编制说明-发电厂监控系统信息安全防护技术规范

（一）工作简况：1、任务来源本标准是根据中电联（中电联标准[2018]209号)《中电联关于转发国家能源局2018年能源领域行业标准制（修）订计划及英文版翻译出版计划的通知》（电力部份“能源20180650”项）的要求组织制订，主管部门为中国电力企业联合会，技术归口并解释单位为电力行业热工自动化与信息标准化技术委员会，制定主持单位为国网河南省电力有限公司电力科学研究院（以下简称：国网河南省电科院）。2、工作过程2018年7月，《中电联关于转发国家能源局2018年能源领域行业标准制（修）订计划及英文版翻译出版计划的通知》（中电联标准[2018]209号)下达后，根据“通知”中计划编号“能源20180650”，在中国自动化学会发电自动化专业委员会组织下，成立了以国网河南省电科院为主持单位的标准编制项目组，开展《发电厂监控系统信息安全防护技术规范》的编制工作。主要制定过程节点如下：（1）2018年8月22日，国网河南省电科院完成《发电厂监控系统信息安全防护技术规范》编制大纲框架的起草。（2）2018年9月6日，国网河南电科院、国网浙江电科、华润润电能源科学技术有限公司、大唐华中电力试验研究院等单位，对《发电厂监控系统信息安全防护技术规范》编制大纲框架进行讨论，形成了《发电厂监控系统信息安全防护技术规范》编制大纲编制大纲草案。（3）2018年9月12日，由发电自动化专业委员会组织参编单位对《发电厂监控系统信息安全防护技术规范》编制大纲草案进行研讨。（4）2018年10月16日，根据各参编单位意见，修改大纲草案，形成《发电厂监控系统信息安全防护技术规范》编制大纲送审稿，提交电力行业热工自动化与信息标准化技术委员会（以下简称热工标委会）。（5）2018年11月1日，工标委会在北京召开了《发电厂监控系统信息安全防护技术规范》编制大纲审查会。中国电力企业联合会标准化中心汪毅、于明、常云岭等领导参加了审查会。尹松，杨新民、侯子良、许继刚、金丰、范科峰、陈雪红、张晋宾、李卫兵、王洪、李辉、李国胜、董勇卫、尹峰、周力、卢华、苏烨等为专家组成审查组，对大纲进行了认真仔细的审查。审查组原则上同意大纲的框架结构，并提出了部份修改意见，审查组专家建议将《发电厂监控系统信息安全防护技术要求》更名为《发电厂监控系统信息安全防护技术规范》。会后，标准编写组根据审查组的意见，修改完善了编写大纲。（6）2018年11月6日，各参编单位根据完善后的编写大纲，开始分头收资、起草《发电厂监控系统信息安全防护技术规范》（草稿）。（7）2019年3月7日，中国自动化学会发电自动化专业委员会组织专家和参编单位召开了标准编写项目启动暨编写会。与会专家尹峰、郑渭建、魏路平、刘林虎、郑迎九、夏克晁、吴永存、董勇卫、郝涛、张之刚、余程、胡树云、孙永红、叶鹏、陈刚、王玉涛、谢东、陈君、左天才、吕平洋、杜永春和李敏等专家对参编单位所提交的《发电厂监控系统信息安全防护技术规范》草稿进行了认真仔细的审查，肯定了标准草稿的主要内容，并提出了部分修改意见。（8）2019年5月6日，各参编单位根据分工，完成《发电厂监控系统信息安全防护技术规范》内部交流稿的编写，并组织对内部交流稿进行集中审查工作。各参编单位对内部交流稿进行了认真仔细的审查，并对需要进一步修改、完善的内容各抒己见，提出了详细的修改意见。（9）2019年6月20日，各参编单位根据分工，对《发电厂监控系统信息安全防护技术规范》内部交流稿进一步进行修改和完善，形成征求意见稿。3、编制单位、主要起草人及其所作工作（1）编制单位：（2）主要起草人：（3）主要起草人分工：（二）标准制定原则和主要制定内容1、制定原则在《中华人民共和国网络安全法》发布之前，我国信息安全管理的主要依据是1994年2月18日发布的中华人民共和国国务院令第147号《中华人民共和国计算机信息系统安全保护条例》。2017年6月1日，《中华人民共和国网络安全法》正式实施，标志着网络安全管理在我国已经上升到法律的高度。网络安全法第三章第二十一条明确规定“国家实行网络安全等级保护制度”。网络安全法和等级保护制度是我国网络安全必须普遍遵守的法律、法规。在电力行业，对于电力监控系统的安全防护，早年遵循的是前国家电力监管委员会于2004年12月20日发布并于2005年2月1日开始实施的第5号令《电力二次系统安全防护规定》。之后，“电监会5号令”由国家发展和改革委员会2014年第14号令废止，替代为《电力监控系统安全防护规定》。发电厂在对其监控系统进行信息安全防护时，应严格遵行国家的法律、法规，与此同时，针对发电厂监控系统的特点，在操作层面又需要有相关的技术标准，来指导和规范其信息安全防护工作。《发电厂监控系统信息安全防护技术规范》的制定遵循了合规性、适宜性和可操作性原则。（1）合规性：《发电厂监控系统信息安全防护技术规范》的制定，以GB/T1.1-2009“标准化工作导则第1部分：标准的结构和编写”和GB/T20001.1-2001“标准编写规则第1部分：术语”为依据，符合标准编写规则的有关要求。《发电厂监控系统信息安全防护技术规范》在内容编制上，满足《中华人民共和国网络安全法》、国家发展和改革委员会2014年第14号令《电力监控系统安全防护规定》和GB/T22239-2019《信息安全技术网络安全等级保护基本要求》等国家法律、法规和标准的要求。（2）适宜性：本标准编写工作组，由电科院、发电厂和相关单位及厂家的专家组成，在标准编写过程中，工作组开展了广泛的调研、收资和分析工作，并根据工作组各位专家在日常信息防护工作中的经验开展编写工作。在编写的过程中，工作组还广泛征求了相关各方的意见，数易其稿，提高了各项防护要求在发电厂监控系中的适宜性。（3）可操作性：针对发电厂监控系统底层技术规范普遍缺乏对信息安全考虑的现状，本标准调整了监控系统安全防护体系的分层模型，采用了“安全分区、网络专用、横向隔离、纵向认证”的总体原则，通过分区分域、纵深防御的策略，强调边界防护和可信访问，在实际应用中既能满足“合规性”的要求，有大大提高了标准的可操作性。2、主要制定内容在我国发电厂监控系统信息安全防护工作起步稍晚，而在传统的信息安全防护工作中有一定的技术和经验积累。传统的信息安全防护工作一般有三个目标，要保证系统的保密性、完整性和可用性。在传统信息系统中，保密性通常都放在首位，配以必要的访问控制，以保护系统和用户信息的安全。而对监控系统而言，可用性则直接影响到企业生产，机组的停机或者误动作都可能导致巨大的经济损失，甚至是威胁到人员生命和环境的破坏。因此，信息安全的防护首要考虑的是所有系统部件的可用性，完整性则在第二位，因为监控数据都是原始格式，需要配合有关使用环境进行分析才能获取其价值，所以保密性通常都在最后考虑。本标准在编制中，充分考虑了监控系统信息安全防护的特殊性，提出较完整的技术要求和规范，主要内容如下：（1）第2章规范性引用文件中，列入了本标准所涉及的国家标准；（2）第3章术语和定义，对本标准所采用的术语、定义进行了定义；（3）第4章缩略语，对本标准中所采用的缩略语进行了说明；（4）第5章监控系统信息安全基本要求，从发电厂监控系统概述、潜在的脆弱性和面临的主要威胁、防护的基本原则和防护工作应满足的法律法规要求；（5）第6章监控系统信息安全技术要求，从物理安全、边界安全、集中管控、网络和通信安全、主机和设备安全、应用软件和数据安全等几方面提出了防护的具体要求；（6）第7章监控系统信息安全评估，对监控系统是否满足规范的内容，提出了评估要求。并从基本原则、评估对象、评估方法、评估实施和评估结论等几方面给出了简要要求。（三）主要试验（或验收）的分析、综合报告，技术经济论证，预期的经济效果本标准的应用，可以提升发电厂监控系统的信息安全防护水平，对提高发电厂监控系统安全防护工作的合规性有很好的帮助，可有效提高发电厂信息安全防护工作的可操作性，具有很好的经济效益和社会效益。（四）与现行法律、法规、政策及相关标准的协调性本标准的编制与国家现行的相关标准协调一致，不与现行的有关法律、法规、政策冲突。（五）贯彻标准的要求和措施建议标准的贯彻首先需做好标准的宣贯工作，使相关发电厂充分了解监控系统信息安全防护与传统信息安全防护工作的异同、标准的实施可有效提高监控系统信息安全防护工作的合规性、标准本身具备很好的可操作性等特点。（六）代替或废止现行标准的建议无(七)标准名称与计划项目名称发生变化的主要原因在中电联（中电联标准[2018]209号)《中电联关于转发国家能源局2018年能源领域行业标准制（修）订计划及英文版翻译出版计划的通知》（电力部分“能源20180650”项）中，本标准名为：《发电厂监控系统信息安全防护基本要求》。编制大纲审查会上，与会专家建议，作为标准的名称“技术规范”更为确切，后经编制工作组讨论确认，本标准更名为《发电厂监控系统信息安全防护技术规范》。（八）重要内容的解释和其它应予说明的事项在中电联（中电联标准[2018]209号)《中电联关于转发国家能源局2018年能源领域行业标准制（修）订计划及英文版翻译出版计划的通知》（电力部分“能源20180650”项）中，本标准的主要起草单位是：国网河南省电力公司电力科学研究院、中国电力企业联合会科技开发服务中心、华能电力股份有限公司长兴发电厂司、国网四川省电力公司电力科学研究院等。标准编制过程中，为了能更广泛地借鉴更多信息安全人员的经验，经与编写主持单位和各相关方商定，并报电