解读：《电力监控系统网络安全评估指南》

解读：《电力监控系统网络安全评估指南》

指南主要针对《电力监控系统网络安全防护导则》中的安全防护体系进行

评估指导。

一、概述

2019年12月10日，GB/T38318-2019《电力监控系统网络安全评估指

南》（下文简称〃评估指南"）正式发布，2020年7月1日正式实施。

随着计算机和网络通信技术在电力监控系统中的广泛应用，电力监控系

统网络安全问题日益凸显，为了加强电力监控系统的安全管理，防范黑客及

恶意代码等对电力监控系统的攻击侵害，保障电力系统的安全稳定运行，根

据国家发展改革委员会2014年第14号令《电力监控系统安全防护规定》

和国家信息系统等级煤护等相关规定制定GB/T36572-2018《电力监控

系统网络安全防护导则》（下文简称“防护导则"）标准，”评估指南”作

为“防护导则〃的配套标准，主要针对防护导则中的安全防护体系进行评

估指导。

■、

G日

中华人民共和IKI|H|家标准

GB/138318—2019

电力监控系统网络安全评估指南

CjbcrMtvritw工Hidefor

dectrie^mertapeniUeaMdcentrol

2019-12-102020-07-01实■

1

国*市场欧仲料押总N布

国家斥准化管用缶3会x

二.评估范围

"评估指南"适用于各电力企业电力监控系统规划阶段、设计阶段、实施阶段、

运行维护阶段和废弃阶段的网络安全防护评估工作。

规划阶段〉设计阶段〉实施阶段〉运维阶段〉废弃阶段

娘划阶段的安全畀审是设计阶段的安全评审需实族阶段安全舟估是根据运行雉护阶段安全牌怯废弃阶段应重点分析废弁

根1K电力盆汽系改的业根据规划阶段明确的系系统安全需求和运行环境髭掌握和控制电力监拄货产对用职的影响，对内

系统运行过程中的安全

务使命和功能，确定系统安全口标，对系统设对系统开发实线过程进行系统废弃可能借来的新的

统建设应达到的安全II风险，包括在线运行电

计方案的安全功能设计安全风险识别.并对系统威胁进行分析.安全讨佑

标.主要粮据未来系统力瘟控系故资产、威盼、

进行判断，以确保设计建成后的安全功傕迸行验可包括：

的校用对象、应用环境、施弼性等各方面坪彷.

方案满足系友安全目标,if.停估中需对段划阶段a）系线软、硬件等资产

业务状况、操作要求等运行维护阶段的安全普

并作为采跑过程风险控的安全威胁遇行选步领及残田信兄的废弃处??；

方面进行威胁分析，«估应常态化开履.电力

点分析系统成达到的安制的依据.设计阶段的分,W估安全措籁的实现监控系统业务流程、系b）废弃部分与其他系统

全目标.烷划阶段的评评审结果最终应体现在程度，确定已建立的安全统状况发生重大变更时，或部分的物理或逻辑连接

审结果应包含在电力监系统设计方案中.括筑能否抵御现行威胁、也需及时进行安全停估.情况：

控系统整体炫划中.

脆弱性的影响，并时源代c）在系统变更时发生度

玛进行安全浦博・弁，对燹史部分进仃谛俗.

各阶段主要关注点：

•规划阶段

根据网络安全法第三十三条规定，关键信息基础设施应当确保其具有支持业

务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

因此在电力监控系统的规划阶段应该遵循三同步原则，根据系统的应用对象、应

用环境、业务状况、操作要求等方面进行威胁分析，重点分析系统应该达到的安

全目标。

•设计阶段

该阶段需要根据规划阶段的目标进行立体安全防护体系的设计，安全防护体

系的设计可以参考“防护导则"；同时产品的采购需要满足等级保护、行业或集

团的要求。以等级保护三级系统为例，在产品采购和使用中规定：

a.应确保网络安全产品采购和使用符合国家的有关规定；

b.应确保密码产品与服务的采购和使用符合国家密码管理主管部门的

要求；

c.应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更

新候选产品名单。

•实施阶段

该阶段需要关注实施过程中的风险控制,保障电力监控系统的稳定运行是基

础；同时需要在建设完成后开展上线评估工作，确定安全措施的实现程度和已建

立安全措施的有效性，并保证不能引入新的安全风险，如安全产品可能存在的漏

洞及后门。系统供应商需要负责系统设计、开发完成后实施型式安全评估，配合

完成系统上线安全评估。

•运行运维阶段

安全体系的建设是一个动态循环的过程，因此本阶段需要根据安全评估中发

现的问题及时查漏补缺，弥补安全漏洞。在电力监控系统业务流程、系统状况发

生重大变更时，运行单位应自行组织或委托评估机构及时对系统进行安全评估。

系统供应商在运维阶段支持和配合安全评估工作，配合执行安全评估整改工作。

重大变更包括，但不限于：

a.增加新的应用或应用发生较大变更；

b.网络结构和连接状况发生较大变更；

c.技术平台大规模更新；

d.系统扩容或改造；

e.系统运行维护管理机构或人员发生较大规模调整。

•废弃阶段

废弃阶段需要重点关注系统和设备退役报废时含敏感信息的介质和重要安

全设备的销毁，避免因系统废弃可能带来的新的威胁。

三、评估流程和方法

1、评估形式

电力监控系统网络安全评估包括4种工作形式：自评估、检查评估、上线安

全评估和型式安全评估。各工作形式具体要求如下：

国目

自评估检充评估上线安全评估型式安全评估

•运行不位对本年位的电力业务主鬻部门根据实际情况•电力监控系疣投运前或•电力监控系统供应商在

监控系统定期组织开展自对各运行单位的电力监控系发生不大变更时，安全保安全保护等级为第三级

评估.统或调度机构调管荷囹内的护等级为第三级和第四级和笫四级的电力监控系

•电力调度机构在定期收集、电力监控系统生枳开履检查的电力监控系故，由运行统设计、开发完成后，

汇总调管他国内各运行单讦仙.单位委抵评估机构进行上委先坪心机构进行老式

位自坪估结果的基础上，线安全坪估：安全野估：

白行蛆织或委托坪估机构•安全保护等级为第二级的•安全保护等级为第二级

开展调管部恨内电力监控电力监控系统可自行组织的电力监控系统可自行

系统的自得估工作，可结开展上线安全讨估.如织开展型式安全讨估.

合等级保护工作进行.

•电力监控系统定级为第三级和第四级：

a.运营单位应定期组织自评估，评估周期原则上不超过一年；

b.电力监控系统投运前或发生重大变更时，由运行单位委托评估机构进

行上线安全评估；

c.电力监控系统供应商在电力监控系统设计、开发完成后，委托评估机

构进行型式安全评估。

•电力监控系统定级为第二级：

a.运营单位应定期开展自评估,评估周期原则上不超过一年；

b.电力监控系统投运前或发生重大变更时，运行单位自行组织开展上线

安全评估；

c.电力监控系统供应商在电力监控系统设计、开发完成后运行单位可自

行组织开展型式安全评估。

•电力调度机构在定期收集、汇总调管范围内各运行单位自评估结果的

基础上，自行组织或委托评估机构开展调管范围内电力监控系统的自

评估工作，省级以上调度机构的自评估周期最长不超过三年，地级及

以下调度机构自评估周期最长不超过两年。委托评估机构定期开展的

安全评估工作可结合等级保护工作进行。

•业务主管部门根据实际情况对各运营单位的电力监控系统或调度机

构调管范围内的电力监控系统组织开展检查评估。

2、评估实施流程

电力监控系统网络安全评估实施流程图

•电力监控系统网络安全评估涉及的评估方法主要包括：文档检查、人

工核查和工具检查。其中评估工具的使用需要被评估单位授权的前提，

工具可包括网络评估工具、主机评估工具、资产识别工具等。电力监

控系统的安全评估工具建议使用工控专用的安全评估工具。

•评估流程中需要注意保密管理和风险管控。

风险管控措施包括：

a.选用工控专用的安全评估工具，如：工控漏洞扫描系统、工控系统安

全检查评估工具箱等；

b.操作时间控制。选择系统停机或者安全检修期间；

c.采用工具检查如评估可能对业务系统产生影响的情况下，可以在运行

系统模拟环境中验证测试；

d.综合制定安全应急预案、采取严格操作的申请和监护等其他技术措施。

•资产、威胁、脆弱性评估资产评估需要按照国家等级保护相关标准、

GB/T31509-2015《信息安全技术信息安全风险评估实施》和GB

/T20985-2007《信息安全技术信息安全风险评估规范》等规定执

行。下图主要列举风险三要素关系和风险评估实施流程，具体解读本

文将不再赘述。

资产

包含

影响面临

风险评估准备

四、评估内容

〃防护导则"从安全防护技术、应急备用措施和全面安全管理的三维描述安

全防护体系的立体结构，三个维度互相支持、互相融合、动态关联，并不断发展

进化，形成动态的三维立体结构。”评估指南〃的也着重从该结构体系的三个维

度进行评估实施指导。

m

电力监控系统网络安全防护体系三维立体结构示意图

L安全防护技术评估

安全防护技术评估包含基本要求、基础设施安全、体系结构安全、本体安全、

可信安全免疫五个部分。评估要求对应"评估导则"中的技术要求，本文将不再

赘述，具体解读可参考：《V电力监控系统网络安全防护导则〉解读》。

1)基本要求

基本要求是评估指南中强制满足项，与国能安全[2015]36号文中要

求的〃安全分区、网络专用、横向隔离、纵向认证〃的十六字方针对应，基

本要求中任何一项未满足即为不合格项。

(1)分区分级重点评估内容：

•网络分区：核查电力监控系统网络拓扑图和网络设备，评估安全区划

分的合理性和设备与拓扑图的一致性，重点关注是否存在跨安全区纵

向交叉连接、不同安全区的设备混用、违规连接等违规情况，同时需

要评估是否存在设置安全接入区的业务场景，并采取相应的隔离措施;

•安全分级：电力监控系统的安全等级保护定级可以参考国能安全36

号文和国家等级保护相关标准中的定级要求进行合理定级，鉴于等保

2.0定级流程中新增的专家评审制度，在评估过程中需要核查系统定

级结果是否经过定级系统相关部门和安全技术专家的论证和审定；

•重点防护：重点加强对生产控制大区的安全防护工作，核查边界防护

设备和网络设备核查边界安全防护设备、网络设备等可管控通用网络

服务（FTP、HTTP、SNMP、远程登录、电子邮件等）的设

备和系统，是否使用数据过滤、签名认证、访问控制策略、物理隔离

等措施禁止通用网络服务穿越生产控制大区和管理信息大区之间边

界；同时禁止与设备生产厂商或其他外部企业（单位）的远程连接；

发电厂生产控制大区因业务需求与地方行政部门进行数据传输时，其

边界应采取单向数据传输的隔离强度措施，（如:在火电厂生产控制大

区中脱硫脱硝等业务系统需要与地方环保等部门进行数据传输的业

务场景）。

（2）网络专用重点评估内容：

•核查网络拓扑图、组网设计方案等相关文档，评估网络安全隔离和子

网划分情况。生产控制大区专用通道上（与调度数据网等通道）应使

用独立的网络设备组网；同时应该划分为逻辑隔离的实时子网和非实

时子网，分别连接控制区和非控制区，避免生产控制大区与其他网络

直连、逻辑隔离或共用网络设备的情况，实时子网和非实时子网边界

可以使用防火墙等逻辑隔离设备或措施进行隔离；

•核查各层协议对应的网络设备、加密认证相关措施，评估生产控制大

区数据通信七层协议的安全措施。禁止采用默认路由，按照业务需求

划分VLAN,关闭网络边界OSPF路由功能，采用符合要求的虚拟专

网、加密隧道技术；使用符合国家要求的加密算法，使用调度数字证

书实现安全认证等。

(3)横向隔离重点评估内容：

•核查电力监控系统横向从外到内四道安全防线中涉及的安全设备(包

括：电力专用横向单向安全隔离装置、工业防火墙等)部署的合理性

和策略的有效性，如：生产控制大区与管理信息大区网络边界是否部

署电力专用横向单向安全隔离装置；

•电力专用横向单向安全隔离装置需要提供相应的检测报告或认证证

书，评估装置的认证情况；针对反向安全隔离装置需要核查是否采取

基于非对称密钥技术的签名验证、内容过滤、有效性检查等安全措施，

限定传输协议、返回字节数和文件类型；

•核查生产控制大区内部的安全区之间部署工业防火墙或者具有访问

控制功能的设密或者相当功能的设施部署的位置合理性和策略有效

性保证策略最小化，禁止出现全通策略，同时硬件防火墙相关功能、

性能等也必须经过相关部门的检测和认证。

(4)纵向认证重点评估内容：

•核查电力监控系统生产控制大区与广域网的纵向防线中涉及电力专

用纵向加密认证装置或者加密认证网关及相应设施部署的合理性和

策略的有效性；

•电力专用纵向加密认证装置或者加密认证网关需要提供相应的检测

报告或认证证书，评估装置的认证情况；装置隧道配置策略应细化至

业务IP地址、通信端口，隧道和策略应为密通，且隧道为OPEN状

态。

2）基础设施安全

（1）基础设施评估重点内容：

•基础设施安全重点对应等级保护标准安全物理环境部分技术要求，核

查机房及相关设施在物理位置选择物理访问控制、防盗窃和防破坏、

防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应（核查

备用供电系统，需要保证机房内设备在外部电力中断下仍能至少二个

小时正常运行）和电磁防护等层面需要采用相应的措施。生产控制大

区机房与管理信息大区机房独立；针对等级保护第四级安全区域配置

第二道门禁，重要设备需要放置在电磁屏蔽机柜内。

•核查生产控制大区所有的密码基础设施（如：纵向加密装置）是否具

备国家有关机构的检测报告或认证证书。

3）体系结构安全

体系结构安全中除了"分区分级、网络专用、横向隔离、纵向认证”的基本

要求外,还需要重点评估数字证书和安全标签、防火墙和入侵检测、防恶意代码

和拨号认证等方面的技术能力。

(1)数字证书和安全标签评估重点内容：

•核查基于公钥技术的分布式电力调度数字证书及安全标签(如：纵向

加密)，是否按照电力调度管理体系要求进行配置；

•加密认证机制是否涵盖生产控制大区中的所有重要业务系统，针对电

力监控系统业务特点，加密机制是未来保证自身安全性的重要保障措

施，同时需要经过技术和实践验证加密技术与业务系统的平衡点。

(2)防火墙和入侵检测评估重点内容：

•核查生产控制大区内不同系统间的逻辑隔离措施及隔离策略配置的

有效性，如采用防火墙应该在逻辑隔离、访问控制、报文过滤的功能

要求满足GB/T25068.3-2010的检测要求；目前GB/T37933-2019

《信息安全技术工业控制系统专用防火墙技术要求》于2020-03-01

实施，针对电力监控系统中使用的工业防火墙应该同样需要满足该标

准要求；

•根据国能安全36号文的要求，生产控制大区可以统一部署一套网络

入侵检测系统，应当合理设置检测规则，检测发现隐藏于流经网络边

界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。需要重

点核查网络入侵检测系统或相当功能的装置的配置合理性，并应及时

离线更新其特征库，严禁通过连接互联网在线更新。

(3)防恶意代码评估重点内容：

•核查生产控制大区恶意代码防范措施(如：入侵防御系统、防毒墙等

装置)配置合理性，同样需要定期离线更新特征库，严禁通过连接互

联网在线更新；

•与管理信息大区不可共用一套恶意代码防护措施，以保证对恶意代码

防范措施的多样性。

(4)拨号认证评估重点内容：

•核查拨号认证设施的认证情况，必须有国家有关机构的安全认证证书

或测试报告；装置需要采用安全加固的操作系统，使用数字证书技术

进行登录和访问认证保证通信安全；

•在无连接需求E寸应处于断电关机状态；不允许存在直接连接核心交换

机；使用功能过程中仅允许单用户登录，并采取严格监管审计措施。

4)本体安全

(1)基本要求：

本体安全是电力监控系统安全防护体系中重要的一环，包含：电力监控系统

软件的安全、操作系统和基础软件的安全、计算机和网络设备及电力专用监控设

备的安全、核心处理器芯片的安全。

本体安全的相关要求主要适用于新建或新开发的电力监控系统，在运系统具备升

级改造条件时可参照执行，不具备升级改造条件的在运系统需要通过健全和落实

安全管理制度和安全应急机制、加强安全管控、强化网络隔离等方式降低安全风

险。

(2)电力监控系统软件安全评估重点内容：

•核查电力监控系统中的控制软件的认证情况。必须满足国家或行业要

求的权威机构安全检测认证及代码安全审计，具有相关的检测报告或

认证证书；

•核查软件设计安全情况。软件中需要包含安全防护理念和防护措施

（如：身份鉴别、密码认证、安全审计等防护措施）；业务系统软件

的各业务模块部署在相应安全等级的安全区（如：火电SIS系统数据

横跨生产控制大区和信息管理大区）；并保证控制核心模块得到有效

防护；

•核查软件运维安全情况。安全运维必须对登录账号进行身份认证，并

使用安全审计措施对维护过程实施全程监控（采用堡垒机进行运维权

限划分和行为审计是行之有效的技术措施），同时禁止通过互联网直

接运维生产控制大区的软件。

（3）操作系统和基础软件的安全评估重点内容：

•核查重要电力监控系统中的操作系统、数据库、中间件等基础软件的

认证情况，必须满足国家有关机构的安全检测认证，具有相关的测试

报告或认证证书；

•核查评估生产控制大区的操作系统和基础软件的安全情况，启用并配

置身份鉴别、访问控制、安全审计等安全功能和策略；

•核查生产控制大区业务系统的操作系统和基础软件的更新情况。更新

必须经过离线充分验证测试,同时设置最小化的业务运行环境，保证

对业务系统运行无影响，禁止通过互联网在线更新的基本原则不变。

（4）计算机和网络设备及电力专用监控设备的安全评估重点内容：

•核查电力监控系统中的计算机和网络设备、电力自动化设备、继电保

护设备、安全稳定控制设备、IED、测控设备的认证情况，必选满足

国家或行业要求的权威机构安全检测认证，并具有相关的测试报告或

认证证书；

•核查生产控制大区的计算机和网络设备的安全情况，启用并配置身份

鉴别、访问控制、安全审计等安全功能和策略；核查生产控制大区的

计算机和网络设备的对外物理接口情况，包括：网络端口和USB接

口等，可以通过技术和物理手段进行封堵，保证对外接口的最小化。

(5)核心处理器芯片的安全评估重点内容：

•核查重要电力监控系统中的处理器芯片的认证情况，需要通过国家有

关机构的安全检测认证，并具有相关的测试报告或认证证书；核查重

要电力监控系统中的处理器芯片的安全情况，重点关注安全可靠的密

码算法、真随机数发生器、存储器加密、总线传输加密等安全防护措

施的相关内容，需要满足相关的国家标准。

5)可信安全免疫

可信安全免疫是监控系统本体安全的根本核心和补充，从电力监控系统自身

和供应链的安全为根本，重点关注强制版本管理、静态安全免疫和动态安全免疫,

实现电力监控系统的基础安全。可信安全免疫的相关要求主要适用于新建或新开

发的电力监控系统，在运系统具备升级改造条件时可参照执行，不具备升级改造

条件的在运系统需要通过健全和落实安全管理制度和安全应急机制、加强安全管

控、强化网络隔离等方式降低安全风险。防范有组织的、高级别的恶意攻击。

(1)可信安全免疫评估重点内容：

•核查重要电力监控系统关键控制软件的强制版本管理情况。操作系统

和监控软件的全部可执行代码在开发或升级后必须通过指定的具有

安全检测资质的检测机构的检测,具有检测报告。

•核查重要电力监控系统基于可信计算的静态安全启动机制和动态安

全启动机制，通过静态度量验证和动态度量验证结合保证操作系统和

业务系统从启动到运行全流程的安全度量设计，实现操作系统安全升

级、应用完整性保障和安全策略强制实现的全面提升。

备注：静态度量通常指在运行环境初装或重启时对其镜像的度量。度量是逐

级的，通常先启动的软件对后一级启动的软件进行度量，度量值验证成功则标志

着可信链从前一级软件向后一级的成功传递。以操作系统启动为例，可信操作系

统启动时基于硬件的可信启动链，对启动链上的UEFI、loader、OS的image

进行静态度量，静态度量的结果通过可信管理服务来验证，以判断系统是否被改

动。动态度量和验证指在系统运行时动态获取其运行特征，根据规则或模型分析

判断系统是否运行正常。

2、应急备用设施评估

1)冗余备用

冗余备用和数据备份的目的是为了实现电力监控系统的故障快速恢复，建立

坚强智能电网，保证业务的连续性。

(1)冗余备用评估重点内容：

•核查地市及以上电网调度控制中心硬件设施及人员组织及职责文档、

发电厂和变电站的关键设备(控制器、可编程逻辑控制单元、工业以

太网交换机、工控主机等），保证在系统、场地、人员岗位等层面的

冗余备用；

•核查发电厂和变电站关键设备和特别重要设备的定期数据备份情况，

按照策略执行备份策略。关键设备需要以双机或双工的方式实现冗余

备用；特别重要设备（如现场运行系统及设备关键部位）需要配备自

动化控制机制和手动操作设施两种控制方式，并对手动操作相关设备

设施有计划进行检修，以防止自动化控制机制异常影响的生产控制问

题；

•核查各级电网调度控制中心、发电厂和变电站电力监控系统的监控措

施、预警措施、人员巡视要求和记录、故障处理流程等，运行状态监

控和故障预警措施。

2）应急响应

电力监控系统安全防护的核心是保护电网的安全。当生产控制大区出现安全

事件，尤其是遭到黑客、恶意代码攻击和其他人为破坏时，应按应急处理预案,

立即采取安全应急措施。

（1）应急响应重点评估内容：

•核查电力企业应急相关制度的合理性和完整性、应急处理预案的全面

性和可行性、应急演练方案的适应性、定期开展应急演练并详细完整

记录演练内容；

•核查生产控制大区安全事件应急预案或包含相关内容的应急预案、应

急操作手册操作流程和操作方法需要详细同时具备可操作性、事件处

理过程记录完整详实；

•安全事件应及时报告上级业务主管部门和安全主管部门，必要时可断

开生产控制大区与管理信息区之间的横向边界连接；在紧急情况下可

协调断开生产控制大区与下级或上级控制系统之间的纵向边界连接,

以防止事态扩大，同时注意保护现场，以便进行调查取证和分析。

3)多道防线

电力监控系统横向从外到内四道安全防线，实现核心控制区安全防护强度的

累积效应。纵向从下到上四道安全防线，实现高安全等级控制区安全防护强度的

累积效应。

(1)多道防线重点评估内容：

•核查电力监控系统的横向安全防线和纵向安全防线安全设备设置的

合理性和策略的有效性；

•核查网络安全监视措施，实现主机设备、网络设备、安全设备等的信

息采集、安全审计、实时监视告警等功能，目前国家电网和南方电网

都在调度数据网络