电力信息系统并网评估报告工作开展指南

前言

随着电力系统智能化、数字化、网络化进程的加速,越来越多的电力监控系统(以下简称“电力信息系统”)需要与电网进行并网运行。这些系统在提升电力生产、调度效率的同时,也面临日益严峻的网络安全风险。为确保新投运或改扩建的电力信息系统在并网前达到必要的安全防护水平,防范网络安全隐患带入生产运行阶段,依据《电力监控系统并网安全评估规范(试行)》(Q/CSG1204060-2019,以下简称“本规范”),特制定本指南,旨在指导各级单位和第三方测评机构规范、高效地开展电力信息系统并网安全评估工作,并撰写符合规范要求的评估报告。

本指南旨在详细阐述并网评估的各个阶段和关键环节,特别是针对评估报告的编制,提供具体内容和格式要求,以协助各相关方更好地理解和执行本规范,共同提升南方电网电力信息系统的整体网络安全防护能力。

一、 理解并网安全评估的总体要求与目标

1.1 评估目的与原则

评估目的:

  • 落实国家、电力行业及公司关于电力监控系统网络安全的要求。
  • 防范各类网络安全隐患带入运行阶段,避免难整改问题。
  • 全面提升新投运电力信息系统防范网络攻击的能力。
  • 为系统是否能够并网运行提供决策依据。

评估原则(“谁主管谁负责”):

  • 谁主管谁负责: 网络安全主管单位。
  • 谁建设谁负责: 建设单位。
  • 谁评估谁负责: 评估单位。
  • 谁验收谁负责: 运行单位。

1.2 适用范围

本指南以及所依据的《电力监控系统并网安全评估规范(试行)》适用于:

  • 中国南方电网公司各级单位及调管电厂(涉网部分)新建或改扩建电力监控系统开展并网前安全防护评估(测评)工作。
  • 第三方安全测评机构并网安全评估(测评)工作。

二、 并网评估工作流程与关键要求

并网安全评估工作应遵循本规范第5章《实施要求》中所述的评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析和文档记录等阶段。

2.1 阶段一:评估准备

1.1 确定评估目标:

  • 识别新建电力监控系统安全防护的不足。
  • 评估系统可能造成的风险大小。

1.2 确定评估范围:

  • 并网安全评估范围通常包括被评估组织全部的信息系统以及与信息处理相关的各类资产。在实际操作中,评估范围需根据具体并网系统的特性和重要性进行明确界定。

1.3 组建评估团队:

  • 由并网电力监控系统运行单位、系统厂家、具备等级保护测评或风险评估资质的第三方评估机构组成并网安全评估小组。
  • 评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作。
  • 进行并网安全评估技术培训和保密教育,制定并网安全评估过程管理相关规定。
  • 根据被评估方要求,双方可签署保密合同和个人保密协议。

1.4 系统调研(参见规范5.1.4):

  • 核心功能与要求: 了解主要业务功能、性能和实时性要求。
  • 网络结构与环境: 内部与外部连接、系统边界。
  • 重要软硬件: 主要的硬件、软件清单。
  • 数据与信息: 数据的敏感性、类型和流向。
  • 人员: 系统支持和使用人员。
  • 其他: 系统安全设计方案、系统定级报告等。

1.5 确定评估依据和方法(参见规范5.1.5):

  • 依据: 现行国际标准、国家标准、行业标准(如GB/T 22239、GB/T 22240、GB/T 25058、GB/T 28449、GB/T 28448、Q/CSG1204009等),以及行业主管部门的业务系统要求、网络安全保护等级要求、互联单位安全要求、系统实时性或性能要求等。
  • 方法: 问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

1.6 制定并网安全评估方案(参见规范5.1.6):

  • 团队组织: 评估团队成员、组织结构、角色、责任等。
  • 工作计划: 各阶段工作内容、形式、成果等。
  • 时间进度安排: 项目实施时间安排。
  • 方案审批: 形成完整的实施方案并审批,明确评估任务。

2.2 阶段二:资产识别与赋值(参见规范5.2及附录A.1)

2.1 资产识别:

  • 全面梳理和识别电力监控系统建设和运行过程中积累的具有价值的信息或资源。根据资产表现形式,可分为数据、软件、硬件等类型。
  • 分类: 详细列出所有数据资料、系统软件、应用软件、源程序、网络设备、计算机设备、存储设备、传输线路、保障设备、安全设备等。
  • 举例: 监控后台服务器、监控后台数据库、I区交换机、继电保护室、自动化系统、安全主管等。

2.2 资产赋值:

  • 依据资产在保密性、完整性和可用性上的赋值等级(1~5分),通过加权平均法进行综合评定。等级越高,资产越重要。
  • 保密性赋值(A.1.2.1): 依据对组织的影响分为很高(5分)、高(4分)、一般(3分)、低(2分)、很低(1分)。
  • 完整性赋值(A.1.2.2): 依据对组织的影响分为很高(5分)、高(4分)、一般(3分)、2分(低)、1分(很低)。
  • 可用性赋值(A.1.2.3): 依据对可用度的要求分为很高(5分)、高(4分)、一般(3分)、低(2分)、很低(1分)。
  • 资产重要性等级(A.1.2.4): 根据上述加权平均结果,划分为五级,等级越高表示资产越重要。

2.3 阶段三:威胁识别与赋值(参见规范5.3及附录A.2)

3.1 威胁识别:

  • 通过分析以往安全事件报告、实际环境中检测工具和日志、国际组织发布的统计及预警,识别电力监控系统资产可能受到的来自内部和外部的安全侵害。
  • 威胁分类(A.2.1): 分为人为因素(恶意人员、非恶意人员)和环境因素(自然灾害、物理危害)。
  • 威胁子类: 软硬件故障、物理环境影响、无作为或操作失误、恶意代码、越权或滥用、网络攻击、物理攻击、敏感信息泄露、篡改、抵赖等。

3.2 威胁赋值(参见规范A.2.2):

  • 对威胁出现的频率进行等级化处理(1~5分),等级数值越大,频率越高。
  • 例如,DNS失败(平均值5,威胁赋值1)。

2.4 阶段四:脆弱性识别与赋值(参见规范5.4及附录A.3)

4.1 脆弱性识别:

  • 从总体防护、物理和环境、网络和通信、设备和计算、应用和数据等各个层面识别现有安全措施的不足或漏洞。
  • 识别对象应在资产列表中确定,并兼顾工作投入与结果产出。
  • 原则: 恰当性、重要性(抽样20%且不少于5个)、安全性(对外暴露网络边界)、共享性、代表性。
  • 依据: 参考本规范附录B《技术要求》中的具体控制点。

4.2 脆弱性赋值(参见规范A.3.2):

  • 根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等,采用等级方式对已识别的脆弱性的严重程度进行赋值(1~5分),等级数值越大,严重程度越高。
  • 例如,主机系统未采用第三方审计工具(脆弱性严重程度3)。

2.5 阶段五:安全措施确认与风险分析(参见规范5.5、5.6及附录B.2)

5.1 已有安全措施确认:

  • 评估人员应对已采取的安全措施的有效性进行确认,即是否真正地降低了系统的脆弱性,抵御了威胁。
  • 对有效的安全措施保持,不适当的措施核实后取消或修正。

5.2 风险分析:

  • 采用本规范附录B.2《风险计算的原理和方法》计算每种资产面临的风险值。
  • 风险值计算公式: 风险值=R(A,T,V)= R(L(T,V), F(Ia,Va))。
    • A: 资产(Ia:安全事件所作用的资产价值)
    • T: 威胁(L:威胁利用资产脆弱性导致安全事件的可能性)
    • V: 脆弱性(Va:脆弱性严重程度)
    • F: 安全事件发生后造成的损失。
  • 三个关键计算环节:
    1. 计算安全事件发生的可能性: 根据威胁发生频率和脆弱性严重程度(参考规范附录B.2表B.2和表B.3)。
    2. 计算安全事件的损失: 根据资产价值和脆弱性严重程度(参考规范附录B.2表B.4和表B.5)。
    3. 计算风险值: 根据安全事件发生的可能性和造成的损失确定最终风险值(参考规范附录B.2表B.6和表B.7)。
  • 风险等级: 根据风险值分布状况,设定风险值范围,进行等级处理(1~5级),等级越高,风险严重程度越高。
  • 风险处置: 风险值在可接受范围内则保持现有措施;超出可接受范围的,需进行风险处置。

2.6 阶段六:文档记录与测评通过条件

6.1 文档记录(参见规范5.7):

  • 并网安全评估方案: 阐述评估目标、范围、人员、方法、结果形式和进度等。
  • 并网安全评估报告: 对评估过程和结果进行总结,详细说明被评估对象、评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等。
  • 并网安全评估记录: 现场记录可复现评估过程,作为解决歧义的依据。

6.2 评估通过条件(参见规范7.3):

  1. 关键项: 所有关键项必须全部满足要求(关键项指标类型参见附录B.1技术要求表)。
  2. 检测分数: 至少达到C档或以上(检测分数计算方法参见规范7.1,检测分数=所有项目单项分值*单项权重 / 所有项目单项权重 * 20)。
  3. 一般指标: 对于由一般指标引起的安全风险,应根据各系统实际情况,制定整改方案并处置风险,确保系统安全运行。

三、 评估报告的编制(侧重规范附录B.3报告模板)

并网安全评估报告是评估工作的最终成果,应按照本规范附录B.3《报告模板》的要求进行编制,确保内容完整、逻辑清晰、结论明确。

3.1 报告基本信息

  • 报告编号: xxxx-yyyyy
  • 被评单位: XXX 公司
  • 委托单位: BBBB 公司
  • 评估单位: XXXSXXXXXXXXXX 公司
  • 报告时间: xxxx年xx月xx日

3.2 电力监控系统安全防护评估基本信息表

包含以下信息,用于明确评估主体和基本情况:

字段委托单位信息评估单位信息
单位名称委托单位 BBBB 公司XXXSXXXXXXXXXX 公司
单位地址(填写委托单位地址)(填写评估单位地址)
评估对象(填写评估系统名称,如“电力监控系统”)
联系人(委托单位联系人姓名、电话、邮箱)(评估单位联系人姓名、电话、邮箱)
评估日期YYYY-MM-DD
评估小组组长: (姓名)
组员: (姓名列表)
监督员: (姓名)
编制人(姓名,编制日期)
审核人(姓名,审核日期)
批准人(姓名,批准日期)

3.3 报告主体内容

评估报告主体应包含以下部分:

3.3.1 概述

  • 项目背景: 简要说明评估项目的缘起、重要性。
  • 项目目的: 阐述此次并网安全评估的具体目标。
  • 项目依据: 列出所有引用的法律法规、国家标准、行业标准和企业标准,如:
    • 《信息安全技术 信息安全风险评估规范》GB/T 20984-2007
    • 《电力监控系统安全防护规定》(发改委14号)
    • 《电力监控系统安全防护总体方案》(国能安全36号)
    • 《电力监控系统并网安全评估规范(试行)》Q/CSG1204060-2019
    • 其他相关标准(如等保2.0系列标准、Q/CSG1204009等)。
  • 评估范围: 根据系统调研结果,详细描述本次评估所覆盖的信息资产,包括:
    • 物理机房: 列出机房名称、物理位置(参考规范附录B.3表1)。
    • 网络及拓扑结构: 描述网络拓扑结构示意图,列出关键网络设备列表(包括设备名称、型号、用途)(参考规范附录B.3图1、表2)。
    • 安全设备: 列出部署的安全设备列表(包括设备名称、型号、用途,如纵向加密认证网关、防火墙等)(参考规范附录B.3表3)。
    • 主机及数据库: 列出主机和数据库列表(包括资产名称、型号、操作系统/数据库类型)(参考规范附录B.3表4)。
    • 应用系统: 列出业务应用系统列表(包括系统名称、使用部门)(参考规范附录B.3表5)。
    • 安全相关人员: 列出参与安全相关人员列表(包括姓名、岗位/角色、联系方式)(参考规范附录B.3表6)。
  • 评估过程: 简述评估工作的开展过程。
  • 报告分发范围: 列出报告的分发对象和分发文档类型(参考规范附录B.3表7)。

3.3.2 评估对象描述

对被评估的电力监控系统进行详细描述,通常包含:

  • 系统的基本组成、功能、部署情况。
  • 系统在电力生产和调度中的作用。

3.3.3 资产识别与赋值

  • 资产类别: 明确所识别的资产类型(参考规范附录A.1.1)。
  • 资产识别: 详细列出主机系统、网络设备、应用系统、数据库等资产列表,并对其保密性、完整性、可用性进行赋值(参考规范附录B.3表8和表9,以及规范附录A.1.2)。
  • 资产赋值结果汇总。

3.3.4 威胁分析与赋值

  • 威胁类别: 描述系统面临的威胁类别,如人为威胁(操作失误、恶意破坏、越权或滥用)、环境威胁(断电、雷电、火灾、水灾)、恶意代码、网络攻击等(参考规范附录A.2.1)。
  • 威胁识别: 详细列出识别出的具体威胁,并描述其对系统可能造成的影响。
  • 威胁赋值: 对每项威胁的出现频率、严重程度(C、I、A)进行赋值,并计算平均值和最终威胁赋值(参考规范附录B.3表10,以及规范附录A.2.2)。

3.3.5 脆弱性分析与赋值

  • 脆弱性类别: 描述系统存在的脆弱性类别。
  • 脆弱性识别: 详细分析主机系统、应用系统、网络设备等在物理环境、网络通信、设备计算、应用和数据等方面的防护现状,识别存在的具体漏洞。
  • 脆弱性赋值: 对每项脆弱性的严重程度进行赋值(参考规范附录B.3表11,以及规范附录A.3.2)。

3.3.6 安全措施有效性分析

  • 对已采取的安全措施进行评估,确认其是否有效降低了系统脆弱性,抵御了威胁。

3.3.7 风险计算和分析

  • 风险分析模型概述: 简要说明采用的风险计算模型(参考规范附录B.2.1)。
  • 风险计算与分析: 根据资产赋值、威胁赋值和脆弱性赋值,结合规范附录B.2中的矩阵法,计算各项资产面临的安全事件发生可能性、损失值、以及最终风险值和风险等级。
    • 安全事件发生可能性: (参考规范附录B.3表15)。
    • 安全事件的损失: (参考规范附录B.3表16)。
    • 风险值与风险等级: (参考规范附录B.3表17)。
  • 风险总值排序与最高风险等级: 列出各资产的风险总值和最高风险等级,确定被评估系统的整体风险水平(参考规范附录B.3表18)。
  • 总体评估结论: 明确系统是否通过并网安全评估,指出关键项通过情况、检测分数和风险值。对安全物理环境、安全计算环境、安全通信网络、安全区域边界、安全管理中心等各方面的总体评价及存在问题。
  • 漏洞扫描与渗透测试结果: 总结主机、数据库、应用系统发现的高/中/低危漏洞数量,以及渗透测试发现的高/中/低危漏洞数量。

3.3.8 安全风险整改建议

根据风险分析的结果,对所有发现的问题和风险,逐项给出具体的、可操作性的整改建议。整改建议应具有针对性,明确责任部门和整改时限。

序号问题分类风险描述整改建议
1
2

四、 落实与衔接

4.1 技术要求

  • 本标准在《网络安全等级保护基本要求》等国家和行业标准基础上,结合南方电网实际情况,对电力监控系统并网安全评估技术要求作了进一步承接和细化。
  • 电力监控系统各相关专业(含网络安全、自动化、保护、通信、安自、调度、方式、发电、水调、计量、在线监测等)涉及电力监控系统并网的相关技术标准,应引用本标准做并网安全评估的主要依据。

4.2 管理要求

  • 南方电网公司电力监控系统各相关专业均应开展新建或改扩建电力监控系统并网前的网络安全评估(测评)工作。
  • 公司各级单位及调管电厂(涉网部分)新建或改扩建电力监控系统开展并网前安全防护评估(测评)时,应要求测评机构依据本规范开展并网安全评估(测评)工作。
  • 评估结果不通过的应开展相应整改,直至评估通过为止方允许并网投运。
  • 并网安全评估发现的各类问题均应制定计划按轻重缓急开展整改,责任到岗到人,责任单位应做好问题整改的闭环管控。

五、 持续改进与监督

并网安全评估通过后,并非一劳永逸。被评估单位应建立常态化的安全管理机制,持续监控系统运行状态,定期进行安全自查,及时发现并处置新的安全风险。

  • 定期重评估: 对于已并网的电力信息系统,应根据其等级保护要求定期进行安全评估。
  • 动态调整: 针对系统变化、业务扩展、威胁演变等情况,及时调整安全防护策略和措施。
  • 应急联动: 建立健全网络安全应急响应机制,并与上级部门和监管机构保持应急联动。

本指南旨在提供一个工作框架和指导原则,各单位在实际操作中应根据具体情况和最新政策要求,灵活调整和细化评估内容和方法,确保电力信息系统并网安全评估工作的有效性,共同维护电力系统网络安全。