2022电力监控系统网络安全防护技术导则

电力监控系统网络安全防护技术导则征求意见稿22目 次前言 3引言 4电力控统络全护技导则 51范围 5规性用件 5术和义 5总要求 8网安防要及护措施 9全理境 9全算境 9全域界 10全信络 10电监系网安防护计 10全理境计 10全算境计 11全域界计 11全信络计 11安管中设计 128附录 1PAGEPAGE10电力监控系统网络安全防护技术导则范围本标准规定了电力监控系统网络安全防护的技术要求、防护措施及设计原则。GB/T36572电力GB/T22239GB/T25070GB/T28448GB/T36958GB/T9361GB/T50174 DL/T1936DL/T1941《电力监控系统安全防护规定》（国家发改委令2014年第14号）《电力监控系统安全防护总体方案》（国能安全〔2015〕36号文）下列术语和定义适用于本文件。3.1电力监控系统CA【GB/T36572-2018，定义3.1】3.2网络安全【GB/T22239-2019，定义3.1】3.3定级系统已确定安全保护定级的系统。定级系统分为第一级、第二级、第三级、第四级和第五级。【GB/T25070-2019，定义3.2】3.4等级测评【GB/T28448-2019，定义3.6】3.5上线安全评估电力监控系统投运前及发生重大变更时，运行单位自行组织或委托评估机构对系统进行安全评估。注：重大变更包括，但不限于：a）增加新的应用或应用发生较大变更；b）网络结构和连接状况发生较大变更；c）技术平台大规模更新；系统扩容或改造；系统运行维护管理机构或人员发生较大规模调整。【GB/T38318-2019，定义3.3】3.6密码技术密码技术，是指能够实现密码算法的加密、解密和认证等功能的技术。3.7安全计算环境对定级系统的信息进行存储、处理及实施安全策略的相关部件。【GB/T25070-2019，定义3.4】3.8安全区域边界【GB/T25070-2019，定义3.5】3.9安全通信网络对定级系统的安全计算环境之间进行信息传输及实施安全策略的相关部件。【GB/T25070-2019，定义3.6】3.10安全管理中心【GB/T25070-2019，定义3.7】3.11云计算一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。注：资源包括服务器、操作系统、网络、软件、应用和存储设备等。【GB/T32400-2015，定义3.2.5】3.12生产控制大区由具有数据采集与控制功能、纵向连接使用专用网络或专用通道的的电力监控系统构成的安全区域。【GB/T36572-2018，定义3.3】3.13控制区【GB/T36572-2018，定义3.4】3.14非控制区【GB/T36572-2018，定义3.5】3.15管理信息大区生产控制大区之外，主要由企业管理、办公自动化系统及信息网络构成的安全区域。【GB/T36572-2018，定义3.6】3.16横向隔离生产控制大区之外，在不同安全区域间禁止通用网络通信服务，仅允许单向数据传输，采用访问控制、签名验证、内容过滤、有效性检查的技术，实现接近或达到物理隔离强度的安全措施。【GB/T36572-2018，定义3.7】3.17纵向认证采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界的安全防护的措施。【GB/T36572-2018，定义3.8】缩略语下列缩略语适用于本文件LAN：局域网络（LocalAreaNetwork）MPLS：多协议标签交换（Multi-ProtocolLabelSwitching）PVC：永久虚拟电路（PermanentVirtualCircuit）SDH：同步数字传输体系（SynchronousDigitalHierarchy）OTN：光传送网（OpticalTransferPlatform）VLAN：虚拟局域网（VirtualLocalAreaNetwork）VXLAN：虚拟扩展局域网（VirtualExtensibleLocalAreaNetwork）VPN：虚拟专网（VirtualPrivateNetwork）WAF：web应用防火墙（WebApplicationFirewall）“”的GB/T36572、GB/T22239-2019GB/T22239-2019GB/T25070-2019（监管机房应选择建设在具备防风、防雨、防震能力的建筑物内，应按照GB/T22239、GB/T36572、GB/50174GB/T22239GB/T36572GB/501742GB/T22239-2019安全性和完整性不被破坏或感染。UPSGB50174-2017要求。。四级系统机房内关键区域及关键设备应采取电磁屏蔽措施，可采用电磁屏蔽机柜，具GB/T22239-2019的要求。控（VLAN等。WebWeb。135kV应基于SDH/OTNMPLS-VPNPVCMPLS/VPNVLANVLAN、VXLANSDH安全通信网络应保证网络设备的业务处理能力以及网络各个部分的带宽满足业务高峰期需要。安全通信网络应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。35kV套配置，根据调度管辖关系，分别接入相应的接入网。220kVSDH控（（）11附录生产控制大区生产控制大区））控制区（安全I区）非控制区（安全II区