為貫徹落實黨的二十屆三中全會精神,深化能源管理體制改革�,完善電力監(jiān)控系統(tǒng)網絡安全技術防護體系,近日����,國家發(fā)展改革委頒布了新修訂的《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)展改革委2024年第27號令�����,以下簡稱《規(guī)定》)��,自2025年1月1日起施行���,原《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)展改革委2014年第14號令)同時廢止。
1��、《規(guī)定》修訂背景是什么�?
原《規(guī)定》于2014年發(fā)布,是指導全國電力行業(yè)開展電力監(jiān)控系統(tǒng)安全防護的基本法規(guī)�,與電力安全生產工作密切相關�,對電力監(jiān)控系統(tǒng)網絡安全防護工作發(fā)揮了重要作用����。近年來���,有關法律法規(guī)政策陸續(xù)發(fā)布或修訂��,國家對網絡安全工作有了新的要求�。同時�����,新型電力系統(tǒng)建設背景下,新業(yè)務形態(tài)和運行模式涌現(xiàn),電力監(jiān)控系統(tǒng)安全防護體系亟需健全完善。
2��、《規(guī)定》修訂原則是什么����?
《規(guī)定》修訂過程中突出三方面原則。一是堅持依法合規(guī)�。確保《網絡安全法》《關鍵信息基礎設施安全保護條例》等法律法規(guī)和黨中央國務院有關要求落實到位。二是堅持問題導向����。針對近年來電力監(jiān)控系統(tǒng)網絡安全工作實踐中暴露出來的電力監(jiān)控系統(tǒng)定義模糊����、安全接入區(qū)防護強度不足���、專用安全產品管理流程有待優(yōu)化、行政執(zhí)法依據不足等問題��,及新型電力系統(tǒng)接入主體更多樣��、邊端分布更廣泛、交互方式更豐富等特征帶來的新風險�����,針對性補充技術和管理要求��。三是堅持守正創(chuàng)新��。在堅持“安全分區(qū)�����、網絡專用���、橫向隔離���、縱向認證”十六字原則的基礎上��,進一步明確電力監(jiān)控系統(tǒng)范圍����,提出強化措施�,優(yōu)化管理體系。
3�����、《規(guī)定》主要修訂內容有哪些?
本次修訂對原《規(guī)定》做了多方的修改��,并新增13條��,修訂后共六章37條����。主要做了以下調整和完善��。
一是明確電力監(jiān)控系統(tǒng)范圍�����,將羅列典型系統(tǒng)名稱改為列舉功能��。
二是優(yōu)化安全分區(qū)要求,在堅持原分區(qū)策略的基礎上��,調整原《規(guī)定》闡述邏輯及表述�。
三是強化安全接入區(qū)防護要求,明確安全接入區(qū)加密認證���、安全監(jiān)測等技術要求���。
四是強化技術防護措施����,在堅持十六字原則的基礎上,補充安全免疫���、態(tài)勢感知��、動態(tài)評估和備用應急措施。
五是定義電力監(jiān)控專用網絡���,明確承載電力監(jiān)視和控制業(yè)務的專用廣域數(shù)據網絡���、專用局域網絡以及專用通信線路屬于電力監(jiān)控專用網絡范疇。
六是強化供應鏈及電力監(jiān)控系統(tǒng)專用安全產品管理���,明確運營者應當以合同條款的方式對電力監(jiān)控系統(tǒng)供應商提出安全要求,明確由國家電力調度控制中心牽頭組建電力監(jiān)控系統(tǒng)專用安全產品管理委員會����。
七是優(yōu)化技術監(jiān)督管理�����,明確不同主體技術監(jiān)督的工作要求��,增加技術監(jiān)督過程中風險管控措施。
八是細化罰則��。
4、電力監(jiān)控系統(tǒng)安全防護規(guī)定27號令對比14號令的14條更新
?�。?)法律依據更新:相比于14號令僅引用《電力監(jiān)管條例》�、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等,27號令更新《中華人民共和國網絡安全法》�����、《關鍵信息基礎設施安全保護條例》等法律法規(guī)作為制定依據��,進一步提升了規(guī)定的法律效力,并將電力監(jiān)控系統(tǒng)安全防護納入關鍵信息基礎設施保護的框架之下,其戰(zhàn)略意義顯著提升�。
?���。?)適用范圍擴展:27號令的適用范圍在14號令基礎上��,不再局限于發(fā)電企業(yè)�����、電網企業(yè)及其相關單位���,而是覆蓋所有電力監(jiān)控系統(tǒng)運營者及相關單位,進一步明確安全管理責任����。
(3)安全防護原則擴展:新增“安全免疫����、態(tài)勢感知、動態(tài)評估和備用應急措施”作為電力監(jiān)控系統(tǒng)安全防護的原則��。
(4)安全分區(qū)進一步明確�,新規(guī)定將電力監(jiān)控系統(tǒng)分為生產控制區(qū)(安全Ⅰ區(qū)和安全Ⅱ區(qū))和管理信息區(qū)(安全Ⅲ區(qū)和安全Ⅳ區(qū))��,而2014年的規(guī)定只提到了生產控制大區(qū)和管理信息大區(qū)�����。
?��。?)安全Ⅲ區(qū)與安全Ⅳ區(qū)之間當設置具有訪問控制功能的設備�、防火墻或者相當功能的邏輯隔離設施(27號令第十條內容新增)。
本條款目的是需要通過訪問控制等手段���,確保電力監(jiān)控系統(tǒng)內各個安全區(qū)之間的隔離���,在此特提出要求在安全Ⅲ區(qū)與安全Ⅳ區(qū)之間的有效隔離���,從而限制未經授權的訪問����、減少跨區(qū)風險傳播����、提高系統(tǒng)的整體安全性。
?����。?)生產控制區(qū)應當對外設接入行為進行管控(27號令第十三條內容新增)。
本條款強調在電力監(jiān)控系統(tǒng)生產控制區(qū)應采取外設接入行為的管控措施�,以降低內部攻擊的風險以及防止數(shù)據泄露等情況發(fā)生�����。據調研,目前大部分電力監(jiān)控系統(tǒng)未對移動介質的使用采取有效的管理措施����,一旦出現(xiàn)由于移動介質的濫用導致的病毒感染事件,可能導致關鍵生產系統(tǒng)的中斷�����,嚴重影響生產效率和業(yè)務連續(xù)性��。
(7)電力監(jiān)控系統(tǒng)投運前應當進行安全加固(27號令第十六條內容新增)�。
本條款強調在電力監(jiān)控系統(tǒng)投運前��,必須采取額外的安全措施��,增強系統(tǒng)的安全性�����,包括主機加固����、系統(tǒng)加固等。
?���。?)運營者應當建立網絡安全監(jiān)測預警機制��,建設基于內置探針等的網絡安全監(jiān)測手段����,實時監(jiān)視分析電力監(jiān)控系統(tǒng)網絡安全運行狀態(tài)及可疑行為告警(27號令第十七條內容新增)。
本條款指的是運營者需建立一套全面的監(jiān)控系統(tǒng)�����,通過技術手段實時跟蹤電力監(jiān)控系統(tǒng)的網絡安全狀態(tài)����,通過分析實時數(shù)據�,判斷當前系統(tǒng)的安全性,發(fā)現(xiàn)潛在的安全事件和風險并發(fā)出預警�。
?���。?)運營者在電力監(jiān)控系統(tǒng)規(guī)劃設計�����、建設運營過程中, 應當保證網絡安全技術措施同步規(guī)劃���、 同步建設�、 同步使用(27號令第十九條內容新增)��。
本條款強化了電力監(jiān)控系統(tǒng)運營者在規(guī)劃設計���、建設運營過程中開展網絡安全建設“三同步”的要求����。
(10)省級及以上電力調度機構應當定期將調管范圍內電力監(jiān)控系 統(tǒng)安全防護評估和整改情況報國家能源局及其派出機構(27號令二十一條內容新增)�����。
本條款明確提出了:“省級及以上電力調度機構應當定期將調管范圍內電力監(jiān)控系統(tǒng)安全防護評估和整改情況報國家能源局及其派出機構的要求”�����。
(11)運營者應當以合同條款的方式要求電力監(jiān)控系統(tǒng)供應商保證:提供的產品和服務未設置惡意程序�、不存在已知安全缺陷和漏洞�����,并在產品和服務的全生命周期內負責;當產品和服務存在安全缺陷�、漏洞等風險時,立即采取補救措施��,并及時告知運營者����;當存在重大漏洞隱患時��,及時向國家能源局及其派出機構報告(27號令二十二條內容新增)�����。
本條款引入供應鏈安全管理的相關內容�,要求運營者通過合同條款明確供應商的安全責任�����。包括了供應商提供的產品無惡意程序:供應商提供的產品和服務無病毒�、后門等惡意程序對電力監(jiān)控系統(tǒng)的安全性造成嚴重威脅���,避免數(shù)據泄露����、系統(tǒng)崩潰以及惡意遠程控制等情況發(fā)生�����;無已知的安全漏洞或缺陷:供應商提供的產品和服務已經過正規(guī)檢測機構對已知漏洞或缺陷的安全檢測�,并在發(fā)現(xiàn)漏洞時可以及時修復���;在產品和服務的全生命周期內負責:要求供應商不僅需保證在產品交付時的安全性也要保證在其使用過程中的穩(wěn)定性��,如在使用過程中無新的已知漏洞��,且需及時提供漏洞修復和安全升級服務��。
(12)在應急措施方面�����,27號令在第二十八條明確提出了建立系統(tǒng)備用和恢復機制的要求��,以確保電力監(jiān)控系統(tǒng)在面對故障�、攻擊或突發(fā)情況時,能夠迅速恢復并繼續(xù)正常運行�。
?。?3)在第三十條,明確了電力調度機構�����、運營者的監(jiān)督管理責任;明確了電力監(jiān)控系統(tǒng)網絡安全技術監(jiān)督管理辦法是由國家能源局負責制定����。
?。?4)在第三十一條、三十二條�����,明確了對運營者違規(guī)的定量處罰細則�����,明確處罰金額�����。
其中,對電力監(jiān)控系統(tǒng)運營者未按照以下等要求執(zhí)行網絡安全防護工作��,給出了明確處罰機制:
(一)未采取安全分區(qū)��、邊界防護等防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施��;
(二)未采取網絡安全監(jiān)測預警等技術措施監(jiān)測、記錄網絡運行狀態(tài)����、網絡安全事件。
《國家能源局-電力監(jiān)控系統(tǒng)安全防護規(guī)定-27號令-點擊下載原文件》
免責聲明
本文檔提供有關 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》解讀:從14個政策更新細節(jié)理解27號令 的信息��,本文檔未授予任何知識產權的許可��,并未以明示或暗示�����,或以禁止發(fā)言或其它方式授予任何知識產權許可����。除在其產品的銷售條款和條件聲明的責任之外, 我公司概不承擔任何其它責任�。
文中部分素材來源于網絡,如有侵權請聯(lián)系��。
