变电站电力监控系统网络安全

变电站电力监控系统网络安全三投运前安防工作指引一电力监控系统网络安全相关要求二等保测评及安全评估一、电力监控系统网络安全相关要求国家《中华人民共和国网络安全法》《信息安全等级保护制度》行业《电力监控系统安全防护规定》（14号令）《电力监控系统安全防护总体方案》（36号文）《电力行业信息系统安全等级保护基本要求》企业《南方电网电力监控系统安全防护技术规范》《中国南方电网电力调度管理规程》《中国南方电网电力监控系统网络安全管理办法》3一、电力监控系统网络安全相关要求——《网络安全法》网络安全等级保护制度（更名）管理制度操作规程责任人安全防范技术手段运行状态监控记录数据的分类、备份、加密第21条（基本要求）国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。网络安全支撑与促进二一总则网络运行安全三网络信息安全监测预警与应急处置法律责任附则一般规定关键信息基础设施的运行安全四五六七三、网络运行安全（一般规定）（二级每两年一次，三级系统每年一次，四级系统每半年一次）4一、电力监控系统网络安全相关要求——《网络安全法》《中华人民共和国网络安全法》七大章，79条。“网络运行安全”篇幅比重最大，分2小节19条，与电力监控系统关系最密切。对企业现实意义明确各管理线条职责，解决过往“九龙治水”。统一行政命令与行业规定，上升为法律条文及法律责任。网络安全支撑与促进二一总则网络运行安全三网络信息安全监测预警与应急处置法律责任附则一般规定关键信息基础设施的运行安全四五六七5一、电力监控系统网络安全相关要求——《网络安全法》网络安全支撑与促进二一总则网络运行安全三网络信息安全监测预警与应急处置法律责任附则一般规定关键信息基础设施的运行安全四五六七三、网络运行安全（关键信息基础设施的运行安全）第34条（进阶要求）除本法第21条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。第35条关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。第38条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。应急预案定期演练设置专门安全管理机构和安全管理负责人数据容灾备份从业人员定期教育培训关键信息基础设施6一、电力监控系统网络安全相关要求——《网络安全法》网络安全支撑与促进二一总则网络运行安全三网络信息安全监测预警与应急处置法律责任附则一般规定关键信息基础设施的运行安全四五六七六、法律责任对象•网络运营者/关键信息基础设施运营者•根据解释：被处罚的单位主体是公司、各省公司等独立法人实体，主管人员指公司法人代表、经营管理主要领导。违反相关条款义务，由有关主管部门责令改正，给予警告。拒不改正或者导致危害网络安全等后果的•（一般规定）处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。•（关键基础设施）处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。7一、电力监控系统网络安全相关要求——14号令电力监控系统安全防护规定（14号令）电力监控系统安全防护总体策略定级建设备案维护测评整改落实等级保护制度8一、电力监控系统网络安全相关要求——14号令电力监控系统安全防护规定（14号令）电力监控系统安全防护是电力安全生产管理体系的有机组成部分；谁主管谁负责、谁运营谁负责；建立健全电力监控系统安全防护管理制度，将电力监控系统安全防护工作及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系统安全防护的技术监督；接入电力调度数据网络的设备和应用系统，其接入技术方案和安全防护措施必须经直接负责的电力调度机构同意；将电力监控系统安全防护评估纳入电力系统安全评价体系。电力调度机构负责统一指挥调度范围内的电力监控系统安全应急处理。电力监控系统相关设备及系统的开发单位、供应商应当以合同条款或者保密协议的方式保证其所提供的设备及系统符合本规定的要求，并在设备及系统的全生命周期对其负责。电力监控系统专用安全产品的开发单位、使用单位及供应商，应当按照国家有关要求做好保密工作，禁止关键技术和设备的扩散。9一、电力监控系统网络安全相关要求——36号文电力监控系统安全防护总体方案（36号文，为14号令配套文件）2015年2月4日，国家能源局安全[2015]36号文，印发电力监控系统安全防护总体方案等配套文件。1.《电力监控系统安全防护总体方案》2.《省级以上调度中心监控系统安全防护方案》3.《地县级调度中心监控系统安全防护方案》4.《发电厂监控系统安全防护方案》5.《变电站监控系统安全防护方案》6.《配电监控系统安全防护方案》7.《电力监控系统安全防护评估规范》10一、电力监控系统网络安全相关要求——36号文本方案适用于变电站、换流站、开关站监控系统安全防护，包括发电厂的升压站或开关站。变电站监控系统安全防护方案（36号文子方案）11变电站监控系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对变电站监控系统发起的恶意破坏和攻击，以及其他非法操作，防止变电站监控系统瘫痪和失控，并由此导致的变电站一次系统事故。变电站监控系统安全防护的重点是强化变电站边界防护，加强物理、人员等内部安全措施，保障变电站安全稳定运行。一、电力监控系统网络安全相关要求——36号文变电站监控系统安全分区表12序号业务应用或设备控制区非控制区管理信息大区1变电站监控系统变电站监控系统2五防系统五防系统3广域相量测量装置广域相量测量装置4继电保护继电保护装置及管理模块5安全自动控制安自装置及管理模块6火灾报警火灾报警7电能量采集装置电能量采集装置8故障录波故障录波装置9一次设备在线监测一次设备在线监测10辅助设备监控辅助设备监控11生产管理生产管理终端一、电力监控系统网络安全相关要求——36号文220kV及以上变电站监控系统：在变电站层面构造控制区和非控制区，继电保护管理模块及安自装置管理模块应当置于控制区，故障录波装置、电能量采集装置和在线状态监测置于非控制区。110kV及以下变电站监控系统：生产控制大区可以不再细分，可以将各业务系统和装置均置于控制区，其中在控制区中的故障录波装置和电能量采集装置可以通过调度数据网将录波数据及计量数据传输到上级调控中心。隶属于电网公司的变电站监控系统等级保护工作纳入所属电网调度机构统一开展，作为调度自动化系统子站部分统一定级备案，不作为独立系统定级备案，并保持防护标准不变，220千伏及以上变电站自动化系统仍按等级保护3级要求防护，其他产权的变电站监控系统等级保护工作由产权方负责。变电站监控系统在设备选型及配置时，应当禁止选用经国家相关管理部门检测认定并经过国家能源局通报存在漏洞和风险的系统及设备；对于已经投入运行的系统及设备，应当按照国家能源局及其派出机构的要求及时整改，同时应当加强相关系统及设备的运行管理和安全防护。生产控制大区中除安全接入区外，应当禁止选用具有无线通信功能的设备。一、电力监控系统网络安全相关要求——《中国南方电网电力监控系统安全防护技术规范》术语和定义具有实时控制功能、纵向连接使用电力调度数据网的实时VPN或专用通道的各业务系统构成的安全区域。电力监控系统是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及职能设备，以及做为基础支撑的通信及数据网络等。电力监控系统安全防护设备实现电力监控系统网络及信息安全防护功能的系统或设备。如电力专用横向单向安全隔离装置、电力专用纵向加密认证装置、电力专用拨号服务器、软硬件防火墙、IDS/IPS、恶意代码防护系统、部署在安全分区边界并设置了访问控制策略的交换机和路由器、电力调度数字证书系统、安全审计、网管、综合告警系统、配网主站安全防护设备、配网终端安全防护设备等。控制区非控制区生产控制区范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向连接使用电力调度数据网的非实时VPN的各业务系统构成的安全区域。电力监控系统安全防护主要针对网络系统和基于网络的生产控制系统。安全防护的总体目标是保护电力监控系统及调度数据网的安全，抵御黑客、病毒、恶意代码等的破坏和攻击，防止电力监控系统的崩溃或瘫痪，以及由此造成的电力监控系统事故或大面积停电事故。安全防护的基于原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护的核心能力是“保护、监测、响应、恢复、审计”的闭环机制。一、电力监控系统网络安全相关要求——《中国南方电网电力监控系统安全防护技术规范》安全分区根据电力监控系统业务的重要性及其对电力一次系统的影响程度进行分区，南方电网电力监控系统分为生产控制大区和管理信息大区，其中生产控制大区分为控制区（又称安全区I）和非控制区（又称安全区II），生产控制大区是电力监控系统重点防护对象。网络专用南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。该网可采用MPLS-VPN技术或类似技术划分两个相互逻辑隔离的业务子网，即实时VPN和非实时VPN。实时VPN用于控制区业务系统的远程数据通信，非实时VPN用于非控制区业务系统的远程数据通信。一、电力监控系统网络安全相关要求——《中国南方电网电力监控系统安全防护技术规范》横向隔离南方电网各级运行维护单位的生产控制大区和管理信息大区之间应设置电力专用横向安全隔离装置（或组成隔离阵列）实现物理隔离。生产控制大区和管理信息大区内部的完全区之间应采用防火墙或带有控制功能的网络设备实现逻辑隔离。纵向认证南方电网各级运行维护单位在生产控制大区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或加密认证装置，为上下级调度机构或主站与子站端的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。一、电力监控系统网络安全相关要求——《中国南方电网电力监控系统安全防护技术规范》安全分区、网络专用、横向隔离、纵向认证隶属南方电网公司的变站作为调度自动化系统子部分一定级备案，不作为独立系统定级备案，保持对应等级的防护标准。一、电力监控系统网络安全相关要求——《中国南方电网电力监控系统安全防护技术规范》一、电力监控系统网络安全相关要求——《中国南方电网电力调度管理规程》调度管理规则4.6电力监控系统网络安全4.6.1电力调度机构负责下级电力调度机构和调管范围内变电站、发电厂涉网部分的电力监控系统网络安全的技术监督工作。4.6.2电力监控系统网络安全工作应当落实国家网络安全等级保护制度，按照国家网络安全等级保护的有关要求，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，保障电力监控系统的安全。4.6.5电力监控系统及其网络安全措施的规划、设计、建设及运行，应符合国家网络与信息安全有关要求。电力监控系统网络安全应随电力监控系统同步规划、同步设计、同步建设、同步验收、同步运行。4.6.6电力调度机构、生产运行单位必须编制电力监控系统网络安全实施方案