為貫徹落實(shí)黨的二十屆三中全會(huì)精神����,深化能源管理體制改革�����,完善電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)體系���,近日���,國(guó)家發(fā)展改革委頒布了新修訂的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(國(guó)家發(fā)展改革委2024年第27號(hào)令�����,以下簡(jiǎn)稱《規(guī)定》)���,自2025年1月1日起施行,原《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(國(guó)家發(fā)展改革委2014年第14號(hào)令)同時(shí)廢止��。
1����、《規(guī)定》修訂背景是什么?
原《規(guī)定》于2014年發(fā)布�,是指導(dǎo)全國(guó)電力行業(yè)開展電力監(jiān)控系統(tǒng)安全防護(hù)的基本法規(guī),與電力安全生產(chǎn)工作密切相關(guān)��,對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作發(fā)揮了重要作用�。近年來���,有關(guān)法律法規(guī)政策陸續(xù)發(fā)布或修訂����,國(guó)家對(duì)網(wǎng)絡(luò)安全工作有了新的要求。同時(shí)�,新型電力系統(tǒng)建設(shè)背景下,新業(yè)務(wù)形態(tài)和運(yùn)行模式涌現(xiàn)���,電力監(jiān)控系統(tǒng)安全防護(hù)體系亟需健全完善����。
2�����、《規(guī)定》修訂原則是什么�?
《規(guī)定》修訂過程中突出三方面原則。一是堅(jiān)持依法合規(guī)�����。確?!毒W(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)和黨中央國(guó)務(wù)院有關(guān)要求落實(shí)到位。二是堅(jiān)持問題導(dǎo)向����。針對(duì)近年來電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全工作實(shí)踐中暴露出來的電力監(jiān)控系統(tǒng)定義模糊�����、安全接入?yún)^(qū)防護(hù)強(qiáng)度不足���、專用安全產(chǎn)品管理流程有待優(yōu)化、行政執(zhí)法依據(jù)不足等問題�,及新型電力系統(tǒng)接入主體更多樣、邊端分布更廣泛����、交互方式更豐富等特征帶來的新風(fēng)險(xiǎn),針對(duì)性補(bǔ)充技術(shù)和管理要求�����。三是堅(jiān)持守正創(chuàng)新���。在堅(jiān)持“安全分區(qū)�、網(wǎng)絡(luò)專用�����、橫向隔離���、縱向認(rèn)證”十六字原則的基礎(chǔ)上�,進(jìn)一步明確電力監(jiān)控系統(tǒng)范圍����,提出強(qiáng)化措施,優(yōu)化管理體系�。
3、《規(guī)定》主要修訂內(nèi)容有哪些���?
本次修訂對(duì)原《規(guī)定》做了多方的修改��,并新增13條�,修訂后共六章37條���。主要做了以下調(diào)整和完善���。
一是明確電力監(jiān)控系統(tǒng)范圍,將羅列典型系統(tǒng)名稱改為列舉功能��。
二是優(yōu)化安全分區(qū)要求��,在堅(jiān)持原分區(qū)策略的基礎(chǔ)上,調(diào)整原《規(guī)定》闡述邏輯及表述���。
三是強(qiáng)化安全接入?yún)^(qū)防護(hù)要求��,明確安全接入?yún)^(qū)加密認(rèn)證��、安全監(jiān)測(cè)等技術(shù)要求�。
四是強(qiáng)化技術(shù)防護(hù)措施�,在堅(jiān)持十六字原則的基礎(chǔ)上,補(bǔ)充安全免疫��、態(tài)勢(shì)感知���、動(dòng)態(tài)評(píng)估和備用應(yīng)急措施�。
五是定義電力監(jiān)控專用網(wǎng)絡(luò)��,明確承載電力監(jiān)視和控制業(yè)務(wù)的專用廣域數(shù)據(jù)網(wǎng)絡(luò)���、專用局域網(wǎng)絡(luò)以及專用通信線路屬于電力監(jiān)控專用網(wǎng)絡(luò)范疇�����。
六是強(qiáng)化供應(yīng)鏈及電力監(jiān)控系統(tǒng)專用安全產(chǎn)品管理�����,明確運(yùn)營(yíng)者應(yīng)當(dāng)以合同條款的方式對(duì)電力監(jiān)控系統(tǒng)供應(yīng)商提出安全要求�,明確由國(guó)家電力調(diào)度控制中心牽頭組建電力監(jiān)控系統(tǒng)專用安全產(chǎn)品管理委員會(huì)���。
七是優(yōu)化技術(shù)監(jiān)督管理����,明確不同主體技術(shù)監(jiān)督的工作要求��,增加技術(shù)監(jiān)督過程中風(fēng)險(xiǎn)管控措施���。
八是細(xì)化罰則�。
4�����、電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定27號(hào)令對(duì)比14號(hào)令的14條更新
?���。?)法律依據(jù)更新:相比于14號(hào)令僅引用《電力監(jiān)管條例》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等���,27號(hào)令更新《中華人民共和國(guó)網(wǎng)絡(luò)安全法》�����、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)作為制定依據(jù)��,進(jìn)一步提升了規(guī)定的法律效力����,并將電力監(jiān)控系統(tǒng)安全防護(hù)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的框架之下,其戰(zhàn)略意義顯著提升��。
?��。?)適用范圍擴(kuò)展:27號(hào)令的適用范圍在14號(hào)令基礎(chǔ)上��,不再局限于發(fā)電企業(yè)�����、電網(wǎng)企業(yè)及其相關(guān)單位�,而是覆蓋所有電力監(jiān)控系統(tǒng)運(yùn)營(yíng)者及相關(guān)單位��,進(jìn)一步明確安全管理責(zé)任�。
?����。?)安全防護(hù)原則擴(kuò)展:新增“安全免疫�、態(tài)勢(shì)感知����、動(dòng)態(tài)評(píng)估和備用應(yīng)急措施”作為電力監(jiān)控系統(tǒng)安全防護(hù)的原則���。
?��。?)安全分區(qū)進(jìn)一步明確,新規(guī)定將電力監(jiān)控系統(tǒng)分為生產(chǎn)控制區(qū)(安全Ⅰ區(qū)和安全Ⅱ區(qū))和管理信息區(qū)(安全Ⅲ區(qū)和安全Ⅳ區(qū))����,而2014年的規(guī)定只提到了生產(chǎn)控制大區(qū)和管理信息大區(qū)。
?����。?)安全Ⅲ區(qū)與安全Ⅳ區(qū)之間當(dāng)設(shè)置具有訪問控制功能的設(shè)備��、防火墻或者相當(dāng)功能的邏輯隔離設(shè)施(27號(hào)令第十條內(nèi)容新增)���。
本條款目的是需要通過訪問控制等手段����,確保電力監(jiān)控系統(tǒng)內(nèi)各個(gè)安全區(qū)之間的隔離,在此特提出要求在安全Ⅲ區(qū)與安全Ⅳ區(qū)之間的有效隔離����,從而限制未經(jīng)授權(quán)的訪問、減少跨區(qū)風(fēng)險(xiǎn)傳播��、提高系統(tǒng)的整體安全性�。
(6)生產(chǎn)控制區(qū)應(yīng)當(dāng)對(duì)外設(shè)接入行為進(jìn)行管控(27號(hào)令第十三條內(nèi)容新增)����。
本條款強(qiáng)調(diào)在電力監(jiān)控系統(tǒng)生產(chǎn)控制區(qū)應(yīng)采取外設(shè)接入行為的管控措施,以降低內(nèi)部攻擊的風(fēng)險(xiǎn)以及防止數(shù)據(jù)泄露等情況發(fā)生����。據(jù)調(diào)研,目前大部分電力監(jiān)控系統(tǒng)未對(duì)移動(dòng)介質(zhì)的使用采取有效的管理措施�,一旦出現(xiàn)由于移動(dòng)介質(zhì)的濫用導(dǎo)致的病毒感染事件,可能導(dǎo)致關(guān)鍵生產(chǎn)系統(tǒng)的中斷��,嚴(yán)重影響生產(chǎn)效率和業(yè)務(wù)連續(xù)性���。
?。?)電力監(jiān)控系統(tǒng)投運(yùn)前應(yīng)當(dāng)進(jìn)行安全加固(27號(hào)令第十六條內(nèi)容新增)。
本條款強(qiáng)調(diào)在電力監(jiān)控系統(tǒng)投運(yùn)前����,必須采取額外的安全措施,增強(qiáng)系統(tǒng)的安全性�,包括主機(jī)加固、系統(tǒng)加固等�。
(8)運(yùn)營(yíng)者應(yīng)當(dāng)建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制�,建設(shè)基于內(nèi)置探針等的網(wǎng)絡(luò)安全監(jiān)測(cè)手段���,實(shí)時(shí)監(jiān)視分析電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運(yùn)行狀態(tài)及可疑行為告警(27號(hào)令第十七條內(nèi)容新增)�����。
本條款指的是運(yùn)營(yíng)者需建立一套全面的監(jiān)控系統(tǒng)�,通過技術(shù)手段實(shí)時(shí)跟蹤電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)����,通過分析實(shí)時(shí)數(shù)據(jù),判斷當(dāng)前系統(tǒng)的安全性��,發(fā)現(xiàn)潛在的安全事件和風(fēng)險(xiǎn)并發(fā)出預(yù)警。
?。?)運(yùn)營(yíng)者在電力監(jiān)控系統(tǒng)規(guī)劃設(shè)計(jì)、建設(shè)運(yùn)營(yíng)過程中����, 應(yīng)當(dāng)保證網(wǎng)絡(luò)安全技術(shù)措施同步規(guī)劃、 同步建設(shè)�����、 同步使用(27號(hào)令第十九條內(nèi)容新增)�����。
本條款強(qiáng)化了電力監(jiān)控系統(tǒng)運(yùn)營(yíng)者在規(guī)劃設(shè)計(jì)��、建設(shè)運(yùn)營(yíng)過程中開展網(wǎng)絡(luò)安全建設(shè)“三同步”的要求�����。
?��。?0)省級(jí)及以上電力調(diào)度機(jī)構(gòu)應(yīng)當(dāng)定期將調(diào)管范圍內(nèi)電力監(jiān)控系 統(tǒng)安全防護(hù)評(píng)估和整改情況報(bào)國(guó)家能源局及其派出機(jī)構(gòu)(27號(hào)令二十一條內(nèi)容新增)���。
本條款明確提出了:“省級(jí)及以上電力調(diào)度機(jī)構(gòu)應(yīng)當(dāng)定期將調(diào)管范圍內(nèi)電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估和整改情況報(bào)國(guó)家能源局及其派出機(jī)構(gòu)的要求”���。
(11)運(yùn)營(yíng)者應(yīng)當(dāng)以合同條款的方式要求電力監(jiān)控系統(tǒng)供應(yīng)商保證:提供的產(chǎn)品和服務(wù)未設(shè)置惡意程序��、不存在已知安全缺陷和漏洞�����,并在產(chǎn)品和服務(wù)的全生命周期內(nèi)負(fù)責(zé)�����;當(dāng)產(chǎn)品和服務(wù)存在安全缺陷����、漏洞等風(fēng)險(xiǎn)時(shí)���,立即采取補(bǔ)救措施����,并及時(shí)告知運(yùn)營(yíng)者��;當(dāng)存在重大漏洞隱患時(shí)����,及時(shí)向國(guó)家能源局及其派出機(jī)構(gòu)報(bào)告(27號(hào)令二十二條內(nèi)容新增)��。
本條款引入供應(yīng)鏈安全管理的相關(guān)內(nèi)容�����,要求運(yùn)營(yíng)者通過合同條款明確供應(yīng)商的安全責(zé)任��。包括了供應(yīng)商提供的產(chǎn)品無惡意程序:供應(yīng)商提供的產(chǎn)品和服務(wù)無病毒��、后門等惡意程序?qū)﹄娏ΡO(jiān)控系統(tǒng)的安全性造成嚴(yán)重威脅���,避免數(shù)據(jù)泄露、系統(tǒng)崩潰以及惡意遠(yuǎn)程控制等情況發(fā)生����;無已知的安全漏洞或缺陷:供應(yīng)商提供的產(chǎn)品和服務(wù)已經(jīng)過正規(guī)檢測(cè)機(jī)構(gòu)對(duì)已知漏洞或缺陷的安全檢測(cè),并在發(fā)現(xiàn)漏洞時(shí)可以及時(shí)修復(fù)���;在產(chǎn)品和服務(wù)的全生命周期內(nèi)負(fù)責(zé):要求供應(yīng)商不僅需保證在產(chǎn)品交付時(shí)的安全性也要保證在其使用過程中的穩(wěn)定性����,如在使用過程中無新的已知漏洞,且需及時(shí)提供漏洞修復(fù)和安全升級(jí)服務(wù)��。
?。?2)在應(yīng)急措施方面,27號(hào)令在第二十八條明確提出了建立系統(tǒng)備用和恢復(fù)機(jī)制的要求�,以確保電力監(jiān)控系統(tǒng)在面對(duì)故障、攻擊或突發(fā)情況時(shí)�,能夠迅速恢復(fù)并繼續(xù)正常運(yùn)行。
?�。?3)在第三十條��,明確了電力調(diào)度機(jī)構(gòu)��、運(yùn)營(yíng)者的監(jiān)督管理責(zé)任��;明確了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)監(jiān)督管理辦法是由國(guó)家能源局負(fù)責(zé)制定�。
(14)在第三十一條���、三十二條,明確了對(duì)運(yùn)營(yíng)者違規(guī)的定量處罰細(xì)則�,明確處罰金額。
其中��,對(duì)電力監(jiān)控系統(tǒng)運(yùn)營(yíng)者未按照以下等要求執(zhí)行網(wǎng)絡(luò)安全防護(hù)工作,給出了明確處罰機(jī)制:
(一)未采取安全分區(qū)��、邊界防護(hù)等防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊���、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施�;
(二)未采取網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警等技術(shù)措施監(jiān)測(cè)����、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件���。
《國(guó)家能源局-電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定-27號(hào)令-點(diǎn)擊下載原文件》
免責(zé)聲明
本文檔提供有關(guān) 《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》解讀:從14個(gè)政策更新細(xì)節(jié)理解27號(hào)令 的信息�,本文檔未授予任何知識(shí)產(chǎn)權(quán)的許可���,并未以明示或暗示��,或以禁止發(fā)言或其它方式授予任何知識(shí)產(chǎn)權(quán)許可�。除在其產(chǎn)品的銷售條款和條件聲明的責(zé)任之外, 我公司概不承擔(dān)任何其它責(zé)任�����。
文中部分素材來源于網(wǎng)絡(luò)��,如有侵權(quán)請(qǐng)聯(lián)系。
