电力行业主要标准与网络安全等级保护2.0标准的对比
众所周知,能源、电力等关键信息基础设施是网络安全的重中之重,它们的安全严重影响国家的经济发展和社会稳定。一旦这些基础设施出现问题,带来的结果将具有很大的破坏性和杀伤力。
而电力系统已经成为国际网络战的重要攻击目标,电力监控系统安全防护承受巨大压力。资料显示,在美国工业控制系统系统应急响应小组监测到的200多起工业控制系统安全事件中,电力等能源领域的事件就超过一半。
本文梳理了电力行业网络安全标准和网络安全等级保护2.0标准的对比。(主要对照网络安全等级保护2.0中的工业控制系统扩展要求)
1电力行业主要标准
-
《电力行业信息系统等级保护定级工作指导意见》
-
《电力信息系统安全等级保护实施指南》(GB/T 37138-2018)
-
《电力行业信息系统安全等级保护基本要求》
-
《电力监控系统网络安全防护导则》(GB/T 36572-2018)
-
《电力信息系统安全检查规范》(GB/T 36047-2018)
-
《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》
-
《电力监控系统安全防护规定》
2网络安全等级保护2.0主要标准
-
网络安全等级保护条例(总要求/上位文件)(正在修订)
-
计算机信息系统安全保护等级划分准则(GB 17859-1999)
-
网络安全等级保护定级指南(GB/T 22240)(正在修订)
-
网络安全等级保护实施指南(GB/T 25058-2019)
-
网络安全等级保护基本要求(GB/T 22239-2019)
-
网络安全等级保护设计技术要求(GB/T 25070-2019)
-
网络安全等级保护测评要求(GB/T 28448-2019)
-
网络安全等级保护测评过程指南(GB/T 28449-2018)
网络安全等级保护2.0中工业控制系统新增要求
1、安全运维管理
变更性运维;运维工具;远程运维;无线上网;密码技术与产品使用;配置管理;外包运维管理;外部人员应签署保密协议;外部人员离场后应及时清除其所有的访问权限。
2、安全计算环境
控制设备安全
应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。
3、安全区域边界
访问控制
应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。
4、安全物理环境
室外控制设备物理防护
室外控制设备应防止在采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;
室外控制设备防止应远离强电磁干扰,强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。
5、安全管理中心
系统管理;审计管理;安全管理;集中管控。
6、安全建设管理
上线前进行安全性测试,并出具测试报告且含密码应用安全性测试。