第一篇:淺談電力信息系統的安全防護
淺談電力信息系統的安全防護
摘要:隨著電網的不斷互聯和電力市場的逐步實施,電力系統的運行環境更加復雜,對電網的安全穩定運行要求也越來越高.本文研究了電力系統中網絡應用的安全策略、安全技術體系,提出電力系統在線網絡系統的信息安全保障技術方案.關鍵詞:電力信息系統,信息安全,技術
一、電力企業數據信息網絡布局
1.1 電力系統信息網絡基本構架 由于電力企業生產的特殊性,電力通信的建設是伴隨著電力企業建設同步進行的.由于現代大電網運行管理的信息交換量越來越大,各種應用和服務對信息質量提出了越來越高的要求,其中包括實時性、可靠性、安全性、數據完整性、通信容量和標準化等方面.為了解決這些問題,國電公司又建立了信息網絡,作為電力系統的專用廣域網.國家電力信息網(SPInet)即中國電力系統數據網絡(CED net)采用分組交換技術和數字網絡復接技術,形成了獨立的數據通信網絡,實現了電網調度自動化系統全國聯網.它可以分為4級結構:國電公司到各區電力公司(西北、華北、華東、華中)是一級網絡,從大區電力公司到省電力公司是二級網絡,省電力公司到地區供電局是三級網絡,地區供電局以下就屬于四級網絡.1.2省網級電力信息網絡處于我國國家電力信息網(SPI net)的第二和第三級,起著承上啟下的作用.它既要完成區域電網和國家電網之間的信息溝通,同時也要承擔區域電網內部之間各種生產信息和管理信息的管理和傳輸,保障電網的安全有效的運行.目前通道采用微波和光纖混合使用,速率從64K bps到2M bps,有的省份則達到155M bps高速傳輸.未來將大力發展光纖通信,從微波為主逐步過渡到以光纖為主,建成全國電力通信光纖傳輸一級網絡:80%的網公司建成電力通信光纖傳輸二級網絡,50%的省公司建成電力通信光纖傳輸三級網絡.1.3地市級電力信息網是指包括縣、區在內的所有供電單位的計算機局域網及連接這些局域網的計算機廣域網.建設地市級電力信息網,可以有效的提高電力企業效率,實現辦公自動化、決策智能化,在保障地方安全可靠供電的同時為省電網公司、國家電網公司提供可靠的基礎信息,保障整個電網快速、健康、穩定的發展.中國電力信息網作為電力行業內的Intranet,其廣域網體系結構主要采用TPC/IP,為了與中國電力信息網順利連接,同時為了將來與Internet,地市級電力信息網須將TPC/IP作為主要協議體系.根據地市電力企業網絡建設的具體情況,應采用主干網和局域子網兩個層次,地調和地市電力企業機關直接接人主干網中,而下屬分支單位和縣級電力企業可自組局域網并作為局域子網接人到主干網中.二、電力系統信息安全關鍵技術的分析電力信息安全是電網安全運行和可靠供電的保障,但是現實是電力系統信息沒有建立安全體系,有的只是購買了防病毒軟件和防火墻.網絡中有許多的安全隱患.2.1 現狀及局限性 ①缺乏統一的信息安全管理規范:電力系統急需一套統一、完善的能夠用于指導整個電力系統信息網絡系統安全運行的管理規范;②電力職工的網絡安全意識有待提高:隨著信息技術高速發展,信息安全策略和技術取得了非常大的進步,但是我們目前的認識與實際差距較大,對新出現的信息安全問題認識不足;③需要建立一套適合電力企業其自身特點的信息安全體系:電力信息網絡應用可分為4類:管理信息類、生產控制類、話音視頻類、經營類.生產控制類應用與其他應用的物理隔離,以確保實時的生產控制類應用的安全.同時外網與內網間也應該物理隔離.2.2 密碼保護措施 當網絡交易的動作開始后,接下來要擔心的就是如何防止網絡交易的資料被篡改、竊取、遲滯、冒名傳送、否認己傳送或是非法侵人等威脅,所以網際網絡上的信息安全是非常重要的.在金融界、企業界大家在信息安全技術內廣泛運用了DES以及RSA等加密技術作為信息安全的保障.2.3 電力系統信息安全關鍵技術的分析 電力信息安全是電網安全運行和可靠供電的保障,是一項涉及電網調度自動化、廠站自動化、配電網自動化、電力負荷控制、繼電保護及安全裝置、電力營銷、電力市場等有關生產、經營和管理方面的多領域、復雜的大型系統工程,但是現實是電力系統信息沒有建立安全體系,有的只是購買了防病毒軟件和防火墻.有的網絡連防火墻也沒有,沒有對網絡安全做統一長遠的規劃.三、電力系統信息安全關鍵技術的應用展望對電力企業信息網絡這樣一個年輕的又特殊的網絡來說,在網絡安全問題上有其特殊性,同時它所面臨的安全威脅是比較嚴重的.我們可以采取有效的應對手段,包括先進的企業版防火墻、先進的密碼編碼方式和算法等都可以有效防御,只要應對得當,足以有效保護電力系統信息網絡安全,保障電力生產經營活動的安全.未來將采用更加先進的網絡安全體系架構、密碼算法、防火墻、IDS和病毒防治軟件等來保衛電力系統的信息安全,但是堡壘往往是從內部攻破的.因此需要一套良好的安全制度和安全思想,才是確保系統安全的根本.參考文獻:
[1]殷小貢,劉滌塵.電力系統通信工程[M].武漢:武漢大學出版社,2004.[2]楚狂.網絡安全與防火墻技術[M].北京:人民郵電出版社,2004.
第二篇:電力信息系統安全
淺析電力系統信息網絡安全
【摘要】
隨著電力行業信息化不斷發展,信息安全的重要性日漸突顯,所面臨的考驗也日益嚴峻。全文分析了威脅電力系統安全的幾個主要來源及局域網安全管理所涉及的問題,并從信息安全技術與管理上提出了自己的幾點思路和方法,增強智能電網信息安全防護能力,提升信息安全自主可控能力
【關鍵詞】 電力系統
網絡安全
計算機
隨著計算機信息技術的發展,電力系統對信息系統的依賴性也逐步增加,信息網絡已成為我們工作中的重要組成部分。電力的MIS系統、電力營銷系統、電能電量計費系統、SAP系統、電力ISP業務、經營財務系統、人力資源系統等,可以說目前的電力資源的整合已經完全依賴計算機信息系統來管理了。因此在加強信息系統自身的穩定性同時,也要防范利用網絡系統漏洞進行攻擊、通過電子郵件進行攻擊解密攻擊、后門軟件攻擊、拒絕服務攻擊等網絡上帶來諸多安全問題。
如何應對好網絡與信息安全事件。要把信息安全規劃好,就要從軟件和硬件兩個方面下功夫。
首先我們來談談軟件這塊,其實這塊主要是指安全防護意識和協調指揮能力和人員業務素質。
作為企業信息網絡安全架構,最重要的一個部分就是企業網絡的管理制度,沒有任何設備和技術能夠百分之百保護企業網絡的安全,企業應該制定嚴格的網絡使用管理規定。對違規內網外聯,外單位移動存儲介質插入內網等行為要堅決查處,絕不姑息。企業信息網絡安全架構不是一個簡單的設備堆加的系統,而是一個動態的過程模型,安全管理問題貫穿整個動態過程。因此,網絡安全管理制度也應該貫穿整個過程。
通過貫徹堅持“安全第一、預防為主”的方針,加強網絡與信息系統突發事件的超前預想,做好應對網絡與信息系統突發事件的預案準備、應急資源準備、保障措施準備,編制各現場處置預案,形成定期應急培訓和應急演練的常態機制,提高對各類網絡與信息系統突發事件的應急響應和綜合處理能力。
按照綜合協調、統一領導、分級負責的原則,建立有系統、分層次的應急組織和指揮體系。組織開展網絡與信息系統事件預防、應急處置、恢復運行、事件通報等各項應急工作。
充分發揮公司專家隊伍和專業人員的作用,切實提高應急處理人員的業務素質,定期參加基礎知識的梳理和各類信息系統的培訓,以及上崗前的考核機制。把保障公司正常生產、經營、管理秩序、保障公司員工信息安全保密作為首要任務,最大程度減少突發事件造成的經濟損失和利益損害。
而硬件這部分也不僅僅是簡單的網絡設備、服務器小型機、UPS等硬件設備,還包括配合電力生產需要的各個信息系統以及網絡資源。以上的信息設備,信息系統和整個網絡的架構每一個細節直接關系到系統運行的穩定性。為了確保信息系統穩定性,近年來,我們在硬件設備的投入上一直是逐步增加,在網絡設備的采購上,我們選取的一直是CISCO品牌的交換機和路由器,CISCO交換機的帶寬的吞吐量、IPV6路由、組播路由以及訪問控制列表(ACL)、CISCO CATALYS智能電源管理等技術的穩定性在同級別的產品中都是最優質的。服務器小型機基本上以IBM、HP和DELL為主,在服務器的選型上盡量好的和社會口碑突出的品牌,以確保其運行的穩定性。同樣,在軟件開發上也是和國內知名軟件公司合作開發各種生產需要的應用系統,如中軟的防火墻,北塔的網管軟件等,ORACLE的OA系統。
在網絡的架構上,實行邊界防護通過防火墻,作為網絡安全重要的一環,防火墻是在整個網絡安全建設中都是不能缺少的主角之一,并且幾乎所有的網絡安全公司品牌的防火墻。在防火墻的參數中,最常看見的是并發連接數、忘了吞吐量兩項指標。并發連接數是指防火墻或代理服務器對其業務信息流的處理能力,是防火墻能夠同時處理的點對點連接的最大數目,他反映出防火墻設備對多個連接的訪問控制能力和連接狀態跟蹤能力,這個參數的大小直接影響到防火墻所能支持的最大信息點數。吞吐量的大小主要是由防火墻內網卡,及程序算法的效率決定,尤其是程序算法,會使防火墻系統進行大量運算,通信量大大折扣。對于我們大型國有企業來說,當然還是選擇1000M的防火墻來保證流量。
根據國家電網公司對外網建設“強邏輯隔離”的目標和要求,在省、市供電公司和直屬單位重新架設一套物理外網,該網絡與現有內網物理隔離,兩網之間加裝物理隔離裝置。互聯網出口位于省電力公司,地市供電公司和直屬單位統一從省電力公司出口訪問互聯網;改造后的外網應用系統與內網相關系統的訪問必須通過隔離裝置進行。
訪問控制識別并驗證用戶,將用戶限制在已授權的活動和資源范圍內,這是訪問控制安全機制應該實現的基本功能,訪問控制安全機制可以在網絡入口處對惡意訪問用戶進行甄別和過濾,在極大程度上保證了網絡訪問用戶的可靠性。訪問控制的實現首先是要考慮對合法用戶進行驗證,然后對控制策略的選用于管理,最后要對沒有非法用戶或者是越權操作進行管理,所以,訪問控制包括認證、控制策略實現和審計三方面的內容。目前主流的控制技術有可以基于角色的訪問控制技術(Role-based Access,RBAC),基于任務的訪問控制模型
(Task-based Access Control Model,TBAC Model),基于對象的訪問控制模型(Object-Based Access Control Model)。
數據傳輸安全要求保護網絡上被傳輸的信息,以防止被動地和主動地侵犯。主要是通過文件加密技術和電子簽章兩種方式。網絡上的加密可以分為三層:第一層是數據鏈路層加密,即將數據在線路傳輸前后分別對其加密和解密,這樣可以減少在傳輸線路上被竊取的危險;第二層是對傳輸層的加密,使數據在網絡傳輸期間保持加密狀態;第三層使應用層上的加密,讓網絡應用程序對數據進行加密和解密。通常采用的方式使對這三層進行綜合加密,以增強信息的安全性和可靠性。電子簽章是對數據的接受者用來證實數據的發送者確實無誤的一種方法,他主要通過加密算法和驗證協議來實現。
來自網絡威脅還有很重要的一點是病毒的危害。病毒本身就是計算機程序,但是它確用來破壞和干擾計算機系統或網絡的正常使用,通過編寫所謂的惡意代碼,來控制或者偷窺計算機資源或使其整個網絡癱瘓。計算機病毒可謂是防不勝防,總結了病毒的傳播途徑主要是通過以下幾種方式1通過光盤、軟盤傳播2通過移動存儲介質傳播3通過網絡傳播 所以我們通過安裝防病毒軟件symantec并跟新最新的病毒庫,實時監控病毒,一經發現馬上處理。保證網絡的良好環境。
電力系統的信息化應用是隨著企業的發展而不斷發展的,信息網絡安全也是一個動態過程,需要定期對信息網絡安全狀況進行評估,改進安全方案,調整安全策略。我們不能保證能杜絕來自信息網絡上的各種威脅和攻擊,但是我相信通過全體電力人的責任心和使命感,我們一定能最大限度的保障電力信息網絡的安全,更好的為電力生產服務,更好的為全社會服務。
第三篇:《電力監控系統安全防護規定》
國家發改委發布《電力監控系統安全防護規定》
2014第14號令
發布時間: 2014-08-18 14:09:59 來源:國家發改委網
中華人民共和國國家發展和改革委員會令
第14號
《電力監控系統安全防護規定》已經國家發展和改革委員會主任辦公會審議通過,現予公布,自2014年9月1日起施行。
國家發展改革委主任:徐紹史
2014年8月1日
電力監控系統安全防護規定
第一章 總則
第一條 為了加強電力監控系統的信息安全管理,防范黑客及惡意代碼等對電力監控系統的攻擊及侵害,保障電力系統的安全穩定運行,根據《電力監管條例》、《中華人民共和國計算機信息系統安全保護條例》和國家有關規定,結合電力監控系統的實際情況,制定本規定。
第二條 電力監控系統安全防護工作應當落實國家信息安全等級保護制度,按照國家信息安全等級保護的有關要求,堅持“安全分區、網絡專用、橫向隔離、縱向認證”的原則,保障電力監控系統的安全。
第三條 本規定所稱電力監控系統,是指用于監視和控制電力生產及供應過程的、基于計算機及網絡技術的業務系統及智能設備,以及做為基礎支撐的通信及數據網絡等。
第四條 本規定適用于發電企業、電網企業以及相關規劃設計、施工建設、安裝調試、研究開發等單位。
第五條 國家能源局及其派出機構依法對電力監控系統安全防護工作進行監督管理。
第二章 技術管理
第六條 發電企業、電網企業內部基于計算機和網絡技術的業務系統,應當劃分為生產控制大區和管理信息大區。
生產控制大區可以分為控制區(安全區I)和非控制區(安全區Ⅱ);管理信息大區內部在不影響生產控制大區安全的前提下,可以根據各企業不同安全要求劃分安全區。
根據應用系統實際情況,在滿足總體安全要求的前提下,可以簡化安全區的設置,但是應當避免形成不同安全區的縱向交叉聯接。
第七條 電力調度數據網應當在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其它數據網及外部公用數據網的安全隔離。
電力調度數據網劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區。
第八條 生產控制大區的業務系統在與其終端的縱向聯接中使用無線通信網、電力企業其它數據網(非電力調度數據網)或者外部公用數據網的虛擬專用網絡方式(VPN)等進行通信的,應當設立安全接入區。
第九條 在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。
生產控制大區內部的安全區之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施,實現邏輯隔離。
安全接入區與生產控制大區中其他部分的聯接處必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。
第十條 在生產控制大區與廣域網的縱向聯接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。
第十一條 安全區邊界應當采取必要的安全防護措施,禁止任何穿越生產控制大區和管理信息大區之間邊界的通用網絡服務。
生產控制大區中的業務系統應當具有高安全性和高可靠性,禁止采用安全風險高的通用網絡服務功能。
第十二條 依照電力調度管理體制建立基于公鑰技術的分布式電力調度數字證書及安全標簽,生產控制大區中的重要業務系統應當采用認證加密機制。
第十三條 電力監控系統在設備選型及配置時,應當禁止選用經國家相關管理部門檢測認定并經國家能源局通報存在漏洞和風險的系統及設備;對于已經投入運行的系統及設備,應當按照國家能源局及其派出機構的要求及時進行整改,同時應當加強相關系統及設備的運行管理和安全防護。生產控制大區中除安全接入區外,應當禁止選用具有無線通信功能的設備。
第三章 安全管理
第十四條 電力監控系統安全防護是電力安全生產管理體系的有機組成部分。電力企業應當按照“誰主管誰負責,誰運營誰負責”的原則,建立健全電力監控系統安全防護管理制度,將電力監控系統安全防護工作及其信息報送納入日常安全生產管理體系,落實分級負責的責任制。
電力調度機構負責直接調度范圍內的下一級電力調度機構、變電站、發電廠涉網部分的電力監控系統安全防護的技術監督,發電廠內其它監控系統的安全防護可以由其上級主管單位實施技術監督。
第十五條 電力調度機構、發電廠、變電站等運行單位的電力監控系統安全防護實施方案必須經本企業的上級專業管理部門和信息安全管理部門以及相應電力調度機構的審核,方案實施完成后應當由上述機構驗收。
接入電力調度數據網絡的設備和應用系統,其接入技術方案和安全防護措施必須經直接負責的電力調度機構同意。
第十六條 建立健全電力監控系統安全防護評估制度,采取以自評估為主、檢查評估為輔的方式,將電力監控系統安全防護評估納入電力系統安全評價體系。第十七條 建立健全電力監控系統安全的聯合防護和應急機制,制定應急預案。電力調度機構負責統一指揮調度范圍內的電力監控系統安全應急處理。
當遭受網絡攻擊,生產控制大區的電力監控系統出現異常或者故障時,應當立即向其上級電力調度機構以及當地國家能源局派出機構報告,并聯合采取緊急防護措施,防止事態擴大,同時應當注意保護現場,以便進行調查取證。
第四章 保密管理
第十八條 電力監控系統相關設備及系統的開發單位、供應商應當以合同條款或者保密協議的方式保證其所提供的設備及系統符合本規定的要求,并在設備及系統的全生命周期內對其負責。
電力監控系統專用安全產品的開發單位、使用單位及供應商,應當按國家有關要求做好保密工作,禁止關鍵技術和設備的擴散。
第十九條 對生產控制大區安全評估的所有評估資料和評估結果,應當按國家有關要求做好保密工作。
第五章 監督管理
第二十條 國家能源局及其派出機構負責制定電力監控系統安全防護相關管理和技術規范,并監督實施。
第二十一條 對于不符合本規定要求的,相關單位應當在規定的期限內整改;逾期未整改的,由國家能源局及其派出機構依據國家有關規定予以處罰。
第二十二條 對于因違反本規定,造成電力監控系統故障的,由其上級單位按相關規程規定進行處理;發生電力設備事故或者造成電力安全事故(事件)的,按國家有關事故(事件)調查規定進行處理。
第六章 附 則
第二十三條 本規定下列用語的含義或范圍:
(一)電力監控系統具體包括電力數據采集與監控系統、能量管理系統、變電站自動化系統、換流站計算機監控系統、發電廠計算機監控系統、配電自動化系統、微機繼電保護和安全自動裝置、廣域相量測量系統、負荷控制系統、水調自動化系統和水電梯級調度自動化系統、電能量計量系統、實時電力市場的輔助控制系統、電力調度數據網絡等。
(二)電力調度數據網絡,是指各級電力調度專用廣域數據網絡、電力生產專用撥號網絡等。
(三)控制區,是指由具有實時監控功能、縱向聯接使用電力調度數據網的實時子網或者專用通道的各業務系統構成的安全區域。
(四)非控制區,是指在生產控制范圍內由在線運行但不直接參與控制、是電力生產過程的必要環節、縱向聯接使用電力調度數據網的非實時子網的各業務系統構成的安全區域。
第二十四條 本規定自2014年9月1日起施行。2004年12月20日原國家電力監管委員會發布的《電力二次系統安全防護規定》(國家電力監管委員會令第5號)同時廢止。
第四篇:電力二次系統安全防護規定
《電力二次系統安全防護規定》(電監會5號令)
第一章 總則
第一條為了防范黑客及惡意代碼等對電力二次系統的攻擊侵害及由此引發電力系統事故,建立電力二次系統安全防護體系,保障電力系統的安全穩定運行,根據《中華人民共和國計算機信息系統安全保護條例》和國家有關規定,制定本規定。
第二條電力二次系統安全防護工作應當堅持安全分區、網絡專用、橫向隔離、縱向認證的原則,保障電力監控系統和電力調度數據網絡的安全。
第三條電力二次系統的規劃設計、項目審查、工程實施、系統改造、運行管理等應當符合本規定的要求。
第二章 技術措施
第四條發電企業、電網企業、供電企業內部基于計算機和網絡技術的業務系統,原則上劃分為生產控制大區和管理信息大區。
生產控制大區可以分為控制區(安全區I)和非控制區(安全區Ⅱ);管理信息大區內部在不影響生產控制大區安全的前提下,可以根據各企業不同安全要求劃分安全區。
根據應用系統實際情況,在滿足總體安全要求的前提下,可以簡化安全區的設置,但是應當避免通過廣域網形成不同安全區的縱向交叉連接。
第五條電力調度數據網應當在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其它數據網及外部公共信息網的安全隔離。電力調度數據網劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區。
第六條在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。
生產控制大區內部的安全區之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施,實現邏輯隔離。
第七條在生產控制大區與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。
第八條安全區邊界應當采取必要的安全防護措施,禁止任何穿越生產控制大區和管理信息大區之間邊界的通用網絡服務。
生產控制大區中的業務系統應當具有高安全性和高可靠性,禁止采用安全風險高的通用網絡服務功能。
第九條依照電力調度管理體制建立基于公鑰技術的分布式電力調度數字證書系統,生產控制大區中的重要業務系統應當采用認證加密機制。
第三章 安全管理
第十條國家電力監管委員會負責電力二次系統安全防護的監管,制定電力二次系統安全防護技術規范并監督實施。
電力企業應當按照“誰主管誰負責,誰運營誰負責”的原則,建立健全電力二次系統安全管理制度,將電力二次系統安全防護工作及其信息報送納入日常安全生產管理體系,落實分級負責的責任制。
電力調度機構負責直接調度范圍內的下一級電力調度機構、變電站、發電廠輸變電部分的二次系統安全防護的技術監督,發電廠內其它二次系統可由其上級主管單位實施技術監督。
第十一條建立電力二次系統安全評估制度,采取以自評估為主、聯合評估為輔的方式,將電力二次系統安全評估納入電力系統安全評價體系。對生產控制大區安全評估的所有記錄、數據、結果等,應按國家有關要求做好保密工作。
第十二條建立健全電力二次系統安全的聯合防護和應急機制,制定應急預案。電力調度機構負責統一指揮調度范圍內的電力二次系統安全應急處理。
當電力生產控制大區出現安全事件,尤其是遭受黑客或惡意代碼的攻擊時,應當立即向其上級電力調度機構報告,并聯合采取緊急防護措施,防止事件擴大,同時注意保護現場,以便進行調查取證。
第十三條電力二次系統相關設備及系統的開發單位、供應商應以合同條款或保密協議的方式保證其所提供的設備及系統符合本規定的要求,并在設備及系統的生命周期內對此負責。
電力二次系統專用安全產品的開發單位、使用單位及供應商,應當按國家有關要求做好保密工作,禁止關鍵技術和設備的擴散。
第十四條電力調度機構、發電廠、變電站等運行單位的電力二次系統安全防護實施方案須經過上級信息安全主管部門和相應電力調度機構的審核,方案實施完成后應當由上述機構驗收。
接入電力調度數據網絡的設備和應用系統,其接入技術方案和安全防護措施須經直接負責的電力調度機構核準。
第十五條電力企業和相關單位必須嚴格遵守本規定。
對于不符合本規定要求的,應當在規定的期限內整改;逾期未整改的,由國家電力監管委員會根據有關規定予以行政處罰。
對于因違反本規定,造成電力二次系統故障的,由其上級單位按相關規程規定進行處理;發生電力二次系統設備事故或者造成電力事故的,按國家有關電力事故調查規定進行處理。
第四章 附則
第十六條本規定下列用語的含義:
(一)電力二次系統,包括電力監控系統、電力通信及數據網絡等。
(二)電力監控系統,是指用于監視和控制電網及電廠生產運行過程的、基于計算機及網絡技術的業務處理系統及智能設備等。包括電力數據采集與監控系統、能量管理系統、變電站自動化系統、換流站計算機監控系統、發電廠計算機監控系統、配電自動化系統、微機繼電保護和安全自動裝置、廣域相量測量系統、負荷控制系統、水調自動化系統和水電梯級調度自動化系統、電能量計量計費系統、實時電力市場的輔助控制系統等。
(三)電力調度數據網絡,是指各級電力調度專用廣域數據網絡、電力生產專用撥號網絡等。
(四)控制區,是指由具有實時監控功能、縱向聯接使用電力調度數據網的實時子網或專用通道的各業務系統構成的安全區域。
(五)非控制區,是指在生產控制范圍內由在線運行但不直接參與控制、是電力生產過程的必要環節、縱向聯接使用電力調度數據網的非實時子網的各業務系統構成的安全區域。
第十七條本規定未作規定的事項,適用原國家經濟貿易委員會2002年5月8日發布的《電網和電廠計算機監控系統及調度數據網絡安全防護規定》。
第十八條本規定自2005年2月1日起施行。
第五篇:電力監控系統安全防護規定2014
電力監控系統安全防護規定
第一章 總則
第一條 為了加強電力監控系統的信息安全管理,防范黑客及惡意代碼等對電力監控系統的攻擊及侵害,保障電力
系統的安全穩定運行,根據《電力監管條例》、《中華人民共和國計算機信息系統安全保護條例》和國家有關規定,結合電力監控系統的實際情況,制定本規定。
第二條 電力監控系統安全防護工作應當落實國家信息安全等級保護制度,按照國家信息安全等級保護的有關要
求,堅持“安全分區、網絡專用、橫向隔離、縱向認證”的原則,保障電力監控系統的安全。
第三條 本規定所稱電力監控系統,是指用于監視和控制電力生產及供應過程的、基于計算機及網絡技術的業務系
統及智能設備,以及做為基礎支撐的通信及數據網絡等。
第四條 本規定適用于發電企業、電網企業以及相關規劃設計、施工建設、安裝調試、研究開發等單位。
第五條 國家能源局及其派出機構依法對電力監控系統安全防護工作進行監督管理。
第二章 技術管理
第六條 發電企業、電網企業內部基于計算機和網絡技術的業務系統,應當劃分為生產控制大區和管理信息大區。
生產控制大區可以分為控制區(安全區 I)和非控制區(安全區Ⅱ);管理信息大區內部在不影響生產控制大區安全的前提下,可以根據各企業不同安全要求劃分安全區。根據應用系統實際情況,在滿足總體安全要求的前提下,可以簡化安全區的設置,但是應當避免形成不同安全區的縱向交叉聯接。
第七條 電力調度數據網應當在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其它數據網及外部公用數據網的安全隔離。
電力調度數據網劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區。
第八條 生產控制大區的業務系統在與其終端的縱向聯接中使用無線通信網、電力企業其它數據網(非電力調度數
據網)或者外部公用數據網的虛擬專用網絡方式(VPN)等進行通信的,應當設立安全接入區。
第九條 在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離
裝置。生產控制大區內部的安全區之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施,實現邏輯隔離。安全接入區與生產控制大區中其他部分的聯接處必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。
第十條 在生產控制大區與廣域網的縱向聯接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證
裝置或者加密認證網關及相應設施。
第十一條 安全區邊界應當采取必要的安全防護措施,禁止任何穿越生產控制大區和管理信息大區之間邊界的通
用網絡服務。生產控制大區中的業務系統應當具有高安全性和高可靠性,禁止采用安全風險高的通用網絡服務功能。
第十二條 依照電力調度管理體制建立基于公鑰技術的分布式電力調度數字證書及安全標簽,生產控制大區中的重要業務系統應當采用認證加密機制。
第十三條 電力監控系統在設備選型及配置時,應當禁止選用經國家相關管理部門檢測認定并經國家能源局通報
存在漏洞和風險的系統及設備;對于已經投入運行的系統及設備,應當按照國家能源局及其派出機構的要求及時進行整改,同時應當加強相關系統及設備的運行管理和安全防護。生產控制大區中除安全接入區外,應當禁止選用具有無線通信功能的設備。
第三章 安全管理
第十四條 電力監控系統安全防護是電力安全生產管理體系的有機組成部分。電力企業應當按照“誰主管誰負責,誰運營誰負責”的原則,建立健全電力監控系統安全防護管理制度,將電力監控系統安全防護工作及其信息報送納入日常安全生產管理體系,落實分級負責的責任制。電力調度機構負責直接調度范圍內的下一級電力調度機構、變電站、發電廠涉網部分的電力監控系統安全防護的技術監督,發電廠內其它監控系統的安全防護可以由其上級主管單位實施技術監督。
第十五條 電力調度機構、發電廠、變電站等運行單位的電力監控系統安全防護實施方案必須經本企業的上級專業管理部門和信息安全管理部門以及相應電力調度機構的審核,方案實施完成后應當由上述機構驗收。接入電力調度數據網絡的設備和應用系統,其接入技術方案和安全防護措施必須經直接負責的電力調度機構同意。
第十六條 建立健全電力監控系統安全防護評估制度,采取以自評估為主、檢查評估為輔的方式,將電力監控系統
安全防護評估納入電力系統安全評價體系。
第十七條 建立健全電力監控系統安全的聯合防護和應急機制,制定應急預案。電力調度機構負責統一指揮調度
范圍內的電力監控系統安全應急處理。當遭受網絡攻擊,生產控制大區的電力監控系統出現異常或者故障時,應當立即向其上級電力調度機構以及當地國家能源
局派出機構報告,并聯合采取緊急防護措施,防止事態擴大,同時應當注意保護現場,以便進行調查取證。
第四章 保密管理
第十八條 電力監控系統相關設備及系統的開發單位、供應商應當以合同條款或者保密協議的方式保證其所提供的設備及系統符合本規定的要求,并在設備及系統的全生命周期內對其負責。電力監控系統專用安全產品的開發單位、使用單位及供應商,應當按國家有關要求做好保密工作,禁止關鍵技術和設備的擴散。
第十九條 對生產控制大區安全評估的所有評估資料和評估結果,應當按國家有關要求做好保密工作。
第五章 監督管理
第二十條 國家能源局及其派出機構負責制定電力監控系統安全防護相關管理和技術規范,并監督實施。
第二十一條 對于不符合本規定要求的,相關單位應當在規定的期限內整改;逾期未整改的,由國家能源局及其派
出機構依據國家有關規定予以處罰。
第二十二條 對于因違反本規定,造成電力監控系統故障的,由其上級單位按相關規程規定進行處理;發生電力設
備事故或者造成電力安全事故(事件)的,按國家有關事故(事件)調查規定進行處理。
第六章 附 則
第二十三條 本規定下列用語的含義或范圍:
(一)電力監控系統具體包括電力數據采集與監控系統、能量管理系統、變電站自動化系統、換流站計算機監控系統、發電廠計算機監控系統、配電自動化系統、微機繼電保護和安全自動裝置、廣域相量測量系統、負荷控制系統、水調自動化
系統和水電梯級調度自動化系統、電能量計量系統、實時電力市場的輔助控制系統、電力調度數據網絡等。
(二)電力調度數據網絡,是指各級電力調度專用廣域數據網絡、電力生產專用撥號網絡等。
(三)控制區,是指由具有實時監控功能、縱向聯接使用電力調度數據網的實時子網或者專用通道的各業務系統構成的安全區域。
(四)非控制區,是指在生產控制范圍內由在線運行但不直接參與控制、是電力生產過程的必要環節、縱向聯接使
用電力調度數據網的非實時子網的各業務系統構成的安全區域。
第二十四條 本規定自2014年9月1日起施行。2004年12月20日原國家電力監管委員會發布的《電力二次系統
安全防護規定》(國家電力監管委員會令第5號)同時廢止。
點擊咨詢 