电力行业等保测评与国家标准的差异介绍

为了落实国家网络安全等级保护相关标准规范要求，并为电力企业开展电力行业网络安全等级保护定级、建设、测评与整改等工作提供指导，国家能源局于2023年5月26日发布DL/T 2614-2023《电力行业网络安全等级保护基本要求》（下文简称：电力等保要求），并于2023年11月26日开始实施。能源标准化信息平台标准公开截图如下图所示：

我们首先对电力等保要求与《信息安全技术 网络安全等级保护基本要求》（GBT22239-2019）（以下简称“等保2.0国家标准”）进行解读，同时分级别、划重点、理方向，将重点内容进行阐述。

总体思路

电力等保要求适用于电力行业客户，包括安全总体要求、安全通用要求和安全扩展要求，覆盖第二级到第四级要求。

在业务层面上将等级保护对象分为电力监控系统和管理信息系统；技术层面分类上分物联网应用、云计算平台/系统、移动互联网应用、大数据平台/系统，如下图所示：

从上述内容我们可知，在总体要求的前提下，电力等保要求为电力监控系统和管理信息系统分别定制了安全通用要求和安全扩展要求，体现了标准“总-分”的思想，且相比等保2.0国家标准，去掉了工业控制系统安全防护扩展要求。

总体要求

电力等保要求分为总体技术要求和总体管理要求，重点内容可整理成如下内容：

1.坚持行业36号文件要求，贯彻“十六字方针原则”。36号文是电力行业网络安全建设基石，此处总体技术要求强化了基石作用。

2.增加云计算平台技术要求，要求生产控制大区云计算平台与管理信息大区云计算平台采用不同云基础设施，相互数据通信需要横向隔离。

3.总体管理要求明确“就高”原则，即在生产控制大区或管理信息大区内部含有不同安全保护等级信息系统时，应分别按照各大区最高安全等级系统的保护要求进行管理。

第二级安全防护要求

在电力监控系统第二级安全防护要求中，电力等保要求相比等保2.0国家标准在十个层面均围绕电力监控系统特点，提出了加强及扩充要求，详见后文；

第三级安全防护要求

按照国能综通安全[2022]71号文件中描述，第三级电力监控系统受到破坏后，是对社会秩序、公共利益造成严重损害或对国家安全造成一般损害，所以电力等保要求在电力监控系统第二级安全防护要求基础上，对第三级电力监控系统提出了更加严格的防护要求。

电力等保三级要求主要在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的三级基本要求基础上，结合电力行业电力监控系统特点给出了部分新增、增强和细化要求：

安全通信网络，明确系统所属的分区，提出通信传输的密码技术要求，以保证数据的完整性和保密性。

安全区域边界，明确需采用网络准入、终端控制、身份认证和可信计算等技术手段，保护网络免受未经授权的访问和攻击；通过身份验证、访问控制、安全传输和审计监控，确保只有经过授权的节点才能接入电力调度数据网。

安全计算环境，提出了细化的密码要求、最小权限管理、强制控制访问、行为和事件的审计、漏洞管理，以确保计算环境的安全；同时对剩余数据清除提出了要求，避免信息泄漏。

安全管理中心，强调审计数据的访问控制，保护数据安全和隐私。多次提出备份要求，以确保可以快速从故障中恢复。

第四级安全防护要求

作为受到破坏后对国家安全造成严重损害的信息系统，电力等保要求在电力监控系统第四级安全防护要求上，突出监管介入、联合防护、禁止远程的原则，详见后文。

某电网管理信息系统安全保护的定级对象分类及建议

根据电力行业实际，按照上述定级对象确定方式，综合考虑信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素，可将电力行业信息系统分为生产控制系统、生产管理系统、网站系统、管理信息系统、信息网络五大类。

下面将针对DL/T 2614-2023《电力行业网络安全等级保护基本要求》的电力监控系统第三级安全保护通用要求的安全通信网络、安全区域边界、安全计算环境、安全管理中心方面与GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》要求的差异进行阐述。

差异性分析

安全通信网络

网络架构

通信传输

安全区域边界

边界防护

访问控制

拨号使用控制

安全计算环境

身份鉴别

访问控制

安全审计

入侵防范

剩余信息保护

安全管理中心

系统管理

审计管理

安全管理

差异方案对标