為貫徹落實黨的二十屆三中全會精神���,深化能源管理體制改革�,完善電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護體系,近日��,國家發(fā)展改革委頒布了新修訂的《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)展改革委2024年第27號令�����,以下簡稱《規(guī)定》)���,自2025年1月1日起施行�����,原《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)展改革委2014年第14號令)同時廢止��。
1��、《規(guī)定》修訂背景是什么��?
原《規(guī)定》于2014年發(fā)布����,是指導(dǎo)全國電力行業(yè)開展電力監(jiān)控系統(tǒng)安全防護的基本法規(guī)��,與電力安全生產(chǎn)工作密切相關(guān),對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護工作發(fā)揮了重要作用�。近年來,有關(guān)法律法規(guī)政策陸續(xù)發(fā)布或修訂�,國家對網(wǎng)絡(luò)安全工作有了新的要求�����。同時��,新型電力系統(tǒng)建設(shè)背景下����,新業(yè)務(wù)形態(tài)和運行模式涌現(xiàn),電力監(jiān)控系統(tǒng)安全防護體系亟需健全完善��。
2�、《規(guī)定》修訂原則是什么?
《規(guī)定》修訂過程中突出三方面原則��。一是堅持依法合規(guī)��。確?!毒W(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)和黨中央國務(wù)院有關(guān)要求落實到位。二是堅持問題導(dǎo)向�。針對近年來電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全工作實踐中暴露出來的電力監(jiān)控系統(tǒng)定義模糊���、安全接入?yún)^(qū)防護強度不足、專用安全產(chǎn)品管理流程有待優(yōu)化�����、行政執(zhí)法依據(jù)不足等問題�����,及新型電力系統(tǒng)接入主體更多樣��、邊端分布更廣泛�、交互方式更豐富等特征帶來的新風(fēng)險,針對性補充技術(shù)和管理要求���。三是堅持守正創(chuàng)新���。在堅持“安全分區(qū)、網(wǎng)絡(luò)專用�����、橫向隔離、縱向認證”十六字原則的基礎(chǔ)上�����,進一步明確電力監(jiān)控系統(tǒng)范圍����,提出強化措施,優(yōu)化管理體系�。
3、《規(guī)定》主要修訂內(nèi)容有哪些�����?
本次修訂對原《規(guī)定》做了多方的修改����,并新增13條���,修訂后共六章37條���。主要做了以下調(diào)整和完善。
一是明確電力監(jiān)控系統(tǒng)范圍��,將羅列典型系統(tǒng)名稱改為列舉功能�����。
二是優(yōu)化安全分區(qū)要求,在堅持原分區(qū)策略的基礎(chǔ)上���,調(diào)整原《規(guī)定》闡述邏輯及表述��。
三是強化安全接入?yún)^(qū)防護要求�,明確安全接入?yún)^(qū)加密認證�、安全監(jiān)測等技術(shù)要求。
四是強化技術(shù)防護措施����,在堅持十六字原則的基礎(chǔ)上,補充安全免疫����、態(tài)勢感知、動態(tài)評估和備用應(yīng)急措施�����。
五是定義電力監(jiān)控專用網(wǎng)絡(luò)�����,明確承載電力監(jiān)視和控制業(yè)務(wù)的專用廣域數(shù)據(jù)網(wǎng)絡(luò)、專用局域網(wǎng)絡(luò)以及專用通信線路屬于電力監(jiān)控專用網(wǎng)絡(luò)范疇���。
六是強化供應(yīng)鏈及電力監(jiān)控系統(tǒng)專用安全產(chǎn)品管理��,明確運營者應(yīng)當(dāng)以合同條款的方式對電力監(jiān)控系統(tǒng)供應(yīng)商提出安全要求�,明確由國家電力調(diào)度控制中心牽頭組建電力監(jiān)控系統(tǒng)專用安全產(chǎn)品管理委員會�����。
七是優(yōu)化技術(shù)監(jiān)督管理��,明確不同主體技術(shù)監(jiān)督的工作要求���,增加技術(shù)監(jiān)督過程中風(fēng)險管控措施。
八是細化罰則�����。
4�����、電力監(jiān)控系統(tǒng)安全防護規(guī)定27號令對比14號令的14條更新
(1)法律依據(jù)更新:相比于14號令僅引用《電力監(jiān)管條例》�����、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等����,27號令更新《中華人民共和國網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)作為制定依據(jù)�,進一步提升了規(guī)定的法律效力,并將電力監(jiān)控系統(tǒng)安全防護納入關(guān)鍵信息基礎(chǔ)設(shè)施保護的框架之下��,其戰(zhàn)略意義顯著提升��。
?�。?)適用范圍擴展:27號令的適用范圍在14號令基礎(chǔ)上��,不再局限于發(fā)電企業(yè)���、電網(wǎng)企業(yè)及其相關(guān)單位���,而是覆蓋所有電力監(jiān)控系統(tǒng)運營者及相關(guān)單位,進一步明確安全管理責(zé)任���。
?���。?)安全防護原則擴展:新增“安全免疫、態(tài)勢感知����、動態(tài)評估和備用應(yīng)急措施”作為電力監(jiān)控系統(tǒng)安全防護的原則。
?�。?)安全分區(qū)進一步明確��,新規(guī)定將電力監(jiān)控系統(tǒng)分為生產(chǎn)控制區(qū)(安全Ⅰ區(qū)和安全Ⅱ區(qū))和管理信息區(qū)(安全Ⅲ區(qū)和安全Ⅳ區(qū))��,而2014年的規(guī)定只提到了生產(chǎn)控制大區(qū)和管理信息大區(qū)����。
(5)安全Ⅲ區(qū)與安全Ⅳ區(qū)之間當(dāng)設(shè)置具有訪問控制功能的設(shè)備���、防火墻或者相當(dāng)功能的邏輯隔離設(shè)施(27號令第十條內(nèi)容新增)。
本條款目的是需要通過訪問控制等手段��,確保電力監(jiān)控系統(tǒng)內(nèi)各個安全區(qū)之間的隔離��,在此特提出要求在安全Ⅲ區(qū)與安全Ⅳ區(qū)之間的有效隔離,從而限制未經(jīng)授權(quán)的訪問�、減少跨區(qū)風(fēng)險傳播、提高系統(tǒng)的整體安全性��。
?���。?)生產(chǎn)控制區(qū)應(yīng)當(dāng)對外設(shè)接入行為進行管控(27號令第十三條內(nèi)容新增)。
本條款強調(diào)在電力監(jiān)控系統(tǒng)生產(chǎn)控制區(qū)應(yīng)采取外設(shè)接入行為的管控措施�,以降低內(nèi)部攻擊的風(fēng)險以及防止數(shù)據(jù)泄露等情況發(fā)生。據(jù)調(diào)研����,目前大部分電力監(jiān)控系統(tǒng)未對移動介質(zhì)的使用采取有效的管理措施,一旦出現(xiàn)由于移動介質(zhì)的濫用導(dǎo)致的病毒感染事件��,可能導(dǎo)致關(guān)鍵生產(chǎn)系統(tǒng)的中斷��,嚴重影響生產(chǎn)效率和業(yè)務(wù)連續(xù)性��。
?。?)電力監(jiān)控系統(tǒng)投運前應(yīng)當(dāng)進行安全加固(27號令第十六條內(nèi)容新增)。
本條款強調(diào)在電力監(jiān)控系統(tǒng)投運前�����,必須采取額外的安全措施,增強系統(tǒng)的安全性���,包括主機加固�、系統(tǒng)加固等�����。
?�。?)運營者應(yīng)當(dāng)建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制����,建設(shè)基于內(nèi)置探針等的網(wǎng)絡(luò)安全監(jiān)測手段,實時監(jiān)視分析電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運行狀態(tài)及可疑行為告警(27號令第十七條內(nèi)容新增)�。
本條款指的是運營者需建立一套全面的監(jiān)控系統(tǒng),通過技術(shù)手段實時跟蹤電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)�����,通過分析實時數(shù)據(jù)����,判斷當(dāng)前系統(tǒng)的安全性�����,發(fā)現(xiàn)潛在的安全事件和風(fēng)險并發(fā)出預(yù)警。
?��。?)運營者在電力監(jiān)控系統(tǒng)規(guī)劃設(shè)計�、建設(shè)運營過程中��, 應(yīng)當(dāng)保證網(wǎng)絡(luò)安全技術(shù)措施同步規(guī)劃��、 同步建設(shè)�、 同步使用(27號令第十九條內(nèi)容新增)。
本條款強化了電力監(jiān)控系統(tǒng)運營者在規(guī)劃設(shè)計���、建設(shè)運營過程中開展網(wǎng)絡(luò)安全建設(shè)“三同步”的要求��。
?��。?0)省級及以上電力調(diào)度機構(gòu)應(yīng)當(dāng)定期將調(diào)管范圍內(nèi)電力監(jiān)控系 統(tǒng)安全防護評估和整改情況報國家能源局及其派出機構(gòu)(27號令二十一條內(nèi)容新增)。
本條款明確提出了:“省級及以上電力調(diào)度機構(gòu)應(yīng)當(dāng)定期將調(diào)管范圍內(nèi)電力監(jiān)控系統(tǒng)安全防護評估和整改情況報國家能源局及其派出機構(gòu)的要求”�。
(11)運營者應(yīng)當(dāng)以合同條款的方式要求電力監(jiān)控系統(tǒng)供應(yīng)商保證:提供的產(chǎn)品和服務(wù)未設(shè)置惡意程序��、不存在已知安全缺陷和漏洞����,并在產(chǎn)品和服務(wù)的全生命周期內(nèi)負責(zé)����;當(dāng)產(chǎn)品和服務(wù)存在安全缺陷�����、漏洞等風(fēng)險時���,立即采取補救措施���,并及時告知運營者;當(dāng)存在重大漏洞隱患時����,及時向國家能源局及其派出機構(gòu)報告(27號令二十二條內(nèi)容新增)。
本條款引入供應(yīng)鏈安全管理的相關(guān)內(nèi)容���,要求運營者通過合同條款明確供應(yīng)商的安全責(zé)任����。包括了供應(yīng)商提供的產(chǎn)品無惡意程序:供應(yīng)商提供的產(chǎn)品和服務(wù)無病毒、后門等惡意程序?qū)﹄娏ΡO(jiān)控系統(tǒng)的安全性造成嚴重威脅���,避免數(shù)據(jù)泄露、系統(tǒng)崩潰以及惡意遠程控制等情況發(fā)生�;無已知的安全漏洞或缺陷:供應(yīng)商提供的產(chǎn)品和服務(wù)已經(jīng)過正規(guī)檢測機構(gòu)對已知漏洞或缺陷的安全檢測,并在發(fā)現(xiàn)漏洞時可以及時修復(fù)��;在產(chǎn)品和服務(wù)的全生命周期內(nèi)負責(zé):要求供應(yīng)商不僅需保證在產(chǎn)品交付時的安全性也要保證在其使用過程中的穩(wěn)定性�,如在使用過程中無新的已知漏洞,且需及時提供漏洞修復(fù)和安全升級服務(wù)���。
?�。?2)在應(yīng)急措施方面�����,27號令在第二十八條明確提出了建立系統(tǒng)備用和恢復(fù)機制的要求�,以確保電力監(jiān)控系統(tǒng)在面對故障����、攻擊或突發(fā)情況時,能夠迅速恢復(fù)并繼續(xù)正常運行����。
?。?3)在第三十條��,明確了電力調(diào)度機構(gòu)���、運營者的監(jiān)督管理責(zé)任�����;明確了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)監(jiān)督管理辦法是由國家能源局負責(zé)制定��。
?����。?4)在第三十一條��、三十二條���,明確了對運營者違規(guī)的定量處罰細則,明確處罰金額����。
其中�����,對電力監(jiān)控系統(tǒng)運營者未按照以下等要求執(zhí)行網(wǎng)絡(luò)安全防護工作����,給出了明確處罰機制:
(一)未采取安全分區(qū)��、邊界防護等防范計算機病毒和網(wǎng)絡(luò)攻擊��、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施�;
(二)未采取網(wǎng)絡(luò)安全監(jiān)測預(yù)警等技術(shù)措施監(jiān)測�、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件����。
《國家能源局-電力監(jiān)控系統(tǒng)安全防護規(guī)定-27號令-點擊下載原文件》
免責(zé)聲明
本文檔提供有關(guān) 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》解讀:從14個政策更新細節(jié)理解27號令 的信息,本文檔未授予任何知識產(chǎn)權(quán)的許可����,并未以明示或暗示,或以禁止發(fā)言或其它方式授予任何知識產(chǎn)權(quán)許可��。除在其產(chǎn)品的銷售條款和條件聲明的責(zé)任之外, 我公司概不承擔(dān)任何其它責(zé)任����。
文中部分素材來源于網(wǎng)絡(luò)���,如有侵權(quán)請聯(lián)系。
