犐 犆 犛２ ９．２ ４ ０．０ １犉２ １ 中 华 人 民 共 和 国 国 家 标 准 犌 犅／犜３ ８ ３ １ ８—２ ０ １ ９ 电力监控系统网络安全评估指南 犆狔犫 犲 狉狊 犲 犮 狌 狉 犻 狋 狔犪 狊 狊 犲 狊 狊 犿 犲 狀 狋 犵狌 犻 犱 犲犳 狅 狉犲 犾 犲 犮 狋 狉 犻 犮狆狅 狑 犲 狉狊狔狊 狋 犲 犿狊 狌狆犲 狉 狏 犻 狊 犻 狅 狀犪 狀 犱犮 狅 狀 狋 狉 狅 犾 ２ ０ １ ９１ ２１ ０发布 ２ ０ ２ ００ ７０ １实施 国 家 市 场 监 督 管 理 总 局 国 家 标 准 化 管 理 委 员 会发 布电力监控系统网络安全评估指南 １范围 本标准规定了电力监控系统网络安全评估工作的评估内容 、系统生命周期各阶段的安全评估 、评估 流程及方法 、安全防护技术评估 、应急备用措施评估 、安全管理评估 。 本标准适用于各电力企业电力监控系统规划阶段 、设计阶段 、实施阶段 、运行维护阶段和废弃阶段 的网络安全防护评估工作 。 ２规范性引用文件 下列文件对于本文件的应用是必不可少的 。凡是注日期的引用文件 ，仅注日期的版本适用于本文 件。凡是不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于本文件 。 Ｇ Ｂ／Ｔ９ ３ ６ １ 计算机场地安全要求 Ｇ Ｂ１ ７ ８ ５ ９ １ ９ ９ ９ 计算机信息系统 安全保护等级划分准则 Ｇ Ｂ／Ｔ１ ８ ３ ３ ６． ２ ２ ０ １ ５ 信息技术 安全技术 信息技术安全性评估准则 第 ２部分：安全功能 组件 Ｇ Ｂ／Ｔ２ ０ ２ ７ ２ ２ ０ ０ ６ 信息安全技术 操作系统安全技术要求 Ｇ Ｂ／Ｔ２ ０ ９ ８ ４ ２ ０ ０ ７ 信息安全技术 信息安全风险评估规范 Ｇ Ｂ／Ｔ２ １ ０ ２ ８ ２ ０ ０ ７ 信息安全技术 服务器安全技术要求 Ｇ Ｂ／Ｔ２ １ ０ ５ ０ ２ ０ ０ ７ 信息安全技术 网络交换机安全技术要求 （评估保证级 ３） Ｇ Ｂ／Ｔ２ ２ １ ８ ６ ２ ０ １ ６ 信息安全技术 具有中央处理器的 Ｉ Ｃ卡芯片安全技术要求 Ｇ Ｂ／Ｔ２ ２ ２ ３ ９ ２ ０ １ ９ 信息安全技术 网络安全等级保护基本要求 Ｇ Ｂ／Ｔ２ ２ ２ ４ ０ ２ ０ ０ ８ 信息安全技术 信息系统安全等级保护定级指南 Ｇ Ｂ／Ｔ２ ５ ０ ５ ８ ２ ０ １ ０ 信息安全技术 信息系统安全等级保护实施指南 Ｇ Ｂ／Ｔ２ ５ ０ ６ ８． ３ ２ ０ １ ０ 信息技术 安全技术 Ｉ Ｔ网络安全 第 ３部分：使用安全网关的网间通信 安全保护 Ｇ Ｂ／Ｚ２ ５ ３ ２ ０ （所有部分 ）电力系统管理及其信息交换 数据和通信安全 Ｇ Ｂ／Ｔ３ １ ５ ０ ９ ２ ０ １ ５ 信息安全技术 信息安全风险评估实施指南 Ｇ Ｂ／Ｔ３ ６ ５ ７ ２ ２ ０ １ ８ 电力监控系统网络安全防护导则 ３术语和定义 Ｇ Ｂ／Ｔ３ ６ ５ ７ ２ ２ ０ １ ８ 和Ｇ Ｂ／Ｔ２ ０ ９ ８ ４ ２ ０ ０ ７ 界定的以及下列术语和定义适用于本文件 。 ３．１自评估 狊 犲 犾 犳  犪 狊 狊 犲 狊 狊 犿 犲 狀 狋运行单位对本单位电力监控系统组织实施的安全评估 ，以及调度机构在调度管辖范围内 （以下简称 “调管范围内 ” ）各运行单位自评估结果基础上 ，对调管范围内电力监控系统组织实施的安全评估 。 １犌 犅／犜３ ８ ３ １ ８—２ ０ １ ９ ３．２检查评估 犻 狀 狊狆犲 犮 狋 犻 狅 狀犪 狊 狊 犲 狊 狊 犿 犲 狀 狋由被评估单位的业务主管部门组织或委托安全评估机构 ，依据有关标准和管理规定 ，对电力监控系 统进行的具有强制性的安全评估 。 ３．３上线安全评估 狅 狀 犾 犻 狀 犲 犻 犿 狆犾 犲 犿 犲 狀 狋 犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔犪 狊 狊 犲 狊 狊 犿 犲 狀 狋电力监控系统投运前及发生重大变更时 ，运行单位自行组织或委托评估机构对系统进行的安全评估 。 注：重大变更包括 ，但不限于 ： ａ）增加新的应用或应用发生较大变更 ； ｂ）网络结构和连接状况发生较大变更 ； ｃ）技术平台大规模更新 ； ｄ）系统扩容或改造 ； ｅ）系统运行维护管理机构或人员发生较大规模调整 。 ３．４型式安全评估 狋狔 狆犲狊 犪 犳 犲 狋狔犪 狊 狊 犲 狊 狊 犿 犲 狀 狋电力监控系统设计 、开发完成后 ，系统供应商自行组织或委托评估机构对系统进行的安全评估 。 ４缩略语 下列缩略语适用于本文件 。 Ｆ Ｔ Ｐ：文件传输协议 （Ｆ ｉ ｌ ｅＴ ｒ ａ ｎ ｓ ｆ ｅ ｒＰ ｒ ｏ ｔ ｏ ｃ ｏ ｌ ） ＨＴＴ Ｐ：超文本传输协议 （Ｈｙ ｐｅ ｒＴ ｅ ｘ ｔＴ ｒ ａ ｎ ｓ ｆ ｅ ｒＰ ｒ ｏ ｔ ｏ ｃ ｏ ｌ ） Ｉ Ｅ Ｄ：智能电子设备 （Ｉ ｎ ｔ ｅ ｌ ｌ ｉｇｅ ｎ ｔＥ ｌ ｅ ｃ ｔ ｒ ｏ ｎ ｉ ｃＤ ｅ ｖ ｉ ｃ ｅ ） ＬＡＮ：局域网络 （Ｌ ｏ ｃ ａ ｌＡ ｒ ｅ ａＮ ｅ ｔ ｗ ｏ ｒ ｋ ） Ｏ Ｓ Ｐ Ｆ：开放式最短路径优先 （Ｏｐｅ ｎＳ ｈ ｏ ｒ ｔ ｅ ｓ ｔＰ ａ ｔ ｈＦ ｉ ｒ ｓ ｔ ） Ｓ ＣＡＤＡ ：监视控制与数据采集系统 （Ｓ ｕｐｅ ｒ ｖ ｉ ｓ ｏ ｒｙＣ ｏ ｎ ｔ ｒ ｏ ｌＡ ｎ ｄＤ ａ ｔ ａＡ ｃ ｑｕ ｉ ｓ ｉ ｔ ｉ ｏ ｎ） Ｓ ＮＭＰ：简单网络管理协议 （Ｓ ｉ ｍｐｌ ｅＮ ｅ ｔ ｗ ｏ ｒ ｋＭ ａ ｎ ａ ｇｅ ｍ ｅ ｎ ｔＰ ｒ ｏ ｔ ｏ ｃ ｏ ｌ ） ＵＰ Ｓ：不间断电源 （Ｕ ｎ ｉ ｎ ｔ ｅ ｒ ｒ ｕ ｐｔ ｉ ｂ ｌ ｅＰ ｏ ｗ ｅ ｒＳ ｙｓ ｔ ｅ ｍ） Ｕ Ｓ Ｂ：通用串行总线 （Ｕ ｎ ｉ ｖ ｅ ｒ ｓ ａ ｌＳ ｅ ｒ ｉ ａ ｌＢ ｕ ｓ ） ＶＬＡＮ：虚拟局域网 （Ｖ ｉ ｒ ｔ ｕ ａ ｌＬ ｏ ｃ ａ ｌＡ ｒ ｅ ａＮ ｅ ｔ ｗ ｏ ｒ ｋ ） Ｖ Ｐ Ｎ：虚拟专用网 （Ｖ ｉ ｒ ｔ ｕ ａ ｌＰ ｒ ｉ ｖ ａ ｔ ｅＮ ｅ ｔ ｗ ｏ ｒ ｋ ｓ ） ５评估内容 评估内容包括资产评估 、威胁评估 、脆弱性评估 。 资产评估通过资产分类 、资产调查 、资产赋值等过程 ，最终形成资产列表和资产赋值报告 。资产评 估按照、国 家 等 级 保 护 相 关 标 准 及 Ｇ Ｂ／Ｔ３ １ ５ ０ ９ ２ ０ １ ５ 中５． ２． ２的 规 定 执 行 。资 产 分 类 按 照 Ｇ Ｂ／Ｔ２ ０ ９ ８ ４ ２ ０ ０ ７ 中５． ２． １的规定执行 。 威胁评估通过威胁分类 、威胁调查 、威胁分析和赋值等过程 ，最终形成威胁分析报告 。威胁评估按 照Ｇ Ｂ／Ｔ３ １ ５ ０ ９ ２ ０ １ ５ 中５． ２． ３的 规 定 执 行 。威 胁 分 类 按 照 Ｇ Ｂ／Ｔ２ ０ ９ ８ ４ ２ ０ ０ ７ 中５． ３． １和 Ｇ Ｂ／Ｔ３ ６ ５ ７ ２ ２ ０ １ ８ 中５． ２的规定执行 。 脆弱性评估主要包括基础设施安全 、体系结构安全 、本体安全 、可信安全免疫 、应急备用措施 、安全 ２犌 犅／犜３ ８ ３ １ ８—２ ０ １ ９ 管理等。 ６系统生命周期各阶段的安全评估 ６．１评估概述 电力监控系统生命周期包含 ５个基本阶段 ：规划阶段 、设计阶段 、实施阶段 、运行维护阶段和废弃阶段。安全评估工作应贯穿于电力监控系统整个生命周期 。各阶段中涉及的安全评估的原则和方法一 致，但由于实施的内容 、对象、信息安全需求不同 ，安全评估的对象 、目的、要求等方面也不同 。 ６．２规划阶段 规划阶段的安全评审是根据电力监控系统的业务使命和功能 ，确定系统建设应达到的安全目标 。主要根据未来系统的应用对象 、应用环境 、业务状况 、操作要求等方面进行威胁分析 ，重点分析系统应达 到的安全目标 。规划阶段的评审结果应包含在电力监控系统整体规划中 。 ６．３设计阶段 设计阶段的安全评审需根据规划阶段明确的系统安全目标 ，对系统设计方案的安全功能设计进行判断，以确保设计方案满足系统安全目标 ，并作为采购过程风险控制的依据 。设计阶段的评审结果最终 应体现在系统设计方案中 。 ６．４实施阶段 实施阶段安全评估是根据系统安全需求和运行环境对系统开发实施过程进行安全风险识别 ，并对系统建成后的安全功能进行验证 。评估中需对规划阶段的安全威胁进行进一步细分 ，评估安全措施的 实现程度 ，确定已建立的安全措施能否抵御现有威胁 、脆弱性的影响 ，并对源代码进行安全测评 。 ６．５运行维护阶段 运行维护阶段安全评估是掌握和控制电力监控系统运行过程中的安全风险 ，包括在线运行电力监控系统资产 、威胁、脆弱性等各方面评估 。运行维护阶段的安全评估应常态化开展 。电力监控系统业务 流程、系统状况发生重大变更 （参见３． ３的注）时，也需及时进行安全评估 。 ６．６废弃阶段 电力监控系统的废弃阶段应重点分析废弃资产对组织的影响 ，对因系统废弃可能带来的新的威胁进行分析 。安全评估可包括 ： ａ）系统软、硬件等资产及残留信息的废弃处置 ； ｂ）废弃部分与其他系统或部分的物理或逻辑连接情况 ； ｃ）在系统变更时发生废弃 ，对变更部分进行评估 。 ７评估流程及方法 ７．１总体要求 ７．１．１评估开展时间 电力监控系统网络安全评估工作应常态化 、定期进行 。电力监控系统的规划 、设计阶段要进行安全 ３犌 犅／犜３ ８ ３ １ ８—２ ０ １ ９ 审查，实施、运行维护和废弃阶段均应进行安全评估 ，各阶段结合本阶段