风电行业工控网络等保三级建设场景概述
一、建设背景
电力行业的发展对于控制系统要求也极为严格,风电是目前新能源行业中技术最成熟、经济性最高、最具发展潜力且基本实现商业化的可再生能源技术之一。风电已在全球范围内实现规模化应用。风力发电厂普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。为了抵御各种攻击对发电生产控制系统的破坏,国家发展和改革委员会颁布第14号令《电力监控系统安全防护规定》和能源局36号文《电力监控系统安全防护总体方案》,确定了电力二次系统安全防护的总体框架。指导全国电力系统信息安全体系化建设。
2017年6月1日起施行的《中华人民共和国网络安全法》则明确提出,要保障关键信息基础设施运行安全,对关键信息基础设施的安全风险进行抽查检测,提出改进措施等。网络安全法是作为中国信息安全的基本法,明确提到信息安全的建设要遵照等级保护标准来做建设。
为了配合《中华人民共和国网络安全法》的实施,适应工业控制系统网络安全等级保护工作的开展,2019年5月《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》发布,新版标准不仅针对共性安全保护需求提出安全通用要求,也针对工业控制的个性安全保护需求提出了安全扩展要求。标准于2019年12月1日开始实施,网络安全等级保护制度正式进入了2.0时代。
二、工控系统发展概述
风电控制系统包括现场风力发电机组控制单元、高速环型冗余光纤以太网、远程上位机操作员站等部分。现场风力发电机组控制单元是每台风机控制的核心,实现机组的参数监视、自动发电控制和设备保护等功能;每台风力发电机组配有就地HMI人机接口以实现就地操作、调试和维护机组;高速环型冗余光纤以太网是系统的数据高速公路,将机组的实时数据送至上位机界面;上位机操作员站是风电厂的运行监视核心,并具备完善的机组状态监视、参数报警,实时/历史数据的记录显示等功能,操作员在控制室内实现对风场所有机组的运行监视及操作。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,工业控制系统信息安全问题日益突出。与此同时,我国风电工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着风电工业生产安全和社会正常运转。风电自动化系统基本结构包括:
1)控制层:
风电基本控制功能:偏航控制、发电控制、桨距控制及液压控制等。同时每台风力发电机塔筒的控制柜内会布置相应的就地监控装置来本地管理和监控风机相关控制功能。
2)集中监控层:
一般布置在风电场控制室内,工作人员能够根据画面的切换随时控制和了解风电场同一型号风力发电机的运行和操作。同时集中监控也会配置一些历史服务器进行数据储存以及WEB服务器来提供数据服务。
3)远程监控层:
根据需要布置在公司集团不同地点的远程控制。远程监测多个风场的状态、控制以及报警,一般配置WEB客户端来进行远程数据访问
国内外历史上出现过多次由信息安全引发的工控领域的安全事故,概要列举如下:
➤从2010年伊朗布什尔核电站震网病毒事件爆发之后人们把目光更多关注工业控制系统安全,由ICS-CERT提供的安全事件统计数据分析结果可知,近年来,工业控制系统相关的安全事件正在呈快速增长的趋势,且这些事件多分布在能源、关键制造业、市政、交通等涉及国计民生的关键基础行业。
➤2016年 BlackEnergy攻击导致乌克兰电网停电事故,导致伊万诺-弗兰科夫斯克州数十万户大停电,1个月后,安全专家表示,证实这起停电是遭到黑客以恶意软件攻击电网所造成。
➤2016年4 月,德国 Gundremmingen 核电站的计算机系统,在常规安全检测中发现了恶意程序。此恶意程序是在核电站负责燃料装卸系统的Block B信息网络中发现的。该恶意程序仅感染了计算机的 Block B 信息系统,导致系统恶意关停。所以专家推测恶意程从外部引入,如 USB存储装置。
➤2017年,俄罗斯黑客入侵和调查美国电力公司,NotPetya勒索软件攻击渗透能力已经足以截获实际的控制面板,操纵电力系统的操作,从而展示其破坏电网的能力。
➤2018年3月,2018 年3月 21日,印度Uttar Haryana Bijli Vitran Nigam(简称 UHBVN)电力公司的网络系统遭到了匿名黑客组织入侵,黑客在获取其计算机系统访问权限后,进一步侵入计费系统并窃取和锁定了大量客户计费数据,同时向UHBVN公司勒索价值1000万卢布(约15万美元)的比特币作为赎金。
➤ 2018年4月24日,乌克兰能源和煤炭工业部网站遭黑客攻击,网站瘫痪,主机中文件被加密,主页留下要求支付比特币赎金的英文信息,以此换取解锁文件。
➤2019年3月7日,委内瑞拉国内古里风电厂,包括首都加拉加斯在内的大部分地区停电超过24小时,在委内瑞拉23个州中,一度有20个州全面停电,停电导致加拉加斯地铁无法运行,造成大规模交通拥堵,学校、医院、工厂、机场等都受到严重影响,手机和网络也无法正常使用。
➤2019年7月,南非电力公司遭勒索病毒攻击导致电费无法缴纳。约翰内斯堡市电力公司应用程序和数据库被黑客恶意加密,基本上瘫痪了它的外部服务。无法通过网上支付系统购电,供电中断。
➤2019年8月24日,乌克兰国家安全局在南乌克兰核电站内逮捕了一批窃取电站电力以获取数字货币的工作人员和军事驻军。据悉,该团伙在核电站内建立了一个小型局域网,可以通过使用视频卡、硬盘等许多未经授权的计算机部件以及光纤和网线接入互联网,严重损害了核电站网络保护安全,造成核电站实物保护系统机密信息泄露。
➤2019年9月5日,美国西部一家电力公司因边界防火墙受到网络攻击,导致其控制中心与多个电厂之间的通信中断。据悉,电力公司使用的防火墙固件存在安全漏洞。攻击者可以远程发起攻击,导致目标设备连续重新启动并中断网络通信。
➤2019年10月30日,印度核电公司正式证实,库丹库兰核电站感染了由朝鲜政府资助的黑客组织开发的恶意软件,导致核电站域控制服务器受到控制,第二核电站机组关闭。据悉,该恶意软件已于今年9月4日前被发现,原因是其针对印度核电站的网络攻击活动,主要用于侦察等作为恶意软件有效载荷的投递设备。其样本包括核电站内部网络的硬编码凭证,证明恶意软件是专门编译的,用于在电站IT网络内传播和操作。
➤据英国《每日邮报》12月2日报道,法国电力集团下属的一座英国核电站今年3月涉嫌遭到网络攻击,在系统无法恢复后,向国家网络中心(NCSC)寻求技术支持。推测攻击者涉嫌侵入电站内部网络,可能获得极高的系统控制权限,通过隔离受害主机,分批重新安装系统,无法恢复业务,而只能寻求国家网络应急管理机构的支持。
三、工业控制系统层次模型
工业控制系统层次模型从上到下共分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。企业资源层主要包括ERP系统功能单元,用于为企业决策层员工提供决策运行手段;生产管理层主要MES系统功能单元,用于对生产过程进行管理,如制造数据管理、生产调度管理等;过程监控层主要包括监控服务器与HMI系统功能单元,用于对生产过程数据进行采集与监控,并利用HMI系统实现人机交互;现场控制层主要包括各类控制器单元,如PLC、DCS控制单元等,用于对各执行设备进行控制;现场设备层主要包括各类过程传感设备与执行设备单元,用于对生产过程进行感知与操作。
各个层次使用网络安全等级保护基本要求相关内容的映射关系如下:
四、国家政策法规
4-1 中华人民共和国网络安全法
《网络安全法》明确制造企业的关键信息基础设施纳入国家法律层面的保护,对于能源企业以及主管单位、安全服务提供商的责任划分和职责要求如下:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
4-2 等级保护2.0
5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。技术部分将从基本要求和扩展要求两个方面进行展开,扩展部分明确将工业控制系统作为安全防护的一个重要部分,从安全计算环境、网络安全边际、网络通信和集中管控、物理安全等5个方面进行防护要求。
GB/T 22239-2019信息安全技术 网络安全等级保护基本要求
GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求
GB/T 28448-2019信息安全技术 网络安全等级保护测评要求
4-3 关键信息基础设施网络安全保护基本要求
2017年6月1日《网络安全法》正式实施,其中第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。2019年12月3日,全国信息安全标准化技术委员会秘书处在北京组织召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动会。本次试点工作旨在验证《关保》标准内容的合理性和可操作性,为标准推广实施积累经验,为关键信息基础设施安全保护工作提供技术支撑。
4-4 《电力监控系统安全防护总体方案》国能安全36号文电力
2015年4月,国家能源局确定了电力监控系统安全防护总体框架,细化了总体原则,定义了通用和专用的安全防护技术与设备,提出了省级以上调度中心、地(县)级调度中心、发电厂、变电站、配电等的电力监控系统安全防护方案及电力监控系统安全防护评估规范。
重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理。
电力行业的发展对于控制系统要求也极为严格,风电是目前新能源行业中技术最成熟、经济性最高、最具发展潜力且基本实现商业化的可再生能源技术之一。风电已在全球范围内实现规模化应用。风力发电厂普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。为了抵御各种攻击对发电生产控制系统的破坏,国家发展和改革委员会颁布第14号令《电力监控系统安全防护规定》和能源局36号文《电力监控系统安全防护总体方案》,确定了电力二次系统安全防护的总体框架。指导全国电力系统信息安全体系化建设。
2017年6月1日起施行的《中华人民共和国网络安全法》则明确提出,要保障关键信息基础设施运行安全,对关键信息基础设施的安全风险进行抽查检测,提出改进措施等。网络安全法是作为中国信息安全的基本法,明确提到信息安全的建设要遵照等级保护标准来做建设。
为了配合《中华人民共和国网络安全法》的实施,适应工业控制系统网络安全等级保护工作的开展,2019年5月《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》发布,新版标准不仅针对共性安全保护需求提出安全通用要求,也针对工业控制的个性安全保护需求提出了安全扩展要求。标准于2019年12月1日开始实施,网络安全等级保护制度正式进入了2.0时代。
二、工控系统发展概述
风电控制系统包括现场风力发电机组控制单元、高速环型冗余光纤以太网、远程上位机操作员站等部分。现场风力发电机组控制单元是每台风机控制的核心,实现机组的参数监视、自动发电控制和设备保护等功能;每台风力发电机组配有就地HMI人机接口以实现就地操作、调试和维护机组;高速环型冗余光纤以太网是系统的数据高速公路,将机组的实时数据送至上位机界面;上位机操作员站是风电厂的运行监视核心,并具备完善的机组状态监视、参数报警,实时/历史数据的记录显示等功能,操作员在控制室内实现对风场所有机组的运行监视及操作。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,工业控制系统信息安全问题日益突出。与此同时,我国风电工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着风电工业生产安全和社会正常运转。风电自动化系统基本结构包括:
1)控制层:
风电基本控制功能:偏航控制、发电控制、桨距控制及液压控制等。同时每台风力发电机塔筒的控制柜内会布置相应的就地监控装置来本地管理和监控风机相关控制功能。
2)集中监控层:
一般布置在风电场控制室内,工作人员能够根据画面的切换随时控制和了解风电场同一型号风力发电机的运行和操作。同时集中监控也会配置一些历史服务器进行数据储存以及WEB服务器来提供数据服务。
3)远程监控层:
根据需要布置在公司集团不同地点的远程控制。远程监测多个风场的状态、控制以及报警,一般配置WEB客户端来进行远程数据访问
国内外历史上出现过多次由信息安全引发的工控领域的安全事故,概要列举如下:
➤从2010年伊朗布什尔核电站震网病毒事件爆发之后人们把目光更多关注工业控制系统安全,由ICS-CERT提供的安全事件统计数据分析结果可知,近年来,工业控制系统相关的安全事件正在呈快速增长的趋势,且这些事件多分布在能源、关键制造业、市政、交通等涉及国计民生的关键基础行业。
➤2016年 BlackEnergy攻击导致乌克兰电网停电事故,导致伊万诺-弗兰科夫斯克州数十万户大停电,1个月后,安全专家表示,证实这起停电是遭到黑客以恶意软件攻击电网所造成。
➤2016年4 月,德国 Gundremmingen 核电站的计算机系统,在常规安全检测中发现了恶意程序。此恶意程序是在核电站负责燃料装卸系统的Block B信息网络中发现的。该恶意程序仅感染了计算机的 Block B 信息系统,导致系统恶意关停。所以专家推测恶意程从外部引入,如 USB存储装置。
➤2017年,俄罗斯黑客入侵和调查美国电力公司,NotPetya勒索软件攻击渗透能力已经足以截获实际的控制面板,操纵电力系统的操作,从而展示其破坏电网的能力。
➤2018年3月,2018 年3月 21日,印度Uttar Haryana Bijli Vitran Nigam(简称 UHBVN)电力公司的网络系统遭到了匿名黑客组织入侵,黑客在获取其计算机系统访问权限后,进一步侵入计费系统并窃取和锁定了大量客户计费数据,同时向UHBVN公司勒索价值1000万卢布(约15万美元)的比特币作为赎金。
➤ 2018年4月24日,乌克兰能源和煤炭工业部网站遭黑客攻击,网站瘫痪,主机中文件被加密,主页留下要求支付比特币赎金的英文信息,以此换取解锁文件。
➤2019年3月7日,委内瑞拉国内古里风电厂,包括首都加拉加斯在内的大部分地区停电超过24小时,在委内瑞拉23个州中,一度有20个州全面停电,停电导致加拉加斯地铁无法运行,造成大规模交通拥堵,学校、医院、工厂、机场等都受到严重影响,手机和网络也无法正常使用。
➤2019年7月,南非电力公司遭勒索病毒攻击导致电费无法缴纳。约翰内斯堡市电力公司应用程序和数据库被黑客恶意加密,基本上瘫痪了它的外部服务。无法通过网上支付系统购电,供电中断。
➤2019年8月24日,乌克兰国家安全局在南乌克兰核电站内逮捕了一批窃取电站电力以获取数字货币的工作人员和军事驻军。据悉,该团伙在核电站内建立了一个小型局域网,可以通过使用视频卡、硬盘等许多未经授权的计算机部件以及光纤和网线接入互联网,严重损害了核电站网络保护安全,造成核电站实物保护系统机密信息泄露。
➤2019年9月5日,美国西部一家电力公司因边界防火墙受到网络攻击,导致其控制中心与多个电厂之间的通信中断。据悉,电力公司使用的防火墙固件存在安全漏洞。攻击者可以远程发起攻击,导致目标设备连续重新启动并中断网络通信。
➤2019年10月30日,印度核电公司正式证实,库丹库兰核电站感染了由朝鲜政府资助的黑客组织开发的恶意软件,导致核电站域控制服务器受到控制,第二核电站机组关闭。据悉,该恶意软件已于今年9月4日前被发现,原因是其针对印度核电站的网络攻击活动,主要用于侦察等作为恶意软件有效载荷的投递设备。其样本包括核电站内部网络的硬编码凭证,证明恶意软件是专门编译的,用于在电站IT网络内传播和操作。
➤据英国《每日邮报》12月2日报道,法国电力集团下属的一座英国核电站今年3月涉嫌遭到网络攻击,在系统无法恢复后,向国家网络中心(NCSC)寻求技术支持。推测攻击者涉嫌侵入电站内部网络,可能获得极高的系统控制权限,通过隔离受害主机,分批重新安装系统,无法恢复业务,而只能寻求国家网络应急管理机构的支持。
三、工业控制系统层次模型
工业控制系统层次模型从上到下共分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。企业资源层主要包括ERP系统功能单元,用于为企业决策层员工提供决策运行手段;生产管理层主要MES系统功能单元,用于对生产过程进行管理,如制造数据管理、生产调度管理等;过程监控层主要包括监控服务器与HMI系统功能单元,用于对生产过程数据进行采集与监控,并利用HMI系统实现人机交互;现场控制层主要包括各类控制器单元,如PLC、DCS控制单元等,用于对各执行设备进行控制;现场设备层主要包括各类过程传感设备与执行设备单元,用于对生产过程进行感知与操作。
各个层次使用网络安全等级保护基本要求相关内容的映射关系如下:
四、国家政策法规
4-1 中华人民共和国网络安全法
《网络安全法》明确制造企业的关键信息基础设施纳入国家法律层面的保护,对于能源企业以及主管单位、安全服务提供商的责任划分和职责要求如下:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
4-2 等级保护2.0
5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。技术部分将从基本要求和扩展要求两个方面进行展开,扩展部分明确将工业控制系统作为安全防护的一个重要部分,从安全计算环境、网络安全边际、网络通信和集中管控、物理安全等5个方面进行防护要求。
GB/T 22239-2019信息安全技术 网络安全等级保护基本要求
GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求
GB/T 28448-2019信息安全技术 网络安全等级保护测评要求
4-3 关键信息基础设施网络安全保护基本要求
2017年6月1日《网络安全法》正式实施,其中第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。2019年12月3日,全国信息安全标准化技术委员会秘书处在北京组织召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动会。本次试点工作旨在验证《关保》标准内容的合理性和可操作性,为标准推广实施积累经验,为关键信息基础设施安全保护工作提供技术支撑。
4-4 《电力监控系统安全防护总体方案》国能安全36号文电力
2015年4月,国家能源局确定了电力监控系统安全防护总体框架,细化了总体原则,定义了通用和专用的安全防护技术与设备,提出了省级以上调度中心、地(县)级调度中心、发电厂、变电站、配电等的电力监控系统安全防护方案及电力监控系统安全防护评估规范。
重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理。
建立和完善以安全防护总体原则为中心的安全监测、响应处理、安全措施、审计评估等环节组成的闭环机制。