01
电力行业标准情况概述
02
电力行业重要标准规范介绍
2.1
5号令、14号令和36号文
2.1.1 5号令标准概述
2004年原电监会发布第5号令《电力二次系统安全防护规定》(以下简称“5号令”),随后陆续下发了相关配套文件,5号令总共4章18条。核心是“电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全”。其主要内容为:合理划分安全分区,扩充完善电力调度专用数据网,采取必要的安全防护技术和防护设备,剥离非生产性业务,实现电力调度数据网络与其他网络的物理隔离。
图2:电力监控系统安全防护十六字方针
2.1.2 14号令标准概述
2014年,国家发改委发布《电力监控系统安全防护规定》(以下简称“14号令”),14号令可以理解为原电监会5号令的“升级”版本。发改委14号令相比5号令的区别如下:
(1)在技术方面的主要增强体现在:
图3:安全接入区的典型安全防护框架结构示意图
从设备选型及配置、漏洞及风险整改等方面提出了相关的要求,使电力监控系统安全防护体系从重点强化“边界防护”向“纵深防御”发展。
(2)管理角度的主要增强点:
一是加强保密管理。对电力监控系统相关设备及系统的开发单位、供应商和电力监控系统专用安全产品的开发单位、使用单位及供应商提出应当承担的保密责任。
二是调整主体权责。由国家能源局及其派出机构负责制定电力监控系统安全防护相关管理和技术规范,并监督实施。
2.1.3 36号文标准概述
2015年,国家能源局下发《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(以下简称“36号文”)。14号令与36号文共同构成了当前电力监控系统的安全防护指导方案。36号文将发改委14号令的要求具体细化,整体文件包含7个附件,明确给出了对发电厂、省级以上调度中心、地级调度中心、变电站、配电的电力监控系统的安全防护要求。
36号文在附件1中明确了电力监控系统安全保护等级标准,使得电力监控系统运营者在开展网络安全建设目标有标准可依,比如新一代电网调度控制系统的实时监控与预警功能模块的定级标准是省级以上为4级,地级以下为3级;火电厂监控(含燃气电厂)系统dcs(含辅机控制系统)定级标准是单机容量300mw及以上为3级,以下为2级。
针对厂网侧不同的业务场景,36号文都给出较为细致的建设要求,如附件4《发电厂监控系统安全防护方案》中提出电厂的电力监控系统除了满足十六字方针外,还应满足2.5综合防护的要求。综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。从综合防护的要求可以看出,电力监控系统的安全建设应该同样要满足等级保护的技术和管理要求。
图5:发电厂电力监控系统安全防护基本原则
2.2
电力监控系统安全防护导则和评估指南
中国电力企业联合会根据国家发展改革委员会2014年第14号令《电力监控系统安全防护规定》和国家网络安全等级保护等相关规定制定《电力监控系统网络安全防护导则》(下文简称“防护导则”),该标准于2018年9月17日正式发布,2019年4月1日正式实施。2019年12月10日,防护导则配套的gb/t 38318-2019《电力监控系统网络安全评估指南》(下文简称“评估指南”)正式发布,2020年7月1日正式实施。
针对电力监控系统面临的网络安全威胁,防护导则基于电力监控系统建立体系不断完善、分区分级重点保护、网络专用多道防线、全面融入安全生产和管控风险保障安全的网络安全防护基本原则,通过安全防护技术、应急备用措施和全面安全管理建立三维立体安全防护体系,三个维度互相支持、互相融合、动态关联,并不断发展进化,形成动态的三维立体结构。以适应电力监控系统安全性、可靠性、实时性、分布性和系统性等特性。评估指南也着重对该结构体系三个维度的评估实施指导。
图6:电力监控系统网络安全防护体系三维立体结构示意图
图7:电力监控系统网络安全评估的4种工作形式
基础设施安全:基础设施安全对应等级保护标准安全物理环境部分技术要求,又突出行业特点;
体系结构安全:十六字方针是基本防护原则,网络分区、安全分级,加强重点防护,重点关注生产控制大区与其他通信网络的网络隔离,建立横向和纵向通信多道防线;针对防火墙和入侵检测、防病毒和防木马提出明确的技术要求,同时对于拨号认证的业务使用场景要加强审计与认证;
监控系统本体安全:基本要求是安全体系架构中各模块实现本体安全。建设范围包括电力监控系统软件的安全、操作系统和基础软件的安全、计算机和网络设备及电力专用监控设备的安全、核心处理器芯片的安全。应采用安全、可控、可靠的软硬件产品,并通过国家有关机构的安全检测认证。
可信安全免疫四个部分:可信安全免疫是监控系统本体安全的根本核心和补充。强制版本管理、静态安全免疫和动态安全免疫是重要技术措施。重要电力监控系统应在有条件时逐步推广应用以密码硬件为核心的可信计算技术,用于实现计算环境和网络环境安全免疫,免疫未知恶意代码,防范有组织的、高级别的恶意攻击。实现全业务流程和生命周期的可信安全。
冗余备用:实现网络、设备、人员多层面冗余及数据备份恢复。冗余备用和数据备份的目的是为了实现电力监控系统的故障快速恢复,建立坚强型智能电网,保证业务的连续性。如:地市及以上电网调度控制中心硬件设施、包含调控人员组织结构和人员职责、发电厂和变电站的关键设备应该实现冗余,同时对重要数据进行备份,实现冗余备用。
应急响应:建立应急响应机制应对安全事件。电力企业应建立电力监控系统的应急机制,制定合理的整体应急预案和针对各系统可行的应急预案,并定期开展协调演练,根据演练情况结合实际情况优化出应急制度和应急预案,保障应急制度和预案的有效性和可行性。
多道防线:构建横向和纵向栅栏式安全防线。电力监控系统横向从外到内四道安全防线,实现核心控制区安全防护强度的累积效应。纵向从下到上四道安全防线,实现高安全等级控制区安全防护强度的累积效应。在各级电网调度控制中心逐步部署内网安全监视措施,一旦发生网络安全事件,能够快速响应、及时处置,实现各防线联合防御。
融入电力安全生产管理体系:健全电力监控系统安全防护的组织保证体系和安全责任体系。将国家行业主管部门、各级电网调度控制机构、开发制造单位、检测评估单位、规划设计单位等不同组织纳入到安全管理体系建设中,并确认与落实各组织的安全责任体系,真正意义上将网络安全管理融入到安全生产管理体系中。
全体人员安全管理:安全管理的主体在于人,包括电力监控系统安全防护的管理、运行、维护、使用等全体人员。电力企业应遵循安全管理制度要求设置相应的安全岗位,配备安全管理专职并明确岗位职责。落实人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等安全管理的要求。
全部设备及系统的安全管理:安全管理的客体在于电力监控系统,针对电力监控系统的软硬件设备、业务软件、安全防护设备等组成单元都应该实现从供应链设备选型安全、设备接入及使用(需要关注设备接入和使用阶段的授权、审核与审批)、建立设备资产台账以及安全评估检查中后的安全加固过程中等全生命周期和全方位的安全管理。
全生命周期安全管理:电力监控系统系统及设备在规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等全生命周期阶段应采取相应安全管理与评估措施。
其中防护导则是gb/z 41288-2022《信息安全技术重要工业控制系统网络安全防护导则》参照的重要标准之一,对于重要工业控制系统全生命周期的安全防护建设具有极强的指导意义和参考价值。
2.3
网络安全管理办法和等级保护管理办法
为规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平,国家能源局于2022年11月16日修订印发了《电力行业网络安全管理办法》(国能发安全规〔2022〕100号)(以下简称《网络安全管理办法》)和《电力行业网络安全等级保护管理办法》(国能发安全规〔2022〕101号)(以下简称《网络安全等级保护管理办法》),本次发布的两项管理办法均是针对2014年相应政策文件的修订与补充。
2.3.1 电力行业网络安全管理办法
网络安全管理办法共5章35条,全文划分为总则、监督管理职责、电力企业责任义务、监督检查、附则等5个章节,阐述了制定目的、适用范围和总体原则,明确了国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门(以下简称行业部门)和电力调度机构的有关职责及工作内容,规定了电力企业在关键信息基础设施安全保护、网络产品和服务采购、风险评估、监测预警和信息通报、应急能力建设、重要时期安全保障、事件应急处置、容灾备份、数据安全、资金保障、人才培养、专用安全产品管理及总结报送等方面的有关要求。
网络安全管理办法根据国家法律法规和标准规范等,明确了行业部门监督管理职责和电力企业主体责任,强调了电力调度机构的技术监督职责,完善了关键信息基础设施安全保护、网络安全等级保护、数据安全、电力监控系统安全防护、密码、网络安全审查等内容。
行业部门管理工作涉及十余项,涵盖电力行业网络安全等级保护、关键信息基础设施保护、电力监控系统安全防护、网络安全监测预警和信息通报、网络安全事件应急处置等多方面的政策、标准制定和监督实施工作;监管过程中发现网络存在较大安全风险或者发生安全事件的情况,可以按照规定的权限和程序执行惩罚;
电力企业的主体责任是网络安全管理办法重点描述的内容,涉及22条。第八条 电力企业是本单位网络安全的责任主体,负责本单位的网络安全工作,其中电力行业关键信息基础设施运营者需要建立首席网络安全官,与关保的要求保持一致;第二十六条提出电力企业应当建立网络安全资金保障制度,安排网络安全专项预算,确保网络安全投入不低于信息化总投入的5%。从以上两点可以看出自电力行业自顶层规划到资金保障实行全面的贯彻和保障。
电力调度机构负责直接调度范围内的下一级电力调度机构、集控中心、变电站、发电厂等各类机构涉网部分的电力监控系统安全防护的技术监督。涉及:电力监控系统的检查评估、统一指挥调度范围内的电力监控系统安全应急处理、网络安全事件调查和分析、督促安全防护技术培训和交流、专用安全产品开展监督管理以及将技术监督工作开展情况报送国家能源局及其派出机构、地方能源主管部门等工作。
电力监控系统的安全防护应该按照安全防护规定、国家网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全保护制度及网络安全审查工作机制的要求开展相关工作;
从风险隐患治理、网络安全事件应对处置、应急预案及演练、安全可控、网络产品和服务采购等各层面建立起电力监控系统的立体防护体系。
2.3.2 电力行业网络安全等级保护管理办法
网络安全等级保护管理办法共6章28条,全文划分为总则、等级划分与保护、等级保护的实施与管理、网络安全等级保护的密码管理、法律责任、附则等6个章节,阐述了制定目的、适用范围和职责,明确了电力行业网络安全保护等级划分和等级保护工作原则,规定了国家能源局及其派出机构、电力企业及网络安全等级保护测评机构在电力行业网络安全等级保护定级、审核、建设、测评、检查及密码管理等方面的有关要求,以及法律责任。
网络安全等级保护管理办法是网络安全管理办法结合国家等级保护制度的具体管理办法,再次明确了国家能源局及其地方能源主管部门在电力企业等级保护工作中的重要职能,在等级划分方面保持与等级保护2.0标准一致,要求电力企业开展网络安全等级保护遵循“分级保护、突出重点、积极防御、综合防范”的原则。相比于网络安全管理办法,更加细化和明确的关键点包括不限于:
结合电力行业的业务特点进行定级,且对不同级别、不同类型电力企业的定级审批提出明确要求;
对于电力行业等保测评机构的能力认证提出了具体要求,如:从事电力监控系统第三级网络等级保护测评的机构应当具备近3年内50套以上电力监控系统等级保护测评或安全防护评估服务经验;
2.4
防止电力生产事故的二十五项重点要求
为切实做好电力安全监管工作,有效防范电力生产事故,国家能源局组织电力行业有关单位及部分专家,根据近年来电力生产事故的经验教训,以及电力行业的发展趋势,结合已颁布的标准规范,对2014年印发的《防止电力生产事故的二十五项重点要求》(国能安全〔2014〕161号)进行了修订,形成了新版本的《防止电力生产事故的二十五项重点要求》(国能发安全〔2023〕22号),并于2023年3月9日正式印发。以下简称《二十五项反措(2023版)。
《二十五项反措(2023版)》全文共计25个章节,从防止人身伤亡、火灾、电气误操作、分散控制系统失灵、电力监控系统网络安全、重大环境污染事故等不同维度阐述了防止电力生产事故的二十五项重点要求。与2014版相比,章的数量整体不变,总体以设备类型或事故类型为主的原则进行调整合并。
在《二十五项反措(2023版)》中涉及网络安全相关要求的内容在第19章的第2小节,即“19.2 防止电力监控系统网络安全事故”。该章小节内容明确了电力监控系统(或电力二次系统,包括继电保护和安自装置、各类自动化系统、电力通信系统等)安全防护要满足《中华人民共和国网络安全法》、14号令、36号文和防护导则等有关要求,建立健全网络安全防护体系(包括安全防护技术、应急备用措施、全面安全管理、不断发展完善)。
对防止电力监控系统网络安全事故所提出的重点要求:
在章节19.2.3中提到“生产控制大区一和二区之间应实现逻辑隔离,访问控制规则(acl)应按最小化原则进行配置”,故需要在生产控制大区内部的安全ⅰ区和安全ⅱ区边界处部署专业防护设备,通过安全防护技术实现两区域之间的逻辑隔离并将防护设备的访问控制规则(acl)进行最小化配置,关闭没有必要的访问规则或全部允许的规则。
在章节19.2.4中提到“配电网自动化、用电负荷控制、风电场和光伏电站内部控制等业务可以采用无线通信方式,但必须采用网络安全防护措施,防止系统末梢的无线通信直接联入电力控制专用网络”,即在以上场景中若采用无线通信的方式进行数据传输,需要在无线通信网络接入到电力控制网络的边界处部署专业防护设备,通过安全防护技术实现接入边界处的访问控制、入侵防御、攻击防护等,可有效防止来自无线通信网络的异常流量对电力控制专用网络造成干扰。
在章节19.2.7中提到“火电厂分散控制系统与生产控制大区其他业务之间至少应采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离”,即火电厂分散控制系统由于其业务特点,当与生产控制大区内其他业务进行通信时需要部署防火墙作为逻辑隔离的技术手段,实现跨系统通信行为的安全可靠。
在章节19.2.10中提到“调度主站、变电站、发电厂电力监控系统工程建设和管理单位(部门)应按照最小化原则,采取白名单方式对安全防护设备的策略进行合理配置”,即在电力监控系统网络中的防火墙、流量监测等专业设备自身防护策略需要采用白名单的方式进行配置,以实现策略最小化原则,将安全防护技术对业务运行的影响降到最低。
在章节19.2.10中提到“应按照要求对电力监控系统主机及网络设备进行安全加固,关闭空闲的硬件端口,关闭生产控制大区禁用的通用网络服务”,即需要对电力监控系统网络中各主机进行安全加固,考虑到人工加固存在疏漏和误操作,建议采用软件一键加固的方式进行主机加固,可确保主机自身安全并将不必要的端口统一管控。
在章节19.2.11中提到“应加强现场作业人员的作业管控,禁止将未经病毒查杀的移动介质接入生产系统”,即现场常用的u盘、移动硬盘等移动介质需要在完成病毒查杀后才能接入生产系统使用,规避移动介质带毒运行感染生产系统其他主机。
但仅通过管理制度去约束作业人员的移动介质使用习惯,无法从根源上杜绝携带病毒的移动介质的使用行为,因为制度无法100%靠人为去执行和落地。故需要采用技术的手段,强制管控生产系统网络中移动介质的使用,达到“不杀毒就无法使用”的效果,才能彻底规避风险。
在章节19.2.15中提到“调度主站、变电站、发电厂记录电力监控系统网络运行状态、网络安全事件的日志应保存不少于六个月”,即需要采用专业日志接收和存储分析设备对网络安全事件的日志进行实时采集,并按照约定的格式进行关联分析和可视化呈现,满足日志留存时间六个月以上要求的同时也便于管理员查看电力监控系统网络的安全态势,为决策提供依据。
在章节19.2.15中还提到“应对用户登录本地操作系统、访问系统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计”,即针对以上用户行为需要进行事后审计,提供非法操作告警和事故溯源依据。
在章节19.2.18中提到“禁止各类发电厂生产控制大区任何形式的非法外联,严禁设备厂商或其他服务企业远程进行电力监控系统的控制、调节和运维操作”,即需要通过技术手段对生产控制大区中主机非法外联的行为进行检测和干预,对于主机上可能存在的远程运维途径(远程运维软件或远程共享桌面等)进行限制,以规避由对外网络通信途径引入的未知风险。
在章节19.2.21中提到“调度主站、变电站、发电厂应配置运维网关(堡垒机)、专用安全u盘、专用运维终端等运维装备,在监控后台等重要主机具备u盘监视功能,拆除或禁用不必要的光驱、usb接口、串行口等,严格管控移动介质接入生产控制大区”,即需要配备堡垒机等安全运维类专业设备,对运维操作进行审计并确保运维终端和运维u盘为专用的、可控的,对重要主机u盘使用情况进行严格管控和监测。
关于如何通过网络安全防护技术的建设来帮助电力行业各用户单位准确落地重点要求。请参照威努特公众号关于《二十五项反措(2023版)》的解读文件:。
03
电力行业网络安全合规性建设总结
电力行业网络安全在标准规范方面起步较早且持续更新,安全管理范畴基本稳定且不断完善。威努特遵循电力行业的标准规范要求,采用“等保”和“关保”为建设依据,结合电力行业网络安全框架模式,提出并落地以“态势感知”为目标的“纵深防御”网络安全技术体系pg电子麻将胡了单机版的解决方案,以保障电力网络安全。