《電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護導則》解讀

《電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護導則》解讀

概述

隨著計算機和網(wǎng)絡通信技術在電力監(jiān)控系統(tǒng)中的廣泛應用，電力監(jiān)控系統(tǒng)

網(wǎng)絡安全問題日益凸顯，為了加強電力監(jiān)控系統(tǒng)的安全管理，防范黑客及惡意

代碼等對電力監(jiān)控系統(tǒng)的攻擊侵害，保障電力系統(tǒng)的安全穩(wěn)定運行，中國電力

企業(yè)聯(lián)合會根據(jù)國家發(fā)展改革委員會2014年第14號令《電力監(jiān)控系統(tǒng)安全防

護規(guī)定》和國家網(wǎng)絡安全等級保護等相關規(guī)定制定《電力監(jiān)控系統(tǒng)網(wǎng)絡安全防

護導則》（下文簡稱“防護導則”），該標準于2018年9月17日正式發(fā)布，2019

年4月1日正式實施。

防護導則由中國電力企業(yè)聯(lián)合會提出，國家能源局、國家電網(wǎng)有限公司、

中國南方電網(wǎng)有限責任公司、中國華能集團有限公司、公安部、行業(yè)權威科研

機構及測評機構、自動化廠商和安全廠商等共同起草，對于電力監(jiān)控系統(tǒng)全生

命周期的安全防護建設具有極強的指導意義和參考價值。

目次

概述..............................................................................1

目次..............................................................................1

1.適用范圍.....................................................................3

2.電力監(jiān)控系統(tǒng)面臨的主要網(wǎng)絡威脅..............................................3

3.網(wǎng)絡安全防護技術體系核心要點................................................5

3.1.安全防護技術..............................................................5

3.1.1.基礎設施安全..........................5

3.1.2,體系結(jié)構安全.........................................................6

3.1.3.橫向隔離-建立橫向通信多道防線......................................9

3.1.4.電,力監(jiān)控系疣橫向四道安全防線........10

3.1.5.縱向認證、數(shù)字證書-建立縱向通信多道防線............................11

3.1.6.電力監(jiān)控系統(tǒng)縱向四道安全防線........11

3.2.監(jiān)控系統(tǒng)本體安全........................................................12

3.2.1.基本要求-安全體系架構中各模塊實現(xiàn)本體安全.........................12

第1頁共18頁

3.2.2.關注也力監(jiān)控系統(tǒng)各模塊組件本體安全和運行安全.....................13

3.2.3.可信安全免疫........................................................14

3.2.4,應急備用措漁.........................15

3.3.安全管理.................................................................17

3.3.1.融入電,力安全生產(chǎn)管理體系............17

3.3.2.全體人員安全管理...................................................17

3.3.3.全部設備及系統(tǒng)的安全管理............17

3.3.4.全生命周期安全管理.................................................17

4.總結(jié)語........................................................................18

第2頁共18頁

l＜《k24401

F21GB

中華人民共和國國家標準

GB/T36572—2018

電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護導則

GuideUgofcybernecitritvprotectionfor

electricpowerstystemn?pervi?ionamicoutrol

2018ml7發(fā)布20194)4-01實德

國家市場叔督

中國國家標準化發(fā)布

1.適用范圍

“本標準規(guī)定了電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護的基本原則、體系框架、防護

技術、應急備用措施和安全管理要求?！?/p>

一一解讀：隨著計算機技術、網(wǎng)絡通信技術、安全防護技術和電力控制技

術的快速發(fā)展，電力監(jiān)控系統(tǒng)也面臨著更多網(wǎng)絡安全威脅、包括一些新型的APT

網(wǎng)絡攻擊。

2.電力監(jiān)控系統(tǒng)面臨的主要網(wǎng)絡威脅

表1電力監(jiān)控系統(tǒng)面臨的主要網(wǎng)絡威脅

第3頁共18頁

應急備用措施

圖1電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護體系三維立體結(jié)構示意圖

“本標準適用于發(fā)電、輸配電、用電、電網(wǎng)調(diào)度等電力生產(chǎn)各環(huán)節(jié)的電力

監(jiān)控系統(tǒng)安全防護，覆蓋其規(guī)劃設計、研究開發(fā)、施工建設、安裝調(diào)試、系統(tǒng)

改造、運行管理、退役報廢等各階段?！?/p>

——解讀：防護導則適用電力監(jiān)控系統(tǒng)生產(chǎn)業(yè)務全流程和全生命周期的網(wǎng)

絡安全防護。既涵蓋電力監(jiān)控系統(tǒng)的發(fā)、輸、變、配、用和電網(wǎng)調(diào)度等各業(yè)務

環(huán)節(jié)，同樣適用于電力監(jiān)控系統(tǒng)規(guī)劃設計到退役報廢的整個運行生命周期。電

力運營企業(yè)、設計院、自動化廠商、安全廠商等和電力監(jiān)控系統(tǒng)相關的上下游

生態(tài)鏈都可以參考防護導則的相關技術要求落實各自的職責。

3.網(wǎng)絡安全防護技術體系核心要點

3.1.安全防護技術

安全防護技術包含基礎設施安全、體系結(jié)構安全、監(jiān)控系統(tǒng)本體安全、可

信安全免疫四個部分。

3.1.1.基礎設施安全

第5頁共18頁

6安全防爐技術

6.1基礎設施安全

電力監(jiān)控系統(tǒng)機層和生產(chǎn)場地應選擇在乂后防震、防風和防闌等能力的建筑內(nèi)?應采取有效防水、

防潮、防火,防海電、防宙擊、防盜掰,防破壞措施；機房場地應避免設在建筑物的鬲層或地卜妄?以及用

水諛備的卜,層或隔壁（虬GB/T9361）.

應在機房供電線路上配置稅年器和過電汽防護設備，設置冗余或并行的電力電纜線路為“算機系

統(tǒng)供電?應建立備用供電系統(tǒng)，提供用期的備用電力供應.至少滿足以得在斷電情況卜的正常運行要求；

生產(chǎn)控制大區(qū)機房與管理信口大X機房增獨立設冏.此安排專人值守并配置電子門禁系統(tǒng)及其■轉(zhuǎn)存儲

功能的視頻、環(huán)境監(jiān)控系統(tǒng)以加強物或訪問控制，應對生產(chǎn)控制大又關糧區(qū)域或關鍵設備實腌電磁屏

蔽.（見GB/T222392008中的四級系統(tǒng)物理安全和三級系統(tǒng)物理安仝等部分.）

生廣丁制大區(qū)所1的密碼星Ml設他，包括對稱密碼、非對忤密陰、拊要算夜、刈度數(shù)子證I，和女全標

簽等，應符?國家有關規(guī)定.并通過國家々關機構的檢源認證._____________________________________

基礎設施安全對應等級保護標準安全物理環(huán)境部分技術要求，又突出行業(yè)

特點。如：

?基于安全分區(qū)的基本原則，生產(chǎn)控制大區(qū)機房與管理信息大區(qū)機房也應

獨立設置，設備部署在對應的安全區(qū)域，等級保護第四級安全區(qū)域應配置第二

道門禁；

?生產(chǎn)控制大區(qū)所有的密碼基礎設施，如：縱向加密裝置需要通過電力行

業(yè)相關檢測機構（如中國電力科學研究院）的檢測認證，結(jié)合現(xiàn)場實際情況，密碼

算法更新至SM2加密算法。

3.1.2.體系結(jié)構安全

3.1.2.1.總體要求■十六字方針是基本防護原則

體系結(jié)構安全的墓木要求繼承了電力行業(yè)的“安全分區(qū)，網(wǎng)絡專用、橫向

隔離、縱向認證"十六字安全結(jié)構傳統(tǒng)。2005年《電力二次系統(tǒng)安全防護規(guī)定》

（電監(jiān)會5號令）提出“電力二次系統(tǒng)安全防護工作應當堅持安全分區(qū)、網(wǎng)絡專用、

橫向隔離、縱向認證的原則，保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡的安全”。

十六字基本方針作為電力監(jiān)控系統(tǒng)防護的基本原則，被相關國家標準和其他行

業(yè)標準借鑒應用，充分驗證其防護能力的有效性和行'也適用性。

第6頁共18頁

3.1.2.2,分區(qū)分級-網(wǎng)絡分區(qū)、安全分級，加強重點防護

6.2.2分區(qū)分級

電力監(jiān)控系統(tǒng)應劃分為生產(chǎn)控制大區(qū)和管理信息大X.生產(chǎn)控制大區(qū)可以分為超制區(qū)（安全區(qū)I）

和井控制區(qū)（安全區(qū)I）,管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提卜?,可以根據(jù)各企業(yè)不同

安全要求劃分安全區(qū)性產(chǎn)短制大區(qū)的縱向互聯(lián)應與相同安全,互聯(lián)送免聆安全之縱向交叉聯(lián)接。R

于小型變電站和發(fā)電;可根據(jù)艮體情況情化安全區(qū)的I殳保?應等就上不就低的驚媚對簡化后的安全僅

進行防護,同時避免形成不同安全區(qū)的縱向交叉聯(lián)接.

生產(chǎn)控制大區(qū)的業(yè)務系統(tǒng)在與其終端的縱向聯(lián)接中使用無皴通信網(wǎng)、電力企業(yè)其f轡幽躁力

刎度數(shù)據(jù)網(wǎng)）或者外部公用數(shù)據(jù)網(wǎng)的虛擬專用網(wǎng)絡方式（VPN）等進行通信的，應設必安全接人區(qū)|如

困4所示.

圖4安全接入?yún)^(qū)防護結(jié)構示意圖

各X域安全邊界應采取必要的安全防護措施，禁止任何穿毯生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊

界是通用―務（如FTP'HTTP、TELDET、MAIL、RLOGN、SNMP等+

「應遵循國家信息安全等級保護要求,總確劃分電力藍控系統(tǒng)安全等絨見GB178591999的第

4章、GB/T22240-2008中的5.5、GB/T25058—2010中的5.3）.生產(chǎn)控制大區(qū)的控制1X（安全區(qū)D的

安全等級最鬲，非控制區(qū)（安全區(qū)n）次之.管理信息大區(qū)再次之“

網(wǎng)絡分區(qū)：電力監(jiān)控系統(tǒng)的網(wǎng)絡分區(qū)在電力行業(yè)已經(jīng)是約定俗成，同樣也

符合網(wǎng)絡安全等級保護工業(yè)控制系統(tǒng)安全擴展要求中安全通信網(wǎng)絡的網(wǎng)絡架構

技術要求。在電力監(jiān)控系統(tǒng)中關于簡化安全區(qū)的設置，要遵循就高不就低的原

則，同時生產(chǎn)控制大區(qū)的縱向互聯(lián)應與相同安全區(qū)互聯(lián)，避免不同安全區(qū)的縱

向交叉互聯(lián)。針對目前新能源發(fā)電廠（如風電和光伏電站）中安全區(qū)I和安全區(qū)II

通過一臺通信服務器（部署在安全區(qū)I）與集控中心或者調(diào)度進行通信的業(yè)務場

景，應做好安全區(qū)I和安全區(qū)H的隔離措施（如：增加工業(yè)防火墻）。

安全分級：遵循國家信息安全等級保護要求，對電力監(jiān)控系統(tǒng)進行安全定

級，并采取相應的保護措施。等級保護定級參考主要是看影響，根據(jù)當被保護

的對象遭受破壞、喪失功能等影響后對國家安全、社會秩序、公共利益以及公

民、法人和其他合法權益的侵害程度來定級。電力監(jiān)控系統(tǒng)的現(xiàn)場采集/執(zhí)行、

現(xiàn)場控制和過程控制等要素需作為一個整體對象定級，各要素不單獨定級；生

產(chǎn)管理要素（管理信息大區(qū)）宜單獨定級。對于大型工業(yè)控制系統(tǒng)，可根據(jù)系統(tǒng)功

能、責任主體、控制對象和生產(chǎn)廠商等因素劃分多個定級對象。電力監(jiān)控系統(tǒng)

的安全等級保護定級可以參考國能安全36號文中的定級標準。

第7頁共18頁

加強重點防護：通過業(yè)務分區(qū)和安全分級梳理重點防護的安全對象，對重

要業(yè)務系統(tǒng)加強防護，包括橫向隔離、縱向認證和綜合防護。同時需要關注安

全接入?yún)^(qū)的設置和防護架構。設置安全接入?yún)^(qū)的技術場景為如果生產(chǎn)控制大區(qū)

內(nèi)個別業(yè)務系統(tǒng)或其功能模塊（或子系統(tǒng)）需使用公用通信網(wǎng)絡、無線通信網(wǎng)絡以

及處于非可控狀態(tài)下的網(wǎng)絡設備與終端等進行通信，其安全防護水平低于生產(chǎn)

控制大區(qū)內(nèi)其他系統(tǒng)時，應設立安全接入?yún)^(qū)，典型的業(yè)務系統(tǒng)或功能模塊包括

配電網(wǎng)自動化系統(tǒng)的前置采集模塊（終端）、負荷控制管理系統(tǒng)、某些分布式電源

控制系統(tǒng)等，安全接入?yún)^(qū)的典型安全防護框架結(jié)構如下圖所示。

圖2安全接入?yún)^(qū)的典型安全防護框架結(jié)構示意圖

第8頁共18頁

3.1.2.3.網(wǎng)絡專用-重點關注生產(chǎn)控制大區(qū)與其他通信網(wǎng)絡的網(wǎng)絡

隔離

6.2.2分區(qū)分級

電力控系統(tǒng)應劃分為生產(chǎn)控制大區(qū)和管助信息大區(qū).生產(chǎn)控制大區(qū)可以分為控制區(qū)（安全xI）

和祚控制區(qū)（安全區(qū)13管理信.息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提卜.，可以根據(jù)各企業(yè)不同

安全要求劃分安全區(qū)］生產(chǎn)柱制大區(qū)的縱向互聯(lián)應與相同安全區(qū)互聯(lián)，與免跨安全?縱向交叉聯(lián)接1Q

于小型變電站和發(fā)電；可根據(jù)共體情況有化安全區(qū)的粒宣,應御就高不就低的原時時簡化后的安全&

進行防護，同時避免形成不同安全區(qū)的縱向交叉聯(lián)接.

生產(chǎn)控制大區(qū)的業(yè)務系統(tǒng)在與其終端的縱向聯(lián)接中使用尢線通信網(wǎng)、電力企業(yè)共專出型坐力

調(diào)度數(shù)據(jù)網(wǎng)）或者外部公用數(shù)據(jù)網(wǎng)的虛擬專用網(wǎng)絡方式（VPN）等進行通信的，應改上匡還正|如

圖4所示“

=>一?向*****?.

圖4安全接入?yún)^(qū)防護結(jié)構示意圖

各區(qū)域安全邊界應采取必要的安全防護措施，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊

界的通用網(wǎng)絡版務（切FTP.HTTP、TELNET、MAH,、RLOGIN、SNMP等）.

|應遵循國家—且安全等級保護要求?疵確劃分電力股控系蛻安全等級卜見GB178591999的第

4審、GB/T22240—2008中的5.5、GB/T25058-2010中的5.3）.生產(chǎn)控制大區(qū)的控制1X（安全區(qū)D的

安全等級最高,非控制區(qū)（安全區(qū)II）次之,管理信息大區(qū)再次之“

網(wǎng)絡專用主要關注網(wǎng)絡安全隔離、子網(wǎng)劃分情況和生產(chǎn)控制大區(qū)數(shù)據(jù)通信

七層協(xié)議的安全措施。電力調(diào)度數(shù)據(jù)網(wǎng)是典型的與生產(chǎn)控制大區(qū)相連接的專用

網(wǎng)絡。

電力調(diào)度數(shù)據(jù)網(wǎng)應當在專用通道上使用獨立的網(wǎng)絡設備組網(wǎng)，在物理層面

上實現(xiàn)安全隔離；同時劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控

制區(qū)和非控制區(qū)，禁止存在生產(chǎn)控制大區(qū)與其他網(wǎng)絡直連、無邏輯隔離措施或

共用網(wǎng)絡設備的情況；另外生產(chǎn)控制大區(qū)數(shù)據(jù)通信的七層協(xié)議均應采用相應安

全措施，具體到安全措施如：禁止采用默認路由，按照業(yè)務需求劃分VLAN,關

閉網(wǎng)絡邊界OSPF路由功能，采用符合要求的虛擬專網(wǎng)、加密隧道技術；使用符

合國家要求的加密算法，使用調(diào)度數(shù)字證書實現(xiàn)安全認證等。

3.1.3.橫向隔離?建立橫向通信多道防線

第9頁共18頁

"產(chǎn)控制火區(qū)刎件典仿息火火的般需傳缺采川止向安全隔內(nèi)設俊?僅允許通向數(shù)正傳軸1件月信息

大區(qū)利生戶界a大x的數(shù)樹傳附采用反向安全隔寓過市?僅允許單向數(shù)據(jù)傳愴?片米取從廣尊照體密的

技術的冷Xq*,內(nèi)布過攏di效忤恰點等安全搟俺.

住不接人心川產(chǎn)也雪人區(qū)小北他二務的垂技處應設笈通過■*“其機構安不小利認訐的電力3

［川靛1中向安件隔篇&H：I’

電力監(jiān)控系統(tǒng)應在外部公共因特網(wǎng)、管理信息大區(qū)、生產(chǎn)控制大區(qū)的控制

區(qū)及非控制區(qū)等橫向邊界部署相應安全措施，形成電力監(jiān)控系統(tǒng)橫向從外到內(nèi)

橫向四道防線中根據(jù)防護強度要求從技術實現(xiàn)角度可劃分為單向隔離和邏

輯隔離。

單向隔離技術的應用場景為生產(chǎn)控制大區(qū)與管理信息大區(qū)的數(shù)據(jù)通信、安

全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中其他部分的聯(lián)接處。簡單理解從數(shù)據(jù)通信源為生產(chǎn)

控制大區(qū)需要部署正向安全隔離設施實現(xiàn)數(shù)據(jù)的單向傳輸，反之部署反向安全

隔離裝置。裝置必須為通過國家有關機構安全檢查認證的電力專用橫向橫向單

向隔離裝置。

備注說明：在發(fā)電廠生產(chǎn)控制大區(qū)中脫硫脫硝等、業(yè)務系統(tǒng)需要與地方環(huán)保

等部門進行數(shù)據(jù)傳輸時，其邊界也應該采用單向隔離強度的防護措施。

邏輯隔離技術的應用場景為生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間的數(shù)據(jù)通信、

管理信息大區(qū)和外部公共因特網(wǎng)之間的數(shù)據(jù)通信以及同一安全區(qū)內(nèi)部不同系統(tǒng)

之間的數(shù)據(jù)通信。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間的邏輯隔離措施可以選用工

控專用防火墻，實現(xiàn)網(wǎng)絡層的訪問控制以及工業(yè)控制協(xié)議規(guī)約檢查和過濾。管

理信息大區(qū)和外部公共因特網(wǎng)以及管理信息大區(qū)內(nèi)部的邏輯隔離措施可以選用

第10頁共18頁

下一代防火墻，實現(xiàn)網(wǎng)絡層的訪問控制、應用級檢查、入侵防御以及對威脅情

報的檢測。

3.1.5.縱向認證、數(shù)字證書?建立縱向通信多道防線

6.2.5縱向認迂

在生產(chǎn)控制大區(qū)［廣域網(wǎng)的颯向聯(lián)接處應設置通過國度行關恥構安全檢清認證的電力C?用縱向加

密認證裝■或普加宙認證冏關及相應設《'

6.2.6數(shù)字if書和安全標簽

依照電力冊度管理體制建d菜卜一例技術的分用，弋電〃調(diào)度致不池I，及實個標噌I生產(chǎn)控制大K

中的由要業(yè)務系M?-川加密隊iF機M.

電力監(jiān)控系統(tǒng)應在國調(diào)、網(wǎng)調(diào)、省調(diào)、地調(diào)、縣調(diào)間，以及各級調(diào)度機構

與其直調(diào)的發(fā)電廠、變電站之間的縱向邊界，部署相應安全措施，形成電力監(jiān)

控系統(tǒng)縱向從下到上四道安全防線，實現(xiàn)高安全等級控制區(qū)安全防護強度的累

積效應。縱向數(shù)據(jù)交互時，應保證數(shù)據(jù)完整性和保密性，縱向加密認證裝置隧

道配置策略應細化至業(yè)務IP地址、通信端口，隧道和策略應為密通，R游道為

OPEN狀態(tài)。生產(chǎn)控制大區(qū)的重要業(yè)務系統(tǒng)應該逐步實現(xiàn)加密認證機制。

國家級縱向防線

調(diào)度控制中心

--第四道防線

——

大區(qū)電網(wǎng)

調(diào)度控制中心

一Q效'弟二

笞級串網(wǎng)溫,站

調(diào)度控制中心

一*-----------------------------第二道防線

****—

地市電網(wǎng)令級

調(diào)度控制中心直調(diào)廠站

\'''Xo-

KJ-------------------第一道防線

u地方級

只配電M

調(diào)度控制中心H調(diào)廠站

具級

H調(diào)廠站

3.1.6.電力監(jiān)控系統(tǒng)縱向四道安全防線

笫11頁共18頁

3.1.6.1.防火墻和入侵檢測、防病毒和防木馬要求

6.2.7防火墻和入侵校測

「生產(chǎn)控飄火區(qū)內(nèi)不同系統(tǒng)間應采用邏物陶高排他］實現(xiàn)邏輯隔肉，報文過濾，訪問控制等功能（她

GBT25068.32010的第6，和第7怎,

［一產(chǎn)檸.大區(qū)可探暑人侵檢測1祠7卜理設粕檢測規(guī)則.及時糊佚網(wǎng)絡異常行為?分析潛住威脅?進

行良一-iI.忻保依特》到收時更新.gG到史新前應進行充分的測試*止仃拉通過因心M《線史上I

6.2.8防病毒和防木馬

I'I產(chǎn)護利，伏鹿部K芯0：代碼防范黃池I.M保存助征碼以離線方式及時更新?特征碼更新前應進行

充分的海試.更薪過程應嚴格遵循機美安全管理規(guī)定.切止H接通過岡特M在線更新.

J生產(chǎn)控制系統(tǒng)部署防火墻、入侵檢測系統(tǒng)以及防惡意代碼的產(chǎn)品必須滿

足相應產(chǎn)品技術規(guī)范要求，同時必須保證安全設備策略的有效性；并且生產(chǎn)控

制大區(qū)需要更新特征庫或者病毒庫的產(chǎn)品必須離線及時更新，不允許直接通過

因特網(wǎng)直接更新；

V由于電力監(jiān)控系統(tǒng)對實時性的要求較高，高延遲和抖動是不能接受的，

且網(wǎng)絡相對封閉，所以建議在電力監(jiān)控系統(tǒng)中部署工控專用的安全產(chǎn)品。目前

針對工業(yè)控制網(wǎng)絡安全防護產(chǎn)品，已經(jīng)有相應的GB/T、GA以及在研技術要求

或檢測標準。

3.1.6.2.工控安全產(chǎn)品標準化情況

產(chǎn)品類別標準化情況

安全管理中心工控安全管理平臺GA/T1350-2017

信息安全技術工業(yè)控制系統(tǒng)安全管理平臺安全技術要求

工控網(wǎng)絡隔離產(chǎn)品GB/T37934-2019

信息安全技術工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)安全技術要求

安全區(qū)域邊界

工控防火墻GB/T37933-2019

信息安全技術工業(yè)控制系統(tǒng)專用防火墻技術要求

—

工控網(wǎng)絡安全審計產(chǎn)品GB/T37941-2019

信息安全技術工業(yè)控制系統(tǒng)網(wǎng)絡審計產(chǎn)品安全技術要求

安全通信網(wǎng)絡

工控網(wǎng)絡監(jiān)測安全產(chǎn)品GB/T37953-2019

信息安全技術工業(yè)控制網(wǎng)絡監(jiān)測安全技術要求及測試評價方法

研究項目

安全計算環(huán)境工控主機安全軟件

工業(yè)控制系統(tǒng)主機安全防護系統(tǒng)安全技術要求和測試評價方法

3.1.6.3.撥號認證-加強審計與認證

撥號認證設施應用場景為進行必要的遠程維護，僅允許單用戶登錄，并采

取嚴格監(jiān)管審計措施，使用安全加固的操作系統(tǒng)、數(shù)字證書技術進行登錄和訪

問認證等安全措施。應該禁止直連核心交換機，不使用時關機。

3.2.監(jiān)控系統(tǒng)本體安全

3.2.1.基本要求■安全體系架構中各模塊實現(xiàn)本體安全

第12頁共18頁

適用范圍：本體安全是電力監(jiān)控系統(tǒng)安全防護體系中重要的一環(huán)。本體安

全的相關要求主要適用于新建或新開發(fā)的電力監(jiān)控系統(tǒng)，在運系統(tǒng)具備升級改

造條件時可參照執(zhí)行，不具備升級改造條件的在運系統(tǒng)需要通過健全和落實安

全管理制度和安全應急機制、加強安全管控、強化網(wǎng)絡隔離等方式降低安全風

險。

建設范圍：電力監(jiān)控系統(tǒng)軟件的安全、操作系統(tǒng)和基礎軟件的安全、計算

機和網(wǎng)絡設備及電力專用監(jiān)控設備的安全、核心處理器芯片的安全。應采用安

全、可控、可靠的軟硬件產(chǎn)品，并通過國家有關機構的安全檢測認證。

3.2.2.關注電力監(jiān)控系統(tǒng)各模塊組件本體安全和運行安全

「6.3.2電力監(jiān)控系統(tǒng)軟件安荃1

電力般控系統(tǒng)中的控制就件.在部署前應通過國家有關機構的安全檢薄認證和代科安全審計.防施

怒意軟件或老總代碼的仙人.

電力改控系法秋件應在設H句出:人安全防護理念和措床.業(yè)務賽統(tǒng)收件山術用模塊化總體i殳”.令

司劃分各業(yè)務模塊.片部川應安全區(qū)?敢點保障實時W環(huán)控M核心模塊安全.

涮度控M系統(tǒng)可通過內(nèi)需少用改俺進行維協(xié),采用4仰認WHi安全謝什宴他個科歌校.保障維護行

為可追溯變電站和發(fā)電廠監(jiān)控系統(tǒng)可通過遠程撥號認訐法瓶進行通程維加嚴棉片止作接通過因特

網(wǎng)進行生產(chǎn)控制大區(qū)的近程維護.

|6.3.3—作系統(tǒng)和小觸軟件的安全]

.要電力一按系挽中的拼作樂At.敢粼憚.中間件等W制軟件店通過國京G關機構的安全檢測認

證.防槍M礎軟件存在總意后門.

生產(chǎn)控制大區(qū)業(yè)務系統(tǒng)應采用滿足安全可球要求的振作系統(tǒng),數(shù)據(jù)庫、中間付等乎礎軟件（處

GBT20272—2006中的4.3和4.1）.使用時應合科長笈，啟用安仝裝略：操作系統(tǒng)和柒礎軟件應僅安裝

運行雷妥的SMT和應用程序?并及時升級安全補J?補1更新的應進行充分的測試?禁止H接通過因抬

何住餞更新.

[6.3.4計算機和網(wǎng)絡及監(jiān)控設備的安全|

電力監(jiān)控系統(tǒng)中的計算機制網(wǎng)絡沒備?以及電力口動化設備.解電保護設備.安全培定控制設備、料

能電子設芾（1ED）、測控設備等.應通過國家行關機構的安全檢測認證.防把設備主板存在惡.也芯片，

生產(chǎn)拄制大K應采用符合M家相關帙求的計燈機和網(wǎng)絡設備（虬GBT2102820。7的第1。和

第，一、GHF210502（＞07中的7.1和7.2、GBT18336.22。15的第7章）,但川時應合啰歸置工1川

安個策Kh應時用網(wǎng)絡設備和計。機粒茶的空同網(wǎng)絡潮”和凡他無用端n.拆除成封用不必要的移動”

儲設的接口（包括光》、USB報”等）.僅保耨湍度數(shù)字訐書所需匿的USB端”

|6.3.5一心處3at芯片的后司

中安電力監(jiān)控系技中的帙心處理H芯片應通過國家療關機構的安全悔測認證，防他芯片“在怒點

指令或快歡，

K&電力監(jiān)界樂及應泉川符介國東相關心K的處方旗芯片（見（；H/T221862016中的7.D.泉川

安全可珞的定碼。法,克隨機敵發(fā)生器.存《5器加密,總縝傳輸加密等措施進行安全防護.

3.2.2.1.系統(tǒng)模塊本體安全

針對監(jiān)控系統(tǒng)本體安全的建設范圍而言，各系統(tǒng)模塊組件本體安全是保證

電力監(jiān)控系統(tǒng)安全的基礎。電力監(jiān)控系統(tǒng)軟件；重要電力監(jiān)控系統(tǒng)中的操作系

統(tǒng)、數(shù)據(jù)庫、中間件等基礎軟件；計算機和網(wǎng)絡設備，以及電力自動化設備、

繼電保護設備、安全穩(wěn)定控制設備、智能電子設備（IED）、測控設備等；重要電

第13頁共18頁

力監(jiān)控系統(tǒng)中的核心史理器芯片在設計階段需要充分考慮安全防護理念和措

施，必須通過國家有關機構的安全檢測認證和代碼安全審計，防止軟硬件存在

惡意的代碼或后門。各設備供應商需要提供相應的檢測報告或認證證書。

重要電力監(jiān)控系統(tǒng)應采用符合國家相關要求的處理器芯片，采用安全可靠

的密碼算法，真隨機數(shù)發(fā)生器、存儲器加密、總線傳輸加密等安全防護措施。

3.2.2.2.運行安全

在保證安全體系架構中各模塊自身安全性的前提下，使用過程中的安全是

對應著技術安全防護技術體系中的應用環(huán)節(jié)，是建立電力監(jiān)控系統(tǒng)網(wǎng)絡安全的

基礎。具體包括不局限于以下內(nèi)容：

J軟硬件使用時應合理配置，啟用身份鑒別、訪問控制、安全審計等安全

功能和策略；

J操作系統(tǒng)和基礎軟件應僅安裝運行需要的組件和應用程序，并及時升級

安全補丁，補丁更新前應進行充分的測試，禁止直接通過因特網(wǎng)在線更新；

J計算機和網(wǎng)絡及監(jiān)控設備等硬件設備應通過防撕封條或者U口管控軟件

等工具封閉網(wǎng)絡設備和計算機設備的空閑網(wǎng)絡端口和其他無用端口，拆除或封

閉不必要的移動存儲設備接口，僅保留必要的USB端口；

V同樣在運維過程中應采取專機專用、身份認證和安全審計等安全措施，

嚴禁出現(xiàn)通過互聯(lián)網(wǎng)直接運維生產(chǎn)控制大區(qū)的情況，采用VPN專線、運維堡壘

機等措施都是實現(xiàn)運維安全的可選方式。

3.2.3.可信安全免疫

3.2.3.1.基本要求-監(jiān)控系統(tǒng)本體安全的根本

3.2.3.1.1.適用范圍

可信安全免疫是監(jiān)控系統(tǒng)本體安全的根本核心和補充，可信安全免疫的相

關要求主要適用于新建或新開發(fā)的電力監(jiān)控系統(tǒng)，在運系統(tǒng)具備升級改造條件

時可參照執(zhí)行，不具備升級改造條件的在運系統(tǒng)需要通過健全和落實安全管理

制度和安全應急機制、加強安全管控、強化網(wǎng)絡隔離等方式降低安全風險。

第14頁共18頁

3.2.3.1.2.建設范圍

強制版本管理、靜態(tài)安全免疫和動態(tài)安全免疫。重要電力監(jiān)控系統(tǒng)應在有

條件時逐步推廣應用以密碼硬件為核心的可信計算技術，用于實現(xiàn)計算環(huán)境和

網(wǎng)絡環(huán)境安全免疫，免疫未知惡意代碼，防范有組織的、高級別的惡意攻擊。

3.2.3.2.全業(yè)務流程和生命周期的可信安全

而，:也h出桿系域大進檸制軟件應采J忸，可。的-r收小管評措也［標n系統(tǒng)in心擰軟件

的全部可執(zhí)行代碼?住開發(fā)或升級后應由'卜1廠.采用數(shù)字證書引其始。寂或|通過檢洌的控制軟件

程#應由檢刻機構用K數(shù)字證I，時算然名.生產(chǎn)IM.'fJlrMA檢測機構3名數(shù)本

的可執(zhí)行代碼用助達竹.

I6.4.31,安全免疫|

也處電力酷控系統(tǒng)應我曜—計注的靜志安仝后動機制1服務器加電至操作系統(tǒng)啟動前q

Bins.報件系悚aVfV序以及系統(tǒng)內(nèi)校執(zhí)懺的春應址.業(yè)務應用.幼龍M、系統(tǒng)內(nèi)核快塊件啟動時成財

其執(zhí)行靜態(tài)度中.確保枝度象入希尊改”.不存在未知代碼?未經(jīng)度價的對象應無法后動成執(zhí)行.

644動態(tài)安華盤笈

幣要電力也捽系統(tǒng)府采W4——n的動態(tài)我令防護機制M系統(tǒng)選PL數(shù)據(jù)、代碼段進行動毒

度一?不同進程之間不忘存在東經(jīng)許可的相互蠲用.啟止向內(nèi)〃代后段與數(shù)據(jù)段直接注入代瑪?shù)膱?zhí)行、

小狀電力歿柱系統(tǒng)應對?/M絡遇行動態(tài)發(fā)星?W務連按請求。捱收期的龍機設備應可以向x.1?

證叫》前本機q價制狀態(tài)的可信性,不應在無法證叨任0-?q份和狀態(tài)可信的情況卜建匕業(yè)務連接.

可信安全免疫對應著監(jiān)控系統(tǒng)本體安全的要求，包括電力監(jiān)控系統(tǒng)各模塊

組件本體安全和運行安全。其中電力監(jiān)控系統(tǒng)各模塊組件本體安全對應著強制

版本管理，在電力監(jiān)控系統(tǒng)關鍵控制軟件應該在開發(fā)升級后采用數(shù)字證書進行

簽名和送檢，通過檢測的控制軟件程序應由檢測機構用其數(shù)字證書對其簽名，

生產(chǎn)控制大區(qū)應禁止未包含生產(chǎn)廠商和檢測機構簽名版本的可執(zhí)行代碼啟動運

行。

靜態(tài)安全免疫和列態(tài)安全免疫相結(jié)合保證電力監(jiān)控系統(tǒng)業(yè)務的運行安全。

靜態(tài)安全免疫側(cè)重于靜態(tài)安全啟動機制。操作系統(tǒng)和業(yè)務應用、動態(tài)庫、系統(tǒng)

內(nèi)核模塊在啟動前對BIOS、操作系統(tǒng)引導程序以及系統(tǒng)內(nèi)核等核心內(nèi)容執(zhí)行靜

態(tài)度量，確保被度量對象未被篡改且不存在未知代碼，保證電力監(jiān)控系統(tǒng)業(yè)務

運行前的安全可信；助態(tài)安全免疫側(cè)重于動態(tài)安全防護機制。在業(yè)務系統(tǒng)使用

階段對系統(tǒng)進程、數(shù)據(jù)、代碼段、進程間的調(diào)用以及業(yè)務網(wǎng)絡進行動態(tài)度量，

保證電力監(jiān)控系統(tǒng)運行過程中的安全可信。

3.2.4.應急備用措施

第15頁共18頁

3.2.4.1.冗余備用-網(wǎng)絡、設備、人員多層面冗余及數(shù)據(jù)備份恢復

冗余備用和數(shù)據(jù)備份的目的是為了實現(xiàn)電力監(jiān)控系統(tǒng)的故障快速恢復，建

立堅強智能電網(wǎng)，保證業(yè)務的連續(xù)性。

地市及以上電網(wǎng)調(diào)度控制中心硬件設施、包含調(diào)控人員組織結(jié)構和人員職

責、發(fā)電廠和變電站的關鍵設備應該實現(xiàn)冗余，同時對重要數(shù)據(jù)進行備份，實

現(xiàn)冗余備用。

發(fā)電廠和變電站關鍵設備（控制器、可編程邏輯控制單元、工業(yè)以太網(wǎng)交換

機、工控主機等）通過雙機或雙工的方式實現(xiàn)冗余備用，對于特別重要的設備（如

現(xiàn)場運行系統(tǒng)及設備關鍵部位），除自動化控制方式外，應設有現(xiàn)地手工操作控

制機構，同時合理設置數(shù)據(jù)備份方式、頻率等策略，并按照策略執(zhí)行。

3.2.4.2.應急響應-建立應急響應機制應對安全事件

電力企業(yè)應建立電力監(jiān)控系統(tǒng)的應急機制，制定合理的整體應急預案和針

對各系統(tǒng)可行的應急預案，并定期開展協(xié)調(diào)演練，根據(jù)演練情況結(jié)合實際情況

優(yōu)化出應急制度和應急預案，保障應急制度和預案的有效性和可行性。

電力監(jiān)控系統(tǒng)安全防護的核心是保護電網(wǎng)的安全。當生產(chǎn)控制大區(qū)出現(xiàn)安

全事件，尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時，應按應急處理預

案，立即采取安全應急措施。

/報告上級業(yè)務主管部門和安全主管部門，必要時可斷開生產(chǎn)控制大區(qū)與

管理信息區(qū)之間的橫向邊界連接；

J在緊急情況下可協(xié)調(diào)斷開生產(chǎn)控制大區(qū)與下級或上級控制系統(tǒng)之間的縱

向邊界連接，以防止事態(tài)擴大，同時注意保護現(xiàn)場，以便進行調(diào)查取證和分析;

J上級業(yè)務主管部門和安全主管部門也應將安全事件及時通報相關電力企

業(yè)，形成聯(lián)合防護機制。

3.2.4.3.多道防線-構建橫向和縱向柵欄式安全防線

電力監(jiān)控系統(tǒng)橫向從外到內(nèi)四道安全防線，實現(xiàn)核心控制區(qū)安全防護強度

的累積效應?？v向從下到上四道安全防線，實現(xiàn)高安全等級控制區(qū)安全防護強

度的累積效應。

在各級電網(wǎng)調(diào)度控制中心逐步部署內(nèi)網(wǎng)安全監(jiān)視措施，目前國家電網(wǎng)和南

方電網(wǎng)都在調(diào)度數(shù)據(jù)網(wǎng)絡中分別部署網(wǎng)絡安全監(jiān)測裝置和態(tài)勢感知采集裝置以

第16頁共18頁

及各類態(tài)勢感知主站平臺等設備，可以實時監(jiān)測相關橫向和縱向防線上的安全

告警，一旦發(fā)生網(wǎng)絡安全事件，能夠快速響應、及時處置，實現(xiàn)各防線聯(lián)合防

御。

3.3.安全管理

除了采用信息安全技術措施控制電力監(jiān)控系統(tǒng)的信息安全威脅外，安全管

理措施也是必不可少的手段，所謂“三分技術，七分管理”就是這個道理。安

全技術措施和安全管理措施可以相互補充，共同構建全面、有效的信息安全保

障體系。安全管理部分結(jié)合電力業(yè)務特點劃分四部分重點內(nèi)容：融入電力安全

生產(chǎn)管理體系、全體人員安全管理、全部設備及系統(tǒng)的安全管理和全生命周期

安全管理。

3.3.1.融入電力安全生產(chǎn)管理體系

電力企業(yè)作為電力監(jiān)控系統(tǒng)網(wǎng)絡安全的責任主體，應健全電力監(jiān)控系統(tǒng)安

全防護的組織保證體系和安全責任體系。將國家行業(yè)主管部門、各級電網(wǎng)調(diào)度

控制機構、開發(fā)制造單位、檢測評估單位、規(guī)劃設計單位等不同組織納入到安

全管理體系建設中，并確認與落實各組織的安全責任體系，真正意義上將網(wǎng)絡

安全管理融入到安全生產(chǎn)管理體系中。

3.3.2.全體人員安全管理

安全管理的主體在于人，包括電力監(jiān)控系統(tǒng)安全防護的管理、運行、維護、

使用等全體人員。電力企業(yè)應遵循安全管理制度要求設置相應的安全崗位，配

備安全管理專職并明確崗位職責。落實人員錄用、人員離崗、安全意識教育和

培訓、外部人員訪問管理等安全管理的要求。

3.3.3.全部設備及系統(tǒng)的安全管理

安全管理的客體在于電力監(jiān)控系統(tǒng)，針對電力監(jiān)控系統(tǒng)的軟硬件設備、業(yè)

務軟件、安全防護設備等組成單元，應實現(xiàn)從供應鏈設備選型安全、設備接入

及使用（需要關注設備接入和使用階段的授權、審核與審批）、建立資產(chǎn)臺賬以及

安全評估檢查中后的安全加固過程中等全生命周期和全方位的安全管理。

3.3.4.全生命周期安全管理

電力監(jiān)控系統(tǒng)系統(tǒng)及設備在規(guī)劃設計、研究開發(fā)、施工建設、安裝調(diào)試、

系統(tǒng)改造、運行管理、退役報廢等全生命周期階段應采取相應安全管理與評估

笫17頁共18頁

措施。

規(guī)劃階段〉設計階段〉實施階段〉運維階段〉廢棄階段

短劃階段的安全愣審足設計階段的安全序?qū)徯鑼嵚与A段安全評估是根摳運行雉護階段安全評估廢棄階段應更點分析廢棄

根密電力監(jiān)控系統(tǒng)的業(yè)根據(jù)烘劃階段明確的系系統(tǒng)安全需求和運行環(huán)境足拿握和控制電力監(jiān)控資產(chǎn)對組織的影響，對因

務使命和功能，確定系系統(tǒng)運行過程中的安全

統(tǒng)安全F1標，對系統(tǒng)設對系統(tǒng)開發(fā)實篇過程進行系統(tǒng)廢弁可能俗米的新的

統(tǒng)