《發(fā)電廠監(jiān)控系統(tǒng)信息安全防護技術規(guī)范》

ICS17.100

F30

DL

中華人民共和國電力行業(yè)標準

XX/TXXXXX—XXXX

發(fā)電廠監(jiān)控系統(tǒng)信息安全防護技術規(guī)范

Technicalspecificationforinformationsecurityprotectionofpowerplant

monitoringsystem

點擊此處添加與國際標準一致性程度的標識

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

發(fā)布

XX/TXXXXX—XXXX

I

XX/TXXXXX—XXXX

發(fā)電廠監(jiān)控系統(tǒng)信息安全防護技術規(guī)范

1范圍

本標準規(guī)范了發(fā)電廠監(jiān)控系統(tǒng)信息安全防護的技術條件。

本標準適用于燃煤、燃氣、水力、風力、光伏發(fā)電廠監(jiān)控系統(tǒng)信息安全防護工作的技術指導。

2規(guī)范性引用文件

本標準引用下列文件或其中的條款。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是

不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239-2019信息安全技術網絡安全等級保護基本要求

GB/T22240-2008信息安全技術信息系統(tǒng)安全保護等級定級指南

GB/T20984-2007信息安全技術信息系統(tǒng)安全風險評估規(guī)范

GB/T25069-2010信息安全技術_術語

GB/T26863-2011火電站監(jiān)控系統(tǒng)術語（參考術語）

GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分:評估規(guī)范

GB/T30976.2-2014工業(yè)控制系統(tǒng)信息安全第2部分:驗收規(guī)范

GB/T32919-2016信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南

GB5060-2011大中型火力發(fā)電廠設計規(guī)范

GB/T33008.1-2016工業(yè)自動化和控制系統(tǒng)網絡安全可編程序控制器(PLC)第1部分:系統(tǒng)要求

GB/T33009.1-2016工業(yè)自動化和控制系統(tǒng)網絡安全集散控制系統(tǒng)(DCS)第1部分:防護要求

GB/T33009.2-2016工業(yè)自動化和控制系統(tǒng)網絡安全集散控制系統(tǒng)(DCS)第2部分:管理要求

GB/T33009.3-2016工業(yè)自動化和控制系統(tǒng)網絡安全集散控制系統(tǒng)(DCS)第3部分:評估指南

GB/T33009.4-2016工業(yè)自動化和控制系統(tǒng)網絡安全集散控制系統(tǒng)(DCS)第4部分:風險與脆弱性

檢測要求

3術語和定義

GB/T7721和JJG195界定的以及下列術語和定義適用于本標準。為了便于使用，以下重復列出了

這些標準中的一些術語和定義。

3.1

發(fā)電廠監(jiān)控系統(tǒng)powerplantmonitoringandcontrolsystem

用于監(jiān)視和控制發(fā)電廠生產過程、基于計算機及網絡技術的業(yè)務系統(tǒng)及智能設備，以及作為基礎支

撐的通信及數據網絡等，包括發(fā)電廠的主控制系統(tǒng)、外圍輔助控制系統(tǒng)、控制區(qū)電氣二次系統(tǒng)、現場總

線設備與智能化儀表等控制區(qū)實時系統(tǒng)，以及廠級監(jiān)控信息系統(tǒng)等非控制區(qū)監(jiān)控系統(tǒng)。

3.2

1

XX/TXXXXX—XXXX

生產控制大區(qū)productioncontrolzone

由具有數據采集與控制功能、縱向聯接使用專用網絡或專用通道的電力監(jiān)控系統(tǒng)構成的安全區(qū)域。

3.3

控制區(qū)controlsubzone

由具有實時監(jiān)控功能、縱向聯接使用電力調度數據網的實時子網或者專用通道的各業(yè)務系統(tǒng)構成的

安全區(qū)域。

3.4

非控制區(qū)non-controlsubzone

在生產控制范圍內由在線運行但不直接參與控制、是電力生產過程的必要環(huán)節(jié)、縱向聯接使用電力

調度數據網的非實時子網的各業(yè)務系統(tǒng)構成的安全區(qū)域。

3.5

主控制系統(tǒng)maincontrolsystems

對發(fā)電廠發(fā)電過程實施集中或分布式控制的主要監(jiān)控系統(tǒng)、獨立控制裝置與智能儀表等，主要包括

火電廠單元機組的分散控制系統(tǒng)與可編程控制器系統(tǒng)、水電廠集中監(jiān)控系統(tǒng)、梯級水電站調度監(jiān)控系統(tǒng)、

風電場監(jiān)控系統(tǒng)、光伏電站運行監(jiān)控系統(tǒng)等。。

3.6

輔助控制系統(tǒng)auxiliarycontrolsystems

對發(fā)電廠全廠公用的外圍輔助設備系統(tǒng)進行控制的監(jiān)控系統(tǒng)、獨立控制裝置與智能儀表等，主要包

括燃煤電廠外圍公用的水、煤、灰控制系統(tǒng)、燃機電廠的全廠BOP控制系統(tǒng)、火警探測系統(tǒng)、以及其他

電廠的全廠輔助設備的相關控制系統(tǒng)等

3.7

控制區(qū)電氣二次系統(tǒng)electricsecondarysystemsincontrolsubzone

對發(fā)電廠電氣設備與發(fā)電機實施保護、測控與調度的自動化系統(tǒng)與設備，主要包括升壓站監(jiān)控系統(tǒng)、

AGC及AVC系統(tǒng)、發(fā)電機勵磁系統(tǒng)、五防監(jiān)控系統(tǒng)、繼電保護及安全自動化裝置、相量測量裝置等。

3.8

非控制區(qū)監(jiān)控系統(tǒng)real-timesystemsinnon-controlsubzone

對發(fā)電廠運行參數與監(jiān)控信息進行在線監(jiān)測分析但不直接參與控制的系統(tǒng)，主要包括火電廠廠級監(jiān)

控信息系統(tǒng)、梯級水庫調度自動化系統(tǒng)、水情自動測報系統(tǒng)、水電廠水庫調度自動化系統(tǒng)、光功率預測

系統(tǒng)、風功率預測系統(tǒng)、電能量采集裝置、電力市場報價終端、故障錄波裝置及信息管理終端等

3.9

威脅threat

能夠通過未授權訪問、毀壞、揭露、數據修改和/或拒絕服務對系統(tǒng)造成潛在危害的任何環(huán)境或事

件。

3.10

脆弱性vulnerability

在信息系統(tǒng)、系統(tǒng)安全程序、管理控制、物理設計、內部控制或實現中的，可能被攻擊者利用來獲

得未授權的信息或破壞關鍵處理的弱點。

3.11

2

XX/TXXXXX—XXXX

身份鑒別identityauthentication

驗證實體所聲稱的身份。

3.12

訪問控制accesscontrol

防止對資源的未授權使用，包括防止以未授權方式使用某一資源。

3.13

安全審計securityaudit

為了測試出系統(tǒng)的安全控制是否足夠，為了保證與已建立的策略和操作堆積相符合，為了發(fā)現安全

中的漏洞，以及為了建議在控制、策略和堆積中做任何指定的改變，而對系統(tǒng)記錄與活動進行的獨立觀

察和考核。

4縮略語

下列縮略語適用于本文件。

BPCBypasscontrolsystem旁路控制系統(tǒng)

DCSDistributedControlSystem分散控制系統(tǒng)

DEHDigitalElectricHydraulicControlSystem數字電液控制系統(tǒng)

ETSEmergencytripsystem汽輪機跳閘保護系統(tǒng)

FSSSFurnacesafeguardsupervisorysystem爐膛安全監(jiān)控系統(tǒng)

HMIHuman-MachineInterface人機接口

ICSIndustrialControlSystem工業(yè)控制系統(tǒng)

NCSNetworkcomputerizedmonitoringandcontrolsystem網絡監(jiān)控系統(tǒng)

OCSOptimizedControlSystem優(yōu)化控制系統(tǒng)

PCUProcessControlUnit過程控制單元

PLCProgrammableLogicController可編程邏輯控制器

PMUPhasormeasurementunit相量測量單元

RTURemoteTerminalUnit遠程終端單元

SISSupervisoryInformationSystemForPlantLevel廠級監(jiān)控信息系統(tǒng)

TCSTurbineControlSystem汽輪機控制系統(tǒng)

TSITurbinesupervisoryinstruments汽輪機監(jiān)視儀表

5監(jiān)控系統(tǒng)信息安全基本要求

5.1發(fā)電廠監(jiān)控系統(tǒng)范圍

發(fā)電廠監(jiān)控系統(tǒng)應包括主控制系統(tǒng)、輔助控制系統(tǒng)、控制區(qū)電氣二次系統(tǒng)和非控制區(qū)監(jiān)控系統(tǒng)等。

發(fā)電廠監(jiān)控系統(tǒng)的主要類型包括：分散控制系統(tǒng)（DCS、DEH、TCS等）、獨立監(jiān)測控制系統(tǒng)（ETS、BPC、

TSI、FSSS、OCS等）、就地設備控制系統(tǒng)、智能儀表、調度自動化系統(tǒng)（NCS、RTU、PMU等）、繼電保

護裝置、廠級監(jiān)控信息系統(tǒng)（SIS）和資源預測預報系統(tǒng)等。

火電廠和水電廠在控制區(qū)（安全Ⅰ區(qū)）主要包括以下業(yè)務系統(tǒng)和功能模塊：火電機組分散控制系統(tǒng)

（DCS）、火電機組輔機控制系統(tǒng)、自動發(fā)電控制系統(tǒng)（AGC）、自動電壓控制系統(tǒng)（AVC）、火電廠廠

級信息監(jiān)控系統(tǒng)（SIS）的監(jiān)控功能、水電廠集中監(jiān)控系統(tǒng)、梯級調度監(jiān)控系統(tǒng)、網控系統(tǒng)、相量測量

3

XX/TXXXXX—XXXX

裝置（PMU）、繼電保護、各種控制裝置（調速系統(tǒng)、勵磁系統(tǒng)、快關汽門裝置等）和五防系統(tǒng)等。在

非控制區(qū)（安全Ⅱ區(qū)）主要包括以下業(yè)務系統(tǒng)和功能模塊：火電廠廠級信息監(jiān)控系統(tǒng)（SIS）的優(yōu)化功

能、梯級水庫調度自動化系統(tǒng)、水情自動測報系統(tǒng)、水電廠水庫調度自動化系統(tǒng)、電能量采集裝置、電

力市場報價終端和故障錄波管理終端等。

風電場在控制區(qū)主要包括以下業(yè)務系統(tǒng)和功能模塊：風電場監(jiān)控系統(tǒng)、無功電壓控制、發(fā)電功率控

制、升壓站監(jiān)控系統(tǒng)、繼電保護和相量測量裝置（PMU）等。在非控制區(qū)（安全Ⅱ區(qū)）主要包括以下業(yè)

務系統(tǒng)和功能模塊：風功率預測系統(tǒng)、狀態(tài)監(jiān)測系統(tǒng)、電能量采集裝置和故障錄波裝置等。

光伏電站在控制區(qū)主要包括以下業(yè)務系統(tǒng)和功能模塊：光伏電站運行監(jiān)控系統(tǒng)、無功電壓控制、發(fā)

電功率控制、升壓站監(jiān)控系統(tǒng)和繼電保護等。在非控制區(qū)（安全Ⅱ區(qū)）主要包括以下業(yè)務系統(tǒng)和功能模

塊：光功率預測系統(tǒng)、電能量采集裝置和故障錄波裝置等。

燃機電廠在控制區(qū)主要包括以下業(yè)務系統(tǒng)和功能模塊：燃機電廠廠級分散控制系統(tǒng)（DCS）、燃氣

輪機控制系統(tǒng)（TCS）、廠級信息監(jiān)控系統(tǒng)（SIS）的監(jiān)控功能、自動發(fā)電控制系統(tǒng)（AGC）、自動電壓

控制系統(tǒng)（AVC）、相量測量裝置（PMU）、火警探測系統(tǒng)、升壓站監(jiān)控系統(tǒng)和繼電保護等。在非控制區(qū)

（安全Ⅱ區(qū)）主要包括以下業(yè)務系統(tǒng)和功能模塊：廠級信息監(jiān)控系統(tǒng)（SIS）的優(yōu)化功能、電能量采集

裝置和故障錄波裝置等。

5.2潛在的脆弱性及主要威脅

發(fā)電廠監(jiān)控系統(tǒng)潛在的脆弱性及面臨的主要威脅，隨著時間的推移和系統(tǒng)研發(fā)技術、信息安全攻防

技術的變化和更新始終會有新的發(fā)現。一般來講，發(fā)電廠監(jiān)控系統(tǒng)的脆弱性都可以歸為策略管理類、平

臺類和網絡類，當然也可能有一些特殊的脆弱性，不包括這三類之中。而發(fā)電廠所面臨的威脅也源自各

個方面，主要來源可分為兩類,一類是對抗性來源，另一類是自然來源。其中自然來源主要源自：系統(tǒng)

的復雜性、人為的錯誤、意外事故、設備故障和自然災害，他們屬于傳統(tǒng)的生產安全范疇。

5.2.1潛在的脆弱性

5.2.1.1策略管理類脆弱性,主要是由于企業(yè)安全策略及管理程序不完整、不適合或缺失所致。常見的

脆弱性包括：

a)監(jiān)控系統(tǒng)安全策略不當；員工安全培訓和意識不足；

b)安全架構和設計不足；

c)對于監(jiān)控系統(tǒng)沒有明確的；

d)書面的安全策略和管理文件；

e)安全措施的保障機制缺失；

f)監(jiān)控系統(tǒng)缺乏安全審計機制；

g)缺乏實用的應急響應預案或預案缺乏演練；

h)缺乏明確配置變更管理機制或管理不到位。

5.2.1.2平臺類的脆弱性主要包括但不限于以下方面：

a)平臺配置方面的典型脆弱性主要有：系統(tǒng)漏洞被發(fā)現后，系統(tǒng)廠商沒有及時開發(fā)相應的補丁；

漏洞補丁不能及時安裝；漏洞補丁缺乏廣泛而有效的測試；系統(tǒng)使用廠家的缺省配置；關鍵配

置文件沒有可靠的備份；沒有有效的訪問控制策略；密碼策略設置不當、沒有密碼或密碼不當。

b)平臺硬件方面的典型脆弱性主要有：安全環(huán)境變更時沒有充分的測試；未授權用戶可接觸設備；

允許遠程訪問；雙網卡跨接不同的網絡環(huán)境；未注冊設備；使用無線傳輸的設備；關鍵設備無

冗余；關鍵設備無備用電源。

c)平臺軟件方面的脆弱性主要有：使用不安全的協(xié)議；采用明文傳輸；開啟不必要的服務；存在

緩沖區(qū)溢出的可能；自身的安全功能未開啟；無日志或日志維護不當。

4

XX/TXXXXX—XXXX

d)惡意軟件防護方面的脆弱性主要有：未安裝防惡意軟件的工具；防惡意軟件的工具的版本或特

征庫為更新；防惡意軟件的工具安全前未進行有效的廣泛測試。

5.2.1.3網絡方面的脆弱性主要包括但不限于以下方面：

a)網絡配置脆弱性主要有：網絡安全架構的脆弱性；為實施數據流控制；安全設備配置不當；網

絡設備配置文件保存不當；網絡設備密碼修改周期過長；訪問控制措施不充分。

b)網絡硬件脆弱性主要有：網絡設備物理防護不足；不安全的物理接口；物理環(huán)境控制缺失；非

授權人員對設備和網絡連接的訪問；關鍵網絡設備沒有冗余備份措施。

c)網絡邊界脆弱性主要有：未定義網絡邊界；邊界未安裝適當的防護設備或設備的防護策略配置

不當；專網中存在非法流量；專網運行非專用的協(xié)議和應用。

d)網絡監(jiān)控和日志方面的脆弱性主要有：網絡設備和安全設備未開啟日志或日志保存不當；沒有

安裝信息安全監(jiān)控系統(tǒng)或監(jiān)控設備。

e)網絡通信方面的脆弱性主要有：采用未加密的通用的協(xié)議；未識別關鍵監(jiān)測點和控制路徑；用

戶、數據與設備的認證手段不足；網絡通信數據完整性校驗不足。

f)無線連接的脆弱性主要有：無線客戶端和接入點的認證措施不足；無線客戶端和接入點的傳輸

保護措施不足。

5.2.2面臨的主要威脅

5.2.2.1發(fā)電廠監(jiān)控系統(tǒng)面臨的主要自然威脅來源，屬于傳統(tǒng)的生產安全范疇。

5.2.2.2發(fā)電廠監(jiān)控系統(tǒng)面臨的對抗性威脅來源則主要來自：敵對的國家、犯罪集團、工業(yè)間諜、惡

意攻擊的黑客和心懷不滿的員工：

a)敵對的國家：國家情報部門將網絡滲透工具作為情報收集和開展間諜活動的重要手段。一些國

家正在積極地發(fā)展信息戰(zhàn)學說，建立網絡戰(zhàn)能力，從事網絡戰(zhàn)實踐。

b)犯罪集團：一般性的犯罪集團，利用網絡攻擊來獲取經濟利益?？植婪肿觿t利用網絡來破壞國

家的關鍵基礎設施，通過造成經濟損失和人員的傷亡來威脅國家安全。

c)工業(yè)間諜：利用網絡秘密獲取知識產權和技術秘密，目的是打擊競爭對手和獲取經濟利益。

d)惡意攻擊的黑客：掌握了網絡滲透能力的個人或組織，通過制作、使用和擴散惡意軟件和間諜

軟件對用戶形成威脅，他們的動機各不相同。

e)心懷不滿的內部員工：內部人員因為他們對目標系統(tǒng)的了解，往往使他們能夠不受限制地訪問

系統(tǒng)。所以他們如果要對系統(tǒng)造成損害或竊取系統(tǒng)數據，往往并不需要大量的計算機入侵知識。

5.3等級保護

發(fā)電廠監(jiān)控系統(tǒng)實行國家網絡安全等級保護制度，信息安全防護應滿足信息安全等級保護的相關要

求。發(fā)電廠信息安全等級保護堅持自主定級、自主保護的原則，根據不同安全區(qū)域的安全防護要求，確

定其安全等級和防護水平，從物理和環(huán)境、網絡和通信、設備和計算、應用和數據等層面進行安全防護。

發(fā)電廠應按照《信息安全等級保護管理辦法》《信息系統(tǒng)安全等級保護實施指南》（GB/T25058-2010）

具體實施等級保護工作。發(fā)電廠監(jiān)控系統(tǒng)的定級，可參考《信息系統(tǒng)安全等級保護定級指南》（BG/T

22240-2008）和《電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見》（電監(jiān)信息[2007]44號）進行。“電

力行業(yè)重要信息系統(tǒng)安全等級保護定級建議”參見附錄A，其中三級系統(tǒng)實行監(jiān)督保護、二級系統(tǒng)實行

指導保護，其中未涉及的其他系統(tǒng)實行自主保護。

（注：本節(jié)依據國家能源局關于印發(fā)《電力行業(yè)信息安全等級保護管理辦法》的通知（國能安全

[2014]318號）

5.4關鍵信息基礎設施安全保護

5

XX/TXXXXX—XXXX

關鍵信息基礎設施是指面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公共事業(yè)等重

要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，且這些系統(tǒng)一旦發(fā)生網絡安全事故，會影響重要行業(yè)正常運行，

對國家政治、經濟、科技、社會、文化、國防、環(huán)境以及人民生命財產造成嚴重損失。

關鍵信息基礎設施的確定，首先是確定關鍵業(yè)務；其次是確定支撐關鍵業(yè)務的信息系統(tǒng)或工業(yè)控制

系統(tǒng)；三是根據關鍵業(yè)務對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網絡安全事件后可

能造成的損失來加以確定。根據一般的工控信息安全工作實踐，電力生產的發(fā)電、輸電、變電和配電等

環(huán)節(jié)均被認定為關鍵業(yè)務，其相應的設備和設施也應被認定為關鍵信息基礎設施。監(jiān)控系統(tǒng)作為發(fā)電生

產自動化的核心系統(tǒng)，其信息安全防護工作應滿足國家對關鍵信息基礎設施的安全保護要求。

（注：本節(jié)依據《中央網絡安全和信息化領導小組辦公室關于開展關鍵信息基礎設施網絡安全檢查

的通知》(中網辦發(fā)文〔2016〕3號)）

5.5信息安全防護基本原則

發(fā)電廠工控網絡與信息系統(tǒng)的安全防護總體原則為“安全分區(qū)、網絡專用、橫向隔離、縱向認證”。

安全防護主要針對用于監(jiān)視和控制電力生產及供應過程的、基于計算機及網絡技術的業(yè)務系統(tǒng)及智能設

備，以及作為基礎支撐的通信及數據網絡。通過將發(fā)電廠業(yè)務系統(tǒng)根據不同的功能特性劃分為不同的安

全區(qū)域，重點強化邊界的安全防護，同時加強區(qū)域內部的物理、網絡、主機、應用和數據安全，加強安

全管理制度、機構、人員、系統(tǒng)建設、系統(tǒng)運維的管理，提高系統(tǒng)整體安全防護能力，保證發(fā)電廠業(yè)務

系統(tǒng)及重要數據的安全，提高機組運行可靠性和安全經濟性。

發(fā)電廠監(jiān)控系統(tǒng)的分區(qū)結構與邊界防護應滿足如圖5.1的基本形式，發(fā)電廠監(jiān)控系統(tǒng)與企業(yè)的管理

信息系統(tǒng)進行單向通信，采用物理隔離方式保證邊界安全。

圖5.1發(fā)電廠監(jiān)控系統(tǒng)分區(qū)結構與邊界防護示意圖

5.5.1安全分區(qū)

發(fā)電廠網絡與信息系統(tǒng)按業(yè)務功能劃分為生產控制大區(qū)和管理信息大區(qū)，發(fā)電廠監(jiān)控系統(tǒng)屬于生產

控制大區(qū)，并根據監(jiān)控系統(tǒng)的重要性和對電力系統(tǒng)的影響程度將生產控制大區(qū)劃分為控制區(qū)（安全區(qū)Ⅰ）

及非控制區(qū)（安全區(qū)Ⅱ）。生產控制大區(qū)內個別業(yè)務系統(tǒng)或其功能模塊（或子系統(tǒng)）需要使用公用通信

網絡、無線通信網絡以及處于非可控狀態(tài)下的網絡設備與終端等進行通信時，應設立安全接入區(qū)。

5.5.2網絡專用

電力調度數據網是為生產控制大區(qū)服務的專用數據網絡，發(fā)電廠端的電力調度數據網應當在專用通

6

XX/TXXXXX—XXXX

道上使用獨立的網絡設備組網，在物理層面上實現與電廠其他數據網及外部公共信息網絡的安全隔離。

發(fā)電廠端的電力調度數據網應當劃分為邏輯隔離的實時子網和非實時子網，分別連接控制區(qū)和非控制

區(qū)。

5.5.3橫向隔離

橫向隔離是安全防護體系的橫向防線，生產控制大區(qū)與管理信息大區(qū)之間必須設置經國家指定部門

檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應接近或達到物理隔離。生產控制大區(qū)內部的安

全區(qū)之間應當采用具有訪問控制功能的網絡設備、防火墻或者相當功能的設施，實現邏輯隔離。安全接

入區(qū)與生產控制大區(qū)中的其他部分的聯接處必須設置經國家指定部門檢測認證的電力專用橫向安全隔

離裝置。

5.5.4縱向認證

縱向加密認證是安全防護體系的縱向防線。電廠生產控制大區(qū)系統(tǒng)與調度端系統(tǒng)通過電力調度數據

網進行遠程通信時，應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網

關及相應設施。

6監(jiān)控系統(tǒng)信息安全技術要求

6.1物理安全

6.1.1物理位置的選擇應滿足：

a)機房場地應選擇在具有防震、防塵和防雨等能力的建筑內；

b)機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施；

c)機房外安裝的設備應符合發(fā)電行業(yè)相關標準對所選用設備使用的物理和環(huán)境的要求。

自主保護：c)指導保護：c)監(jiān)督保護：a)、b)、c)

6.1.2電源系統(tǒng)安全應包括：

a)應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；

b)應為機房提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求。

自主保護：a)指導保護：a)監(jiān)督保護：a)、b)

6.1.3溫濕度控制應包括：

a)機房應設置溫濕度自動調節(jié)設施，使機房溫濕度的變化在設備運行所允許的范圍之內；

b)機房外安裝的設備應符合發(fā)電行業(yè)相關標準對所應用的物理和環(huán)境的要求。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)

6.1.4防火應包括：

a)機房應設置相應的滅火設備；

b)機房應設置火災報警消防系統(tǒng)，能夠檢測火情、報警，并滅火。

7

XX/TXXXXX—XXXX

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)

6.1.5防水和防潮應包括：

a)水管安裝，不得穿過機房屋頂和活動地板下；

b)機房窗戶、屋頂和墻壁應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；

c)機房應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透；

d)機房應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警；

e)機房外安裝的設備應符合發(fā)電行業(yè)相關標準對其所選用設備使用的物理和環(huán)境的要求。

自主保護：a)、b)、c)、e)指導保護：a)、b)、c)、e)監(jiān)督保護：a)、b)、c)、d)、e)

6.1.6防雷與電磁防護應包括：

應將各類機柜、設施和設備等通過接地系統(tǒng)安全接地，接地電阻應滿足相關標準的要求。

6.1.7電磁防護應包括：

應符合發(fā)電行業(yè)相關標準對其所選用設備使用的物理和環(huán)境的要求。

6.1.8防靜電應包括：

a)機房應安裝防靜電地板或采用必要的接地等防靜電措施；

b)機房外安裝的設備應符合發(fā)電行業(yè)相關標準對所應用的物理和環(huán)境的要求。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)

6.1.9防盜和防外力破壞應包括：

a)應將設備或主要部件進行固定；

b)應對通信線纜實施防護，如：可鋪設在地下或管道中。

自主保護：a)指導保護：a)監(jiān)督保護：a)、b)

6.1.10物理訪問控制應包括：

a)進入安全區(qū)域邊界有明確的防止非授權人員接觸的提示標志；

b)有防止非授權人員進入的物理措施（如，柵欄）；

c)有身份識別機制手段（如，門禁、視頻監(jiān)視等）或專人值守。

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)、c)

6.2邊界安全

6.2.1邊界安全要求應包括：

a)在生產控制大區(qū)與管理信息大區(qū)之間必須設置經國家指定部門檢測認證的電力專用橫向單

向安全隔離裝置，禁止任何穿越生產控制大區(qū)和管理信息大區(qū)之間邊界的通用網絡服務；

b)在與電力調度數據網等廣域網的縱向聯接處，應當設置經過國家指定部門檢測認證的電力專

8

XX/TXXXXX—XXXX

用縱向加密認證裝置或者加密認證網關及相應設施；

c)使用無線通信網、非電力調度數據網或者外部公用數據網的虛擬專用網（VPN）等進行通信

的，應當設立“安全接入區(qū)”；

d)生產控制大區(qū)與“安全接入區(qū)”的聯接處必須設置經國家指定部門檢測認證的電力專用橫向

單向安全隔離裝置；

e)生產控制大區(qū)內部控制網絡和非控制網絡之間應當采用具有訪問控制功能的設備、防火墻或

者相當功能的設施，實現邏輯隔離；

f)應對控制網絡和非控制網絡的邊界，以及控制網絡內安全域和安全域之間的邊界，進行監(jiān)視

和控制區(qū)域邊界通信；

g)應在控制網絡和非控制網絡的邊界，以及控制網絡內安全域和安全域之間的邊界，默認拒絕

所有非必要的網絡數據流，但可允許例外的網絡數據流；

h)應在控制網絡和非控制網絡的邊界，以及控制系統(tǒng)內安全域和安全域之間的邊界上，阻止任

何通過的非必要通信；

i)應在控制網絡和非控制網絡的邊界防護機制失效時，能阻止所有邊界通信（也稱故障關閉）；

但故障關閉功能的設計不應干擾相關安全功能的運行；

j)應在控制網絡內安全域和安全域之間的邊界防護機制失效時，及時進行報警，并保障關鍵設

備的通信；

k)應能識別控制網絡和非控制網絡上的邊界通信的入侵行為，并進行有效阻斷；

l)生產控制大區(qū)中除安全接入區(qū)外，不應選用具有無線通信功能的設備；

m)可基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和邊界防護程序等進行

可信驗證，在檢測到其可信性受到破壞后進行報警；

n)在應用程序的關鍵執(zhí)行環(huán)節(jié)應進行動態(tài)可信驗證；

o)可信驗證結果應形成審計記錄送至安全管理中心。

自主保護：a)、b)、指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、e)、f)、

c)、d)、e)、l)、m)e)、f)、g)、k)、l)、m)、o)g)、h)、i)、j)、k)、l)、m)、n)、o)

6.2.2信息安全集中管控應包括

a)應劃分出特定的管理區(qū)域，對分布在網絡中的安全設備或安全組件進行管控；

b)應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；

c)應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監(jiān)測；

d)應對分散在各個設備上的審計數據進行收集匯總和集中分析；

e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；

f)應能對網絡中發(fā)生的各類安全事件進行識別、報警和分析。

自主保護：無指導保護：無監(jiān)督保護：a)、b)、c)、d)、e)、f)

6.3網絡和通信安全

6.3.1網絡架構安全應包括：

a)應保證網絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要；

b)應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要；

c)應劃分不同的網絡區(qū)域，并按照方便管理和控制的原則為各網絡區(qū)域分配地址；

9

XX/TXXXXX—XXXX

d)應避免將重要網絡區(qū)域部署在網絡邊界處且沒有邊界防護措施；

e)應提供通信線路、關鍵網絡設備的硬件冗余，保證系統(tǒng)的可用性；

f)應將控制系統(tǒng)網絡與非控制系統(tǒng)網絡進行邏輯分區(qū)，將關鍵控制系統(tǒng)網絡與非關鍵控制系統(tǒng)

網絡進行邏輯分區(qū)；

g)應將控制系統(tǒng)網絡與非控制系統(tǒng)網絡進行物理分段，將關鍵控制系統(tǒng)網絡與非關鍵控制系統(tǒng)

網絡進行物理分段；

h)應在不與非控制系統(tǒng)網絡相連的情況下，能為關鍵或非關鍵控制系統(tǒng)網絡提供網絡服務。

自主保護：f)、g)指導保護：a)、b)、c)、d)、e)、f)、g)監(jiān)督保護：a)、b)、c)、d)、e)、f)、g)、h)

6.3.2通信傳輸安全應包括：

a)應利用會話完整性機制，保護會話完整性；控制系統(tǒng)應拒絕任何非法會話ID的使用；

b)應在用戶退出或其他會話結束（包括瀏覽器會話）后使會話ID失效。

自主保護：無指導保護：a)監(jiān)督保護：a)、b)

6.3.3無線通信安全應包括：

a)根據普遍接受的工控安全實踐，應對無線連接的授權、監(jiān)視以及操作的使用進行限制；

b)應對所有參與無線通信的用戶（人員、軟件進程或者設備）提供唯一性標識和鑒別；

c)應識別在控制系統(tǒng)物理環(huán)境中使用的未經授權的無線設備，并報告未經授權的試圖接入或干

擾控制系統(tǒng)行為；

d)對于采用工業(yè)無線網絡進行通信的聯網設備，應確保無線空中接口的安全。

自主保護：a)指導保護：a)、b)、d)監(jiān)督保護：a)、b)、c)、d)

6.3.4訪問控制應包括：

a)對一個可配置的時間或事件序列，應支持高權限主管手動超馳當前用戶的授權；

b)應通過手動或在一個可配置的非活動周期后系統(tǒng)可自動啟動會話鎖定功能，以防止對系統(tǒng)的

進一步訪問。會話鎖定應一直保持有效，直到擁有會話權限的用戶或其它授權的用戶使用適

當的身份標識和鑒別規(guī)程重新建立訪問；

c)應在一個可配置的非活動時間周期后自動地或由發(fā)起會話的用戶手動終止遠程會話；

d)應在網絡邊界或安全域之間根據訪問控制策略設置訪問控制規(guī)則，受控接口應具備設置“白

名單制”的訪問控制規(guī)則的能力；

e)應刪除多余的或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數量最小化。

f)應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效

阻斷。

自主保護：b)、c)、d)、e)指導保護：b)、c)、d)、e)監(jiān)督保護：a)、b)、c)、d)、e)、f)

6.3.5可信驗證應包括：

a)可基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和通信應用程序進行可

信驗證，在檢測到其可信性受到破壞后進行報警；

10

XX/TXXXXX—XXXX

b)可信驗證結果應形成審計記錄送至安全管理中心；

c)在應用程序的關鍵執(zhí)行環(huán)節(jié)應進行動態(tài)可信驗證。

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)、c)

6.3.6入侵防范應包括：

a)在有效的補救條件下，識別和處理錯誤狀況。在此過程中，不應暴露任何可被攻擊者利用的

信息，除非透露這一信息對于及時排除故障是必要的；

b)不得傳輸、接收私人消息；

c)不得未經授權的數據傳輸；

d)在關鍵網絡節(jié)點處檢測、防止或限制從外部發(fā)起的網絡攻擊行為，重要網段應采取技術手段

防止地址欺騙；

e)采取技術措施對網絡的使用行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢

測和分析；

f)當檢測到攻擊行為時，應記錄攻擊源IP、攻擊類型、攻擊目的和攻擊時間，在發(fā)生嚴重入侵

事件時應及時發(fā)出報警信息。

自主保護：無指導保護：a)監(jiān)督保護：a)、b)、c)、d)、e)、f)

6.3.7惡意代碼防范應包括：

a)應在關鍵網絡節(jié)點處對惡意代碼進行檢測，并維護惡意代碼防護機制的升級和更新；

b)應在所有入口和出口提供惡意代碼防護機制；

c)應指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄。

自主保護：無指導保護：b)、c)監(jiān)督保護：a)、b)、c)

6.3.8安全審計應包括：

a)應在網絡邊界、重要網絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重

要安全事件進行審計；

b)應能生成與安全相關的審計記錄，包括:訪問控制、請求錯誤、操作系統(tǒng)事件、備份和恢復

事件、配置改變、潛在的偵察活動和審計日志事件。單個審計記錄應包括時間戳、來源（源

設備、軟件進程或人員用戶賬戶）、分類、類型、事件ID和事件結果；

c)應能集中管理審計事件，對來自系統(tǒng)范圍（包括邏輯或物理）內的多個組件進行審計記錄收

集，并能集中管理與時間相關的審計蹤跡。應按照工業(yè)標準格式輸出這些審計記錄，用日志

分析工具進行分析，例如，安全信息和事件管理；

d)根據一般公認的日志管理和系統(tǒng)配置的建議，系統(tǒng)應設置足夠的審計記錄存儲容量，并采用

有效機制來減少超出容量的可能性；

e)當所分配的審計記錄存儲值達到最大審計記錄存儲容量的配置時，系統(tǒng)應能發(fā)出警告，當容

量超出時，應采用合理的機制支持記錄的覆蓋；

f)在審計事件的處理失敗時，系統(tǒng)能對人員進行警示并防止喪失基本服務和功能；根據普遍接

受的工業(yè)實踐和建議，系統(tǒng)應能在審計處理失敗的情況下，采取恰當的響應行動；

g)在審計記錄生成時，系統(tǒng)應提供時間戳；

11

XX/TXXXXX—XXXX

h)應在可配置的頻率下，對系統(tǒng)時鐘進行同步；

i)應保護審計信息和審計工具（如有），防止其在未授權情況下被獲取、修改和刪除；

j)授權人員和/或工具以只讀方式訪問審計日志。

自主保護：b)、d)、f)、j)指導保護：a)、b)、d)、f)、監(jiān)督保護：a)、b)、c)、d)、

g)、i)、j)e)、f)、g)、h)、i)、j)

6.4主機和設備安全

6.4.1系統(tǒng)軟件版本更新應包括：

a)跟蹤主機和智能設備系統(tǒng)軟件的版本更新、漏洞和補丁發(fā)布情況，嚴格進行軟件升級和補丁

安裝等工作管理，防止病毒、木馬等惡意代碼的侵入；

b)系統(tǒng)軟件的升級、補丁安裝，在工作開始前宜請專業(yè)機構進行安全評估和驗證，應在與生產

環(huán)境一致的驗證環(huán)境或平臺上對更新的有效性、安全性和對系統(tǒng)安全穩(wěn)定運行的影響進行評

估和驗證，并對更新進行記錄。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)

6.4.2身份鑒別應包括：

a)應能唯一地鑒別和認證信息設備和全部人員用戶，應在所有接口上執(zhí)行標識和鑒別，當有人

員用戶訪問時，應根據適用的安全策略和規(guī)程實施職責分離和最小權限；

b)應能對所有使用人員用戶實施多因子鑒別；

c)應能對所有設備提供唯一性的標識和鑒別，應在進行系統(tǒng)訪問時，使所有接口根據適用的安

全策略和規(guī)程支持最小權限，實施標識和鑒別；

d)應支持用戶、組、角色或者接口的標識符管理功能；

e)應能初始化鑒別器內容；系統(tǒng)一經安裝完成，立即改變所有鑒別器的默認值；改變或者刷新

所有的鑒別器；當存儲或者傳輸的時候，要保護鑒別器免受未經授權的泄露和修改；

f)對于使用設備的用戶，應通過硬件機制保護相關鑒別器；

g)對于使用口令鑒別機制的設備，設備應能通過設置最小長度和多種字符類型，實現強制配置

口令強度；可能對實時性產生影響進而影響到系統(tǒng)正常操作的，應采用其他替代安全手段或

通過管理手段來進行彌補；

h)設備應防止任何已有的用戶賬戶重復使用同一批口令，應對用戶口令使用的最大和最小有效

期進行限制，這些能力應符合一般公認的信息安全實踐要求；

i)應根據通用的可以接受的安全行業(yè)實踐和建議，通過硬件機制來保護相關的私鑰；

j)應能夠隱藏鑒別過程中的鑒別信息反饋；

k)應針對任何用戶（人員、軟件進程或設備）在可配置時間周期內的連續(xù)無效的訪問嘗試，進

行可配置次數的訪問限制；當限制次數超出后，應在規(guī)定的周期內拒絕訪問或者直到管理員

解鎖；對于代表關鍵服務或者服務器運行的系統(tǒng)賬戶，不應允許交互式登錄；

l)在進行鑒別之前，應能顯示系統(tǒng)提示信息。使用提示信息應可通過授權人進行配置；

m)應不允許進行遠程管理,或采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；

自主保護：a)、d)、e)、f)、指導保護：a)、d)、e)、f)、監(jiān)督保護：a)、b)、c)、d)、

g)、j)、k)、l)g)、j)、k)、l)、m)e)、f)、g)、h)、i)、j)、k)、

12

XX/TXXXXX—XXXX

l)、m)

6.4.3訪問控制應包括：

a)應能支持授權用戶管理所有賬戶，包括添加、激活、修改、禁用和刪除賬戶；

b)應能支持統(tǒng)一賬戶管理；

c)應在一個可配置的非活動時間周期后自動地或由發(fā)起會話的用戶手動終止遠程會話；

d)對于所有接口，應根據職責分離和最小權限對特定用戶（人員、軟件進程或設備）實施系統(tǒng)

的控制使用授權；

e)對于授權的用戶或角色，應能對所有用戶到角色的映射進行規(guī)定和修改；

f)應能在日常維護時，進行安全功能操作的驗證和異常事件的報告；

g)禁止在工程師站、操作員站、服務器使用默認賬戶，應限制默認賬戶的訪問權限，應重命名

系統(tǒng)默認賬戶、修改默認口令；

h)應及時刪除多余的、過期的賬戶，避免共享賬戶的存在。

自主保護：a)、g)、h)指導保護：a)、c)、d)、e)、監(jiān)督保護：a)、b)、c)、d)、

f)、g)、h)e)、f)、g)、h)

6.4.4可信驗證應包括：

d)可基于可信根對主機和設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和通信應用程序進行

可信驗證，在檢測到其可信性受到破壞后進行報警；

e)可信驗證結果應形成審計記錄送至安全管理中心；

f)在應用程序的關鍵執(zhí)行環(huán)節(jié)應進行動態(tài)可信驗證。

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)、c)

6.4.5入侵防范應包括：

a)所有主機設備均應采用最小化原則進行系統(tǒng)安裝，除了必要的安全組件或軟件外，只安裝與

自身業(yè)務相關的操作系統(tǒng)組件及應用軟件，如：工程師站、操作員站只安裝組態(tài)軟件、監(jiān)控

軟件、編程軟件、報表軟件以及與此相關的操作系統(tǒng)組件；OPC服務器、實時數據庫服務器

只安裝數據庫軟件、服務器軟件以及與此業(yè)務相關的操作系統(tǒng)組件；

b)應關閉不需要的系統(tǒng)服務、默認共享和高危端口；

c)應通過設定終端接入方式或網絡地址范圍等措施，限制通過網絡進行管理的管理終端；

d)應能發(fā)現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞；

e)應能夠檢測到對重要節(jié)點進行的入侵行為，并在發(fā)生嚴重入侵事件時提供報警；

f)應自動執(zhí)行可配置的使用限制，包括：防止使用便攜式或移動設備、要求訪問特定內容的授

權、限制便攜式或移動設備的代碼讀寫和數據傳輸操作；

g)應可通過手動，或在一個可配置的非活動周期后系統(tǒng)自動啟動會話鎖定操作，以防止對系統(tǒng)

的進一步訪問；會話鎖定應一直保持有效，直到擁有會話權限的用戶或被授權的其他用戶使

用適當的身份標識和鑒別規(guī)程重新建立訪問；可能對實時性產生影響進而影響到系統(tǒng)正常操

作的，應采用其他替代安全手段或通過管理手段來進行彌補；

h)應在有效的補救條件下識別和處理錯誤狀況，在此過程中不應泄露任何與安全相關的信息，

除非該信息是為及時排除故障所必需的信息。

13

XX/TXXXXX—XXXX

自主保護：a)、f)、g)指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、

e)、f)、g)、h)e)、f)、g)、h)

6.4.6惡意代碼防范應包括：

a)應能對可能造成損害的可移動代碼技術進行使用限制，包括：監(jiān)視可移動代碼的執(zhí)行、對于

可移動代碼的來源進行適當的鑒別和授權、限制可移動代碼的傳入和傳出；

b)應能應用保護機制，防止、檢測、報告和減輕惡意代碼或未經授權軟件的影響，應能及時更

新防護機制；

c)應在所有出、入口提供可管理的惡意代碼防護機制；

d)應能允許代碼執(zhí)行之前驗證移動代碼完整性；

e)應能管理惡意代碼防護機制；

f)可采用可信計算技術建立從系統(tǒng)到應用的信任鏈，實現系統(tǒng)運行過程中重要程序或文件完整

性檢測，并在檢測到破壞后進行恢復。

自主保護：a)、b)指導保護：a)、b)、c)監(jiān)督保護：a)、b)、c)、d)、e)、f)

6.4.7安全審計應包括：

a)應啟用安全審計功能，審計要覆蓋每個用戶，審計的內容包括：訪問控制、請求錯誤、控制

系統(tǒng)事件、備份和恢復事件、配置改變和審計日志事件；

b)審計記錄應包括時間戳、來源（源設備、軟件進程或人員賬戶）、類型、事件ID和事件結果

及其他與審計相關的信息；

c)應保護審計信息和審計工具（如有），防止其在未授權情況下被獲取、修改和刪除；

d)應對審計進程進行保護，防止未經授權的中斷；

e)審計記錄產生時的時間應由系統(tǒng)范圍內唯一確定的時鐘產生，以確保審計分析的正確性；

f)設備應能夠為集中審計管理提供接口，可將生成的審計記錄上傳；

g)應提供編程訪問審計記錄的能力；

h)應向授權人員和/或工具提供以只讀的方式訪問審計日志。

自主保護：a)、b)、h)指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、

f)、h)e)、f)、g)、h)

6.4.8資源控制應包括：

a)在不影響當前安全狀態(tài)的情況下，系統(tǒng)應能在正常供電電源和應急電源之間進行切換；

b)應參照供應商提供的指南，根據所推薦的網絡和安全配置進行系統(tǒng)設置；

c)應對重要節(jié)點如：工程師站、操作員站和服務器等系統(tǒng)的運行資源進行監(jiān)視，監(jiān)視包括：CPU、

硬盤和內存等資源的使用情況，在資源使用情況達到預先設置的閾值時，可觸發(fā)報警；

d)應能對重要節(jié)點的服務水平進行檢測，并在其降低到預先設定的最小值時進行報警；

e)應能實時監(jiān)控設備的運行和通信狀態(tài)，并在發(fā)現異常時能及時報警；

f)應提供重要節(jié)點設備的硬件冗余，保證系統(tǒng)的可用性。

g)應對于任何給定設備的每個接口限制并發(fā)會話數量；

h)應把當前的安全配置設置生成一個設備可讀的報告列表；

14

XX/TXXXXX—XXXX

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)、c)、d)、e)、f)、g)、h)

6.5應用軟件和數據安全

6.5.1軟件版本和系統(tǒng)更新應包括：

c)跟蹤監(jiān)控系統(tǒng)應用軟件的版本更新、漏洞和補丁發(fā)布情況，嚴格進行軟件升級和補丁安裝等

工作管理，防止病毒、木馬等惡意代碼的侵入；

d)重要監(jiān)控系統(tǒng)的軟件升級、補丁安裝，在工作開始前宜請專業(yè)機構進行安全評估和驗證，應

在與生產環(huán)境一致的驗證環(huán)境或平臺上對更新的有效性、安全性和對系統(tǒng)安全穩(wěn)定運行的影

響進行評估和驗證，并對更新進行記錄。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)

6.5.2身份鑒別應包括：

a)應對登錄的用戶進行身份標識和鑒別，身份標識應具有唯一性，鑒別信息應滿足復雜度要求

并定期更換，標識和鑒別應在所有系統(tǒng)接口上執(zhí)行；

b)所有用戶到角色的映射和訪問授權，應根據適用的安全策略和規(guī)程實施職責的分離，并遵循

最小權限原則；

c)應提供并啟用登錄失敗處理功能，多次登錄失敗后應采取必要的保護措施；

d)應強制用戶首次登錄時修改初始口令，口令設置應具備對最小長度、多字符類型組合等通用

原則的校驗功能，未達到強度要求的口令設置不能生效；對口令設置可能對系統(tǒng)的實時性產

生影響，進而影響到系統(tǒng)正常操作的，應采用其他身份鑒別手段替代或通過管理手段進行彌

補；

e)應防止任何已有的用戶賬戶重復使用同一批口令，并對用戶口令最大和最小有效期進行限

制，以符合一般公認的安全產業(yè)的實踐要求；

f)應在可配置時間周期內，對連續(xù)無效的訪問嘗試進行可配置次數限制；

g)當無效訪問次數超出限制后，應進行報警；對于代表關鍵服務或者服務器運行的系統(tǒng)賬戶，

應不允許交互式登錄。

h)應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別。

i)用戶身份鑒別信息丟失或失效時，應采用鑒別信息重置或其他技術措施保證系統(tǒng)

安全；

自主保護：a)、b)、c)、f)指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、

f)、h)、i）e)、f)、g)、h)、i)

6.5.3訪問控制應包括：

a)應提供訪問控制功能，對登錄的用戶分配賬號和權限；

b)應具備默認賬號重命名或賬號默認口令修改的管控機制，禁止在工程師站、操作員站、服務

器使用默認賬戶；

c)應及時刪除或停用多余的、過期的賬號，避免共享賬號的存在；

d)系統(tǒng)賬號權限的授予應遵循最小化原則，授權應僅以完成其自身任務為限，并在不同角色的

賬戶之間形成相互制約的關系；

15

XX/TXXXXX—XXXX

e)應對敏感信息資源設置安全標記，并控制主體對有安全標記的信息資源的訪問；

f)應能支持授權用戶管理所有賬戶，包括添加、激活、修改、禁用和刪除賬戶；

g)應由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；

h)訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫表級、記錄或字段級；

i)應支持統(tǒng)一賬戶管理；

j)應通過手動或在一個可配置的非活動周期后自動啟動會話鎖定操作，以防止對系統(tǒng)的進一步

訪問；會話鎖定應一直保持有效，直到擁有會話權限的用戶或被授權的其他用戶使用適當的

身份標識和鑒別規(guī)程重新建立訪問；可能對實時性產生影響進而影響到系統(tǒng)正常操作的，應

采用其他替代安全手段或通過管理手段來進行彌補；

k)對于所有接口，應根據職責分離和最小權限原則為所有用戶分配訪問授權。

自主保護：a)、b)、c)、f)、指導保護：a)、b)、c)、d)、監(jiān)督保護：a)、b)、c)、d)、

g)、k)f)、g)、h)、j)e)、f)、g)、h)、i)、j）

6.5.4可信驗證應包括：

a)可基于可信根對應用程序進行可信驗證，在檢測到其可信性受到破壞后進行報警；

b)可信驗證結果應形成審計記錄送至安全管理中心；

c)在應用程序的關鍵執(zhí)行環(huán)節(jié)應進行動態(tài)可信驗證。

自主保護：a)指導保護：a)、b)監(jiān)督保護：a)、b)、c)

6.5.5安全審計應包括：

d)應啟用安全審計功能，審計應覆蓋每個用戶，審計的內容包括：訪問控制、請求錯誤、控制

系統(tǒng)事件、備份和恢復事件、配置改變和審計日志事件；

e)審計記錄應包括時間戳、來源（源設備、軟件進程或人員賬戶）、類型、事件ID和事件結果

及其他與審計相關的信息；

f)應保護審計信息和審計工具（如果有），防止其在未授權情況下被獲取、修改和刪除；

g)應對審計進程進行保護，防止未經授權的中斷；

h)審計記錄產生時的時間應由系統(tǒng)范圍內唯一確定的時鐘產生，且具備可配置的頻率，以確保

審計分析的正確性；

i)應能夠為集中審計管理提供接口，提供編程訪問審計記錄的能力；

j)應向授權人員和/或工具提供以只讀的方式訪問審計日志。

自主保護：a)、b)、g)指導保護：a)、b)、c)、g)監(jiān)督保護：a)、b)、c)、d)、e)、

f)、g)

6.5.6軟件容錯應包括：

a)應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統(tǒng)設

定的要求；

b)在故障發(fā)生時，應能夠繼續(xù)提供一部分功能，確保能夠實施必要的措施；

c)應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，以保證系統(tǒng)能夠進行恢復。

16

XX/TXXXXX—XXXX

自主保護：a)指導保護：a)、b)、c)監(jiān)督保護：a)、b)、c)

6.5.7資源控制應包括：

a)當通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；

b)應能夠對系統(tǒng)的最大并發(fā)會話連接數進行限制；

c)應能夠對單個賬號的多重并發(fā)會話進行限制；

d)應能夠對并發(fā)進程的每個進程所占用資源的最大限額進行分配。

自主保護：c)指導保護：a)、b)、c)、d)監(jiān)督保護：a)、b)、c)、d)

6.5.8數據完整性應包括：

a)應采用加解密、校驗碼或同等的安全技術手段，保證重要數據在傳輸過程中的完整性；

b)應采用加解密、校驗碼或同等的安全技術手段，保證重要數據在存儲過程中的完整性；

c)應具備檢測、記錄和報告機制，防止對軟件和信息的未經授權更改；

d)在完整性驗證過程中如發(fā)現差異，應提供自動化工具通知給一組可配置的接收者；

e)應對發(fā)電廠監(jiān)控系統(tǒng)的輸入或直接影響控制系統(tǒng)動作的輸入內容和語法的合法性進行校驗；

f)對于采用工業(yè)無線或現場總線網絡通信的聯網設備，應保護其傳輸信息的完整性。

g)對于采用工業(yè)無線或現場總線網絡通信的聯網設備，應能使用密碼學機制識別信息在通信過

程中是否被篡改。

自主保護：a)、c)、e)、f)指導保護：a)、c)、e)、f)監(jiān)督保護：a)、b)、c)、d)、

e)、f)、g)

6.5.9數據保密性應包括：

a)無論在信息存儲或傳輸時，都應對有明確的讀權限的信息提供保密性保護；

b)在進行加密時，應按照國家相關保密部門的要求采用合適的加密算法、密鑰長度和密鑰管理

機制；

c)應支持國家密碼管理部門批準使用的密碼算法，使用國家密碼管理部門認證核準的密碼產

品，遵循與密碼相關的國家標準和行業(yè)標準；

d)當信息穿過任何安全域邊界時，應保證保密性。

自主保護：a)、b)指導保護：a)、b)監(jiān)督保護：a)、b)、c)、d)

6.5.10數據備份和恢復應包括：

a)應提供重要數據的本地備份與恢復功能；

b)應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地；

c)應提供重要數據處理系統(tǒng)的熱冗余，以保證系統(tǒng)的高可用性；

d)對于包括采用工業(yè)無線或現場總線網絡通信在內的設備，應在不影響正常設備使用的前提

下，識別和定位關鍵文件，以及備份用戶級和系統(tǒng)級的信息（包括系統(tǒng)狀態(tài)信息）；

e)對于包括采用工業(yè)無線或現場總線網絡通信在內的設備，應提供備份機制的可靠性驗證能

力；

f)應具備可配置頻率的自動備份能力；

17

XX/TXXXXX—XXX