GB/T 36572-2018 电力监控系统网络安全防护导则
- 文档部分内容预览:
其中,安全防护技术维度主要包括基 结构安全、系统本体安全、可信安全免疫等; 应急备用措施维度主要包括穴余备用、应急响应、多道防线等;全面安全管理维度主要包括全体人员安 全管理、全部设备安全管理、全生命周期安全管理、融入安全生产管理体系。如图2所示
图2电力监控系统网络安全防护体系示意图
网络安全防护体系应融入电力监控系统的规划设计、研究开发、施工建设、安装调试、系统改造、运 行管理、退役报废等各个阶段,且应随着计算机技术、网络通信技术、安全防护技术、电力控制技术的发 展而不断发展完善
GB/T365722018
电力监控系统机房和生产场地应选择在具有防震、防风和防雨等能力的建筑内,应采取有效防水、 方潮、防火、防静电、防雷击、防盗窃、防破坏措施;机房场地应避免设在建筑物的高层或地下室,以及用 水设备的下层或隔壁(见GB/T9361)。 应在机房供电线路上配置稳压器和过电压防护设备,设置余或并行的电力电缆线路为计算机系 充供电,应建立备用供电系统暖通空调施工组织设计,提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; 主产控制大区机房与管理信息大区机房应独立设置,应安排专人值守并配置电子门禁系统及具备存储 力能的视频、环境监控系统以加强物理访问控制;应对生产控制大区关键区域或关键设备实施电磁屏 。(见GB/T22239一2008中的四级系统物理安全和三级系统物理安全等部分。) 生产控制大区所有的密码基础设施,包括对称密码、非对称密码、摘要算法、调度数字证书和安全标 签等,应符合国家有关规定,并通过国家有关机构的检测认证
空系统结构安全应采用"安全分区、网络专用、横向隔离、纵向认证”的基本防护策略,如图3所示
监控系统结构安全总体
GB/T365722018
电力监控系统应划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I) 和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同 安全要求划分安全区;生产控制大区的纵向互联应与相同安全区互联,避免跨安全区纵向交叉联接。对 于小型变电站和发电厂可根据具体情况简化安全区的设置,应按就高不就低的原则对简化后的安全区 进行防护,同时避免形成不同安全区的纵向交叉联接。 生产控制大区的业务系统在与其终端的纵向联接中使用无线通信网、电力企业其他数据网(非电力 调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信的,应设立安全接入区,如 图4所示
图4安全接入区防护结构示意图
各区域安全边界应采取必要的安全防护措施,禁止任何穿越生产控制大区和管理信息大区之间边 界的通用网络服务(如FTP、HTTP、TELNET、MAIL、RLOGIN、SNMP等)。 应遵循国家信息安全等级保护要求,准确划分电力监控系统安全等级(见GB17859一1999的第 章、GB/T22240一2008中的5.5、GB/T25058一2010中的5.3),生产控制大区的控制区(安全区I)的 安全等级最高,非控制区(安全区Ⅱ)次之,管理信息大区再次之
全隔离装置,隔离强度应接近或达到物理隔离,只充许单向数据传输,禁止HTTP、TELNET等双 通用网络安全服务通信;生产控制大区内部的安全区之间应采用具有访问控制功能的设备、防火墙
GB/T365722018
者相当功能的设施,实现逻辑隔离。 生产控制大区到管理信息大区的数据传输采用正向安全隔离设施,仅允许单向数据传输;管理信息 大区到生产控制大区的数据传输采用反向安全隔离设施,仅允许单向数据传输,并采取基于非对称密钥 技术的签名验证、内容过滤、有效性检查等安全措施。 安全接入区与生产控制大区中其他部分的联接处应设置通过国家有关机构安全检测认证的电力专 用横向单向安全隔离装置
在生产控制大区与广域网的纵向联接处应设置通过国家有关机构安全检测认证的电力专用纵向加 密认证装置或者加密认证网关及相应设施
6.2.6数字证书和安全标签
依照电力调度管理体制建立基于公钥技术的分布式电力调度数学证书及安全标签,生产控制大区 中的重要业务系统应采用加密认证机制
6.2.7防火墙和入侵检测
生产控制大区内不同系统间应采用逻辑隔离措施,实现逻辑隔离、报文过滤、访问控制等功能(见 GB/T25068.3—2010的第6章和第7章)。 生产控制大区可部署入侵检测措施,合理设置检测规则,及时捕获网络异常行为,分析潜在威胁,进 行安全审计,宜保持特征码及时更新,特征码更新前应进行充分的测试,禁止直接通过因特网在线更新
6.2.8防病毒和防木马
生产控制天区应部署恶意代码防范措施 及时更新,特征码更新前应进 分的测试,更新过程应严格遵循相关安 直接通过因特网在线更新
6.2.9拨号认证设施
而要时陷时开机,仪允许单月 录并严格监管审计,用完应及时关机。 如远程访问服务器(RAS),应使用安全加固 作系统,采用数字证书进行登录认 通过国家有关机构安全检测认证
6.3监控系统本体安全
6.3. 1 基本要求
在电力监控系统网络安全防护体系架构中,构成体系的各个模块应实现自身的安全,依次分为电力 监控系统软件的安全、操作系统和基础软件的安全、计算机和网络设备及电力专用监控设备的安全、核 心处理器芯片的安全,均应采用安全、可控、可靠的软硬件产品,并通过国家有关机构的安全检测认证。 本体安全的相关要求主要适用于新建或新开发的电力监控系统,在运系统具备升级改造条件时可参照 执行,不具备升级改造条件的应强化安全管理和安全应急措施。 发电厂监控系统安全防护要求见附录A,变电站监控系统安全防护要求见附录B,电网调度控制系 统安全防护见附录C
6.3.2电力监控系统软件安全
电力监控系统中的控制软件,在部署前应通过国家有关机构的安全检测认证和代码安全审计,防
GB/T 365722018
恶意软件或恶意代码的植人。 电力监控系统软件应在设计时融入安全防护理念和措施,业务系统软件应采用模块化总体设计,合 理划分各业务模块,并部署于相应安全区,重点保障实时闭环控制核心模块安全。 调度控制系统可通过内部专用设施进行维护,采用身份认证和安全审计实施全程监控,保障维护行 为可追溯。变电站和发电厂监控系统可通过远程拨号认证设施进行远程维护。严格禁止直接通过因特 网进行生产控制大区的远程维护
6.3.3操作系统和基础软件的安全
重要电力监控系统中的操作系统、数据库、中间件等基础软件应通过国家有关机构的安全检测认 证,防范基础软件存在恶意后门。 生产控制大区业务系统应采用满足安全可靠要求的操作系统、数据库、中间件等基础软件(见 GB/T20272一2006中的4.3和4.4),使用时应合理配置、启用安全策略;操作系统和基础软件应仅安装 运行需要的组件和应用程序,并及时升级安全补丁,补丁更新前应进行充分的测试,禁止直接通过因特 网在线更新
6.3.4计算机和网络及监控设备的安全
电力监控系统中的计算机和网络设备,以及电力自动化设备、继电保护设备、安全稳定控制设备、智 能电子设备(IED)、测控设备等,应通过国家有关机构的安全检测认证,防范设备主板存在恶意芯片。 生产控制大区应采用符合国家相关要求的计算机和网络设备(见GB/T21028一2007的第4章和 第5章、GB/T21050一2007中的7.1和7.2、GB/T18336.2一2015的第7章),使用时应合理配置、启用 安全策略;应封闭网络设备和计算机设备的空闲网络端口和其他无用端口,拆除或封闭不必要的移动存 储设备接口(包括光驱、USB接口等) 要的USB端口
6.3.5核心处理器芯片的安全
重要电力监控系统中的核心处理器芯片应通过国家有关机构的安全检测认证,防范芯片存在恶意 指令或模块。 重要电力监控系统应采用符合国家相关要求的处理器芯片(见GB/T22186一2016中的7.1),采用 安全可靠的密码算法、真随机数发生器、存储器加密、总线传输加密等措施进行安全防护
6.4.2强制版本管理
重要电力监控系统关键控制软件应采用基于可信计算的强制版本管理措施,操作系统和监控软件 的全部可执行代码,在开发或升级后应由生产厂商采用数字证书对其签名并送检,通过检测的控制软件 程序应由检测机构用其数字证书对其签名,生产控制大区应禁止未包含生产厂商和检测机构签名版本 的可执行代码启动运行
GB/T365722018
6.4.3静态安全免疫
重要电力监控系统应采用基于可信计算的静态安全启动机制。服务器加电至操作系统启动前 OS、操作系统引导程序以及系统内核执行静态度量,业务应用、动态库、系统内核模块在启动时应 执行静态度量,确保被度量对象未被箕改且不存在未知代码,未经度量的对象应无法启动或执行。
6.4.4动态安全免疫
重要电力监控系统应采用基于可信计算的动态安全防护机制,对系统进程、数据、代码段进行动态 度量,不同进程之间不应存在未经许可的相互调用,禁止向内存代码段与数据段直接注人代码的执行。 重要电力监控系统应对业务网络进行动态度量,业务连接请求与接收端的主机设备应可以向对端 证明当前本机身份和状态的可信性,不应在无法证明任意一端身份和状态可信的情况下建立业务连接。
地市及以上电网调度控制中心应实现实时数据采集、自动化系统、调度控制职能、调度场所、调控人 员等层面的元余备用,形成分布式备用调度体系。 发电厂和变电站应实现数据备份及关键设备的完余备用;对于特别重要的设备,除自动化控制方式 外,应设有现地手工操作控制机构。 各级电网调度控制中心、发电厂和变电站应建立电力监控系统恢复机制,支撑系统故障的快速处理 和恢复,保障电力监控系统业务的连续性,
各电力企业应建立电力监控系统的应急机制,制定相关制度和应急处理预案,并定期开展协同演 练;当生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,应按应急处理预 案,立即采取安全应急措施,报告上级业务主管部门和安全主管部门,必要时可断开生产控制大区与管 理信息区之间的横向边界连接,在紧急情况下可协调断开生产控制大区与下级或上级控制系统之间的 从向边界连接,以防止事态扩大,同时注意保护现场,以便进行调查取证和分析;上级业务主管部门和安 全主管部门也应将安全事件及时通报相关电力企业,形成联合防护机制
电力监控系统应在外部公共因特网、管理信息大区、生产控制天区的控制区及非控制区等横向达 署相应安全措施,形成电力监控系统横向从外到内四道安全防线,实现核心控制区安全防护强度的 效应,如图5所示。
GB/T365722018
图5电力监控系统横向四道防线示意图
电力蓝控系统应位仕国 及各级调度机构与其直调的发电厂、变电站 的纵向边界,部署相应安全措施,形成电力监控系统纵向从下到上四道安全防线,实现高安全等级 区安全防护强度的累积效应,如图6所示
图6电力监控系统纵向四道防线示意图
且发生网络安全事件,能够快速响应、及时处置,实现各防线联合防御
电网调度控制中心应部署内网安全监视措施,实时监测相关横向和纵向防线上的安全告警, 安全事件,能够快速响应、及时处置,实现各防线联合防御
8.1融入电力安全生产管理体系
各电力企业应把电力监控系统的网络安全管理融人安全生产管理体系中,按照“谁主管、谁负责 营、谁负责;谁使用、谁负责”的原则,健全电力监控系统安全防护的组织保证体系和安全责任体系
GB/T365722018
实国家行业主管部门的安全监管责任、各电力企业的安全主体责任、各级电网调度控制机构的安全技术 监督责任。各电力企业应设立电力监控系统安全管理工作的职能部门,由企业负责人作为主要责任人, 宜设立首席安全官。开发制造单位应承诺其产品无恶意安全隐患并终身负责,检测评估单位、规划设计 单位等均应对其工作终身负责
8.2全体人员安全管理
各电力企业应加强电力监控系统安全防护人员的配备,设立安全主管、安全管理等岗位,配备安全 管理员、系统管理员和安全审计员,明确各岗位职责,并指定专人负责数字证书系统等关键系统及设备 的管理。 应加强对电力监控系统安全防护的管理、运行、维护、使用等全体人员的安全管理和培训教育,特别 要加强对厂家维护及评估检测等第三方人员的安全管理,提高全体内部人员和相关外部人员的安全意 识(见GB/T22239—2008中的7.2.3)。
8.3全部设备及系统的安全管理
应对电力监控系统中全部业务系统软件模块和硬件设备,特别是安全防护设备,建立设备合账,实 行全方位安全管理。 在安全防护设备和重要电力监控系统及设备在选型及配置时,应禁止选用被国家相关部门检测通 报存在漏洞和风险的特定系统及设备;相关系统、设备接入电力监控系统网络时应制定接人技术方案、 采取相应安全防护措施,并经电力监控系统安全管理部门的审核、批准;应定期进行安全风险评估(见 GB/T20984一2007的第5章和第6章、GB/T30976.1一2014的第5章),针对发现的问题及时进行 加固。
8.4全生命周期安全管理
电力监控系统系统及设备在规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报 废等全生命周期阶段应采取相应安全管理措施。 应采用安全、可控、可靠的软硬件产品,供应商应保证所提供的设备及系统符合本标准以及国家与 行业信息系统安全等级保护的要求,并在设备及系统生命期内对此负责;重要电力监控系统及专用安全 防护产品的开发、使用及供应商,应按国家有关要求做好保密工作,防止安全防护关键技术和设备的 扩散。 电力监控系统及设备的运维单位应依据相关标准和规定进行安全防护专项验收;加强常运维和 安全防护管理,定期开展运行分析和自评估,保障系统及设备的可靠运行;系统和设备退役报废时应按 女全雀
GB/T 365722018
发电厂现场过程级电力监控系统应在遵循总体防护原则的基础上,重点强化生产控制大区边界防 护、物理安全防护、运行维护人员安全、系统及设备供应链安全管理等内部安全措施,保障电力监控系统 现场运行安全。 发电厂过程级电力监控系统应合理划分局域网络,如火电厂不同机组间网络应采取一定隔离措施, 防止不同机组电力监控系统网络直接相连;核电厂常规岛电力监控系统网络应与核岛相关网络间采取 一定隔离措施;光伏、风电等新能源电厂应严格按照“安全分区、网络专用、横向隔离、纵向认证”的原则, 落实电力监控系统安全防护要求,电厂生产控制天区与管理信息天区应严格遵循物理隔离要求,禁止生 产控制大区通过任何方式与因特网相连[见IEC62443(所有部分)]。 禁止设备生产厂商或其他外部企业(单位)远程连接发电厂生产控制大区中的监控系统及设备。发 电厂现场涉及远方控制功能的装置及设备应采用加密及身份认证等安全防护措施。发电厂生产控制大 区中除安全接人区外,应禁止选用具有无线通信功能的设备。 发电厂生产控制大区中脱硫脱硝等业务系统与地方环保等部门进行数据传输时,其边界防护应采 用类似生产控制大区与管理信息大区之间的安全防护措施。 新建发电厂在设备选型及配置时,禁止选用被国家相关部门检测通报存在漏洞和风险的特定系统 及设备(如控制器、PLC、工业以太网交换机、工控主机等关键设备);已经投入运行的电厂监控系统及设 备如存在已知的漏洞和风险,应按照要求及时进行加固,并强化网络隔离、安全管控等措施,保障运行 安全。 新开发的发电厂监控系统应将安全防护设施融人监控系统设计、研发中,利用数字证书、安全标签 保护电力生产控制过程。 典型发电厂电力监控系统如图A.1所示
一 横向单向安全隔离设施: 防火增或其他逻辑隔离设施
服务质量标准图A.1典型发电厂监控系统示意图
发电厂现场运行系统及设备关键部位,除自动化控制机制外,还应设置人工手动操作设施,作为 化控制系统失效时的应急备用措施
GB/T365722018
变电站现场过程级电力监控系统应在遵循总体防护原则的基础上,重点强化生产控制大区边界防 、物理安全防护、运行维护人员安全等内部安全措施,保障不同电压等级变电站、换流站、开关站,以及 发电厂升压站或开关站的电力监控系统现场运行安全。 变电站过程级电力监控系统应划分站控层、间隔层和过程层等层次网络,不同层次网络间应采用访 可控制等安全措施,防止内部网络与外部网络直接相连;变电站等现场涉及远方控制功能的装置及设备 应采用加密及身份认证等安全防护措施[见IEC62443(所有部分)]。 新建变电站在设备选型及配置时,禁止选用被国家相关部门检测通报存在漏洞和风险的特定系统 及设备(如工业以太网交换机、工控主机等关键设备);已经投人运行的变电站监控系统及设备如存在已 知的漏洞和风险,应按照要求及时进行加固,并强化网络隔离、安全管控等措施,保障运行安全。 新开发的变电站监控系统应将安全防护设施融人监控系统设计、研发中,利用数字证书、安全标签 保护电力生产控制过程。 典型变电站电力监控系统如图B.1所示
图B.1典型变电站监控系统示意图
变电站现场运行系统及设备关键部位,除自动化控制机制外,还应设置人工手动操作设 动化控制系统失效时的应急备用措施
GB/T 365722018
各级电网调度控制中心应按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则建立栅格状 安全防护架构,横向与管理信息大区采用专用物理隔离设施进行隔离,纵向与上下级调度及直调厂站生 产控制大区采用纵向加密认证设施进行防护,应防止出现纵向交叉互联。 生产控制大区的业务系统在与其终端(如DTU、FTU等)的纵向联接中使用无线通信网、电力企业 其它数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信的特种设备标准规范范本,应设 立安全接人区。 禁止配电网调度自动化系统与智能用电系统直接相连,禁止配电自动化通信网络与调度数据网络 直接相连
各级电网调度控制中心应按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则建立栅格 全防护架构,横向与管理信息大区采用专用物理隔离设施进行隔离,纵向与上下级调度及直调厂站 空制大区采用纵向加密认证设施进行防护,应防止出现纵向交叉互联。 生产控制大区的业务系统在与其终端(如DTU、FTU等)的纵向联接中使用无线通信网、电力企 数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信的,应 安全接人区。 禁止配电网调度自动化系统与智能用电系统直接相连,禁止配电自动化通信网络与调度数据网 接相连。
....- 电力标准
- 相关专题: