7月25日,國家發改委釋出關於向社會公開征求【電力監控系統安全防護規定】(公開征求意見稿)。
以下為原文
國家發展改革委關於向社會公開征求【電力監控
系統安全防護規定】(公開征求意見稿)
意見的公告
為完善電力監控系統網路安全技術防護體系,提升電力監控系統安全防護水平,我們組織修訂了【電力監控系統安全防護規定】(中華人民共和國國家發展改革委員會2014年第14號令),形成【電力監控系統安全防護規定】(公開征求意見稿),現向社會公開征求意見。
此次公開征求意見的時間為2024年7月25日至2024年8月24日。請登陸國家發展改革委入口網站(http://www.ndrc.gov.cn )首頁「互動交流」板塊,進入「意見征求」專欄,提出意見建議並說明理由。
感謝您的參與和支持!
附件:
1.【電力監控系統安全防護規定】(公開征求意見稿)
2.【電力監控系統安全防護規定】( 公開征求意見稿)修訂說明
國家發展改革委
2024年7月25日
附件1
【電力監控系統安全防護規定】
(公開征求意見稿)
第一章 總則
第一條 【目的依據】為了強化電力監控系統安全防護,保障電力系統安全穩定執行,根據【中華人民共和國網路安全法】【中華人民共和國密碼法】【電力監管條例】【中華人民共和國電腦資訊系統安全保護條例】【關鍵資訊基礎設施安全保護條例】和國家有關規定,結合電力監控系統的實際情況,制定本規定。
第二條 【電力監控系統定義】本規定所稱電力監控系統,是指用於監視、控制和管理電力生產及供應過程的、基於電腦及網路技術的業務系統及裝置,以及作為基礎支撐的通訊設施及數據網路等。
第三條 【適用範圍】本規定適用於中華人民共和國境內的電力監控系統營運者以及與其相關的規劃設計、研究開發、產品制造、施工建設、安裝偵錯等單位。
第四條 【體系原則】電力監控系統安全防護應當落實國家網路安全等級保護制度和關鍵資訊基礎設施安全保護制度,堅持「安全分區、網路專用、橫向隔離、縱向認證」結構安全原則,強化安全免疫、態勢感知、動態評估和備用應急措施,構建持續發展完善的防護體系。
第二章 安全技術
第五條 【安全分區一】電力監控系統應當實施分區防護,防護區域按照安全等級從高到低劃分為生產控制區(可以分為即時監控區和輔助監控區,又稱為安全Ⅰ區和安全Ⅱ區)、執行管理區(安全Ⅲ區)和安全接入區。不同電力監控系統的生產控制區可分別獨立設定。
第六條 【安全分區二】電力監控系統各業務模組應當根據功能和安全等級要求部署。對電力一次系統(裝置)進行即時監控的業務模組應當按照安全Ⅰ區防護要求部署;與安全Ⅰ區的業務模組互動緊密,對電力生產和供應影響較大但不直接實施控制的業務模組應當按照不低於安全Ⅱ區防護要求部署;與電力生產和供應相關,實作執行指揮、分析決策的業務模組應當按照不低於安全Ⅲ區防護要求部署。
其他基於電腦及網路技術的經營管理類業務系統及裝置的分區,不應當降低電力監控系統安全防護強度。
第七條 【安全分區三】部署在生產控制區的業務模組與終端聯接使用非電力監控專用網路(如公用有線通訊網路、無線通訊網路、營運者其他數據網等)通訊或終端不具備物理存取控制條件的,網路及終端按照安全接入區防護要求部署。部署在生產控制區的業務模組之間互聯原則上應當由電力監控專用網路承載,確實無法采用電力監控專用網路的,應當在兩側分別設立安全接入區。
第八條 【安全分區四】根據實際情況,在滿足總體安全要求的前提下,可以簡化安全區的設定,低安全等級業務模組可就高放置於高安全等級區域,但是應當避免形成不同安全區的縱向交叉聯接。
第九條 【網路專用】生產控制區應當使用電力監控專用網路。電力監控專用網路應當在專用通道上使用專用的網路裝置組網,在實體層面上實作與營運者其他數據網及外部公用數據網的安全隔離。
電力監控專用網路劃分為邏輯隔離的即時子網路和非即時子網路,分別連線安全Ⅰ區和安全Ⅱ區。
第十條 【橫向隔離一】生產控制區與執行管理區、安全接入區之間的聯接處應當設定電力專用橫向單向安全隔離裝置。
第十一條 【橫向隔離二】安全Ⅰ區與安全Ⅱ區之間、執行管理區與其他非電力監控系統防護區域之間、安全接入區與其他非電力監控系統防護區域之間的聯接處應當設定具有存取控制功能的裝置、防火墻或者相當功能的邏輯隔離設施。
第十二條 【縱向認證】在生產控制區與廣域網路的聯接處應當設定電力專用縱向加密認證裝置或者加密認證閘道器,實作網路層加密認證。
第十三條 【電力排程認證機制】電力排程機構應當依照電力排程管理體制建立基於電子證書等技術的分布式電力排程認證機制。生產控制區處理重要業務過程中應當采用套用層端到端加密認證機制,其中與電力排程機構互動業務數據應當納入電力排程認證機制,保障數據傳輸的完整性和真實性。
第十四條 【生產控制區】生產控制區應當具有高安全性和高可靠性,禁止采用安全風險高的通用網路服務功能,禁止選用具有無線通訊功能的產品,禁止違規外聯。
生產控制區重要業務應當優先采用可信驗證措施實作安全免疫。
第十五條 【安全接入區】安全接入區應當設定負責轉發采集與控制報文的通訊代理模組,通訊代理模組與終端之間的通訊應當采用加密認證措施。業務模組經安全接入區與終端之間傳輸控制指令等重要數據時,應當與終端進行端到端的身份認證。
安全接入區內應當簡化功能配置,禁止儲存重要數據,並使用可信驗證措施加強通訊代理模組保護。
第十六條 【通用技術要求-網路服務】電力監控系統各分區邊界應當采取必要的安全防護措施,禁止任何穿越生產控制區與其他網路區域之間邊界的通用網路服務。
第十七條 【通用技術要求-裝置選型與安全加固】電力監控系統優先選用安全可信的產品和服務。禁止選用三年內經國家相關管理部門檢測認定並經國家能源局通報存在漏洞或風險的產品和服務,或通報後未整改的產品和服務。
電力監控系統投運前應當進行安全加固,對於已經投入執行且存在漏洞或風險的系統及裝置,應當按照國家能源局及其派出機構的要求及時進行整改,同時應當加強相關系統及裝置的執行管理和安全防護。
第十八條 【通用技術要求-態勢感知】營運者應當建立網路安全監測預警機制,建設基於內建探針等的網路安全監測手段,即時監視分析電力監控系統網路安全執行狀態。與排程數據網相連的電力監控系統,其網路安全執行狀態資訊應當同步傳送至相應電力排程機構。監視過程中應當避免對原始安全數據的重復采集。
第三章 安全管理
第十九條 【管理機制】電力監控系統安全防護是電力安全生產管理體系的有機組成部份。營運者是電力監控系統安全防護的責任主體,其主要負責人對電力監控系統安全防護負總責。營運者應當按照「誰主管誰負責,誰營運誰負責」的原則,建立健全電力監控系統安全防護管理制度,將電力監控系統安全防護工作及其資訊報送納入日常安全生產管理體系,落實分級負責的責任制。
第二十條 【三同步要求】營運者在電力監控系統規劃設計、建設營運過程中,應當保證網路安全技術措施同步規劃、同步建設、同步使用。
第二十一條 【安全防護方案】營運者在電力監控系統規劃設計階段,應當制定電力監控系統安全防護方案並透過本單位電力監控系統網路安全管理部門以及相應電力排程機構稽核,系統投運前應當完成方案實施並透過本單位電力監控系統網路安全管理部門驗收。
接入電力排程數據網路的系統及裝置,其接入技術方案和安全防護措施必須經相應電力排程機構稽核同意。
需要設立安全接入區的電力監控系統,應當在安全防護方案中對接入物件規模進行評估,避免單個安全接入區接入規模過大,可按業務、地域分別設立安全接入區。
第二十二條 【安全防護評估】健全電力監控系統安全防護評估制度,采取以自評估為主、檢查評估為輔的方式,將電力監控系統安全防護評估納入電力系統安全評價體系。
省級及以上電力排程機構應當定期將調管範圍內電力監控系統安全防護評估情況報國家能源局及其派出機構。
第二十三條 【供應商管理】營運者應當以合約條款的方式要求電力監控系統供應商保證其所提供的產品和服務未設定惡意程式、不存在已知安全缺陷和漏洞,並在全生命周期內對其負責。當產品和服務存在安全缺陷、漏洞等風險時,供應商應當立即采取補救措施,並及時告知營運者。當存在重大漏洞隱患時,營運者及有關供應商應當及時向國家能源局及其派出機構報告。
第二十四條 【專用安全產品一】電力監控系統專用安全產品應當采用統一的技術路線。
國家電力排程控制中心牽頭,中國南方電網電力排程控制中心,國網華北、華東、華中、東北、西北等區域電力排程機構和主要電力企業參與,組建電力監控系統專用安全產品管理工作機制(以下簡稱工作機制),負責電力監控系統專用安全產品管理,統籌解決重大問題,保障電力監控系統專用安全產品安全可控。
第二十五條 【專用安全產品二】工作機制嚴格落實有關政策法規要求,制定工作章程,動態維護電力監控系統專用安全產品目錄及技術規範,組織並推動安全認證和安全檢測,督促營運者及相關單位落實供應鏈安全管控措施,組織開展電力監控系統專用安全產品風險評估,對存在安全風險的電力監控系統專用產品進行通報。
第二十六條 【專用安全產品三】工作機制於每年11月1日向國家能源局報告工作開展情況,包括但不限於:工作章程制修訂情況,電力監控系統專用安全產品目錄及技術規範制修訂情況,安全認證和安全檢測工作開展情況,營運者專用安全產品管理情況,風險評估及通報情況等。
第二十七條 【專用安全產品四】營運者應當選用經工作機制組織檢測認證合格的電力監控系統專用安全產品,不得選用經工作機制通報存在供應鏈安全風險的產品。營運者對專用安全產品的采購、執行、退休等全過程安全管理負責。
第二十八條 【保密要求】電力監控系統安全防護方案、安全測試評估報告和漏洞隱患細節等有關資料應當按國家有關要求做好保密工作。工作機制和營運者等應當按國家有關要求做好保密工作,禁止關鍵技術和產品的擴散。
第四章 應急措施
第二十九條 【備用恢復】重要電力監控系統應當建立系統備用和恢復機制,對重要裝置冗余配置,對重要數據定期備份,並定期進行恢復性測試,支撐系統故障的快速處理和恢復,保障電力監控系統業務連續性。
第三十條 【聯防應急】健全電力監控系統安全的聯合防護和應急機制,制定應急預案並定期開展演練。電力排程機構負責統一指揮排程範圍內的電力監控系統安全應急處置,定期組織聯合演練。
當遭受網路攻擊,生產控制區的電力監控系統出現異常或者故障時,營運者應當立即啟動應急預案,向相應電力排程機構以及當地國家能源局派出機構報告,並聯合采取緊急防護措施,防止事態擴大,同時註意保護現場,以便進行調查和溯源取證。
第五章 監督管理
第三十一條 【監督管理機制】國家能源局負責制定電力監控系統安全防護相關管理和技術規範,國家能源局及其派出機構依法對電力監控系統安全防護工作進行監督管理。
營運者應當建立本單位電力監控系統安全防護技術監督體系,全方位開展技術監督工作。電力排程機構對直接排程範圍內的下一級電力排程機構、變電站(換流站)、發電廠(站)涉網部份的電力監控系統安全防護進行技術監督。電力排程機構協助國家能源局及其派出機構對電力監控系統安全防護進行技術監督。電力監控系統網路安全技術監督管理辦法由國家能源局制定。
第三十二條 【違規事項罰則】營運者有下列情形之一的,由國家能源局及其派出機構責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款,涉及關鍵資訊基礎設施的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款:
(一)未采取安全分區、邊界防護等防範電腦病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(二)未采取網路安全監測預警等技術措施監測、記錄網路執行狀態、網路安全事件;
(三)在發生危害網路安全的事件時,未按規定及時報告。
第三十三條 【阻礙監督罰則】營運者拒絕、阻礙國家能源局及其派出機構依法實施的監督檢查或依照本規定委托電力排程機構組織開展的主體涉網部份電力監控系統安全防護技術監督的,由國家能源局及其派出機構責令改正;拒不整改或情節嚴重的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款。
第三十四條 【風險處置措施】電力排程機構在技術監督過程中發現被監督電力監控系統存在重大安全風險時,可采取斷開其數據網路連線、斷開其電力一次裝置連線等措施管控安全風險。
第三十五條 【其他違規處罰】對於其他不符合本規定要求的,由國家能源局及其派出機構責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,由國家能源局及其派出機構依法依規予以處罰。
第三十六條 【事故調查處理】對於因違反本規定,造成電力監控系統故障的,由其上級單位按相關規程規定進行處理;導致電力裝置事故或者造成電力安全事故(事件)的,按國家有關事故(事件)調查規定進行處理。
第六章 附 則
第三十七條 【術語定義】本規定下列用語的含義或範圍:
(一)電力監控系統
電力監控系統包括但不限於實作繼電保護和安全自動控制、排程監控、變電站(換流站)監控、發電廠監控、新能源發電監控、分布式電源監控、儲能電站監控、虛擬電廠監控、配電自動化、變電站集控、發電集中監視、發電機勵磁和調速、電力現貨市場交易、直流控制保護、負荷監控、計費控制、執行指揮、分析決策等功能的系統,以及支撐以上功能的通訊設施、數據網路及配套網管系統。
(二)電力監控系統營運者,是指電力監控系統的所有者、管理者和服務提供者。
(三)電力監控專用網路,是指為電力生產服務的專用廣域數據網路、專用區域網路絡以及專用通訊路線等,如排程數據網(各級電力排程專用廣域數據網路)、發電企業集中監視中心與電廠之間的專用數據網路、排程自動化和廠站自動化的專用區域網路、繼電保護和安全自動裝置使用的專用通訊通道等。
(四)物理存取控制條件,是指電力監控系統所處的物理環境出入口安排專人值守或配置電子門禁系統,能夠鑒別和控制人員接觸。
第三十八條 【規定時效】本規定自2024年x月x日起施行。2014年8月1日國家發展改革委公布的【電力監控系統安全防護規定】(國家發展改革委2014年第14號令)同時廢止。
附件2
【電力監控系統安全防護規定】(公開征求意見稿)
修訂說明
為全面貫徹落實黨的二十大精神,適應新型能源體系建設要求,完善電力監控系統網路安全技術防護體系,進一步提升電力監控系統安全防護水平,國家發展改革委對【電力監控系統安全防護規定】(以下簡稱【規定】)進行了修訂。有關情況說明如下。
一、修訂背景及過程
原【規定】於2014年釋出,對電力監控系統網路安全防護工作發揮了重要作用。近年來,有關法律法規政策陸續釋出或修訂,國家對網路安全工作有了新的要求。同時,在新能源占比不斷提高的新型電力系統建設背景下,新業務形態和執行模式湧現,給電力監控系統安全防護帶來了一系列新的風險挑戰。
為做好【規定】修訂,國家發展改革委會同有關方面認真總結現行【規定】實施情況,廣泛聽取部門、行業協會、專家及企業意見。在充分吸納各方面意見基礎上對【規定】作了修訂完善,形成【規定】(公開征求意見稿)。
二、修訂的總體考慮
(一)修訂原則。一是堅持依法合規。全面深入研究國家、行業政策法規和標準規範,依據【網路安全法】【密碼法】【關鍵資訊基礎設施安全保護條例】等法律法規及國家政策要求,完善電力監控系統網路安全防護體系,確保國家有關要求落實到位。二是堅持問題導向。針對近年來電力監控系統安全防護工作實踐中暴露出來的一些新問題,完善相關條款表述,補充針對性的技術和管理要求。三是堅持守正創新。針對新型電力系統發展對現有網路安全體系帶來的新風險、新要求,在堅持「安全分區、網路專用、橫向隔離、縱向認證」原則的基礎上,進一步最佳化電力監控系統物件和業務範疇,技術防護原則與措施,構建與之適應的新型安全防護體系。
(二)修訂主要內容。一是明確電力監控系統的物件和業務範疇,將電力監控系統的範圍由羅列典型系統名稱改為按系統功能描述的形式進行列舉,同時明確電力監控系統營運者等相關適用物件。二是最佳化安全分區要求,調整安全區名稱,細化分區保護粒度,強化安全接入區設定及防護要求。三是深化技術防護原則與策略,補充了業務橫縱向互動、裝置選型、安全加固、態勢感知等技術要求,以及應急備用等管理措施。四是強化供應鏈管理,明確電力監控系統專用安全產品的管理機制。五是進一步最佳化技術監督管理,明確電力監控系統營運者和電力排程機構的技術監督要求,增加技術監督風險管控措施。六是細化了罰則。
(三)【規定】整體框架結構。【規定】分為六章38條。包括總則、安全技術、安全管理、應急措施、監督管理、附則。
訊息來源:高價發改委網站
End
歡迎分享給你的朋友!
出品 | 中國能源報(ID:cnenergy)
編輯丨閆誌強
