電力監(jiān)控系統(tǒng)安全防護評估規(guī)范.docx

摘要為了加強電力監(jiān)控系統(tǒng)的信息安全管理，防范黑客及惡意代碼等對電力監(jiān)控系統(tǒng)的攻擊及侵害，保障電力系統(tǒng)的安全穩(wěn)定運行，根據(jù)電力監(jiān)管條例、中華人民共和國計算機信息保護條例和國家有關規(guī)定，結合電力監(jiān)控系統(tǒng)的實際情況，近日，國家發(fā)展改革委最新頒布的第14號令電力監(jiān)控系統(tǒng)安全防護規(guī)定(以下簡稱規(guī)定)正式實施。這一國家和政府層面出臺的法規(guī)性文件，無疑為保障電力系統(tǒng)的安全運行、促進電力企業(yè)在新形勢下做好電力監(jiān)控系統(tǒng)安全防護工作上了一道安全鎖。為了加強電力監(jiān)控系統(tǒng)的信息安全管理，防范黑客及惡意代碼等對電力監(jiān)控系統(tǒng)的攻擊及侵害，保障電力系統(tǒng)的安全穩(wěn)定運行，根據(jù)電力監(jiān)管條例、中華人民共和國計算機信息保護條例和國家有關規(guī)定，結合電力監(jiān)控系統(tǒng)的實際情況，近日，國家發(fā)展改革委最新頒布的第14號令電力監(jiān)控系統(tǒng)安全防護規(guī)定(以下簡稱規(guī)定)正式實施。這一國家和政府層面出臺的法規(guī)性文件，無疑為保障電力系統(tǒng)的安全運行、促進電力企業(yè)在新形勢下做好電力監(jiān)控系統(tǒng)安全防護工作上了一道安全鎖。 嚴格做好保密工作規(guī)定要求電力監(jiān)控系統(tǒng)相關設備及系統(tǒng)的開發(fā)單位、供應商應當以合同條款或者保密協(xié)議的方式保證其所提供的設備及系統(tǒng)符合安全標準，并在設備及系統(tǒng)的全生命周期內對其負責，還要禁止關鍵技術和設備的擴散。作為電力企業(yè)本身也要加強技術管理來提高電網的安全性，此外在生產控制大區(qū)與廣域網的縱向聯(lián)接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。確保生產控制大區(qū)中的重要業(yè)務系統(tǒng)都要認證加密。對生產控制大區(qū)安全評估的所有評估資料和評估結果，應當按國家有關要求做好保密工作。建立安全防護管理制度據(jù)了解，電力監(jiān)控系統(tǒng)比較復雜和龐大，安全防護的相關組織機構也比較龐大，要將政府監(jiān)管部門、企業(yè)和個人整合在一起，發(fā)揮集體的力量做好電力監(jiān)控系統(tǒng)安全防護工作。建立行之有效的監(jiān)督與管理要理清政府監(jiān)管部門、企業(yè)等的責任，成立符合實際的安全防護組織機構，制定行之有效的管理制度。規(guī)定指出，電力企業(yè)應當按照“誰主管誰負責，誰運營誰負責”的原則，建立健全電力監(jiān)控系統(tǒng)安全防護管理制度，將電力監(jiān)控系統(tǒng)安全防護工作及其信息報送納入日常安全生產管理體系，落實分級負責的責任制。在方案實施方面，電力調度機構、發(fā)電廠、變電站等運行單位的電力監(jiān)控系統(tǒng)安全防護實施方案必須經本企業(yè)的上級專業(yè)管理部門和信息安全管理部門以及相應電力調度機構的審核，方案實施完成后應當由上述機構驗收。接入電力調度數(shù)據(jù)網絡的設備和應用系統(tǒng)，其接入技術方案和安全防護措施必須經直接負責的電力調度機構同意。另外電企還需建立健全電力監(jiān)控系統(tǒng)安全的聯(lián)合防護和應急機制，制定應急預案。電力調度機構負責統(tǒng)一指揮調度范圍內的電力監(jiān)控系統(tǒng)安全應急處，當遭受網絡攻擊，生產控制大區(qū)的電力監(jiān)控系統(tǒng)出現(xiàn)異常或者故障時，應當立即向其上級電力調度機構以及當?shù)貒夷茉淳峙沙鰴C構報告，并聯(lián)合采取緊急防護措施，防止事態(tài)擴大，同時應當注意保護現(xiàn)場，以便進行調查取證。另外企業(yè)應當建立健全電力監(jiān)控系統(tǒng)安全防護評估制度，采取以自評估為主、檢查評估為輔的方式，將電力監(jiān)控系統(tǒng)安全防護評估納入電力系統(tǒng)安全評價體系。提高電力企業(yè)的安全管理。此外規(guī)定還提出，電力企業(yè)在設備選型及配置時，應當禁止選用經國家相關管理部門檢測認定并經國家能源局通報存在漏洞和風險的系統(tǒng)及設備;對于已經投入運行的系統(tǒng)及設備，應當按照國家能源局及其派出機構的要求及時進行整改，同時應當加強相關系統(tǒng)及設備的運行管理和安全防護。關鍵是要建立技術標準企業(yè)的發(fā)展最終是要靠技術，電力企業(yè)的安全防范管理也一樣，最終是要靠技術來解決。為此規(guī)定特意指出要加強電力監(jiān)控系統(tǒng)安全防護技術標準體系建設，發(fā)電企業(yè)、電網企業(yè)內部基于計算機和網絡技術的業(yè)務系統(tǒng)，應當劃分為生產控制大區(qū)和管理信息大區(qū)。在生產控制大區(qū)與管理信息大區(qū)之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。生產控制大區(qū)內部的安全區(qū)之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施，實現(xiàn)邏輯隔離。安全接入區(qū)與生產控制大區(qū)中其他部分的聯(lián)接處必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。生產控制大區(qū)的業(yè)務系統(tǒng)在與其終端的縱向聯(lián)接中使用無線通信網、電力企業(yè)其它數(shù)據(jù)網(非電力調度數(shù)據(jù)網)或者外部公用數(shù)據(jù)網的虛擬專用網絡方式(VPN)等進行通信的，應當設立安全接入區(qū)。安全區(qū)邊界也應當采取必要的安全防護措施，禁止任何穿越生產控制大區(qū)和管理信息大區(qū)之間邊界的通用網絡服務，保證生產控制大區(qū)中的業(yè)務系統(tǒng)的高安全性和高可靠性。安全防護問題最終還是要靠技術進步來解決，有了技術標準體系，就可以使全國范圍的電力系統(tǒng)安全防護有所參照;再次要加強技術監(jiān)督管理。安全防護真正的落腳點還是在企業(yè)，需要采用技術監(jiān)督手段來發(fā)現(xiàn)問題、解決問題，從而不斷提高企業(yè)的安全防護能力;最后要加強培訓，不斷提高系統(tǒng)內人員的技術能力。技術與管理并重據(jù)了解，第14號令附件發(fā)電廠監(jiān)控系統(tǒng)安全防護方案在原來“安全分區(qū)、網絡專用、橫向隔離、縱向認證”的基礎上增加了綜合防護的內容;同時在原來火電和水電安全防護的基礎上增加了核電、風電、光伏發(fā)電、天然氣、生物質等新能源形式的監(jiān)控系統(tǒng)安全防護要求。從發(fā)電企業(yè)角度來看，規(guī)定改變了原來僅用隔離的方式解決電廠監(jiān)控系統(tǒng)安全威脅問題，要求企業(yè)通過安全加固、邊界防護、訪問控制、安全審計、數(shù)據(jù)備份、入侵檢測等手段，進行多層面的信息安全防護。此外，電力監(jiān)控系統(tǒng)加強安全防護的重點是要抵御黑客、病毒、惡意代碼等對電力監(jiān)控系統(tǒng)的攻擊和侵害，保障電力系統(tǒng)的安全穩(wěn)定運行。除了構筑邊界安全防護網，還要特別注重內部的安全防護能力。除了依靠安全技術，更要重視安全管理，兩者不可偏廢