mg不朽情缘

84472_17022767220742

征询电话:400-6446-808

新闻动态

2024年新版《电力监控系统安全防护划定》解读
2024-12-16 14:34:45
为贯彻落实党的二十届三中全会心灵,深入能源治理体造鼎新,美满电力监控系统网络安全技术防护系统,2024年11月25日,国度发展鼎新委颁布了新订正的《电力监控系统安全防护划定》(国度发展鼎新委2024年第27呼吁,以下简称《划定》),自2025年1月1日起执行,原《电力监控系统安全防护划定》(国度发展鼎新委2014年第14呼吁)同时废止。为便于各有关方面正确理解和把握政策内容,国度能源局有关掌管同道接受采访,回覆了记者提问。
d1eb054e73438ff8d2a2cacbfc839ea8

《划定》订正布景是什么?

原《划定》于2014年颁布,是领导全国电力行业发展电力监控系统安全防护的根基律例,与电力安全出产工作亲昵有关,对电力监控系统网络安全防护工作阐扬了沉要作用。近年来,有关司法律规政策陆续颁布或订正,国度对网络安全工作有了新的要求。同时,新型电力系统建设布景下,新业务状态和运行模式涌现,电力监控系统安全防护系统亟需健全美满。

《划定》订正准则是什么?

《划定》订正过程中凸起三方面准则。一是对峙依法合规。确保《网络安全法》《关键信息基础设施安全;ぬ趵返人痉晒婧偷持醒牍裨河泄匾舐涫档轿。二是对峙问题导向。针对近年来电力监控系统网络安全工作实际中露出出来的电力监控系统界说吞吐、安全接入区防护强度不及、专用安全产品治理流程有待优化、行政法律凭据不及等问题,及新型电力系统接入主体更多样、边端散布更宽泛、交互方式更丰硕等特点带来的新风险,针对性补充技术和治理要求。三是对峙守正创新。在对峙“安全分区、网络专用、横向隔离、纵向认证”十六字准则的基础上,进一步明确电力监控系统领域,提出强化措施,优化治理系统。

《划定》重要订正内容有哪些?

?本次订正对原《划定》做了多方的批改,并新增13条,订正后共六章37条。重要做了以下调整和美满。

一是明确电力监控系统领域,将列举典型系统名称改为列举职能。二是优化安全分区要求,在对峙原分区战术的基础上,调整原《划定》论述逻辑及表述。三是强化安全接入区防护要求,明确安全接入区加密认证、安全监测等技术要求。四是强化技术防护措施,在对峙十六字准则的基础上,补充安全免疫、态势感知、动态评估和备用应急措施。五是界说电力监控专用网络,明确承载电力监督和节造业务的专用广域数据网络、专用局域网络以及专用通讯线路属于电力监控专用网络领域。六是强化供给链及电力监控系统专用安全产品治理,明确运营者该当以合同条款标方式对电力监控系统供给商提出安全要求,明确由国度电力调度节造中心牵头组建电力监控系统专用安全产品治理委员会。七是优化技术监督治理,明确分歧主体技术监督的工作要求,增长技术监督过程中风险管控措施。八是细化罚则。

在推动《划定》贯彻落实方面有哪些思考和铺排?

为确保《划定》落到实处,见到实效,国度能源局将会同有关方面沉点做好以下三个方面工作。

一是加强政策宣传解读。领导督促各有关方面正确把握《划定》政策沿革、立法考量、合用场景和具体划定,激励各有关主体进行系统性的培训和宣贯进建,尽快遍及到全行业。

二是美满细化配套措施。加强政策两全,启动对《电力监控系统安全防护总体规划等安全防护规划和评估规范》的订正工作,将《划定》的政策思想细化到具体执行规划和措施上,有效疏导全行业落地执行。

三是做好执行情况跟踪。亲昵跟踪《划定》的执行情况,持续加强对电力监控系统安全防护工作的监督治理,实时总结推广《划定》执行过程中的好经验好做法,对文件执行过程中涉及的新情况新问题加强钻研,进一步加强《划定》的可操作性。

 

为了响应国度能源局的号召,更好的进建和理解新版《划定》,幼编网络了互联网上的公开信息,结合我司安全服务中心有关专家的专衣讽解,整顿了有关重要条款标解读资料,供各人进建和钻研。

 

13aa1b4ba03498b06567d77df14d3bcc

 

第一章 总则

第一条 为了强化电力监控系统安全防护,保险电力系统安全不变运行,凭据《中华人民共和国网络安全法》《电力监管条例》《关键信息基础设施安全;ぬ趵返人痉晒婧凸扔泄鼗,结合电力监控系统的现实情况,造订本划定。

解读:

本划定的顺从性,重要提到一个司法(《中华人民共和国网络安全法》)和两个律例(《电力监管条例》《关键信息基础设施安全;ぬ趵罚。

第二条 本划定合用于中华人民共和国境内的电力监控系统运营者以及与其有关的规划设计、钻研开发、产品造作、施工建设、装置调试等单元。

解读:

电力监控系统运营者的界说,在本划定第六章第三十六条(一):指电力监控系统的所有者、治理者和服务提供者。本划定既合用于电力企业(发、输、储、配、售)也合用于电力辅助企业(设计建设、电力设备出产)。

第三条 电力监控系统安全防护该当落实国度网络安全等级;ず凸丶畔⒒∩枋┌踩;さ仍於,对峙“安全分区、网络专用、横向隔离、纵向认证”结构安全准则,强化安全免疫、态势感知、动态评估和备用应急措施,构建持续发展美满的防护系统。

解读:

新型电力监控系统安全防护系统要做到4个“1”:1个落实、1个对峙、1个强化、1个指标:

1个落实:落实国度网络安全等级;ぴ於群凸丶畔⒒∩枋┌踩;ぴ於;

1个对峙:对峙“安全分区、网络专用、横向隔离、纵向认证”结构安全准则;

1个强化:强化安全免疫、态势感知、动态评估和备用应急措施;

1个指标:构建持续发展美满的防护系统。

 

第二章 安全技术

第四条 电力监控系统该当执行分区防护,防护区域依照安全等级从高到低划分为出产节造区(能够分为安全Ⅰ区和安全Ⅱ区)和治理信息区(能够分为安全Ⅲ区和安全Ⅳ区)。分歧电力监控系统的出产节造区、治理信息区能够别离独立设置。

解读:

《电力监控系统安全防护总体规划》凭据2014年14呼吁《电力监控系统安全防护划定》造订了电力监控系统安全防护总体框架如下:

6f4b9866fffafc2fc4a763130a5ed7de

分为两个大区:出产节造大区和治理信息大区。

● 出产节造大区能够分为节造区(安全区1)和非节造区(安全区II);

● 治理信息大区内部在不影响出产节造大区安全的前提下,能够凭据各企业分歧安全要求划分安全区。凭据2024年《电力监控系统安全防护划定》能够整顿出“新型电力监控系统安全防护总体规划”如下:

db66646c5945de8bac451e27fa8ca494

能够看到有如下变动:

1)出产节造分辨为两个子区,但子区名称有变动,“节造区(安全区I)”->“执行监控区(安全I区)”,“非节造区(安全区II)”->“辅助监控区(安全II区)”;

2)将之前的“治理信息大区”改称“运行治理区”,更切合这个区域的职能,即确保电力监控系统的正常运行;

3)增长“安全接入区”,明确两种情况下必要设置“安全接入区”,一是在运行治理区与非电力监控专用网交互通讯时,必要在其间设置安全接入区;二是出产节造区的业务?榛ザ┙换ネㄑ妒,若是切实无法使用电力监控专用网络时,能够使用非电力监控专用网络,但必要在非电力监控专用网络双方设置安全接入区。

第五条 电力监控系统各业务?楦玫逼揪葜澳芎桶踩燃兑蟛渴。对电力一次系统(设备)进行实时监控的业务?楦玫币勒瞻踩袂阑ひ蟛渴;与安全Ⅰ区的业务?榻换ョ敲,对电力出产和供给影响较大但不直接执行节造的业务?楦玫币勒詹坏陀诎踩蚯阑ひ蟛渴;与电力出产和供给有关,实现运行指挥、分析决策的业务?楦玫币勒詹坏陀诎踩笄阑ひ蟛渴;其他业务?楦玫币勒詹坏陀诎踩羟阑ひ蟛渴;谕扑慊巴缂际醯囊滴裣低臣吧璞傅姆智,不得降低电 力监控系统安全防护强度。

解读:

明确各个分区的职能与安全等级要求:

1)实时监控区(安全I区):对电力一次系统(设备)进行实时监控的业务?橛Σ渴鹪诖饲,且应依照安全I区的安全防护要求部署;

2)非实时监控区(安全II区):与安全Ⅰ区的业务?榻换ョ敲,对电力出产和供给影响较大但不直接执行节造的业务?橛Σ渴鹪诎踩獻I区,且应依照安全II区的安全防护要求部署;

3)运行治理区(安全III区):与电力出产和供给有关,实现运行指挥、分析决策的业务?橛Σ渴鹪诎踩獻II区,且应依照安全III去的安全防护要求部署。

出产节造区、运行治理区的安全防护要求在哪个文件或尺度里?凭据GB/T36572-2018《电力监控系统网络安全防护导则》的注明,安全防护要求是等级;そㄉ枞范ǖ陌踩獻区、安全II区、安全III区、安全接入区的等级对应的等保技术要求。

第六条 部署在出产节造区的业务?橛胫斩肆邮褂梅堑缌嗫刈ㄓ猛纾ㄈ绻糜邢咄ㄑ锻纭⑽尴咄ㄑ锻纭⒃擞咂渌萃龋┩ㄑ痘蛑斩瞬痪弑肝锢斫蛹谠烨疤岬,该当设立安全接入区。

解读:

“电力监控专用网络”在GB/T36572-2018《电力监控系统网络安全防护导则》中的界说:在专用通路上使用独立的网络设备组网,选取基于SDH分歧通路、分歧光波长、分歧纤芯等方式,在物理层面上实现与其他通讯网及表部公用网络的安全隔离。“电力监控专用网络”在本划定第七章第三十六条(二)进行注明:是指承载电力监督和节造业务的专用广域数据网络、专用局域网络以及专用通讯线路等,如调度数据网(各级电力调度专用广域数据网络)、发电企业集中监督中心与电厂之间的专用数据网络、调度自动化和厂站自动化的专用局域网、继电;ず桶踩远爸檬褂玫淖ㄓ猛ㄑ锻返。

“终端不具备物理接见节造前提”,指的是任何人都能够等闲地接触到终端设备,没有门禁系统、监控摄像头或其他安全措施来预防未授权的物理接触。在本划定第七章 第三十六条(三)进行了注明:物理接见节造,是指电力监控系统所处的物理环境出入口铺排专人值守或配置电子门禁系统 ,甄别和节造人员进出

安全接入区的安全防护要求是等级;そㄉ枞范ǖ陌踩尤肭牡燃抖杂Φ牡缺<际跻。

出产节造区通过非电力监控专用网与终端通讯,应在非电力监控专用网络的两侧部署安全接入区。在GB/T36572-2018《电力监控系统网络安全防护导则》做了如下的要求,把稳的是安全接入区与出产节造区之间应部署单向安全隔离装置,在安全接入区与非电力监控专用网络之间部署加密认证设施。

1c5ff381ab71aa5b655ecf679ad11022

第七条 凭据现实情况,在满足总体安全要求的前提下,能够简化安全区的设置,低安全等级业务?槟芄痪透吒橹糜诟甙踩燃肚,但是该当预防形成分歧安全区的纵向交叉联接。

解读:

调度中心与厂站之间分歧职能区之间纵向交叉衔接是不允许的:

3b57e80aa21f207b7727d32ad91562a6

调度中心与厂站之间分歧管辖领域之间的纵向交叉衔接是不允许的:

a528fa6ac22409715091739a024cd182

第八条 出产节造区该当使用电力监控专用网络。电力监控专用网络该当在专用通路上使用独立的网络设备组网,在物理层面上实现与运营者其他数据网及表部公用数据网的安全隔离。电力监控专用网络划分为逻辑隔离的实时子网和非实时子网,别离衔接安全Ⅰ区和安全Ⅱ区。

解读:

在GB/T36572-2018《电力监控系统网络安全防护导则》对实时子网、非实时子网要求:选取MPLS-VPN技术、安全隧路技术、PVC技术、静态路由等机关子网。对出产节造区纵向通讯(即调度中心与厂站之间通讯)要求:出产节造大区数据通讯的七层和谈均应选取相应安全措施,在物理层应与其他网络尝试物理隔离,在链路层应合理划分VLAN,在网络层应设立安全路由和虚构专网,在传输层应设置加密隧路,在会话层应选取安全认证,在暗示层应罕见据加密,在利用层应选取数字证书和安全标签进行身份认证[见 GB/Z 25320《电力系统治理及其信息互换数据和通讯安全》]。

第九条 出产节造区与治理信息区、安全接入区之间的联接处该当设置电力专用横向单向安全隔离装置。

解读:

电力专用横向单向安全隔离装置的技术规范要求在《电力专用横向单向安全隔离装置(正向型)技术规范》界说,重要技术要求有16项,能够查问该技术规范。

第十条 安全Ⅰ区与安全Ⅱ区之间、安全Ⅲ区与安全Ⅳ区之间、安全接入区与终端之间该当设置拥有接见节造职能的设备、防火墙或者相当职能的逻辑隔离设施。

解读:

这里没有硬性要求选取电力专用的逻辑隔离设施,逻辑隔离设施要求至少具备网络隔离、接见节造等防火墙的基础职能。

安全I区与安全II区之间的逻辑隔离设施没有明确肯定要使用工业防火墙,但鉴于II区的二次设备与I区的一次设备之间通讯都是专用和谈,因而要求这里的防火墙应拥有节造指令级的接见节造职能。

第十一条 出产节造区与电力监控专用网络的广域网之间的联接处该当设置电力专用纵向加密认证装置或者加密认证网关。

解读:

电力专用纵向加密认证装置应参照国度调度中心造订的《电力系统专用纵向加密认证装置技术规范》,其作用:用于安全I区I/安全II区的广域网天堑防护,作用之一是为本地安全I区I/安全II区提供一个网络樊篱,类似包过滤防火墙的职能,作用之二是为网关机之间的广域网通讯提招认证与加密职能,实现数据传输的真实性、机密性、齐全性、不成诡辩性,以及抗沉放攻击职能。拥有操作轻便、高机能、高靠得住性等特点。电力专用纵向加密认证装置选取软、硬结合的安全措施,在便件上使用数字加密卡实现数据的加密和解密及署名和认证;在软件上,选取综合过滤、接见节造、动态密钥协商、非对称加密等技术实现电力专用加密隧路职能。

第十二条 电力调度机构该当遵循电力调度治理体造成立基于数字证书等技术的散布式电力调度认证机造。出产节造区处置沉要业务过程中该当选取利用层端到端加密认证机造,其中与电力调度机构交互业务数据该当纳入电力调度认证机造,保险数据传输的齐全性和真实性。

解读:

散布式电力调度认证机造是指在散布式发电资源(如太阳能光伏、风能发电等)接入电网时,确保这些资源的安全性和靠得住性的一系列认证和节造流程。这种机造对于守护电网的不变性和预防未授权接见至关沉要。

出产节造区处置沉要业务过程中该当选取利用层端到端加密认证机造。传输阶段对数据的加密自下而上分为物理层加密、MAC层加密、网络层加密、传输层加密和利用层加密。

当前电网公司各自建设了一套基于商用密码的多级电力调度证书认证系统,从国调、网调、省调、地调、县调到变电站、发电厂,形成自上而下的齐全信赖链;同时,在各级调度机构进行数据交互时,通过电力专用纵向加密认证装置进行双向身份认证及数据传输加密,确保电力调度安全。

第十三条 出产节造区该当拥有高安全性和高靠得住性,不容选取安全风险高的通用网络服务职能,不容选器拥有无线通讯职能的产品,该当对表设接入行为进行管控。出产节造区沉要业务该当优先选取可信验证措施实现安全免疫。

解读:

GB/T36572-2018《电力监控系统网络安全防护导则》对“安全免疫”从根基要求、强造版本治理、静态安全免疫、动态安全免疫等四个方面造订了要求。

高安全性:通常指系统、设施或过程有能力招架表部威胁和防备内部风险,;と嗽薄⒆什托畔⒉皇芮趾。

高靠得住性:指系统或设备可能在划定的前提下和划定的功夫内,不变地执行其所需职能的能力。这通常涉及到系统的容错能力、冗余设计、守护战术和故障复原机造。高靠得住性的系统设计旨在最幼化故障产生的概率,并确保在产生故障时可能急剧复原正常运行。GB/T36572-2018《电力监控系统网络安全防护导则》中有有关的内容。

1)实现和确保电力监控系统本体安全:2)实现和确保电力监控系统的原生安全:3)实现和确保电力监控系统的内生安全4)实现和确保电力监控系统的“贴身保镖”。好比在电力监控的推算机上装置部署病毒防护类agent,能够以为属于这类。

不容选器拥有无线通讯职能的产品。把稳这里指的出产节造区不允许使用带有无线通讯职能的产品,蕴含5G、Wifi、BigZee、蓝牙等。

a95cb7d4ef852c3eb39a5a65408283b8

出产节造区不容违规表联。从技术上做到以下几点:1)风险防备:随时进行网络露出面的监测,实时发现网络露出面的风险;2)实时检测:通过违规表联接见日志、网络异常行为分析等实时检测违规表联行为。

出产节造区的违规表联可能产生的场景:

e487b7931a9d743212a6481efa8099f8

(1) 在工控网络内部违规将推算机或设备接入到工控网络;

(2) 在互联网借助远程桌面、VPN、远控软件违规接入到工控网络;

(3) 在办公IT网络违规接入工控网络;

(4)通过现场总线网络或以太网络违规接入工控网络。

第十四条 安全接入区该当设置掌管转发采集与节造报文的通讯代理?,通讯代理?橛胫斩酥涞耐ㄑ陡玫毖∪〖用苋现ご胧。业务?榫踩尤肭胫斩酥浯浣谠熘噶畹瘸烈氖菔,该当与终端进行端到端的身份认证。安全接入区内该当简化职能配置,不容存储沉要的数据,并使用可信验证措施加强通讯代理?楸;。

解读:

端到端的身份认证是一种安全机造,用于确保通讯或买卖过程中的所有参加者都是经过验证的,并且通讯的齐全性和安全性从始至终都得到保险。以下是端到端身份认证的一些关键特点:1.全程验证:2.加密技术:3.数字证书:4.双向认证:5.接见节造:6.持续监控:7.审计和日志纪录8.多成分认证9.信赖链:10.和谈和尺度:

在GB/T36572-2018《电力监控系统网络安全防护导则》“6.2.2分分辨级”当出产节造区域终端设备通讯时必要设置安全接入区,如下,安全接入区的“公网前置机”即这里的“掌管转发采集与节造报文的通讯代理?”,要求“通讯代理?橛胫斩酥涞耐ㄑ陡玫毖∪〖用苋现ご胧”能够在通讯代理?槭迪,也能够通过部署加密认证设施来实现。

1c5ff381ab71aa5b655ecf679ad11022

“安全接入区内该当简化职能配置”体现的是一种系统观,系统学的根基道理之一是系统的复杂性与靠得住性之间的关系。通常来说,一个系统越复杂,其不成靠性的可能性可能会增长,但这不是一个绝对的规定,而是一个必要思考多种成分的动态关系。

安全接入区不容存储沉要数据,这里的“沉要数据”是一些对电力企业至关沉要的数据类型:电网运行数据:负荷数据:发电数据、设备状态和守护纪录、形象数据、燃料供给数据:市场和买卖数据、用户和消费者数据、网络拓扑和地理信息系统(GIS)数据、安全和防护数据、环境和排放数据、政策和律例遵从性数据、研发数据、员工和培训数据、应急响应和苦难复原数据

“使用可信验证措施加强通讯代理?楸;”的“可信验证措施”,可能并专指选取可信推算技术的措施,而是泛指“一系列用于确保系统、组件或幼我在特定环境中的可信度和安全性的步骤和流程”。

第十五条 电力监控系统各分区天堑该当采取必要的安全防护措施,不容任何穿越出产节造区与治理信息区、安全接入区之间天堑的通用网络服务。

解读:

通用网络服务,在GB/T36572-2018《电力监控系统网络安全防护导则》有枚举:“各区域安全天堑应采取必要的安全防护措施,不容任何穿越出产节造大区和治理信息大区之间天堑的通用网络服务(如FTP、HTTP、TELNET、MAIL、RRLOGIN,SNMP等)。”出产节造区与电力监控专用网络、非电力监控专用网络、运行治理区存在天堑。

第十六条 电力监控系统优先选用安全可信的产品和服务。不得选用存在已知安全缺点、缝隙等风险但未采取有效补救措施的产 品和服务。电力监控系统投运前该当进行安全加固,对于已经投入运行且 存在缝隙或风险的系统及设备,该当依照国度能源局及其派出机构 的要求实时进行整改, 同时该当加强有关系统及设备的运行治理和安全防护。

解读:

“电力监控系统优先选用安全可信的产品和服务”,这里的“安全可信”特指信创产品吗?选用信创产品并不代表就是“安全可信”的,信创产品依然存在缝隙或风险,但肯定是“自主可控”的。

电力监控系统在投运前进行安全加固是极度沉要的,以确保系统的安全性、靠得住性和齐全性。以下是一些关键的安全加固措施:1. 安全评估:2. 系统加固:3. 接见节造:4. 用户身份验证和授权:5. 网络隔离:6. 防火墙和入侵检测系统:7. 数据加密:8. 安全通讯和谈:9. 物理安全10. 配置治理:11. 安全培训:12. 应急响应打算:13. 冗余和备份:14. 供给链安全:15. 第三方安全测试:16. 合规性查抄:17. 持续监控。

第十七条 运营者该当成立网络安全监测预警机造,建设基于内置探针等的网络安全监测伎俩,实时监督分析电力监控系统网络安全运行状态及可疑行为告警。与调度数据网相连的电力监控系统,其网络安全运行状态及可疑行为告警信息该当同步传送至相应电力调度机构。监督过程中该当尽量预防对原始安全数据的沉复采集。

解读:

电力监控系统中的“内置探针”通常是指集成在系统中用于监测、分析和汇报网络或系统状态的传感器和监测设备。以下是一些常见的内置探针类型:1. 数据采集探针:2. 机能监控探针:3. 安全监控探针:4. 入侵检测系统(IDS)探针:5. 流量分析探针:6. 日志治理探针:7. 配置审计探针:8. 缝隙扫描探针:9. 硬件健全监测探针:10. 软件健全监测探针:11. 环境监测探针:12. 接见节造探针:13. 网络映射探针:14. 依赖性分析探针:15. 事务关联探针。

 

第三章 安全治理

第十八条 电力监控系统安全防护是电力安全出产治理系统的有机组成部门。运营者是电力监控系统安全防护的责任主体,其重要掌管人对电力监控系统安全防护负总责。运营者该当依照“谁主管谁掌管,谁运营谁掌管”的准则,成立健全电力监控系统安全防护治理造度,将电力监控系统安全防护工作及其信息报送纳入日常安全出产治理系统,落实分级掌管的责任造。

解读:

电力监控系统安全防护是电力安全出产治理系统的有机组成部门。参考发改委[2015] 21号《电力安全出产监督治理法子》、国度电监会令[2004]第2号《电力安全出产监管法子》。《网络安全法》确定网络运营者该当成立健全网络安全治理造度和操作规程,确定网络安全掌管人,落实网络安全;ぴ鹑。网络运营者的重要掌管人必要对网络安全掌管,确保系统安全和数据;。2021年8月4日,《人民日报》头版颁布《中国共产党党内律例系统》一文。同时,《中国共产党党内律例汇编》公开刊行,收录了《党委(党组)网络安全工作责任造执行法子》,《执行法子》作为《中国共产党党内律例汇编》唯一收录的网络安全领域的党内律例,它的公开颁布将对厘清网络安全责任、落实保险措施、推动网信事业发展产生巨大影响。

“谁主管谁掌管,谁运营谁掌管”的准则最早出自哪里?凭据网上资料,“谁主管谁掌管”准则最早是中共中央1979年8月在批转中央宣传部、教育部、文化部、公安部、国度劳动总局、全国总工会、共青团中央、全国妇联等8个单元《关于提请全党器沉解决青少年违法犯罪问题的汇报》。“谁运营谁掌管”出自《中华人民共和国安全出产法》和《网络安全法》。

电力安全出产治理系统,在发改委[2015]21号《电力安全出产监督治理法子》第四章 电力安全出产的监督治理有有关论述。

将电力监控系统安全防护工作及其信息报送纳入日常安全出产治理系统,落实分级掌管的责任造。在GB/T36572-2018《电力监控系统网络安全防护导则》的"8.1融入电力安全出产治理系统"描述了若何将电力监控系统安全防护工作纳入日常安全出产治理系统:1)依照“谁主管、谁掌管;谁运营、谁掌管:谁使用、谁掌管“的准则,2)健全电力监控系统安全防护的组织保障系统和安全责任系统,3)落实国度行业主管部门的安全监管责任、各电力企业的安全主体责任、各级电网调度节造机构的安全技术监督责任。4)各电力企业应设立电力监控系统安全治理工作的职能部门,由企业掌管人作为重要责任人,宜设立首席安全官。5)开发造作单元应承诺其产品无恶意安全隐患并平生掌管,检测评估单元、规划设计单元等均应对其工作平生掌管。

第十九条 运营者在电力监控系统规划设计、建设运营过程中,该当保障网络安全技术措施同步规划、同步建设、同步使用。

解读:

所谓的“三同步”指的是网络安全技术措施的同步规划,同步建设,同步使用。同理,我们也能够将网络安全工作要求三同步:同步规划,同步建设,同步运营。“三同步”准则,从《中华人民共和国安全出产法》第三十一条“出产经营单元新建、改建、扩建工程项目(以下统称建设项目)的安全设施,必须与主体工程同时设计、同时施工、同时投入出产和使用”,似乎是一个出处。

第二十条 运营者在电力监控系统规划设计阶段, 该当造订电 力监控系统安全防护规划并通过本单元电力监控系统网络安全治理部门以及相应电力调度机构审核,系统投运前该当实现规划执行 并通过本单元电力监控系统网络安全治理部门验收。接入调度数据网的系统及设备,其接入技术规划和安全防护措 施必须经相应电力调度机构审核赞成。必要设立安全接入区的电力监控系统,该当在安全防护规划中对接入对象规模进行评估,预防单个安全接入区接入规模过大,能够按业务、地域别离设立安全接入区。

解读:

安全防护规划应该是在安全规划阶段实现输出的。只是接入电力调度数据网络的系统及设备,其规划要经过电力调度机构审核赞成吗?接入电力调度数据网络的系统及设备指的是接入运行治理区(安全III区)的系统及设备?国能发监管规〔2021〕60号 《电力并网运行治理划定》就如下情况接入电力调度数据网进行了划定:安全接入区可凭据业务,地域别离设立,所以省级、地视注县级的调度中心,厂站都能够单独设立安全接入区。

第二十一条 健全电力监控系统安全防护评估造度,采取以自评估为主、查抄评估为辅的方式,将电力监控系统安全防护评估纳入电力系统安全评价系统。省级及以上电力调度机构该当定期将调管领域内电力监控系统安全防护评估和整改情况报国度能源局及其派出机构。

解读:

电力监控系统安全防护评估造度:以自评估为主、查抄评估为辅的方式。电力系统安全评价系统,在能源局官网就取缔《发电机组并网安全性评价治理法子》进行注明,目前发电机组并网安全性评价属于企业日常安全出产治理工作领域,由企业自主执行。后续能源局将重要通过加强日常安全监管、安全专项监管和美满发电机组并网安全性评价有关行业尺度等伎俩督促电力企业做好各项安全治理工作。(2022.6.9 能源局安全司)

第二十二条 运营者该当以合同条款标方式要求电力监控系统供给商保障:提供的产品和服务未设置恶意法式、不存在已知安全缺点和缝隙,并在产品和服务的全性命周期内掌管;当产品和服务存在安全缺点、缝隙等风险时,当即采取补救措施,并实时奉告运营者;当存在沉大缝隙隐患时,实时向国度能源局及其派出机构汇报。

解读:

这里要求供给商在全性命周期内对其掌管,但在GB/T36572-2018《电力监控系统网络安全防护导则》要求平生掌管,这里存在歧义,是指“供给商的性命周期”还是指“供给商运行在电力监控系统中的产品和服务的性命周期”?

第二十三条 电力监控系统专用安全产品该当选取统一的技术路线。国度电力调度节造中心牵头,中国南方电网电力调度节造中心和重要电力企业等参加,组建电力监控系统专用安全产品治理委员会,掌管电力监控系统专用安全产品治理,两全解决沉大问题,保险电力监控系统专用安全产品安全可控。

解读:

这里的专用安全产品指的是电力监控系统专用安全产品,与国度的网络专用产品不等价。2017年6月执行的《网络安全法》明确划定“网络关键设备和网络安全专用产品该当依照有关国度尺度的强造性要求,由具备资格的机构安全认证合格或者安全检测切合要求后,方可销售或者提供。国度网信部门会同国务院有关部门造订、颁布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测了局互认,预防沉复认证、检测”。为落实《网络安全法》有关划定,国度网信办会同工业和信息化部、公安部、国度认监委等部门相继颁布网络关键设备和网络安全专用产品目录,确定承担安全认证和安全检测工作的机构,明确认证检测了局统一颁布流程,造订GB 42250《信息安全技术 网络安全专用产品安全技术要求》强造性国度尺度。自2023年7月1日起,《推算机信息系统安全专用产品销售许可证》终场宣告,产品出产者无需申领。2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应至少切合以下前提之一,方可销售或者提供:一是凭据《布告》要求,依照《信息安全技术 网络安全专用产品安全技术要求》等有关国度尺度强造性要求,由具备资格的机构安全认证合格或安全检测切合要求的;二是此前已经获得《推算机信息系统安全专用产品销售许可证》,且在有效期内的。未列入《网络关键设备和网络安全专用产品目录》的其它有关产品,如司法律规没有特殊划定,可依照市场需要销售或者提供。

第二十四条 治理委员会严格落实有关政策律例要求,造订工作章程,动态守护电力监控系统专用安全产品目录及技术规范,组织并推动安全认证和安全检测,督促运营者及有关单元落实供给链安全管控措施,组织发展电力监控系统专用安全产品风险评估,对存在安全风险的电力监控系统专用安全产品进行传递。

解读:

电力监控系统专用安全产品执行的是“安全认证”和“安全检测”,而网络安全专用产品在2023年7月1日后执行的是“安全检测”,不进行“安全认证”。安全认证和安全检测是网络安全领域中的两个沉要概想,它们在保险系统安全方面阐扬着分歧的作用。以下是安全认证和检测的区别。

06b4b8eb6512ad1cd33ec48beb50610c

供给链安全管控措施蕴含:供给商审核、风险评估、合规性查抄、合同治理、安全培训、信息共享、接见节造、网络安全措施、物理安全、库存治理、备份供给商、运输安全、应急响应打算、质量节造、环境和社会责任、技术整合、持续监控和审计、第三方评估、定造化安全战术、合规性认证D芄徊慰肌禛B/T 40753-2021供给链安全治理系统 ISO 28000执行指南》

第二十五条 治理委员会成立议事机造,国度能源局和当局有关部门能够派员参与治理委员会有关会议。治理委员会该当于每年11月1日前向国度能源局汇报工作发展情况,蕴含但不限于:工作章程造订正情况,电力监控系统专用安全产品目录及技术规范造订正情况,安全认证和安全检测工作发展情况,运营者专用安全产品治理情况,风险评估及传递情况等。治理委员会运作出现沉大问题时该当提请国度能源局组织协排解决。

解读:

每年11月1日向国度能源局汇报工作发展情况。为什么定在11月1日?可能是为了给能源局留一点功夫进行分析总结。

第二十六条 运营者该当选用经治理委员会组织检测认证合格的电力监控系统专用安全产品,不得选用经治理委员会传递存在供给链安全风险的产品。运营者对专用安全产品的采购、运杏注退役等全过程安全治理掌管。

解读:

工作机造,即第二十四条划定的“电力监控系统专用安全产品治理工作机造”,是一个工作组,也是电力专用安全产品的认证和检测机构。

第二十七条 电力监控系统安全防护规划、安全测试评估汇报和缝隙隐患细节蹬仔关资料该当按国度有关要求做好保密工作。治理委员会和运营者蹬爪当按国度有关要求做好保密工作,不容关键技术和产品的扩散。

解读:

工信部联网安〔2021〕66号《网络产品安全缝隙治理划定》规范缝隙发现、汇报、建补和颁布等行为,明确网络产品提供者、网络运营者、以及从事缝隙发现、网络、颁布等活动的组织或幼我等各类主体的责任和使命;激励各类主体阐扬各自技术和机造优势发展缝隙发现、网络、颁布等有关工作。网络产品提供者和网络运营者是自身产品和系统缝隙的责任主体,要成立通顺的缝隙信息接管渠路,实时对缝隙进行验证并实现缝隙建补。同时,《划定》还对网络产品提供者提出了缝隙报送的具体时限要求,以及对产品用户提供技术支持的使命。对于从事缝隙发现、网络、颁布等活动的组织和幼我,《划定》明确了其经评估协商后可提前披露产品缝隙、不得颁布网络运营者缝隙细节、同步颁布建补防备措施、不得将未公开缝隙提供给产品提供者之表的境表组织或者幼我等八项具体要求。《划定》明确对缝隙网络平台尝试登记治理,由工业和信息化部对通过登记的缝隙网络平台予以颁布,并要求缝隙网络平台采取措施防备缝隙信息泄露和违规颁布。

 

第四章 应急措施

第二十八条 沉要电力监控系统该当成立系统备用和复原机造,对沉要设备冗余配置,对沉要的数据定期备份,并定期进行复原性测试,支持系统故障的急剧处置和复原,保险电力监控系统业务陆续性。

解读:

保险电力监控系统业务陆续性的重要措施:对沉要设备冗余配置,对沉要数据定期备份,并定期进行复原性测试。

第二十九条 健全电力监控系统安全的结合防护和应急机造,造订应急预案并定期发展演练。电力调度机构掌管统一指挥调度领域内的电力监控系统安全应急措置,定期组织结合演练。当遭逢网络攻击,电力监控系统出现异;蛘吖收鲜,运营者该当当即启动应急预案,向相应电力调度机构以及本地国度能源局派出机构汇报,并结合采取垂危防护措施,预防事态扩大,同时把稳;は殖,以便进行调查和溯源取证。

解读:

具体在国能发安全〔2024〕34号《关于印发<电力网络安全事务应急预案>的的通知》

 

第五章 监督治理

第三十条 国度能源局掌管造订电力监控系统安全防护有关管 理和技术规范 ,国度能源局及其派出机构依法对电力监控系统安全 防护工作进行监督治理,电力调度机构掌管技术支持。

运营者该当成立本单元电力监控系统安全防护技术监督系统, 全方位发展技术监监工作。电力调度机构对直接调度领域内的下一 级电力调度机构 、变电站(换流站)、发电厂( 站 )等涉网部门的 电力监控系统安全防护进行技术监督。电力监控系统网络安全技术 监督治理法子由国度能源局造订。

第三十一条 运营者有下列情景之一的, 由国度能源局及其派 出机构责令更正 ,赐与忠告 ;拒不更正或者导致风险网络安全等后 果的,处一万元以上十万元以下?,对直接掌管的主管人员处五 千元以上五万元以下? ,涉及关键信息基础设施的,处十万元以 上一百万元以下?,对直接掌管的主管人员处一万元以上十万元 以下?睿

( 一 )未采取安全分区、天堑防护等防备推算机病毒和网络攻 击、 网络侵入等风险网络安全行为的技术措施;

( 二 )未采取网络安全监测预警等技术措施监测、纪录网络运 行状态、 网络安全事务。

在产生风险网络安全的事务时,未按划定实时汇报的, 由国度 能源局及其派出机构责令更正 ,赐与忠告 ;拒不更正或者导致风险 网络安全等后果的,处一万元以上十万元以下?,对直接掌管的 主管人员处五千元以上五万元以下? ,涉及关键信息基础设施的 沉大事务,处十万元以上一百万元以下?,对直接掌管的主管人 员处一万元以上十万元以下?。

第三十二条 运营者回绝 、故障国度能源局及其派出机构依法执行的监督查抄或遵循本划定委托电力调度机构组织发展的技术 监督的, 由国度能源局及其派出机构责令更正 ;拒不更正或情节严 沉的,处五万元以上五十万元以下?,对直接掌管的主管人员和 其他直接责任人员 ,处一万元以上十万元以下?。

第三十三条 电力调度机构在技术监督过程中发现被监督电力 监控系统存在可能导致网络安全事务的沉大安全风险时,能够采取 断开其数据网络衔接、断开其电力一次设备衔接等措施管控安全风 险。

第三十四条 对于其他不切合本划定要求的, 由国度能源局及 其派出机构责令更正 ;拒不更正或者导致风险网络安全等后果的, 由国度能源局及其派出机构依法依规予以处罚。

第三十五条 对于因违反本划定,造成电力监控系统故障的,由其运营者按有关规程划定进行处置;导致电力设备变乱或者造成 电力安全变乱(事务)的,按国度有关变乱(事务)调查划定进行处置。

解读:

这里罚则与《网络安全法》里的罚则根基一致,在处罚金额和情景都一致。?钋榫霸毯床扇》阑ぜ际醮胧,未采取监测预警技术措施,为实时汇报安全事务。

在安全微风险治理领域,"变乱"(Incident)和"事务"(Event)这两个术语固然有时被交替使用,但它们有着分歧的寓意:

f5259967a954ca812ffb63f57a64d7c4

 

第六章 附则

第三十六条 本划定下列用语的寓意或领域:

(一)电力监控系统,是指用于监督和节造电力出产及供给过程的、基于推算机及网络技术的业务系统及设备,以及作为基础支持的通讯设施及数据网络等,蕴含但不限于实现继电;ず桶踩远谠臁⒌鞫燃嗫亍⒈涞缯荆ɑ涣髡荆┘嗫亍⒎⒌绯Ъ嗫亍⑿履茉捶⒌缂嗫亍⑸⒉际降缭醇嗫亍⒋⒛艿缯炯嗫亍⑿楣沟绯Ъ嗫亍⑴涞 自动化、变电站集控、发电集中监督、发电机励磁和调快、电力现货市场买卖、直流节造;ぁ⒏汉杉嗫亍⒓品呀谠斓戎澳艿南低, 以及支持以上职能的通讯设施、数据网络及配套网管系统。

解读:

电力监控系统蕴含基于推算机和网络技术的业务系统及设备,所以电力监控系统不蕴含电力行业选取的一些机械设备,如吊机等。电力监控系统蕴含通讯设施及数据网络,好比路由器互换机等网络通讯设施,以及用于传输数据的“网络”。因而能够理解电力监控系统蕴含设备、设施、业务系统、数据网络。监督、节造和治理是电力系统的三个关键职能在工业自动化和电力系统中,“监督、节造和治理”是三个关键职能,它们确保系统的安全、高效和靠得住运行。

电力监控系统蕴含但不限于实现继电;ず桶踩远谠臁⒌鞫燃嗫亍⒈涞缯荆ɑ涣髡荆┘嗫亍⒎⒌绯Ъ嗫亍⑿履茉捶⒌缂嗫亍⑸⒉际降缭醇嗫亍⒋⒛艿缯炯嗫亍⑿楣沟绯Ъ嗫亍⑴涞缱远⒈涞缯炯亍⒎⒌缂屑喽健⒎⒌缁藕偷骺臁⒌缌ο只跏谐÷蚵簟⒅绷鹘谠毂;ぁ⒏汉杉嗫亍⒓品呀谠臁⒃诵兄富印⒎治鼍霾叩戎澳艿南低,以及支持以上职能的通讯设施、数据网络及配套网管系统。从上面的界说看出电力监控系统=电力有关业务系统+通讯设施+数据网络+配套网管系统。

在电力系统中,这些职能可能具体蕴含:监督电网的负载和频率,确保电力供给和需要之间的平衡=谠旆⒌缯镜氖涑,以及通过变电站和配电网络调节电力流向。治理电网的运行,蕴含预防性守护、应急响应和持久规划。这三个职能互有关联,共同组成了一个综合的系统,以实现对复杂基础设施的有效运营。

f0a84e7f55b5ce26da3bfff727f8a86a

(二)电力监控专用网络,是指承载电力监督和节造业务的专用广域数据网络、专用局域网络以及专用通讯线路等,如调度数据网(各级电力调度专用广域数据网络)、发电企业集中监督中心与电厂之间的专用数据网络、调度自动化和厂站自动化的专用局域网、继电;ず桶踩远爸檬褂玫淖ㄓ猛ㄑ锻返。

(三)物理接见节造,是指电力监控系统所处的物理环境出入口铺排专人值守或配置电子门禁系统 ,甄别和节造人员进出。

(四)电力监控系统专用安全产品,是指依照电力监控系统安全防护需要专门设计、研发、造作的网络安全防护产品 ,如电力专用横向单向安全隔离装置、电力专用纵向加密认证装置等。

第三十七条 本划定自2025年1月1日起执行。2014年8月1日国度发展鼎新委颁布的《电力监控系统安全防护划定》(国度发展鼎新委2014年第14呼吁)同时废止。

 

13aa1b4ba03498b06567d77df14d3bcc

 

 

【网站地图】