新规利刃|《电力监控系统安全防护规定》重磅发布(附原文下载链接)
《电力监控系统安全防护规定》
随着我国新型能源体系的建设步伐加快,电力监控系统的网络安全防护成为保障国家能源安全的关键环节。2024年12月11日,国家发展委员会发布2024年第27号令,公布《电力监控系统安全防护规定》(以下简称为“规定”),自2025年1月1日起施行。该规定旨在全面提升电力监控系统的安全防护水平,适应新型电力系统的发展需求,确保国家关键信息基础设施的安全稳定运行。
新规变化
与2014年原《规定》相比,新《规定》在以下方面有所强调:
1.细化安全分区
对电力监控系统的业务模块部署提出了更为详细的要求,根据功能和安全等级要求进行精确部署,并明确了不同安全区之间的联接规则。
2.新增安全接入区
-当生产控制区内的业务模块需要通过非电力监控专用网络通信时,明确规定应设立安全接入区。
-明确了安全接入区的防护要求,特别是强调了通信代理模块与终端之间的通信应当采用加密认证措施,确保重要数据传输的安全性。
-应尽量简化功能配置,禁止存储重要数据,以降低风险。
3.建立网络安全监测预警机制
-建设基于内置探针等技术手段的网络安全监测平台,实时监视并同步告警信息至相应调度机构。
4.新增法律依据
-引入了新的法律法规作为制定依据,包括《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》。
5.定义电力监控专用网络
-明确承载电力监视和控制业务的专用广域数据网络、专用局域网络以及专用通信线路属于电力监控专用网络范畴。
6.强化物理隔离措施
-加强了对生产控制区与其他区域之间物理隔离的要求,明确指出电力监控专用网络必须使用独立的网络设备组网,确保物理层面的安全隔离。
7.设立管理委员会
-组建专门负责电力监控系统专用安全产品管理和评估的管理委员会,确保产品安全可控。
8.增强应急管理机制
-规定更详细的应急措施和管理机制,如系统备份与恢复流程。
-健全联合防护和应急机制,定期进行应急预案演练。
9.加强供应商管理
-运营者需通过合同条款确保供应商提供无恶意程序的产品和服务。-对供应链安全提出管控要求,确保全生命周期内的安全责任。
推荐
电力监控系统网络安全防护方案
1、安全分区
明确划分生产控制区(分为安全Ⅰ区和安全Ⅱ区)和管理信息区(分为安全Ⅲ区和安全Ⅳ区),不同安全等级的业务模块根据其功能和安全需求部署在相应的区域,确保高安全等级区域不被低安全等级区域影响。
2.网络专用
生产控制区应当使用电力监控专用网络,在专用通道上使用独立的网络设备组网,实现与其它数据网及外部公用数据网的物理隔离,保障关键业务的安全运行。
3.横向隔离
生产控制区与管理信息区之间,以及各安全区之间应当设置电力专用横向单向安全隔离装置,防止不同安全等级区域之间的直接联接,避免潜在的安全风险扩散。
4.纵向认证
在生产控制区与广域网的纵向连接处应当设置电力专用纵向加密认证装置,采用应用层端到端加密认证机制,确保上下级之间通信的数据完整性和真实性,强化对重要业务数据的保护。
5、安全免疫
电力监控系统应优先选用安全可信的产品和服务,不得使用存在已知安全缺陷或漏洞且未采取有效补救措施的产品。投运前需进行安全加固;对已运行并存在风险的系统和设备,应按国家能源局要求及时整改,并加强运行管理和安全防护。
6.监测预警
运营者应建立网络安全监测预警机制,利用内置探针等手段实时监控电力监控系统的安全状态和可疑行为,并将与调度数据网相连的系统的告警信息同步传送至相应电力调度机构,同时尽量避免重复采集原始安全数据。
电力监控系统网络安全态势感知
为了响应《电力监控系统安全防护规定》中对电力监控系统提出的更高要求,特别是关于运营者需建立网络安全监测预警机制的规定,安恒信息凭借在电力行业网络安全领域的多年深耕,推出电力监控系统网络安全防护方案。针对《电力监控系统安全防护规定》中对态势感知的技术要求,以保护电力行业业务资产为核心,建立生产控制大区全业务资产模型,全面兼容电力行业各类安全监测数据的接入与解析,汇集安全监测审计、智能分析、集中设备管控、运营管理和态势感知”等功能,帮助电力监控系统运营者及时发现并处置安全事件,有效提升电力监控系统的整体安全防护水平。
优势介绍
1.全面国产化
实现自主可控这一过程涉及硬件、软件、服务等多个层面,旨在减少对外依赖,提升自身产品竞争力。通过国产化适配(处理器、操作系统、数据库),可以更好地保护用户数据安全,促进产品技术创新和安全升级。
2.全局监测预警
以电力行业监测要求为基线,从设备运行状态、IT/OT协议行为、网络入侵攻击、数据安全、应用软件/程序安全等五大监测视角,建立电力行业场景化威胁识别模型,形成设备异常、设备配置变更、违规行为、木马感染、敏感工控指令、恶意通讯、横向网络攻击、APT攻击、信息泄露、应用后门、漏洞攻击等场景监测能力,帮助用户从不同角度发现问题,及时处置。
针对IT/OT威胁监测预警日益迫切的安全需求,通过资产基线、访问关系基线、流量基线、工控行为基线等基线学习、异常检测的方式,实时监测电力监控系统网络安全运行状态并对可疑行为及时告警,完整覆盖整个攻击链,有效发现APT攻击及各种常见攻击。
3.IT/OT流量融合审计
融合IT/OT流量和日志,展现IT/OT流量行为审计、网络入侵检测、综合日志审计、统一安全设备管控和全局监测预警与态势感知等五大能力,在满足电力行业对态势感知技术要求的同时,也能够适用更全面的安全业务需求。
4.第三方安全数据统一采集
为响应《电力监控系统安全防护规定》要求,安恒信息将不懈努力,持续迭代工业安全产品,持续提升服务质量。我们坚信,通过技术创新和服务优化,可以为电力企业提供更加安全可靠的保障,共同守护国家电网的安全,促进电力行业的健康发展。我们期待与各界携手合作,共同迎接未来的挑战,为建设更加坚强、智能、安全的电力系统作出贡献。