解讀：《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估指南》

解讀：《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估指南》

指南主要針對《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》中的安全防護(hù)體系進(jìn)行

評估指導(dǎo)。

一、概述

2019年12月10日，GB/T38318-2019《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估指

南》（下文簡稱〃評估指南"）正式發(fā)布，2020年7月1日正式實(shí)施。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)在電力監(jiān)控系統(tǒng)中的廣泛應(yīng)用，電力監(jiān)控系

統(tǒng)網(wǎng)絡(luò)安全問題日益凸顯，為了加強(qiáng)電力監(jiān)控系統(tǒng)的安全管理，防范黑客及

惡意代碼等對電力監(jiān)控系統(tǒng)的攻擊侵害，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行，根

據(jù)國家發(fā)展改革委員會2014年第14號令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》

和國家信息系統(tǒng)等級煤護(hù)等相關(guān)規(guī)定制定GB/T36572-2018《電力監(jiān)控

系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》（下文簡稱“防護(hù)導(dǎo)則"）標(biāo)準(zhǔn)，”評估指南”作

為“防護(hù)導(dǎo)則〃的配套標(biāo)準(zhǔn)，主要針對防護(hù)導(dǎo)則中的安全防護(hù)體系進(jìn)行評

估指導(dǎo)。

■、

G日

中華人民共和IKI|H|家標(biāo)準(zhǔn)

GB/138318—2019

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估指南

CjbcrMtvritw工Hidefor

dectrie^mertapeniUeaMdcentrol

2019-12-102020-07-01實(shí)■

1

國*市場歐仲料押總N布

國家斥準(zhǔn)化管用缶3會x

二.評估范圍

"評估指南"適用于各電力企業(yè)電力監(jiān)控系統(tǒng)規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、

運(yùn)行維護(hù)階段和廢棄階段的網(wǎng)絡(luò)安全防護(hù)評估工作。

規(guī)劃階段〉設(shè)計(jì)階段〉實(shí)施階段〉運(yùn)維階段〉廢棄階段

娘劃階段的安全畀審是設(shè)計(jì)階段的安全評審需實(shí)族階段安全舟估是根據(jù)運(yùn)行雉護(hù)階段安全牌怯廢棄階段應(yīng)重點(diǎn)分析廢弁

根1K電力盆汽系改的業(yè)根據(jù)規(guī)劃階段明確的系系統(tǒng)安全需求和運(yùn)行環(huán)境髭掌握和控制電力監(jiān)拄貨產(chǎn)對用職的影響，對內(nèi)

系統(tǒng)運(yùn)行過程中的安全

務(wù)使命和功能，確定系統(tǒng)安全口標(biāo)，對系統(tǒng)設(shè)對系統(tǒng)開發(fā)實(shí)線過程進(jìn)行系統(tǒng)廢棄可能借來的新的

統(tǒng)建設(shè)應(yīng)達(dá)到的安全I(xiàn)I風(fēng)險(xiǎn)，包括在線運(yùn)行電

計(jì)方案的安全功能設(shè)計(jì)安全風(fēng)險(xiǎn)識別.并對系統(tǒng)威脅進(jìn)行分析.安全討佑

標(biāo).主要糧據(jù)未來系統(tǒng)力瘟控系故資產(chǎn)、威盼、

進(jìn)行判斷，以確保設(shè)計(jì)建成后的安全功傕迸行驗(yàn)可包括：

的校用對象、應(yīng)用環(huán)境、施弼性等各方面坪彷.

方案滿足系友安全目標(biāo),if.停估中需對段劃階段a）系線軟、硬件等資產(chǎn)

業(yè)務(wù)狀況、操作要求等運(yùn)行維護(hù)階段的安全普

并作為采跑過程風(fēng)險(xiǎn)控的安全威脅遇行選步領(lǐng)及殘?zhí)镄判值膹U棄處??；

方面進(jìn)行威脅分析，?估應(yīng)常態(tài)化開履.電力

點(diǎn)分析系統(tǒng)成達(dá)到的安制的依據(jù).設(shè)計(jì)階段的分,W估安全措籟的實(shí)現(xiàn)監(jiān)控系統(tǒng)業(yè)務(wù)流程、系b）廢棄部分與其他系統(tǒng)

全目標(biāo).烷劃階段的評評審結(jié)果最終應(yīng)體現(xiàn)在程度，確定已建立的安全統(tǒng)狀況發(fā)生重大變更時(shí)，或部分的物理或邏輯連接

審結(jié)果應(yīng)包含在電力監(jiān)系統(tǒng)設(shè)計(jì)方案中.括筑能否抵御現(xiàn)行威脅、也需及時(shí)進(jìn)行安全停估.情況：

控系統(tǒng)整體炫劃中.

脆弱性的影響，并時(shí)源代c）在系統(tǒng)變更時(shí)發(fā)生度

瑪進(jìn)行安全浦博?弁，對燹史部分進(jìn)仃諦俗.

各階段主要關(guān)注點(diǎn)：

?規(guī)劃階段

根據(jù)網(wǎng)絡(luò)安全法第三十三條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)

務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

因此在電力監(jiān)控系統(tǒng)的規(guī)劃階段應(yīng)該遵循三同步原則，根據(jù)系統(tǒng)的應(yīng)用對象、應(yīng)

用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進(jìn)行威脅分析，重點(diǎn)分析系統(tǒng)應(yīng)該達(dá)到的安

全目標(biāo)。

?設(shè)計(jì)階段

該階段需要根據(jù)規(guī)劃階段的目標(biāo)進(jìn)行立體安全防護(hù)體系的設(shè)計(jì)，安全防護(hù)體

系的設(shè)計(jì)可以參考“防護(hù)導(dǎo)則"；同時(shí)產(chǎn)品的采購需要滿足等級保護(hù)、行業(yè)或集

團(tuán)的要求。以等級保護(hù)三級系統(tǒng)為例，在產(chǎn)品采購和使用中規(guī)定：

a.應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；

b.應(yīng)確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的

要求；

c.應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更

新候選產(chǎn)品名單。

?實(shí)施階段

該階段需要關(guān)注實(shí)施過程中的風(fēng)險(xiǎn)控制,保障電力監(jiān)控系統(tǒng)的穩(wěn)定運(yùn)行是基

礎(chǔ)；同時(shí)需要在建設(shè)完成后開展上線評估工作，確定安全措施的實(shí)現(xiàn)程度和已建

立安全措施的有效性，并保證不能引入新的安全風(fēng)險(xiǎn)，如安全產(chǎn)品可能存在的漏

洞及后門。系統(tǒng)供應(yīng)商需要負(fù)責(zé)系統(tǒng)設(shè)計(jì)、開發(fā)完成后實(shí)施型式安全評估，配合

完成系統(tǒng)上線安全評估。

?運(yùn)行運(yùn)維階段

安全體系的建設(shè)是一個(gè)動(dòng)態(tài)循環(huán)的過程，因此本階段需要根據(jù)安全評估中發(fā)

現(xiàn)的問題及時(shí)查漏補(bǔ)缺，彌補(bǔ)安全漏洞。在電力監(jiān)控系統(tǒng)業(yè)務(wù)流程、系統(tǒng)狀況發(fā)

生重大變更時(shí)，運(yùn)行單位應(yīng)自行組織或委托評估機(jī)構(gòu)及時(shí)對系統(tǒng)進(jìn)行安全評估。

系統(tǒng)供應(yīng)商在運(yùn)維階段支持和配合安全評估工作，配合執(zhí)行安全評估整改工作。

重大變更包括，但不限于：

a.增加新的應(yīng)用或應(yīng)用發(fā)生較大變更；

b.網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更；

c.技術(shù)平臺大規(guī)模更新；

d.系統(tǒng)擴(kuò)容或改造；

e.系統(tǒng)運(yùn)行維護(hù)管理機(jī)構(gòu)或人員發(fā)生較大規(guī)模調(diào)整。

?廢棄階段

廢棄階段需要重點(diǎn)關(guān)注系統(tǒng)和設(shè)備退役報(bào)廢時(shí)含敏感信息的介質(zhì)和重要安

全設(shè)備的銷毀，避免因系統(tǒng)廢棄可能帶來的新的威脅。

三、評估流程和方法

1、評估形式

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估包括4種工作形式：自評估、檢查評估、上線安

全評估和型式安全評估。各工作形式具體要求如下：

國目

自評估檢充評估上線安全評估型式安全評估

?運(yùn)行不位對本年位的電力業(yè)務(wù)主鬻部門根據(jù)實(shí)際情況?電力監(jiān)控系疣投運(yùn)前或?電力監(jiān)控系統(tǒng)供應(yīng)商在

監(jiān)控系統(tǒng)定期組織開展自對各運(yùn)行單位的電力監(jiān)控系發(fā)生不大變更時(shí)，安全保安全保護(hù)等級為第三級

評估.統(tǒng)或調(diào)度機(jī)構(gòu)調(diào)管荷囹內(nèi)的護(hù)等級為第三級和第四級和笫四級的電力監(jiān)控系

?電力調(diào)度機(jī)構(gòu)在定期收集、電力監(jiān)控系統(tǒng)生枳開履檢查的電力監(jiān)控系故，由運(yùn)行統(tǒng)設(shè)計(jì)、開發(fā)完成后，

匯總調(diào)管他國內(nèi)各運(yùn)行單訐仙.單位委抵評估機(jī)構(gòu)進(jìn)行上委先坪心機(jī)構(gòu)進(jìn)行老式

位自坪估結(jié)果的基礎(chǔ)上，線安全坪估：安全野估：

白行蛆織或委托坪估機(jī)構(gòu)?安全保護(hù)等級為第二級的?安全保護(hù)等級為第二級

開展調(diào)管部恨內(nèi)電力監(jiān)控電力監(jiān)控系統(tǒng)可自行組織的電力監(jiān)控系統(tǒng)可自行

系統(tǒng)的自得估工作，可結(jié)開展上線安全討估.如織開展型式安全討估.

合等級保護(hù)工作進(jìn)行.

?電力監(jiān)控系統(tǒng)定級為第三級和第四級：

a.運(yùn)營單位應(yīng)定期組織自評估，評估周期原則上不超過一年；

b.電力監(jiān)控系統(tǒng)投運(yùn)前或發(fā)生重大變更時(shí)，由運(yùn)行單位委托評估機(jī)構(gòu)進(jìn)

行上線安全評估；

c.電力監(jiān)控系統(tǒng)供應(yīng)商在電力監(jiān)控系統(tǒng)設(shè)計(jì)、開發(fā)完成后，委托評估機(jī)

構(gòu)進(jìn)行型式安全評估。

?電力監(jiān)控系統(tǒng)定級為第二級：

a.運(yùn)營單位應(yīng)定期開展自評估,評估周期原則上不超過一年；

b.電力監(jiān)控系統(tǒng)投運(yùn)前或發(fā)生重大變更時(shí)，運(yùn)行單位自行組織開展上線

安全評估；

c.電力監(jiān)控系統(tǒng)供應(yīng)商在電力監(jiān)控系統(tǒng)設(shè)計(jì)、開發(fā)完成后運(yùn)行單位可自

行組織開展型式安全評估。

?電力調(diào)度機(jī)構(gòu)在定期收集、匯總調(diào)管范圍內(nèi)各運(yùn)行單位自評估結(jié)果的

基礎(chǔ)上，自行組織或委托評估機(jī)構(gòu)開展調(diào)管范圍內(nèi)電力監(jiān)控系統(tǒng)的自

評估工作，省級以上調(diào)度機(jī)構(gòu)的自評估周期最長不超過三年，地級及

以下調(diào)度機(jī)構(gòu)自評估周期最長不超過兩年。委托評估機(jī)構(gòu)定期開展的

安全評估工作可結(jié)合等級保護(hù)工作進(jìn)行。

?業(yè)務(wù)主管部門根據(jù)實(shí)際情況對各運(yùn)營單位的電力監(jiān)控系統(tǒng)或調(diào)度機(jī)

構(gòu)調(diào)管范圍內(nèi)的電力監(jiān)控系統(tǒng)組織開展檢查評估。

2、評估實(shí)施流程

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估實(shí)施流程圖

?電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估涉及的評估方法主要包括：文檔檢查、人

工核查和工具檢查。其中評估工具的使用需要被評估單位授權(quán)的前提，

工具可包括網(wǎng)絡(luò)評估工具、主機(jī)評估工具、資產(chǎn)識別工具等。電力監(jiān)

控系統(tǒng)的安全評估工具建議使用工控專用的安全評估工具。

?評估流程中需要注意保密管理和風(fēng)險(xiǎn)管控。

風(fēng)險(xiǎn)管控措施包括：

a.選用工控專用的安全評估工具，如：工控漏洞掃描系統(tǒng)、工控系統(tǒng)安

全檢查評估工具箱等；

b.操作時(shí)間控制。選擇系統(tǒng)停機(jī)或者安全檢修期間；

c.采用工具檢查如評估可能對業(yè)務(wù)系統(tǒng)產(chǎn)生影響的情況下，可以在運(yùn)行

系統(tǒng)模擬環(huán)境中驗(yàn)證測試；

d.綜合制定安全應(yīng)急預(yù)案、采取嚴(yán)格操作的申請和監(jiān)護(hù)等其他技術(shù)措施。

?資產(chǎn)、威脅、脆弱性評估資產(chǎn)評估需要按照國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)、

GB/T31509-2015《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施》和GB

/T20985-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》等規(guī)定執(zhí)

行。下圖主要列舉風(fēng)險(xiǎn)三要素關(guān)系和風(fēng)險(xiǎn)評估實(shí)施流程，具體解讀本

文將不再贅述。

資產(chǎn)

包含

影響面臨

風(fēng)險(xiǎn)評估準(zhǔn)備

四、評估內(nèi)容

〃防護(hù)導(dǎo)則"從安全防護(hù)技術(shù)、應(yīng)急備用措施和全面安全管理的三維描述安

全防護(hù)體系的立體結(jié)構(gòu)，三個(gè)維度互相支持、互相融合、動(dòng)態(tài)關(guān)聯(lián)，并不斷發(fā)展

進(jìn)化，形成動(dòng)態(tài)的三維立體結(jié)構(gòu)。”評估指南〃的也著重從該結(jié)構(gòu)體系的三個(gè)維

度進(jìn)行評估實(shí)施指導(dǎo)。

m

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系三維立體結(jié)構(gòu)示意圖

L安全防護(hù)技術(shù)評估

安全防護(hù)技術(shù)評估包含基本要求、基礎(chǔ)設(shè)施安全、體系結(jié)構(gòu)安全、本體安全、

可信安全免疫五個(gè)部分。評估要求對應(yīng)"評估導(dǎo)則"中的技術(shù)要求，本文將不再

贅述，具體解讀可參考：《V電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則〉解讀》。

1)基本要求

基本要求是評估指南中強(qiáng)制滿足項(xiàng)，與國能安全[2015]36號文中要

求的〃安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證〃的十六字方針對應(yīng)，基

本要求中任何一項(xiàng)未滿足即為不合格項(xiàng)。

(1)分區(qū)分級重點(diǎn)評估內(nèi)容：

?網(wǎng)絡(luò)分區(qū)：核查電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D和網(wǎng)絡(luò)設(shè)備，評估安全區(qū)劃

分的合理性和設(shè)備與拓?fù)鋱D的一致性，重點(diǎn)關(guān)注是否存在跨安全區(qū)縱

向交叉連接、不同安全區(qū)的設(shè)備混用、違規(guī)連接等違規(guī)情況，同時(shí)需

要評估是否存在設(shè)置安全接入?yún)^(qū)的業(yè)務(wù)場景，并采取相應(yīng)的隔離措施;

?安全分級：電力監(jiān)控系統(tǒng)的安全等級保護(hù)定級可以參考國能安全36

號文和國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)中的定級要求進(jìn)行合理定級，鑒于等保

2.0定級流程中新增的專家評審制度，在評估過程中需要核查系統(tǒng)定

級結(jié)果是否經(jīng)過定級系統(tǒng)相關(guān)部門和安全技術(shù)專家的論證和審定；

?重點(diǎn)防護(hù)：重點(diǎn)加強(qiáng)對生產(chǎn)控制大區(qū)的安全防護(hù)工作，核查邊界防護(hù)

設(shè)備和網(wǎng)絡(luò)設(shè)備核查邊界安全防護(hù)設(shè)備、網(wǎng)絡(luò)設(shè)備等可管控通用網(wǎng)絡(luò)

服務(wù)（FTP、HTTP、SNMP、遠(yuǎn)程登錄、電子郵件等）的設(shè)

備和系統(tǒng)，是否使用數(shù)據(jù)過濾、簽名認(rèn)證、訪問控制策略、物理隔離

等措施禁止通用網(wǎng)絡(luò)服務(wù)穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊

界；同時(shí)禁止與設(shè)備生產(chǎn)廠商或其他外部企業(yè)（單位）的遠(yuǎn)程連接；

發(fā)電廠生產(chǎn)控制大區(qū)因業(yè)務(wù)需求與地方行政部門進(jìn)行數(shù)據(jù)傳輸時(shí)，其

邊界應(yīng)采取單向數(shù)據(jù)傳輸?shù)母綦x強(qiáng)度措施，（如:在火電廠生產(chǎn)控制大

區(qū)中脫硫脫硝等業(yè)務(wù)系統(tǒng)需要與地方環(huán)保等部門進(jìn)行數(shù)據(jù)傳輸?shù)臉I(yè)

務(wù)場景）。

（2）網(wǎng)絡(luò)專用重點(diǎn)評估內(nèi)容：

?核查網(wǎng)絡(luò)拓?fù)鋱D、組網(wǎng)設(shè)計(jì)方案等相關(guān)文檔，評估網(wǎng)絡(luò)安全隔離和子

網(wǎng)劃分情況。生產(chǎn)控制大區(qū)專用通道上（與調(diào)度數(shù)據(jù)網(wǎng)等通道）應(yīng)使

用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)；同時(shí)應(yīng)該劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)

時(shí)子網(wǎng)，分別連接控制區(qū)和非控制區(qū)，避免生產(chǎn)控制大區(qū)與其他網(wǎng)絡(luò)

直連、邏輯隔離或共用網(wǎng)絡(luò)設(shè)備的情況，實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)邊界

可以使用防火墻等邏輯隔離設(shè)備或措施進(jìn)行隔離；

?核查各層協(xié)議對應(yīng)的網(wǎng)絡(luò)設(shè)備、加密認(rèn)證相關(guān)措施，評估生產(chǎn)控制大

區(qū)數(shù)據(jù)通信七層協(xié)議的安全措施。禁止采用默認(rèn)路由，按照業(yè)務(wù)需求

劃分VLAN,關(guān)閉網(wǎng)絡(luò)邊界OSPF路由功能，采用符合要求的虛擬專

網(wǎng)、加密隧道技術(shù)；使用符合國家要求的加密算法，使用調(diào)度數(shù)字證

書實(shí)現(xiàn)安全認(rèn)證等。

(3)橫向隔離重點(diǎn)評估內(nèi)容：

?核查電力監(jiān)控系統(tǒng)橫向從外到內(nèi)四道安全防線中涉及的安全設(shè)備(包

括：電力專用橫向單向安全隔離裝置、工業(yè)防火墻等)部署的合理性

和策略的有效性，如：生產(chǎn)控制大區(qū)與管理信息大區(qū)網(wǎng)絡(luò)邊界是否部

署電力專用橫向單向安全隔離裝置；

?電力專用橫向單向安全隔離裝置需要提供相應(yīng)的檢測報(bào)告或認(rèn)證證

書，評估裝置的認(rèn)證情況；針對反向安全隔離裝置需要核查是否采取

基于非對稱密鑰技術(shù)的簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等安全措施，

限定傳輸協(xié)議、返回字節(jié)數(shù)和文件類型；

?核查生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間部署工業(yè)防火墻或者具有訪問

控制功能的設(shè)密或者相當(dāng)功能的設(shè)施部署的位置合理性和策略有效

性保證策略最小化，禁止出現(xiàn)全通策略，同時(shí)硬件防火墻相關(guān)功能、

性能等也必須經(jīng)過相關(guān)部門的檢測和認(rèn)證。

(4)縱向認(rèn)證重點(diǎn)評估內(nèi)容：

?核查電力監(jiān)控系統(tǒng)生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向防線中涉及電力專

用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施部署的合理性和

策略的有效性；

?電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)需要提供相應(yīng)的檢測

報(bào)告或認(rèn)證證書，評估裝置的認(rèn)證情況；裝置隧道配置策略應(yīng)細(xì)化至

業(yè)務(wù)IP地址、通信端口，隧道和策略應(yīng)為密通，且隧道為OPEN狀

態(tài)。

2）基礎(chǔ)設(shè)施安全

（1）基礎(chǔ)設(shè)施評估重點(diǎn)內(nèi)容：

?基礎(chǔ)設(shè)施安全重點(diǎn)對應(yīng)等級保護(hù)標(biāo)準(zhǔn)安全物理環(huán)境部分技術(shù)要求，核

查機(jī)房及相關(guān)設(shè)施在物理位置選擇物理訪問控制、防盜竊和防破壞、

防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)（核查

備用供電系統(tǒng)，需要保證機(jī)房內(nèi)設(shè)備在外部電力中斷下仍能至少二個(gè)

小時(shí)正常運(yùn)行）和電磁防護(hù)等層面需要采用相應(yīng)的措施。生產(chǎn)控制大

區(qū)機(jī)房與管理信息大區(qū)機(jī)房獨(dú)立；針對等級保護(hù)第四級安全區(qū)域配置

第二道門禁，重要設(shè)備需要放置在電磁屏蔽機(jī)柜內(nèi)。

?核查生產(chǎn)控制大區(qū)所有的密碼基礎(chǔ)設(shè)施（如：縱向加密裝置）是否具

備國家有關(guān)機(jī)構(gòu)的檢測報(bào)告或認(rèn)證證書。

3）體系結(jié)構(gòu)安全

體系結(jié)構(gòu)安全中除了"分區(qū)分級、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的基本

要求外,還需要重點(diǎn)評估數(shù)字證書和安全標(biāo)簽、防火墻和入侵檢測、防惡意代碼

和撥號認(rèn)證等方面的技術(shù)能力。

(1)數(shù)字證書和安全標(biāo)簽評估重點(diǎn)內(nèi)容：

?核查基于公鑰技術(shù)的分布式電力調(diào)度數(shù)字證書及安全標(biāo)簽(如：縱向

加密)，是否按照電力調(diào)度管理體系要求進(jìn)行配置；

?加密認(rèn)證機(jī)制是否涵蓋生產(chǎn)控制大區(qū)中的所有重要業(yè)務(wù)系統(tǒng)，針對電

力監(jiān)控系統(tǒng)業(yè)務(wù)特點(diǎn)，加密機(jī)制是未來保證自身安全性的重要保障措

施，同時(shí)需要經(jīng)過技術(shù)和實(shí)踐驗(yàn)證加密技術(shù)與業(yè)務(wù)系統(tǒng)的平衡點(diǎn)。

(2)防火墻和入侵檢測評估重點(diǎn)內(nèi)容：

?核查生產(chǎn)控制大區(qū)內(nèi)不同系統(tǒng)間的邏輯隔離措施及隔離策略配置的

有效性，如采用防火墻應(yīng)該在邏輯隔離、訪問控制、報(bào)文過濾的功能

要求滿足GB/T25068.3-2010的檢測要求；目前GB/T37933-2019

《信息安全技術(shù)工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》于2020-03-01

實(shí)施，針對電力監(jiān)控系統(tǒng)中使用的工業(yè)防火墻應(yīng)該同樣需要滿足該標(biāo)

準(zhǔn)要求；

?根據(jù)國能安全36號文的要求，生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡(luò)

入侵檢測系統(tǒng)，應(yīng)當(dāng)合理設(shè)置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊

界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。需要重

點(diǎn)核查網(wǎng)絡(luò)入侵檢測系統(tǒng)或相當(dāng)功能的裝置的配置合理性，并應(yīng)及時(shí)

離線更新其特征庫，嚴(yán)禁通過連接互聯(lián)網(wǎng)在線更新。

(3)防惡意代碼評估重點(diǎn)內(nèi)容：

?核查生產(chǎn)控制大區(qū)惡意代碼防范措施(如：入侵防御系統(tǒng)、防毒墻等

裝置)配置合理性，同樣需要定期離線更新特征庫，嚴(yán)禁通過連接互

聯(lián)網(wǎng)在線更新；

?與管理信息大區(qū)不可共用一套惡意代碼防護(hù)措施，以保證對惡意代碼

防范措施的多樣性。

(4)撥號認(rèn)證評估重點(diǎn)內(nèi)容：

?核查撥號認(rèn)證設(shè)施的認(rèn)證情況，必須有國家有關(guān)機(jī)構(gòu)的安全認(rèn)證證書

或測試報(bào)告；裝置需要采用安全加固的操作系統(tǒng)，使用數(shù)字證書技術(shù)

進(jìn)行登錄和訪問認(rèn)證保證通信安全；

?在無連接需求E寸應(yīng)處于斷電關(guān)機(jī)狀態(tài)；不允許存在直接連接核心交換

機(jī)；使用功能過程中僅允許單用戶登錄，并采取嚴(yán)格監(jiān)管審計(jì)措施。

4)本體安全

(1)基本要求：

本體安全是電力監(jiān)控系統(tǒng)安全防護(hù)體系中重要的一環(huán)，包含：電力監(jiān)控系統(tǒng)

軟件的安全、操作系統(tǒng)和基礎(chǔ)軟件的安全、計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備及電力專用監(jiān)控設(shè)

備的安全、核心處理器芯片的安全。

本體安全的相關(guān)要求主要適用于新建或新開發(fā)的電力監(jiān)控系統(tǒng)，在運(yùn)系統(tǒng)具備升

級改造條件時(shí)可參照執(zhí)行，不具備升級改造條件的在運(yùn)系統(tǒng)需要通過健全和落實(shí)

安全管理制度和安全應(yīng)急機(jī)制、加強(qiáng)安全管控、強(qiáng)化網(wǎng)絡(luò)隔離等方式降低安全風(fēng)

險(xiǎn)。

(2)電力監(jiān)控系統(tǒng)軟件安全評估重點(diǎn)內(nèi)容：

?核查電力監(jiān)控系統(tǒng)中的控制軟件的認(rèn)證情況。必須滿足國家或行業(yè)要

求的權(quán)威機(jī)構(gòu)安全檢測認(rèn)證及代碼安全審計(jì)，具有相關(guān)的檢測報(bào)告或

認(rèn)證證書；

?核查軟件設(shè)計(jì)安全情況。軟件中需要包含安全防護(hù)理念和防護(hù)措施

（如：身份鑒別、密碼認(rèn)證、安全審計(jì)等防護(hù)措施）；業(yè)務(wù)系統(tǒng)軟件

的各業(yè)務(wù)模塊部署在相應(yīng)安全等級的安全區(qū)（如：火電SIS系統(tǒng)數(shù)據(jù)

橫跨生產(chǎn)控制大區(qū)和信息管理大區(qū)）；并保證控制核心模塊得到有效

防護(hù)；

?核查軟件運(yùn)維安全情況。安全運(yùn)維必須對登錄賬號進(jìn)行身份認(rèn)證，并

使用安全審計(jì)措施對維護(hù)過程實(shí)施全程監(jiān)控（采用堡壘機(jī)進(jìn)行運(yùn)維權(quán)

限劃分和行為審計(jì)是行之有效的技術(shù)措施），同時(shí)禁止通過互聯(lián)網(wǎng)直

接運(yùn)維生產(chǎn)控制大區(qū)的軟件。

（3）操作系統(tǒng)和基礎(chǔ)軟件的安全評估重點(diǎn)內(nèi)容：

?核查重要電力監(jiān)控系統(tǒng)中的操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟件的

認(rèn)證情況，必須滿足國家有關(guān)機(jī)構(gòu)的安全檢測認(rèn)證，具有相關(guān)的測試

報(bào)告或認(rèn)證證書；

?核查評估生產(chǎn)控制大區(qū)的操作系統(tǒng)和基礎(chǔ)軟件的安全情況，啟用并配

置身份鑒別、訪問控制、安全審計(jì)等安全功能和策略；

?核查生產(chǎn)控制大區(qū)業(yè)務(wù)系統(tǒng)的操作系統(tǒng)和基礎(chǔ)軟件的更新情況。更新

必須經(jīng)過離線充分驗(yàn)證測試,同時(shí)設(shè)置最小化的業(yè)務(wù)運(yùn)行環(huán)境，保證

對業(yè)務(wù)系統(tǒng)運(yùn)行無影響，禁止通過互聯(lián)網(wǎng)在線更新的基本原則不變。

（4）計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備及電力專用監(jiān)控設(shè)備的安全評估重點(diǎn)內(nèi)容：

?核查電力監(jiān)控系統(tǒng)中的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備、電力自動(dòng)化設(shè)備、繼電保

護(hù)設(shè)備、安全穩(wěn)定控制設(shè)備、IED、測控設(shè)備的認(rèn)證情況，必選滿足

國家或行業(yè)要求的權(quán)威機(jī)構(gòu)安全檢測認(rèn)證，并具有相關(guān)的測試報(bào)告或

認(rèn)證證書；

?核查生產(chǎn)控制大區(qū)的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備的安全情況，啟用并配置身份

鑒別、訪問控制、安全審計(jì)等安全功能和策略；核查生產(chǎn)控制大區(qū)的

計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備的對外物理接口情況，包括：網(wǎng)絡(luò)端口和USB接

口等，可以通過技術(shù)和物理手段進(jìn)行封堵，保證對外接口的最小化。

(5)核心處理器芯片的安全評估重點(diǎn)內(nèi)容：

?核查重要電力監(jiān)控系統(tǒng)中的處理器芯片的認(rèn)證情況，需要通過國家有

關(guān)機(jī)構(gòu)的安全檢測認(rèn)證，并具有相關(guān)的測試報(bào)告或認(rèn)證證書；核查重

要電力監(jiān)控系統(tǒng)中的處理器芯片的安全情況，重點(diǎn)關(guān)注安全可靠的密

碼算法、真隨機(jī)數(shù)發(fā)生器、存儲器加密、總線傳輸加密等安全防護(hù)措

施的相關(guān)內(nèi)容，需要滿足相關(guān)的國家標(biāo)準(zhǔn)。

5)可信安全免疫

可信安全免疫是監(jiān)控系統(tǒng)本體安全的根本核心和補(bǔ)充，從電力監(jiān)控系統(tǒng)自身

和供應(yīng)鏈的安全為根本，重點(diǎn)關(guān)注強(qiáng)制版本管理、靜態(tài)安全免疫和動(dòng)態(tài)安全免疫,

實(shí)現(xiàn)電力監(jiān)控系統(tǒng)的基礎(chǔ)安全。可信安全免疫的相關(guān)要求主要適用于新建或新開

發(fā)的電力監(jiān)控系統(tǒng)，在運(yùn)系統(tǒng)具備升級改造條件時(shí)可參照執(zhí)行，不具備升級改造

條件的在運(yùn)系統(tǒng)需要通過健全和落實(shí)安全管理制度和安全應(yīng)急機(jī)制、加強(qiáng)安全管

控、強(qiáng)化網(wǎng)絡(luò)隔離等方式降低安全風(fēng)險(xiǎn)。防范有組織的、高級別的惡意攻擊。

(1)可信安全免疫評估重點(diǎn)內(nèi)容：

?核查重要電力監(jiān)控系統(tǒng)關(guān)鍵控制軟件的強(qiáng)制版本管理情況。操作系統(tǒng)

和監(jiān)控軟件的全部可執(zhí)行代碼在開發(fā)或升級后必須通過指定的具有

安全檢測資質(zhì)的檢測機(jī)構(gòu)的檢測,具有檢測報(bào)告。

?核查重要電力監(jiān)控系統(tǒng)基于可信計(jì)算的靜態(tài)安全啟動(dòng)機(jī)制和動(dòng)態(tài)安

全啟動(dòng)機(jī)制，通過靜態(tài)度量驗(yàn)證和動(dòng)態(tài)度量驗(yàn)證結(jié)合保證操作系統(tǒng)和

業(yè)務(wù)系統(tǒng)從啟動(dòng)到運(yùn)行全流程的安全度量設(shè)計(jì)，實(shí)現(xiàn)操作系統(tǒng)安全升

級、應(yīng)用完整性保障和安全策略強(qiáng)制實(shí)現(xiàn)的全面提升。

備注：靜態(tài)度量通常指在運(yùn)行環(huán)境初裝或重啟時(shí)對其鏡像的度量。度量是逐

級的，通常先啟動(dòng)的軟件對后一級啟動(dòng)的軟件進(jìn)行度量，度量值驗(yàn)證成功則標(biāo)志

著可信鏈從前一級軟件向后一級的成功傳遞。以操作系統(tǒng)啟動(dòng)為例，可信操作系

統(tǒng)啟動(dòng)時(shí)基于硬件的可信啟動(dòng)鏈，對啟動(dòng)鏈上的UEFI、loader、OS的image

進(jìn)行靜態(tài)度量，靜態(tài)度量的結(jié)果通過可信管理服務(wù)來驗(yàn)證，以判斷系統(tǒng)是否被改

動(dòng)。動(dòng)態(tài)度量和驗(yàn)證指在系統(tǒng)運(yùn)行時(shí)動(dòng)態(tài)獲取其運(yùn)行特征，根據(jù)規(guī)則或模型分析

判斷系統(tǒng)是否運(yùn)行正常。

2、應(yīng)急備用設(shè)施評估

1)冗余備用

冗余備用和數(shù)據(jù)備份的目的是為了實(shí)現(xiàn)電力監(jiān)控系統(tǒng)的故障快速恢復(fù)，建立

堅(jiān)強(qiáng)智能電網(wǎng)，保證業(yè)務(wù)的連續(xù)性。

(1)冗余備用評估重點(diǎn)內(nèi)容：

?核查地市及以上電網(wǎng)調(diào)度控制中心硬件設(shè)施及人員組織及職責(zé)文檔、

發(fā)電廠和變電站的關(guān)鍵設(shè)備(控制器、可編程邏輯控制單元、工業(yè)以

太網(wǎng)交換機(jī)、工控主機(jī)等），保證在系統(tǒng)、場地、人員崗位等層面的

冗余備用；

?核查發(fā)電廠和變電站關(guān)鍵設(shè)備和特別重要設(shè)備的定期數(shù)據(jù)備份情況，

按照策略執(zhí)行備份策略。關(guān)鍵設(shè)備需要以雙機(jī)或雙工的方式實(shí)現(xiàn)冗余

備用；特別重要設(shè)備（如現(xiàn)場運(yùn)行系統(tǒng)及設(shè)備關(guān)鍵部位）需要配備自

動(dòng)化控制機(jī)制和手動(dòng)操作設(shè)施兩種控制方式，并對手動(dòng)操作相關(guān)設(shè)備

設(shè)施有計(jì)劃進(jìn)行檢修，以防止自動(dòng)化控制機(jī)制異常影響的生產(chǎn)控制問

題；

?核查各級電網(wǎng)調(diào)度控制中心、發(fā)電廠和變電站電力監(jiān)控系統(tǒng)的監(jiān)控措

施、預(yù)警措施、人員巡視要求和記錄、故障處理流程等，運(yùn)行狀態(tài)監(jiān)

控和故障預(yù)警措施。

2）應(yīng)急響應(yīng)

電力監(jiān)控系統(tǒng)安全防護(hù)的核心是保護(hù)電網(wǎng)的安全。當(dāng)生產(chǎn)控制大區(qū)出現(xiàn)安全

事件，尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時(shí)，應(yīng)按應(yīng)急處理預(yù)案,

立即采取安全應(yīng)急措施。

（1）應(yīng)急響應(yīng)重點(diǎn)評估內(nèi)容：

?核查電力企業(yè)應(yīng)急相關(guān)制度的合理性和完整性、應(yīng)急處理預(yù)案的全面

性和可行性、應(yīng)急演練方案的適應(yīng)性、定期開展應(yīng)急演練并詳細(xì)完整

記錄演練內(nèi)容；

?核查生產(chǎn)控制大區(qū)安全事件應(yīng)急預(yù)案或包含相關(guān)內(nèi)容的應(yīng)急預(yù)案、應(yīng)

急操作手冊操作流程和操作方法需要詳細(xì)同時(shí)具備可操作性、事件處

理過程記錄完整詳實(shí)；

?安全事件應(yīng)及時(shí)報(bào)告上級業(yè)務(wù)主管部門和安全主管部門，必要時(shí)可斷

開生產(chǎn)控制大區(qū)與管理信息區(qū)之間的橫向邊界連接；在緊急情況下可

協(xié)調(diào)斷開生產(chǎn)控制大區(qū)與下級或上級控制系統(tǒng)之間的縱向邊界連接,

以防止事態(tài)擴(kuò)大，同時(shí)注意保護(hù)現(xiàn)場，以便進(jìn)行調(diào)查取證和分析。

3)多道防線

電力監(jiān)控系統(tǒng)橫向從外到內(nèi)四道安全防線，實(shí)現(xiàn)核心控制區(qū)安全防護(hù)強(qiáng)度的

累積效應(yīng)?？v向從下到上四道安全防線，實(shí)現(xiàn)高安全等級控制區(qū)安全防護(hù)強(qiáng)度的

累積效應(yīng)。

(1)多道防線重點(diǎn)評估內(nèi)容：

?核查電力監(jiān)控系統(tǒng)的橫向安全防線和縱向安全防線安全設(shè)備設(shè)置的

合理性和策略的有效性；

?核查網(wǎng)絡(luò)安全監(jiān)視措施，實(shí)現(xiàn)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的信

息采集、安全審計(jì)、實(shí)時(shí)監(jiān)視告警等功能，目前國家電網(wǎng)和南方電網(wǎng)

都在調(diào)度數(shù)據(jù)網(wǎng)絡(luò)