為貫(guan)徹落實黨的二十屆三中(zhong)全(quan)會精(jing)神,深化能源管理體制改(gai)革(ge)(ge),完善電(dian)力(li)監(jian)控系(xi)統(tong)網絡安(an)(an)全(quan)技術防(fang)護體系(xi),近日,國(guo)家(jia)(jia)發(fa)展改(gai)革(ge)(ge)委頒布了(le)新修訂的《電(dian)力(li)監(jian)控系(xi)統(tong)安(an)(an)全(quan)防(fang)護規(gui)定(ding)》(國(guo)家(jia)(jia)發(fa)展改(gai)革(ge)(ge)委2024年第27號令,以下簡稱《規(gui)定(ding)》),自2025年1月(yue)1日起施行,原《電(dian)力(li)監(jian)控系(xi)統(tong)安(a�������n)(an)全(quan)防(fang)護規(gui)定(ding)》(國(guo)家(jia)(jia)發(fa)展改(gai)革(ge)(ge)委2014年第14號令)同時(shi)廢止。
1、《規定》修訂背景是什么?
原《規(gui)(gui)定(ding)》于2014年發(fa)布,是指導全(quan)(quan)國(guo)電力(li)(li)行業開(kai)展電力(li)(li)監控系(xi)統(tong)(tong)安(an)全(quan)(quan)防(fang)(fang)護的(de)基(ji)本法規(gui)(gui),與電力(li)(li)安(an)全(quan)(quan)生產工作(zuo)(zuo)密(mi)切相關(guan),對(dui)電力(li)(li)監控系(�������xi)統(tong)(tong)網絡安(an)全(quan)(quan)防(fang)(fang)護工作(zuo)(zuo)發(fa)揮了重要作(zuo)(zuo)用。近年來,有(you)關(guan)法律(lv)法規(gui)(gui)政策陸續發(fa)布或修訂(ding),國(guo)家對(dui)網絡安(an)全(quan)(quan)工作(zuo)(zuo)有(you)了新(xin)的(de)要求。同時,新(xin)型電力(li)(li)系(xi)統(tong)(tong)建設背景下,新(xin)業務形態和運行模式涌現,電力(li)(li)監控系(xi)統(tong)(tong)安(an)全(quan)(quan)防(fang)(fang)護體系(xi)亟需(xu)健全(quan)(quan)完善。
2、《規定》修訂原則是什么?
《規(gui)定》修訂過(guo)程中(zhong)突出(chu)(chu)三(san)方面原(yuan)則。一是(shi)(shi)堅(jian)持(chi)依(yi)法(fa)合規(gui)。確(que)保《網(wang)絡安(an)(an)全(quan)法(fa)》《關鍵信息(xi)基(ji)礎(chu)設施安(an)(an)全(quan)保護(hu)條例》等法(fa)律法(fa)規(gui)和(he)黨中(zhong)央國務院(yuan)有關要求落(luo)實到位。二是(shi)(shi)堅(jian)持(chi)問題(ti)導向。針對近年來(lai)電(dian)(dian)力監控(kong)系(xi)(xi)統網(wang)絡安(an)(an)全(quan)工(gong)作實踐中(zhong)暴露出(chu)(chu)來(lai)的(de)電(dian)(dian)力監控(kong)系(xi)(xi)統定義模糊、安(an)(an)全(quan)接入(ru)區防護(hu)強(qiang)度不足、專(zhuan)用(yong)安(an)(an)全(quan)產品(pin)管理流程有待優(you)�����化(hua)、行政(zheng)執法(fa)依(yi)據不足等問題(ti),及新型(xing)電(dian)(dian)力系(xi)(xi)統接入(ru)主體(ti)更(geng)多樣、邊端分(fen)布更(geng)廣泛、交互方式更(geng)豐富等特征帶來(lai)的(de)新風險,針對性(xing)補充技術和(he)管理要求。三(san)是(shi)(shi)堅(jian)持(chi)守正創新。在堅(jian)持(chi)“安(an)(an)全(quan)分(fen)區、網(wang)絡專(zhuan)用(yong)、橫向隔離、縱向認證”十六(liu)字原(yuan)則的(de)基(ji)礎(chu)上,進一步明確(que)電(dian)(dian)力監控(kong)系(xi)(xi)統范圍,提出(chu)(chu)強(qiang)化(hua)措施,優(you)化(hua)管理體(ti)系(xi)(xi)。
3、《規定(ding)》主要修訂內容(rong)有哪些?
本次(ci)修訂對原(yuan)《規定》做了(le)多方的(de)修改,并(bing)新增13條(tiao),修訂后共六章37條(tiao)。�����主要做�����了(le)以下調整和完善(shan)。
������ 一是明確電(dian)力監控(kong)系統范圍��������,將羅列(lie)典型系統名稱改為列(lie)舉功(gong)能。
二是(shi)優化安全分區要(yao)求(��������qiu),在堅持原分區策略的(d������e)基礎(chu)上,調整原《規定》闡述邏輯(ji)及表述。
三是強(qiang)化安(an)(an)全接入(ru)區防護要求(qiu),明確(que)安(an)(an)全接入(ru)區加密認證、安(an)(an)全������監(jian)測等技(ji)術要求(qiu)。
四是強化技術防護措(cuo)施(shi),在堅持十六(liu)字原則(ze)的基礎(chu)上(shang),補充安(an)全免疫、態勢感知、動態評估和備用(yong)應(�����ying)急措(cuo)施(shi)。
五是定義電力(li)(li)監(jian)控專用網絡,明�����確承載電力(li)(li)監(jian)視和控制業務的專用廣域數據網絡、專用局域網絡以及專用通������信線路屬于電力(li)(li)監(jian)控專用網絡范疇。
六是(shi)強化供應(ying)鏈及電(dian)力(li)監控(kong)(kong)(kong)系(xi)(xi)統(tong)專用安全(quan)產(chan)品(pin)����管理,明(ming)確運營者應(ying)當(dang)以合同條款的方式對電(dian)力(li)監控(kong)(kong)(kong)系(xi)(xi)統(tong)供應(ying)商提出安全(quan)要求,明(ming)確由國(guo)家電(dian)力(li)調度控(kong)(kong)(kong)制中(zhong)心(xin)牽頭組(zu)建電(dian)力(li)監控(kong)(kong)(kong)系(xi)(xi)統(tong)專用安全(quan)產(chan)品(pin)管理委員會。
七(qi)是優化技術(shu)監(jian)(jian)督管(guan)理,明確不(bu)同主體技術(shu)監(jian)(jian)督�����的工作要求,增加技術(shu)監(jian)(jian)�������督過程中風險管(guan)控措(cuo)施。
八是細化罰(fa)則(ze)。
4、電(dian)力監控(kong)系統安全防護規定27號令對比14號令的14條(tiao)更新
(1)法律(lv)(lv)依據更新:相比于14號令僅引用《電力監(jian)管條例(li)》、《中(zhong)華人民(min)共和國計算機信(xin)息(xi)系統(tong)安全(quan)(quan)保護(hu)條例(li)》等(deng),27號令更新《中(zhong)華人民(min)共和國網絡安全(quan)(quan)法》、《關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)(she)施安全(quan)(quan)保護(hu)條例(li)》等(deng)法律(lv)(lv)法規(gui)作為制(zhi)定(ding)依據,進一步提升了規(gui)定(ding)的(de)法律(lv)(lv)效力,并(bing)將(jiang)電力����監(jian)控系統(tong)安全(quan)(quan)防(fang)護(hu)納(na)入關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)(she)施保護(hu)的(de)框架之下(xia),其戰(zhan)略(lve)意(yi)義(yi)顯著提升。
(2)適(shi)用范圍(wei)擴(kuo)展:27號令的適(shi)用范圍(wei)在�������(zai)14號令基礎上,不再局限于發(fa)電企業、電網企業及(ji)其相關(guan)(guan)單(dan)位(wei),而是覆蓋(gai����)所有電力監控系統運營者及(ji)相關(guan)(guan)單(dan)位(wei),進一步明確安全管理責任(ren)。
����� (3)安全防護原(yuan)(yuan)則擴展:新增“安全免�������疫、態勢感知、動態評估(gu)和備用應急措施”作為電力監控系統安全防護的原(yuan)(yuan)則。
(4)安(an)全(quan)(quan)分區進(jin)一步明確,新規定將電力監控(kong)(kong)系(xi)統分為生產(chan)(chan)控(k�������ong)(kong)制區(安(an)全(quan)(quan)Ⅰ區和安(an)全(quan)(quan)Ⅱ區)和管理信息(xi)區(安(an)全(quan)(quan)Ⅲ區和安(an)全(quan)(quan)Ⅳ區),而2014年的規定只提(ti)到(dao)了生產(chan)(chan)控(kong)(kong)制大區和管理信息(xi)大區。
(5)安(an)全Ⅲ區(qu)(qu)與安(an)全Ⅳ區(qu)(qu)之間(jian)當設(she)(she)置(zhi)具有(you)訪問控(kong)制功能的(de)設(she)(she)備、防火���墻或者相當功能的(de)邏輯隔離設(she)(she)施(27號令第十條內(nei)容新增)。
本條款目的是需(xu)要(yao)通過訪問控制等手段,確保電力監控系統(tong)內各個安全區之間(jian)的隔離(li),在(zai)此特(te)提(ti)(ti)出要(yao)求(qiu)在(zai)安全Ⅲ區與安全Ⅳ區之間(jian)的有效隔離(li),從而限制未經(jing)授(shou)權的訪問、減少跨區風險(xian)傳播、提(ti)(ti)高�����系統(tong�������)的整體安全性。
(6)生產控制區應(ying)當(�����dang)對外(wai)設接(jie)入行為(wei)�����進行管(guan)控(27號令第十三條內容新增)。
本條款強調在電力(li)監(jian)(jian)控(kong)(kong)系(xi)統生產控(kong)(kong)制區(qu)應(ying)采取外設接(jie)入行為的(de)管(guan)控(kong)(kong)措施,以降低(di)������內部攻(gong)擊的(de)風險以及防止數據泄露等情況發生。據調研,目前大部分電力(li)監(jian)(jian)控(kong)(kong)系(xi)統未對移(yi)動介(jie)質的(de)使用(yong)采取有效(xiao)的(de)管(guan)理措施,一旦出現由(you)于移(yi)動介(jie)質的(de)濫用(yong)導致(zhi)的(de)病毒(du)感染事件,可能導致(zhi)關(guan)鍵(jian)生產系(xi)統的(de)中(zhong)斷(duan),嚴(yan)重(zhong)影響生產效(xiao)率和業務連續性。
(7)電力監控系(xi)統投運(yun)前(qian)應(yi��������ng)當(dang)進行安全(quan)加固(27號令第十(shi)六條(tiao)內容新增)。
本條������(tiao)款強(qiang)調在電(dian)力監控(kong)系(xi)統(tong)投運前,必須采取額(e)外的安全措施(shi),增強(qiang)系(xi)統(tong)的安全性,包括主機加(jia)(jia)固、系(xi)統(tong)加(jia)(jia)固等。
(8)運(yun)營(ying)者應當建立(li)網(wang)絡(luo)安全監(jian)測預警機制,建設基于內置探針等的網(wang)絡(luo)安全監(jian)測手段,實(shi)時監(jian)視分析(xi)電力監(jian)控系(xi)統網(wang)絡(luo)安全運(yun)行狀(zhuang)態及(ji)可(ke)疑(yi)行為告(�����gao)警(27號令第十(shi)七(qi)條內容新(xin)增)。
本條款指(zhi)的是運營者需建立一套全(quan)面的監控(kong)系統,通(tong)過技(ji)術手段實(shi)(shi)時(shi)跟(gen)蹤(zong)電力監控(kong)系統的網(wang)絡安全(quan)狀態,通(tong)過分析(xi)實(shi)(shi)時(shi)數據,判斷當前系統�����的安全(quan)性(xing),發現(xian)潛(qian)在的安全(quan)事件和風險并發出預警。
(9)運營者在電力監控(kong)系統(tong)規劃設����計、建設�������運營過(guo)程中, 應(ying)當保證網絡安全技術措施同步(bu)(bu)規劃、 同步(bu)(bu)建設、 同步(bu)(bu)使用(yong)(27號令(ling)第十九條(tiao)內容(rong)新增(zeng))。
本條款強(qiang)化了電力監控系統運(yun)營者在(zai)規劃(hua)設(she)計�����、建設(she)運(yun)營過程中開(kai)展網絡安(an)全建設(she)“三(san)同步(bu)”的要求。
(10)省(sheng)級(ji)及(ji)以上電力調(diao)度機構(gou)應當定(ding)期將(jiang)調(diao)管范圍內電力監控(kong)系 統安全防護評估和整改情況�������報國家能源局(ju)及(ji)其������派出機構(gou)(27號令二十一條內容新增(zeng))。
本條款明(mi����ng)確提出了:“省級及(ji)以上電力調度機構(gou)(gou)應當定期將調管范圍內(nei)電力監控系統安全防護評估和(he)整改情況報國家能源局及(ji)其派出機構(gou)(gou)的要求”。
(11)運營(ying)者應當以合同條(tiao)款的(de)(de)方式要求電力監控(kong)系統(tong)供應商保(bao)證(zheng):提供的(de)(de)產品(pin)和(he)服務未設(she)置惡意(yi)程序、不存(cun)在已(yi)知(zhi)安(an)全缺陷(xian)和(he)漏(lou)洞,并在產品��������(pin)和(he)服務的(de)(de)全生命周期(qi)內(nei)負責;當產品(pin)和(he)服務存(cun)在安(an)全缺陷(xian)、漏(lou)洞等風(feng)險(xian)時(shi),立即(ji)采取補(bu)救措施,并及時(shi)告(gao)知(zhi)運營(y�����ing)者;當存(cun)在重大漏(lou)洞隱患時(shi),及時(shi)向國家能源(yuan)局及其派出機構報告(gao)(27號令二十二條(tiao)內(nei)容新(xin)增)。
本條款引入供(gong)(gong)(gong)應(ying)鏈安全(quan)(quan)管理的(de)(de)(de)相關內(nei)容,要求(qiu)運營(ying)者(zhe)通過(guo)(guo)合同(tong)條款明確供(gong)(gong)(gong)應(ying)商(shang)(shang)(shang)的(de)(de)(de)安全(quan)(quan)責任。包括了供(gong)(gong)(gong)應(ying)商(shang)(shang)(shang)提供(gong)(gong)(gong)的(de)(de)(de)產(chan)品(pin)無(wu)惡(e)(e)意(yi)程序:供(gong)(gong)(gong)應(ying)商(shang)(shang)(shang)提供(gong)(gong)(gong)的(de)(de)(de)產(chan)品(pin)和服(fu)務(wu)(wu)無(wu)病(bing)毒、后門等惡(e)(e)意(yi)程序對電力監控系統的(de)(de)(de)安全(quan)(quan)性(xing)造成嚴(yan)重威(wei)脅,避(bi)免數(shu)據泄露、系統崩潰(kui)以及惡(e)(e)意(yi)遠(yuan)程控制(zhi)等情況發生;無(wu)已(yi)(yi)知的(de)(de)(de)安全(quan)(quan)漏洞或缺陷:供(gong)(gong)(gong)應(ying)商(shang)(shang)(shang)提供(gong)(gong)(gong)的(d�������e)(de)(de)產(chan)品(pin)和服(fu)務(wu)(wu)已(yi)(yi)經過(guo)(guo)正規檢測機構對已(yi)(yi)知漏洞或缺陷的(de)(de)(de)安全(quan)(quan)檢測,并在發現漏洞時(shi)可以及時(shi)修復(fu);在產(chan)品(pin)和服(fu)務(wu)(wu)的(de)(de)(de)全(quan)(quan)生命周期內(nei)負責:要求(qiu)供(gong)(gong)(gong)應(ying)商(shang)(shang)(shang)不僅需保(bao)證在產(chan)品(pin)交付(fu)時(shi)的(de)(de)(de)安全(quan)(quan)性(xing)也要保(bao)證在其使(shi)用過(guo)(guo)程中(zhong)的(de)(de)(de)穩定性(xing),如在使(shi)用過(guo)(guo)程中(zhong)無(wu)新的(de)(de)(de)已(yi)(yi)知漏洞,且需及時(shi)提供(gong)(gong)(gong)漏洞修復(fu)和安全(quan)(quan)升級服(fu)務(wu)(wu)。
(12)在(zai)應急措(cuo)施方面,27號令(li�����ng)在(zai)第二十八(ba)條明確(que)提出了(le)建(jian)立系統備用(yong)和恢(hui)復機制的要求,以確(que)保電(dian)力監控(kong)系統在(zai)面對故障、攻擊或突發情況(kuang)時(shi),能夠迅速恢(hui)復并繼續��������(xu)正常運行。
(13)在第(di)三����十條,明確了(le)電(dian)力調度(du)機構、運營者的監督管(guan)理責任;明確了(le)電(dian)力監控系(xi)統網絡安全技術監督管(guan)理辦法是(shi)由(you)國(guo)家能源局負責制(zhi)定(ding)。
(14)在(zai)第三十一(yi)條、三十二條,明確了�����(le)對(dui)運營者(zhe)違規的(de)定量處(chu)罰細則(ze),明確處(chu)罰金額(e)。
其中(zhong),對(dui)電力(li)�����監控系(xi)統運營(ying)者(zhe)未(wei)按照以下等要求(qiu)執(zhi)行網(wang)絡(luo)安全防(fan�������g)護工(gong)作,給(gei)出了明確處(chu)罰機(ji)制:
(一)未采取安全分(fen)區、邊界(jie)防(fang)護�����等防(fang)范(�������fan)計算(suan)機病毒(du)和網絡(luo)攻擊、網絡(luo)侵(qin)入(ru)等危害網絡(luo)安全行為的技術措施;
(二)未采取網絡安(an)(a�����n)全監測(ce)預警等技(ji)術措(cuo)施監測(ce)、記錄網絡運(yun)行狀態(tai)、網絡安(an)(an)全事������件(jian)。
《國家(jia)能源局-電�������(dian)力監控系統安(an)全防(fang)護規定-27號令(ling)-點(dian)擊下載原文件》
免責聲明
本文檔提供有關 《電力監控系(xi)統安全防護規定》解(jie)讀(du):從14個政策(ce)更新細節理解(ji�������e)27號(hao)令 的信息,本文檔未授予任何知識產權的許可,并未以明示或暗示,或以禁止發言或其它方式授予任何知識產權許可。除在其產品的銷售條款和條件聲明的責任之外, 我公司概不承擔任何其它責任。
文(wen)中部分素(su)材來(lai)源(yuan)于網絡,如有侵權請聯系。
