將關(guān)鍵控制系統(tǒng)網(wǎng)絡與非關(guān)鍵控制系統(tǒng)

網(wǎng)絡進行物理分段；

h)應在不與非控制系統(tǒng)網(wǎng)絡相連的情況下，能為關(guān)鍵或非關(guān)鍵控制系統(tǒng)網(wǎng)絡提供網(wǎng)絡服務。

自主保護：f)、g)指導保護：a)、b)、c)、d)、e)、f)、g)監(jiān)督保護：a)、b)、c)、d)、e)、f)、g)、h)

6.3.2通信傳輸安全應包括：

a)應利用會話完整性機制，保護會話完整性；控制系統(tǒng)應拒絕任何非法會話ID的使用；

b)應在用戶退出或其他會話結(jié)束（包括瀏覽器會話）后使會話ID失效。

自主保護：無指導保護：a)監(jiān)督保護：a)、b)

6.3.3無線通信安全應包括：

a)根據(jù)普遍接受的工控安全實踐，應對無線連接的授權(quán)、監(jiān)視以及操作的使用進行限制；

b)應對所有參與無線通信的用戶（人員、軟件進程或者設備）提供唯一性標識和鑒別；

c)應識別在控制系統(tǒng)物理環(huán)境中使用的未經(jīng)授權(quán)的無線設備，并報告未經(jīng)授權(quán)的試圖接入或干

擾控制系統(tǒng)行為；

d)對于采用工業(yè)無線網(wǎng)絡進行通信的聯(lián)網(wǎng)設備，應確保無線空中接口的安全。

自主保護：a)指導保護：a)、b)、d)監(jiān)督保護：a)、b)、c)、d)

6.3.4訪問控制應包括：

a)對一個可配置的時間或事件序列，應支持高權(quán)限主管手動超馳當前用戶的授權(quán)；

b)應通過手動或在一個可配置的非活動周期后系統(tǒng)可自動啟動會話鎖定功能，以防止對系統(tǒng)的

進一步訪問。會話鎖定應一直保持有效，直到擁有會話權(quán)限的用戶或其它授權(quán)的用戶使用適

當?shù)纳矸輼俗R和鑒別規(guī)程重新建立訪問；

c)應在一個可配置的非活動時間周期后自動地或由發(fā)起會話的用戶手動終止遠程會話；

d)應在網(wǎng)絡邊界或安全域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，受控接口應具備設置“白

名單制”的訪問控制規(guī)則的能力；

e)應刪除多余的或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化。

f)應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效

阻斷。

自主保護：b)、c)、d)、e)指導保護：b)、c)、d)、e)監(jiān)督保護：a)、b)、c)、d)、e)、f)

6.3.5可信驗證應包括：

a)可基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序進行可

信驗證，在檢測到其可信性受到破壞后進行報警；

10

XX/TXXXXX—XXXX

b)可信驗證結(jié)果應形成審計記錄送至安全管理中心；

c)在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)應進行動態(tài)可信驗證。

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)、c)

6.3.6入侵防范應包括：

a)在有效的補救條件下，識別和處理錯誤狀況。在此過程中，不應暴露任何可被攻擊者利用的

信息，除非透露這一信息對于及時排除故障是必要的；

b)不得傳輸、接收私人消息；

c)不得未經(jīng)授權(quán)的數(shù)據(jù)傳輸；

d)在關(guān)鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為，重要網(wǎng)段應采取技術(shù)手段

防止地址欺騙；

e)采取技術(shù)措施對網(wǎng)絡的使用行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是未知的新型網(wǎng)絡攻擊的檢

測和分析；

f)當檢測到攻擊行為時，應記錄攻擊源IP、攻擊類型、攻擊目的和攻擊時間，在發(fā)生嚴重入侵

事件時應及時發(fā)出報警信息。

自主保護：無指導保護：a)監(jiān)督保護：a)、b)、c)、d)、e)、f)

6.3.7惡意代碼防范應包括：

a)應在關(guān)鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測，并維護惡意代碼防護機制的升級和更新；

b)應在所有入口和出口提供惡意代碼防護機制；

c)應指定專人對網(wǎng)絡和主機進行惡意代碼檢測并保存檢測記錄。

自主保護：無指導保護：b)、c)監(jiān)督保護：a)、b)、c)

6.3.8安全審計應包括：

a)應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重

要安全事件進行審計；

b)應能生成與安全相關(guān)的審計記錄，包括:訪問控制、請求錯誤、操作系統(tǒng)事件、備份和恢復

事件、配置改變、潛在的偵察活動和審計日志事件。單個審計記錄應包括時間戳、來源（源

設備、軟件進程或人員用戶賬戶）、分類、類型、事件ID和事件結(jié)果；

c)應能集中管理審計事件，對來自系統(tǒng)范圍（包括邏輯或物理）內(nèi)的多個組件進行審計記錄收

集，并能集中管理與時間相關(guān)的審計蹤跡。應按照工業(yè)標準格式輸出這些審計記錄，用日志

分析工具進行分析，例如，安全信息和事件管理；

d)根據(jù)一般公認的日志管理和系統(tǒng)配置的建議，系統(tǒng)應設置足夠的審計記錄存儲容量，并采用

有效機制來減少超出容量的可能性；

e)當所分配的審計記錄存儲值達到最大審計記錄存儲容量的配置時，系統(tǒng)應能發(fā)出警告，當容

量超出時，應采用合理的機制支持記錄的覆蓋；

f)在審計事件的處理失敗時，系統(tǒng)能對人員進行警示并防止喪失基本服務和功能；根據(jù)普遍接

受的工業(yè)實踐和建議，系統(tǒng)應能在審計處理失敗的情況下，采取恰當?shù)捻憫袆樱?/p>

g)在審計記錄生成時，系統(tǒng)應提供時間戳；

11

XX/TXXXXX—XXXX

h)應在可配置的頻率下，對系統(tǒng)時鐘進行同步；

i)應保護審計信息和審計工具（如有），防止其在未授權(quán)情況下被獲取、修改和刪除；

j)授權(quán)人員和/或工具以只讀方式訪問審計日志。

自主保護：b)、d)、f)、j)指導保護：a)、b)、d)、f)、監(jiān)督保護：a)、b)、c)、d)、

g)、i)、j)e)、f)、g)、h)、i)、j)

6.4主機和設備安全

6.4.1系統(tǒng)軟件版本更新應包括：

a)跟蹤主機和智能設備系統(tǒng)軟件的版本更新、漏洞和補丁發(fā)布情況，嚴格進行軟件升級和補丁

安裝等工作管理，防止病毒、木馬等惡意代碼的侵入；

b)系統(tǒng)軟件的升級、補丁安裝，在工作開始前宜請專業(yè)機構(gòu)進行安全評估和驗證，應在與生產(chǎn)

環(huán)境一致的驗證環(huán)境或平臺上對更新的有效性、安全性和對系統(tǒng)安全穩(wěn)定運行的影響進行評

估和驗證，并對更新進行記錄。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)

6.4.2身份鑒別應包括：

a)應能唯一地鑒別和認證信息設備和全部人員用戶，應在所有接口上執(zhí)行標識和鑒別，當有人

員用戶訪問時，應根據(jù)適用的安全策略和規(guī)程實施職責分離和最小權(quán)限；

b)應能對所有使用人員用戶實施多因子鑒別；

c)應能對所有設備提供唯一性的標識和鑒別，應在進行系統(tǒng)訪問時，使所有接口根據(jù)適用的安

全策略和規(guī)程支持最小權(quán)限，實施標識和鑒別；

d)應支持用戶、組、角色或者接口的標識符管理功能；

e)應能初始化鑒別器內(nèi)容；系統(tǒng)一經(jīng)安裝完成，立即改變所有鑒別器的默認值；改變或者刷新

所有的鑒別器；當存儲或者傳輸?shù)臅r候，要保護鑒別器免受未經(jīng)授權(quán)的泄露和修改；

f)對于使用設備的用戶，應通過硬件機制保護相關(guān)鑒別器；

g)對于使用口令鑒別機制的設備，設備應能通過設置最小長度和多種字符類型，實現(xiàn)強制配置

口令強度；可能對實時性產(chǎn)生影響進而影響到系統(tǒng)正常操作的，應采用其他替代安全手段或

通過管理手段來進行彌補；

h)設備應防止任何已有的用戶賬戶重復使用同一批口令，應對用戶口令使用的最大和最小有效

期進行限制，這些能力應符合一般公認的信息安全實踐要求；

i)應根據(jù)通用的可以接受的安全行業(yè)實踐和建議，通過硬件機制來保護相關(guān)的私鑰；

j)應能夠隱藏鑒別過程中的鑒別信息反饋；

k)應針對任何用戶（人員、軟件進程或設備）在可配置時間周期內(nèi)的連續(xù)無效的訪問嘗試，進

行可配置次數(shù)的訪問限制；當限制次數(shù)超出后，應在規(guī)定的周期內(nèi)拒絕訪問或者直到管理員

解鎖；對于代表關(guān)鍵服務或者服務器運行的系統(tǒng)賬戶，不應允許交互式登錄；

l)在進行鑒別之前，應能顯示系統(tǒng)提示信息。使用提示信息應可通過授權(quán)人進行配置；

m)應不允許進行遠程管理,或采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；

自主保護：a)、d)、e)、f)、指導保護：a)、d)、e)、f)、監(jiān)督保護：a)、b)、c)、d)、

g)、j)、k)、l)g)、j)、k)、l)、m)e)、f)、g)、h)、i)、j)、k)、

12

XX/TXXXXX—XXXX

l)、m)

6.4.3訪問控制應包括：

a)應能支持授權(quán)用戶管理所有賬戶，包括添加、激活、修改、禁用和刪除賬戶；

b)應能支持統(tǒng)一賬戶管理；

c)應在一個可配置的非活動時間周期后自動地或由發(fā)起會話的用戶手動終止遠程會話；

d)對于所有接口，應根據(jù)職責分離和最小權(quán)限對特定用戶（人員、軟件進程或設備）實施系統(tǒng)

的控制使用授權(quán)；

e)對于授權(quán)的用戶或角色，應能對所有用戶到角色的映射進行規(guī)定和修改；

f)應能在日常維護時，進行安全功能操作的驗證和異常事件的報告；

g)禁止在工程師站、操作員站、服務器使用默認賬戶，應限制默認賬戶的訪問權(quán)限，應重命名

系統(tǒng)默認賬戶、修改默認口令；

h)應及時刪除多余的、過期的賬戶，避免共享賬戶的存在。

自主保護：a)、g)、h)指導保護：a)、c)、d)、e)、監(jiān)督保護：a)、b)、c)、d)、

f)、g)、h)e)、f)、g)、h)

6.4.4可信驗證應包括：

d)可基于可信根對主機和設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序進行

可信驗證，在檢測到其可信性受到破壞后進行報警；

e)可信驗證結(jié)果應形成審計記錄送至安全管理中心；

f)在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)應進行動態(tài)可信驗證。

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)、c)

6.4.5入侵防范應包括：

a)所有主機設備均應采用最小化原則進行系統(tǒng)安裝，除了必要的安全組件或軟件外，只安裝與

自身業(yè)務相關(guān)的操作系統(tǒng)組件及應用軟件，如：工程師站、操作員站只安裝組態(tài)軟件、監(jiān)控

軟件、編程軟件、報表軟件以及與此相關(guān)的操作系統(tǒng)組件；OPC服務器、實時數(shù)據(jù)庫服務器

只安裝數(shù)據(jù)庫軟件、服務器軟件以及與此業(yè)務相關(guān)的操作系統(tǒng)組件；

b)應關(guān)閉不需要的系統(tǒng)服務、默認共享和高危端口；

c)應通過設定終端接入方式或網(wǎng)絡地址范圍等措施，限制通過網(wǎng)絡進行管理的管理終端；

d)應能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞；

e)應能夠檢測到對重要節(jié)點進行的入侵行為，并在發(fā)生嚴重入侵事件時提供報警；

f)應自動執(zhí)行可配置的使用限制，包括：防止使用便攜式或移動設備、要求訪問特定內(nèi)容的授

權(quán)、限制便攜式或移動設備的代碼讀寫和數(shù)據(jù)傳輸操作；

g)應可通過手動，或在一個可配置的非活動周期后系統(tǒng)自動啟動會話鎖定操作，以防止對系統(tǒng)

的進一步訪問；會話鎖定應一直保持有效，直到擁有會話權(quán)限的用戶或被授權(quán)的其他用戶使

用適當?shù)纳矸輼俗R和鑒別規(guī)程重新建立訪問；可能對實時性產(chǎn)生影響進而影響到系統(tǒng)正常操

作的，應采用其他替代安全手段或通過管理手段來進行彌補；

h)應在有效的補救條件下識別和處理錯誤狀況，在此過程中不應泄露任何與安全相關(guān)的信息，

除非該信息是為及時排除故障所必需的信息。

13

XX/TXXXXX—XXXX

自主保護：a)、f)、g)指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、

e)、f)、g)、h)e)、f)、g)、h)

6.4.6惡意代碼防范應包括：

a)應能對可能造成損害的可移動代碼技術(shù)進行使用限制，包括：監(jiān)視可移動代碼的執(zhí)行、對于

可移動代碼的來源進行適當?shù)蔫b別和授權(quán)、限制可移動代碼的傳入和傳出；

b)應能應用保護機制，防止、檢測、報告和減輕惡意代碼或未經(jīng)授權(quán)軟件的影響，應能及時更

新防護機制；

c)應在所有出、入口提供可管理的惡意代碼防護機制；

d)應能允許代碼執(zhí)行之前驗證移動代碼完整性；

e)應能管理惡意代碼防護機制；

f)可采用可信計算技術(shù)建立從系統(tǒng)到應用的信任鏈，實現(xiàn)系統(tǒng)運行過程中重要程序或文件完整

性檢測，并在檢測到破壞后進行恢復。

自主保護：a)、b)指導保護：a)、b)、c)監(jiān)督保護：a)、b)、c)、d)、e)、f)

6.4.7安全審計應包括：

a)應啟用安全審計功能，審計要覆蓋每個用戶，審計的內(nèi)容包括：訪問控制、請求錯誤、控制

系統(tǒng)事件、備份和恢復事件、配置改變和審計日志事件；

b)審計記錄應包括時間戳、來源（源設備、軟件進程或人員賬戶）、類型、事件ID和事件結(jié)果

及其他與審計相關(guān)的信息；

c)應保護審計信息和審計工具（如有），防止其在未授權(quán)情況下被獲取、修改和刪除；

d)應對審計進程進行保護，防止未經(jīng)授權(quán)的中斷；

e)審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生，以確保審計分析的正確性；

f)設備應能夠為集中審計管理提供接口，可將生成的審計記錄上傳；

g)應提供編程訪問審計記錄的能力；

h)應向授權(quán)人員和/或工具提供以只讀的方式訪問審計日志。

自主保護：a)、b)、h)指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、

f)、h)e)、f)、g)、h)

6.4.8資源控制應包括：

a)在不影響當前安全狀態(tài)的情況下，系統(tǒng)應能在正常供電電源和應急電源之間進行切換；

b)應參照供應商提供的指南，根據(jù)所推薦的網(wǎng)絡和安全配置進行系統(tǒng)設置；

c)應對重要節(jié)點如：工程師站、操作員站和服務器等系統(tǒng)的運行資源進行監(jiān)視，監(jiān)視包括：CPU、

硬盤和內(nèi)存等資源的使用情況，在資源使用情況達到預先設置的閾值時，可觸發(fā)報警；

d)應能對重要節(jié)點的服務水平進行檢測，并在其降低到預先設定的最小值時進行報警；

e)應能實時監(jiān)控設備的運行和通信狀態(tài)，并在發(fā)現(xiàn)異常時能及時報警；

f)應提供重要節(jié)點設備的硬件冗余，保證系統(tǒng)的可用性。

g)應對于任何給定設備的每個接口限制并發(fā)會話數(shù)量；

h)應把當前的安全配置設置生成一個設備可讀的報告列表；

14

XX/TXXXXX—XXXX

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)、c)、d)、e)、f)、g)、h)

6.5應用軟件和數(shù)據(jù)安全

6.5.1軟件版本和系統(tǒng)更新應包括：

c)跟蹤監(jiān)控系統(tǒng)應用軟件的版本更新、漏洞和補丁發(fā)布情況，嚴格進行軟件升級和補丁安裝等

工作管理，防止病毒、木馬等惡意代碼的侵入；

d)重要監(jiān)控系統(tǒng)的軟件升級、補丁安裝，在工作開始前宜請專業(yè)機構(gòu)進行安全評估和驗證，應

在與生產(chǎn)環(huán)境一致的驗證環(huán)境或平臺上對更新的有效性、安全性和對系統(tǒng)安全穩(wěn)定運行的影

響進行評估和驗證，并對更新進行記錄。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)

6.5.2身份鑒別應包括：

a)應對登錄的用戶進行身份標識和鑒別，身份標識應具有唯一性，鑒別信息應滿足復雜度要求

并定期更換，標識和鑒別應在所有系統(tǒng)接口上執(zhí)行；

b)所有用戶到角色的映射和訪問授權(quán)，應根據(jù)適用的安全策略和規(guī)程實施職責的分離，并遵循

最小權(quán)限原則；

c)應提供并啟用登錄失敗處理功能，多次登錄失敗后應采取必要的保護措施；

d)應強制用戶首次登錄時修改初始口令，口令設置應具備對最小長度、多字符類型組合等通用

原則的校驗功能，未達到強度要求的口令設置不能生效；對口令設置可能對系統(tǒng)的實時性產(chǎn)

生影響，進而影響到系統(tǒng)正常操作的，應采用其他身份鑒別手段替代或通過管理手段進行彌

補；

e)應防止任何已有的用戶賬戶重復使用同一批口令，并對用戶口令最大和最小有效期進行限

制，以符合一般公認的安全產(chǎn)業(yè)的實踐要求；

f)應在可配置時間周期內(nèi)，對連續(xù)無效的訪問嘗試進行可配置次數(shù)限制；

g)當無效訪問次數(shù)超出限制后，應進行報警；對于代表關(guān)鍵服務或者服務器運行的系統(tǒng)賬戶，

應不允許交互式登錄。

h)應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。

i)用戶身份鑒別信息丟失或失效時，應采用鑒別信息重置或其他技術(shù)措施保證系統(tǒng)

安全；

自主保護：a)、b)、c)、f)指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、

f)、h)、i）e)、f)、g)、h)、i)

6.5.3訪問控制應包括：

a)應提供訪問控制功能，對登錄的用戶分配賬號和權(quán)限；

b)應具備默認賬號重命名或賬號默認口令修改的管控機制，禁止在工程師站、操作員站、服務

器使用默認賬戶；

c)應及時刪除或停用多余的、過期的賬號，避免共享賬號的存在；

d)系統(tǒng)賬號權(quán)限的授予應遵循最小化原則，授權(quán)應僅以完成其自身任務為限，并在不同角色的

賬戶之間形成相互制約的關(guān)系；

15

XX/TXXXXX—XXXX

e)應對敏感信息資源設置安全標記，并控制主體對有安全標記的信息資源的訪問；

f)應能支持授權(quán)用戶管理所有賬戶，包括添加、激活、修改、禁用和刪除賬戶；

g)應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；

h)訪問控制的粒度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級、記錄或字段級；

i)應支持統(tǒng)一賬戶管理；

j)應通過手動或在一個可配置的非活動周期后自動啟動會話鎖定操作，以防止對系統(tǒng)的進一步

訪問；會話鎖定應一直保持有效，直到擁有會話權(quán)限的用戶或被授權(quán)的其他用戶使用適當?shù)?/p>

身份標識和鑒別規(guī)程重新建立訪問；可能對實時性產(chǎn)生影響進而影響到系統(tǒng)正常操作的，應

采用其他替代安全手段或通過管理手段來進行彌補；

k)對于所有接口，應根據(jù)職責分離和最小權(quán)限原則為所有用戶分配訪問授權(quán)。

自主保護：a)、b)、c)、f)、指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、

g)、k)f)、g)、h)、j)e)、f)、g)、h)、i)、j）

6.5.4可信驗證應包括：

a)可基于可信根對應用程序進行可信驗證，在檢測到其可信性受到破壞后進行報警；

b)可信驗證結(jié)果應形成審計記錄送至安全管理中心；

c)在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)應進行動態(tài)可信驗證。

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)、c)

6.5.5安全審計應包括：

d)應啟用安全審計功能，審計應覆蓋每個用戶，審計的內(nèi)容包括：訪問控制、請求錯誤、控制

系統(tǒng)事件、備份和恢復事件、配置改變和審計日志事件；

e)審計記錄應包括時間戳、來源（源設備、軟件進程或人員賬戶）、類型、事件ID和事件結(jié)果

及其他與審計相關(guān)的信息；

f)應保護審計信息和審計工具（如果有），防止其在未授權(quán)情況下被獲取、修改和刪除；

g)應對審計進程進行保護，防止未經(jīng)授權(quán)的中斷；

h)審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生，且具備可配置的頻率，以確保

審計分析的正確性；

i)應能夠為集中審計管理提供接口，提供編程訪問審計記錄的能力；

j)應向授權(quán)人員和/或工具提供以只讀的方式訪問審計日志。

自主保護：a)、b)、g)指導保護：a)、b)、c)、g)監(jiān)督保護：a)、b)、c)、d)、e)、

f)、g)

6.5.6軟件容錯應包括：

a)應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設

定的要求；

b)在故障發(fā)生時，應能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?/p>

c)應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，以保證系統(tǒng)能夠進行恢復。

16

XX/TXXXXX—XXXX

自主保護：a)指導保護：a)、b)、c)監(jiān)督保護：a)、b)、c)

6.5.7資源控制應包括：

a)當通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結(jié)束會話；

b)應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；

c)應能夠?qū)蝹€賬號的多重并發(fā)會話進行限制；

d)應能夠?qū)Σl(fā)進程的每個進程所占用資源的最大限額進行分配。

自主保護：c)指導保護：a)、b)、c)、d)監(jiān)督保護：a)、b)、c)、d)

6.5.8數(shù)據(jù)完整性應包括：

a)應采用加解密、校驗碼或同等的安全技術(shù)手段，保證重要數(shù)據(jù)在傳輸過程中的完整性；

b)應采用加解密、校驗碼或同等的安全技術(shù)手段，保證重要數(shù)據(jù)在存儲過程中的完整性；

c)應具備檢測、記錄和報告機制，防止對軟件和信息的未經(jīng)授權(quán)更改；

d)在完整性驗證過程中如發(fā)現(xiàn)差異，應提供自動化工具通知給一組可配置的接收者；

e)應對發(fā)電廠監(jiān)控系統(tǒng)的輸入或直接影響控制系統(tǒng)動作的輸入內(nèi)容和語法的合法性進行校驗；

f)對于采用工業(yè)無線或現(xiàn)場總線網(wǎng)絡通信的聯(lián)網(wǎng)設備，應保護其傳輸信息的完整性。

g)對于采用工業(yè)無線或現(xiàn)場總線網(wǎng)絡通信的聯(lián)網(wǎng)設備，應能使用密碼學機制識別信息在通信過

程中是否被篡改。

自主保護：a)、c)、e)、f)指導保護：a)、c)、e)、f)監(jiān)督保護：a)、b)、c)、d)、

e)、f)、g)

6.5.9數(shù)據(jù)保密性應包括：

a)無論在信息存儲或傳輸時，都應對有明確的讀權(quán)限的信息提供保密性保護；

b)在進行加密時，應按照國家相關(guān)保密部門的要求采用合適的加密算法、密鑰長度和密鑰管理

機制；

c)應支持國家密碼管理部門批準使用的密碼算法，使用國家密碼管理部門認證核準的密碼產(chǎn)

品，遵循與密碼相關(guān)的國家標準和行業(yè)標準；

d)當信息穿過任何安全域邊界時，應保證保密性。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)、c)、d)

6.5.10數(shù)據(jù)備份和恢復應包括：

a)應提供重要數(shù)據(jù)的本地備份與恢復功能；

b)應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地；

c)應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，以保證系統(tǒng)的高可用性；

d)對于包括采用工業(yè)無線或現(xiàn)場總線網(wǎng)絡通信在內(nèi)的設備，應在不影響正常設備使用的前提

下，識別和定位關(guān)鍵文件，以及備份用戶級和系統(tǒng)級的信息（包括系統(tǒng)狀態(tài)信息）；

e)對于包括采用工業(yè)無線或現(xiàn)場總線網(wǎng)絡通信在內(nèi)的設備，應提供備份機制的可靠性驗證能

力；

f)應具備可配置頻率的自動備份能力；

17

XX/TXXXXX—XXX