2025年电力行业开展等保测评详细方案

2024年7月25日,国家发展改革委、国家能源局、国家数据局对外发布《加快构建新型电力系统行动方案(2024—2027年)》,该方案总体要求:在2024— 2027年重点开展9项专项行动,推进新型电力系统建设取得实效。方案中对电力系统稳定保障行动予以指导:要求优化加强电网主网架、提升新型主体涉网性能、推进构网型技术应用、持续提升电能质量。

2025年电力行业开展等保测评详细方案插图

电力系统是国家关键基础设施,关系到国计民生,一旦遭受网络攻击、破坏或出现故障,可能导致大面积停电,影响工业生产、居民生活、公共服务等众多领域,造成巨大经济损失和社会不稳定。

2022年11与月,国家能源局专门印发了《电力行业网络安全等级保护管理办法》 ,对电力行业网络安全等级保护提出了明确的管理规定和要求。电力企业除了适应新形势的发展需要外,还应必须遵循以确保电力系统的网络安全符合行业监管要求。

本文重点阐述电力行业相关政策、面临的合规挑战、实行等保测评的基本原则以及等保测评流程详解,以为相关企业提供参考。

电力行业网络安全相关的政策

电力行业网络安全相关政策从早期初步规定起步,历经体系不断完善、范畴稳定拓展、内容细化修订等过程,逐步明确监管机制、主体责任、管理保障等要点,朝着构建更全面、更安全、更适应时代需求的保障体系方向发展。以下列举了几项影响较深的法规文件:

时间名称要旨
2007《电力行业信息系统等级保护定级工作指导意见》/(电监信息【2007】44号)贯彻落实国家对电力行业进行信息安全等级保护工作的要求。
2014《电力监控系统安全防护规定》/(国家发改委第14号令)电力监控系统最核心原则:强调生产控制大区和管理信息大区必须物理隔离,生产控制用的调度数据网络必须与管理网络、因特网物理隔离。
2014《电力行业网络与信息安全管理办法》/(国能安全【2014】317号)对电力行业管理部门、电力企业等单位在电力行业网络与信息安全保护中的职责与工作内容作出了明确规定。
2014《电力行业信息安全等级保护管理办法》/(国能安全【2014】318号)明确了电力行业等级保护制度的基本内容、流程及工作要求,以及信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
2015《电力监控系统安全防护总体方案》/(国能安全【2015】36号)电厂电力监控系统安全防护20字方针,即“安全分区、网络专用、横向隔离、纵向认证、综合防护”,综合防护是电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备案及容灾等多个层面的安全防护过程。
2018《关于加强电力行业网络安全工作指导意见》/(国能安全【2018】72号)健全电力行业网络安全责任体系,完善网络安全监督管理体系机制,加强关键信息基础设施安全防护水平,强化网络安全防护体系,防范重大网络安全事件。

未来的趋势是政府将鼓励电力企业加大对网络安全技术创新的投入,推动网络安全技术的发展,提高电力系统的网络安全防御能力。

电力行业开展等保的合规挑战

由于电力行业属于CIIO的特殊属性,其在开展等保工作时面临着更严峻的合规挑战,如面临强监管、安防要求“就高”原则、信息系统多而广、连续性要求更严格等多个维度。具体如下:

(1)电力行业面临强监管

电力行业是我国关键信息基础设施行业,其网络安全面临着行业强监管。《国家电网公司电力监控系统等级保护及安全评估工作规范(试行)》第二条中有规定:各单位要按照“谁主管谁负责,谁运营谁负责”的原则,将电力监控系统等级保护及安全评估纳入日常安全生产管理体系,确保等级保护及安全评估工作责任层层落实、具体到人。

(2)工控系统安全防护要求高

电厂、电站的系统多数具有工控系统的特点,而工控系统的安全防护需要在基础防火墙安全检测的基础上,对应用层工控协议及数据进行多重的深度安全检测,在工控协议的“完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析和过滤,及时发现可疑指令和恶意数据,保障业务数据安全。

(3)电力行业信息系统种类多范围跨度广

电力行业应用到:大数据、物联网、工控、云计算等等多种不同类型的信息系统,相较于其他行业,信息系统的种类更多,跨度范围更广,需要的安全防护更加严格,等保合规挑战更大。

(4)电力行业对系统的业务连续性要求高

电力行业生产系统是保证电网安全、可靠、经济运行的重要手段,也是电网生产管理的一项重要基础工作,而保证系统的不中断,成为了极其重要的关键目标。

企业必须正视这些挑战,采取积极有效的措施来应对,以确保电力系统的安全稳定运行和数据的可靠保护。

电力系统等保测评基本原则

电力信息系统安全等级保护测评的核心是对电力信息系统分等级、按标准进行规划、建设、使用。电力信息系统在做等保时,除了遵循GB/T 25058中的基本原则(自主保护、重点保护、同步建设、动态调整),还应遵循以下原则:

1、 结构优先原则

电力监控系统安全防护应坚持“安全分区、网络专用、横向隔离、纵向认证”的总体原则。以结构安全为防护重点,通过优化结构,强化边界防护,实施纵深防御。

2、 联合防护原则

根据电力监控系统在厂网两端的特点和安全保护等级需求,应采用统一分类定级,同步完善厂网两端电力信息系统的安全防护,通过划分统一的安全区实现厂网两端边界之间的隔离、认证及统一监视。

3、 安全可控原则

关键装置(如:电力专用横向单向隔离装置、电力专用纵向加密认证装置)应经国家有关机构安全检测认证。电力监控系统在设备选型及配置时,不应选用经国家相关管理部门检测认定并经电力行业主管(监管)部门通报存在漏洞和风险的系统及设备,生产控制大区除安全接入区外不应选用具有无限通信功能的设备,电力监控系统在新建、改建、扩建时宜进行安全性测试。

4、 立体防御原则

电力监控系统网络安全防护应逐步建立包括基础设施安全、体系结构安全、系统本体安全、可信安全免疫、安全应急措施、全面安全管理等措施形成的多维栅格状立体防护体系。

电力行业哪些系统需要做等保?

根据电力行业实际,综合考虑信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可将电力行业信息系统分为生产控制系统、生产管理系统、网站系统、管理信息系统、信息网络五大类。以下是某电网管理信息系统安全保护的定级对象分类及建议,仅供参考:

2025年电力行业开展等保测评详细方案插图1

电力系统等保测评流程

电力行业等保测评流程通常包括以下几个主要步骤:首先是系统定级,根据电力业务系统的重要程度、遭受破坏后的影响等因素确定系统的安全保护等级。然后是备案,将定级结果向相关主管部门备案。接着是测评准备,整理相关资料,与测评机构沟通确定测评范围和时间等。测评机构会进行现场测评,通过技术检测和管理审查等手段评估系统的安全性。之后是建设整改,依据测评结果对系统进行安全建设和整改,包括完善安全管理制度、部署安全防护设备等。最后形成测评报告,若测评结果不达标,还需进一步整改直至符合等保要求。

根据电力信息系统监管实际,电力信息系统实施等级保护的基本活动如下图:

2025年电力行业开展等保测评详细方案插图2

以下是关于电力行业等保测评流程详细介绍:

一、定级

定级流程:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。

2025年电力行业开展等保测评详细方案插图3

电力行业的定级对象分析主要是针对电力信息系统进行分析。
电力信息系统分析包括:识别单位基本信息、识别单位的电力信息系统基本信息、识别电力信息系统的管理框架、识别电力信息系统的网络及设备部署、识别电力信息系统处理的信息资产、电力信息系统描述。
形成电力信息系统总体描述文件后,即可对照part4的表格进行自主定级。

二、备案

①《信息安全等级保护管理办法》第十五条 已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

②隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办备案手续。③跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。企业最终确定网站的级别以后,就可以到公安机关进行备案。

三、等保测评

等级测评指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。

四、整改建设

测评完成后,企业会收到等保测评报告,其中详细列出了发现的安全问题和不符合项。相关人员需要对这些问题进行仔细分析,确定问题的严重程度、影响范围以及整改的优先级。

五、监督检查

企业要接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。

2025年电力行业开展等保测评详细方案插图4

(信息系统安全等级保护备案证明)

六、退运阶段的流程

电力信息系统退运阶段是等级保护实施过程中的最后环节。在电力信息系统生命周期中,有些系统并不是真正意义上的退运,而是改进技术或转变业务到新的电力系统,对于这些电力信息系统在退运处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。