2023電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求

電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求目 次前 言 4引 言 5適用范圍 6規(guī)范性引用文件 6術(shù)語和定義 6關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure 6電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructureofpowerindustry 6縮略語 6安全保護基本原則 7安全保護框架及活動 7安全保護框架 7安全保護活動 8分析識別 9業(yè)務(wù)識別 9資產(chǎn)識別 9風(fēng)險識別 10重大變更 10安全防護 10網(wǎng)絡(luò)安全等級保護 10安全管理制度 11安全管理機構(gòu) 11安全管理人員 11安全通信網(wǎng)絡(luò) 11安全計算環(huán)境 12安全建設(shè)管理 13安全運維管理 13供應(yīng)鏈安全保護 13數(shù)據(jù)安全防護 13檢測評估 149.1制度 149.2方式和內(nèi)容 14監(jiān)測預(yù)警 1510.1制度 1510.2監(jiān)測 1510.3預(yù)警 16主動防御 16收斂暴露面 16攻擊發(fā)現(xiàn)和阻斷 17攻防演練 17威脅情報 17事件處置 1812.1制度 18應(yīng)急預(yù)案和演練 18響應(yīng)和處置 18重新識別 19電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求適用范圍本文件給出了電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護總體原則，規(guī)定了風(fēng)險識別、防護、監(jiān)測預(yù)警、應(yīng)急處置等主要防護環(huán)節(jié)的保護要求。IT規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求GB/T25069-2022信息安全技術(shù)術(shù)語GB/T37138-2018電力信息系統(tǒng)安全等級保護實施指南GB/T36572-2018電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護導(dǎo)則GB/T38318-2019電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估指南術(shù)語和定義GB/T36572-2018界定的以及下列術(shù)語和定義適用于本文件。criticalinformationinfrastructurecriticalinformationinfrastructureofpowerindustry電力行業(yè)中涉及到國家安全、國計民生、公共利益的重要信息系統(tǒng)、通信網(wǎng)絡(luò)安全設(shè)施和數(shù)據(jù)資源等?？s略語下列縮略語適用于本文件。CII：關(guān)鍵信息基礎(chǔ)設(shè)施（CriticalInformationInfrastructure）CBI：關(guān)鍵業(yè)務(wù)信息（CriticalBusinessInformation）IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）IDC：互聯(lián)網(wǎng)數(shù)據(jù)中心(InternetDataCenter)DNS：域名系統(tǒng)(DomainNameSystem)APT：高級持續(xù)性威脅（AdvancedPersistentThreat）VPN：虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)安全保護基本原則————————————安全保護框架及活動安全保護框架電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護框架如圖所示。1電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護框架安全保護活動GB/T39204-2022GB/T22239相應(yīng)級別要求的分析識別業(yè)務(wù)識別電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)：（CBI）梳理和CII要素確定四個的流程步驟，輸出關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)信息化描述文檔，描述關(guān)鍵業(yè)務(wù)集成情況、關(guān)鍵業(yè)務(wù)信息化情況、關(guān)鍵業(yè)務(wù)信息描述以及CII關(guān)鍵要素等內(nèi)容；識別本組織的關(guān)鍵業(yè)務(wù)及其所依賴的關(guān)鍵信息基礎(chǔ)設(shè)施，并明確關(guān)鍵信息基礎(chǔ)設(shè)施的范圍分資產(chǎn)識別電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)參照GB/T20984-2022，識別關(guān)鍵業(yè)務(wù)鏈所依賴的資產(chǎn)：確定資產(chǎn)分類方法并進行資產(chǎn)識別，例如，根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、服務(wù)、信息系統(tǒng)、平臺或支撐系統(tǒng)、基礎(chǔ)設(shè)施及人員等；圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù)，進行資產(chǎn)業(yè)務(wù)承載性識別和資產(chǎn)關(guān)聯(lián)性識別；采用資產(chǎn)管理相關(guān)技術(shù)工具，實現(xiàn)資產(chǎn)數(shù)據(jù)的統(tǒng)一管理，為安全防護、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置等活動開展提供數(shù)據(jù)或業(yè)務(wù)接口。風(fēng)險識別電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)參照GB/T20984，圍繞關(guān)鍵業(yè)務(wù)鏈進行以下活動：采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性的可能性，進而分析導(dǎo)致安全事件發(fā)生的可能性；綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險；重大變更電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)：針對重大變更情形，包括但不限于網(wǎng)絡(luò)拓撲發(fā)生重大變化、關(guān)鍵業(yè)務(wù)鏈或關(guān)鍵屬性發(fā)生變化、安全防護網(wǎng)絡(luò)安全等級保護運營者持關(guān)鍵信息基礎(chǔ)設(shè)施的定級備案材料到當(dāng)?shù)毓矙C關(guān)網(wǎng)安部門進行備案，獲取備案證明；運營者參照網(wǎng)絡(luò)安全等級保護相關(guān)標準及規(guī)范要求，對關(guān)鍵信息基礎(chǔ)設(shè)施進行整改加固；安全管理制度安全管理制度應(yīng)滿足GB/T39204-2022中的7.2相關(guān)要求。安全管理機構(gòu)安全管理機構(gòu)應(yīng)滿足GB/T39204-2022中的7.3相關(guān)要求。安全管理人員安全管理人員應(yīng)滿足GB/T39204-2022中的7.4相關(guān)要求。安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)架構(gòu)要求包括：應(yīng)劃分為生產(chǎn)控制大區(qū)和信息管理大區(qū)，生產(chǎn)控制大區(qū)可以分為控制區(qū)（又稱安全區(qū)I）和非控制區(qū)（又稱安全區(qū)II），信息管理大區(qū)可分為信息管理Ⅲ區(qū)、信息管理Ⅳ區(qū)；控制區(qū)、非控制區(qū)、信息管理Ⅲ區(qū)、信息管理Ⅳ區(qū)的關(guān)鍵鏈路、關(guān)鍵設(shè)備應(yīng)采取冗余備份，避免單點故障。互聯(lián)安全互聯(lián)安全要求包括：控制區(qū)、非控制區(qū)、信息管理Ⅲ區(qū)、信息管理Ⅳ區(qū)之間應(yīng)部署專用加密認證裝置，通過密碼技術(shù)對通信的雙方進行驗證或鑒別；采用電力專用光纖進行長距離通信時，應(yīng)采用網(wǎng)絡(luò)訪問控制、入侵檢測等措施保證通信安全。VPN等技術(shù)保證數(shù)據(jù)加密傳輸；作業(yè)類、采集類等專用終端通過電信運營商專線/無線網(wǎng)絡(luò)接入時，應(yīng)采用安全接入網(wǎng)關(guān)和信息安全網(wǎng)絡(luò)隔離裝置，實現(xiàn)接入認證和數(shù)據(jù)傳輸加密。邊界防護邊界防護要求包括：a）控制區(qū)、非控制區(qū)、信息管理Ⅲ區(qū)、信息管理Ⅳ區(qū)的不同網(wǎng)絡(luò)安全等級保護系統(tǒng)、不同業(yè)務(wù)應(yīng)對控制區(qū)、非控制區(qū)、信息管理Ⅲ區(qū)、信息管理Ⅳ區(qū)的未授權(quán)設(shè)備進行動態(tài)發(fā)現(xiàn)及管控，實時監(jiān)測并阻斷非授權(quán)設(shè)備的接入，僅允許通過運營者授權(quán)的軟硬件運行；針對業(yè)務(wù)系統(tǒng)間數(shù)據(jù)交互制定訪問控制策略，細化至端口級別。安全審計ⅢⅣ啟用服務(wù)器主機操作系統(tǒng)日志審計功能，或采用第三方安全審計產(chǎn)品實現(xiàn)主機安全審計功能；審計范圍覆蓋服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶；審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；日志數(shù)據(jù)留存時間不少于6個月。安全計算環(huán)境鑒別與授權(quán)鑒別與授權(quán)要求包括：應(yīng)提供用戶身份標識唯一性檢查功能，保證系統(tǒng)中不存在重復(fù)標識的用戶；應(yīng)避免存在內(nèi)置匿名賬號，依據(jù)實名制原則創(chuàng)建賬號，保證賬號具有可追溯性；g）應(yīng)禁止用戶配置鑒別口令時與該用戶名相同或包含用戶名；8位字符，并包含大寫字母、小寫字母、數(shù)字、特殊字符中三種或三種以上的組合；用戶口令應(yīng)定期修改，且修改前后不能一致；應(yīng)具備連續(xù)登錄失敗處理機制，包括賬號自動鎖定等；應(yīng)強制要求新建用戶首次登錄系統(tǒng)時必須修改初始口令；如采用動態(tài)口令、數(shù)字證書等密碼服務(wù)，該密碼服務(wù)應(yīng)符合法律法規(guī)的相關(guān)要求，需依法接受檢測認證的，應(yīng)經(jīng)商用密碼認證機構(gòu)認證合格。入侵防范入侵防范要求包括：IP自動化工具自動化工具要求包括：應(yīng)使用自動化工具來支持系統(tǒng)賬戶、配置、漏洞、補丁、病毒庫等的管理。對于漏洞、補丁，應(yīng)在經(jīng)過驗證后及時修補。自動化工具應(yīng)支持配置信息批量分發(fā)，漏洞和補丁的回滾等操作；安全建設(shè)管理安全建設(shè)管理應(yīng)滿足GB/T39204-2022中的7.7相關(guān)要求。安全運維管理安全運維管理應(yīng)滿足GB/T39204-2022中的7.8相關(guān)要求。供應(yīng)鏈安全保護電力行業(yè)供應(yīng)鏈安全保護應(yīng)滿足GB/T39204-2022中7.9的相關(guān)要求，同時包括：（當(dāng)變更供應(yīng)商時，對供應(yīng)商變更帶來的安全風(fēng)險進行評估，并采取有關(guān)措施對風(fēng)險進行控制。數(shù)據(jù)安全防護電力行業(yè)數(shù)據(jù)安全保護應(yīng)滿足GB/T39204-2022中7.10的相關(guān)要求，同時包括：a）保留對數(shù)據(jù)的操作記錄，增強操作可追溯性；應(yīng)建立業(yè)務(wù)連續(xù)性管理及容災(zāi)備份機制，重要系統(tǒng)和數(shù)據(jù)庫實現(xiàn)異地備份。檢測評估應(yīng)建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估制度，包括但不限于針對關(guān)基保護對象的檢測評估流程、方式方法、周期、人員組織、資金保障等，工業(yè)控制系統(tǒng)的專門檢測評估流程及方式方法。方式和內(nèi)容方式和內(nèi)容要求包括：IT資產(chǎn)信息（網(wǎng)絡(luò)拓撲圖、子網(wǎng)劃分情況、IP地址清單、相關(guān)域名、子域名等）；安全防護情況（網(wǎng)絡(luò)安全產(chǎn)品部署情況、安全策略配置情況、安全檢測評估報告等）；（IDC提供商、DNS服務(wù)商、域名注冊信息等）；（（非公有制經(jīng)濟組織運營者明確一名核心經(jīng)營管理團隊成員Ⅲ應(yīng)檢查電力系統(tǒng)關(guān)鍵信息基礎(chǔ)設(shè)施資產(chǎn)風(fēng)險清單，檢查風(fēng)險評估定期開展相關(guān)報告及記錄；ⅢⅣ基礎(chǔ)設(shè)施帶來的風(fēng)險變化情況，并依據(jù)風(fēng)險變化以及發(fā)現(xiàn)的安全問題進行有效整改后方可上線；監(jiān)測預(yù)警制度要求包括：監(jiān)測監(jiān)測要求包括：a）應(yīng)建立覆蓋全部網(wǎng)域的網(wǎng)絡(luò)安全監(jiān)測體系，實現(xiàn)全業(yè)務(wù)、全時域、全區(qū)域的全場景安全監(jiān)測；（關(guān)鍵信息基礎(chǔ)設(shè)施跨組織、跨地域建設(shè)時，應(yīng)建立覆蓋總部和分支機構(gòu)的多級監(jiān)測聯(lián)動平臺，構(gòu)建全面監(jiān)測、統(tǒng)一指揮、多級聯(lián)動的態(tài)勢感知能力；（應(yīng)通過安全態(tài)勢分析結(jié)果來確定安全策略和安全控制措施是否合理有效，必要時進行更新。預(yù)警預(yù)警要求包括：應(yīng)建立多級預(yù)警平臺，構(gòu)建本單位內(nèi)部預(yù)警信息的集中統(tǒng)一管理，支持一點預(yù)警、全局感知；采取相關(guān)措施對預(yù)警進行響應(yīng)，當(dāng)安全隱患得以控制或消除時，應(yīng)執(zhí)行預(yù)警解除流程；應(yīng)動態(tài)更新優(yōu)化應(yīng)急預(yù)案，并開展安全教育與宣傳。主動防御收斂暴露面收斂暴露面要求包括：應(yīng)減少對外暴露組織架構(gòu)、郵箱賬號、組織通信錄等內(nèi)部信息，防范社會工程學(xué)攻擊；（存儲可能被攻擊者利用的技術(shù)文檔。例如：網(wǎng)絡(luò)拓撲圖、源代碼、互聯(lián)網(wǎng)協(xié)議地址規(guī)劃等；應(yīng)采用最小化原則，僅啟用業(yè)務(wù)訪問需要的協(xié)議、端口及應(yīng)用；應(yīng)加強訪問控制，對網(wǎng)絡(luò)、業(yè)務(wù)及系統(tǒng)等的訪問限制在最小范圍內(nèi)；對重要業(yè)務(wù)系統(tǒng)可采用白名單機制，僅允許可信應(yīng)用啟動，可信端點訪問；應(yīng)加強對網(wǎng)絡(luò)安全相關(guān)敏感信息進行保護，包括網(wǎng)絡(luò)拓撲、規(guī)劃或建設(shè)文檔等；應(yīng)加強網(wǎng)絡(luò)安全意識，防止社工攻擊，對公司組織架構(gòu)、郵箱賬號、員工通信錄進行保護；應(yīng)加強對內(nèi)部文檔的管理，防止敏感文檔擴散到第三方或公共網(wǎng)絡(luò)空間。攻擊發(fā)現(xiàn)和阻斷攻擊發(fā)現(xiàn)和阻斷要求包括：應(yīng)具備對基于特征的已知威脅的發(fā)現(xiàn)及追蹤溯源能力；應(yīng)具備對基于行為的未知威脅的發(fā)現(xiàn)及追蹤溯源能力；應(yīng)構(gòu)建網(wǎng)絡(luò)流量或文件的深度檢測系統(tǒng)，通過動態(tài)或靜態(tài)檢測，實現(xiàn)對可疑內(nèi)容的深度檢測；應(yīng)構(gòu)建統(tǒng)一安全監(jiān)測能力，實現(xiàn)對全網(wǎng)或部分區(qū)域內(nèi)的流量日志收集及威脅發(fā)現(xiàn)；應(yīng)具備攻擊處置能力，宜實現(xiàn)對威脅的自動應(yīng)急處置。攻防演練攻防演練要求包括：應(yīng)針對攻防演練中發(fā)現(xiàn)的安全問題及風(fēng)險進行及時整改，消除結(jié)構(gòu)性、全局性風(fēng)險；對不適用實網(wǎng)演練的場景，可通過搭建仿真平臺或沙盤推演的方式進行。威脅情報威脅情報要求包括：應(yīng)搭建內(nèi)部威脅情報系統(tǒng)，具備收集網(wǎng)內(nèi)威脅情報的能力；應(yīng)采用定期更新威脅情報庫，及時掌握網(wǎng)外威脅特征及安全熱點。事件處置制度要求包括：應(yīng)急預(yù)案和演練應(yīng)急預(yù)案和演練要求包括：（應(yīng)在應(yīng)急預(yù)案中包括非常規(guī)時期（重大活