2022電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)導(dǎo)則

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)導(dǎo)則征求意見稿22目 次前言 3引言 4電力控統(tǒng)絡(luò)全護(hù)技導(dǎo)則 51范圍 5規(guī)性用件 5術(shù)和義 5總要求 8網(wǎng)安防要及護(hù)措施 9全理境 9全算境 9全域界 10全信絡(luò) 10電監(jiān)系網(wǎng)安防護(hù)計(jì) 10全理境計(jì) 10全算境計(jì) 11全域界計(jì) 11全信絡(luò)計(jì) 11安管中設(shè)計(jì) 128附錄 1PAGEPAGE10電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)導(dǎo)則范圍本標(biāo)準(zhǔn)規(guī)定了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的技術(shù)要求、防護(hù)措施及設(shè)計(jì)原則。GB/T36572電力GB/T22239GB/T25070GB/T28448GB/T36958GB/T9361GB/T50174 DL/T1936DL/T1941《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（國家發(fā)改委令2014年第14號(hào)）《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（國能安全〔2015〕36號(hào)文）下列術(shù)語和定義適用于本文件。3.1電力監(jiān)控系統(tǒng)CA【GB/T36572-2018，定義3.1】3.2網(wǎng)絡(luò)安全【GB/T22239-2019，定義3.1】3.3定級(jí)系統(tǒng)已確定安全保護(hù)定級(jí)的系統(tǒng)。定級(jí)系統(tǒng)分為第一級(jí)、第二級(jí)、第三級(jí)、第四級(jí)和第五級(jí)。【GB/T25070-2019，定義3.2】3.4等級(jí)測評(píng)【GB/T28448-2019，定義3.6】3.5上線安全評(píng)估電力監(jiān)控系統(tǒng)投運(yùn)前及發(fā)生重大變更時(shí)，運(yùn)行單位自行組織或委托評(píng)估機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行安全評(píng)估。注：重大變更包括，但不限于：a）增加新的應(yīng)用或應(yīng)用發(fā)生較大變更；b）網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更；c）技術(shù)平臺(tái)大規(guī)模更新；系統(tǒng)擴(kuò)容或改造；系統(tǒng)運(yùn)行維護(hù)管理機(jī)構(gòu)或人員發(fā)生較大規(guī)模調(diào)整。【GB/T38318-2019，定義3.3】3.6密碼技術(shù)密碼技術(shù)，是指能夠?qū)崿F(xiàn)密碼算法的加密、解密和認(rèn)證等功能的技術(shù)。3.7安全計(jì)算環(huán)境對(duì)定級(jí)系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件?！綠B/T25070-2019，定義3.4】3.8安全區(qū)域邊界【GB/T25070-2019，定義3.5】3.9安全通信網(wǎng)絡(luò)對(duì)定級(jí)系統(tǒng)的安全計(jì)算環(huán)境之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件?！綠B/T25070-2019，定義3.6】3.10安全管理中心【GB/T25070-2019，定義3.7】3.11云計(jì)算一種通過網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池以按需自服務(wù)的方式供應(yīng)和管理的模式。注：資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲(chǔ)設(shè)備等?！綠B/T32400-2015，定義3.2.5】3.12生產(chǎn)控制大區(qū)由具有數(shù)據(jù)采集與控制功能、縱向連接使用專用網(wǎng)絡(luò)或?qū)Ｓ猛ǖ赖牡碾娏ΡO(jiān)控系統(tǒng)構(gòu)成的安全區(qū)域?！綠B/T36572-2018，定義3.3】3.13控制區(qū)【GB/T36572-2018，定義3.4】3.14非控制區(qū)【GB/T36572-2018，定義3.5】3.15管理信息大區(qū)生產(chǎn)控制大區(qū)之外，主要由企業(yè)管理、辦公自動(dòng)化系統(tǒng)及信息網(wǎng)絡(luò)構(gòu)成的安全區(qū)域?！綠B/T36572-2018，定義3.6】3.16橫向隔離生產(chǎn)控制大區(qū)之外，在不同安全區(qū)域間禁止通用網(wǎng)絡(luò)通信服務(wù)，僅允許單向數(shù)據(jù)傳輸，采用訪問控制、簽名驗(yàn)證、內(nèi)容過濾、有效性檢查的技術(shù)，實(shí)現(xiàn)接近或達(dá)到物理隔離強(qiáng)度的安全措施。【GB/T36572-2018，定義3.7】3.17縱向認(rèn)證采用認(rèn)證、加密、訪問控制等技術(shù)實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)的措施?！綠B/T36572-2018，定義3.8】縮略語下列縮略語適用于本文件LAN：局域網(wǎng)絡(luò)（LocalAreaNetwork）MPLS：多協(xié)議標(biāo)簽交換（Multi-ProtocolLabelSwitching）PVC：永久虛擬電路（PermanentVirtualCircuit）SDH：同步數(shù)字傳輸體系（SynchronousDigitalHierarchy）OTN：光傳送網(wǎng)（OpticalTransferPlatform）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）VXLAN：虛擬擴(kuò)展局域網(wǎng)（VirtualExtensibleLocalAreaNetwork）VPN：虛擬專網(wǎng)（VirtualPrivateNetwork）WAF：web應(yīng)用防火墻（WebApplicationFirewall）“”的GB/T36572、GB/T22239-2019GB/T22239-2019GB/T25070-2019（監(jiān)管機(jī)房應(yīng)選擇建設(shè)在具備防風(fēng)、防雨、防震能力的建筑物內(nèi)，應(yīng)按照GB/T22239、GB/T36572、GB/50174GB/T22239GB/T36572GB/501742GB/T22239-2019安全性和完整性不被破壞或感染。UPSGB50174-2017要求。。四級(jí)系統(tǒng)機(jī)房內(nèi)關(guān)鍵區(qū)域及關(guān)鍵設(shè)備應(yīng)采取電磁屏蔽措施，可采用電磁屏蔽機(jī)柜，具GB/T22239-2019的要求。控（VLAN等。WebWeb。135kV應(yīng)基于SDH/OTNMPLS-VPNPVCMPLS/VPNVLANVLAN、VXLANSDH安全通信網(wǎng)絡(luò)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力以及網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要。安全通信網(wǎng)絡(luò)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址。35kV套配置，根據(jù)調(diào)度管轄關(guān)系，分別接入相應(yīng)的接入網(wǎng)。220kVSDH控（（）11附錄生產(chǎn)控制大區(qū)生產(chǎn)控制大區(qū)））控制區(qū)（安全I(xiàn)區(qū)）非控制區(qū)（安全I(xiàn)I區(qū)