电力监控系统安全防护规定

（2024年11月25日经国家发展改革委第18次委务会议审议通过　2024年

11月25日国家发展改革委令第27号公布　自2025年1月1日起施行）



第一章　总　　则



第一条　为了强化电力监控系统安全防护，保障电力系统安全稳定运行，根据《中华人民共和国网络安全法》、《电力监管条例》、《关键信息基础设施安全保护条例》等法律法规和国家有关规定，结合电力监控系统的实际情况，制定本规定。

第二条　本规定适用于中华人民共和国境内的电力监控系统运营者以及与其相关的规划设计、研究开发、产品制造、施工建设、安装调试等单位。

第三条　电力监控系统安全防护应当落实国家网络安全等级保护和关键信息基础设施安全保护等制度，坚持“安全分区、网络专用、横向隔离、纵向认证”结构安全原则，强化安全免疫、态势感知、动态评估和备用应急措施，构建持续发展完善的防护体系。



第二章　安全技术



第四条　电力监控系统应当实施分区防护，防护区域按照安全等级从高到低划分为生产控制区（可以分为安全Ⅰ区和安全Ⅱ区）和管理信息区（可以分为安全Ⅲ区和安全Ⅳ区）。不同电力监控系统的生产控制区、管理信息区可以分别独立设置。

第五条　电力监控系统各业务模块应当根据功能和安全等级要求部署。对电力一次系统（设备）进行实时监控的业务模块应当按照安全Ⅰ区防护要求部署；与安全Ⅰ区的业务模块交互紧密，对电力生产和供应影响较大但不直接实施控制的业务模块应当按照不低于安全Ⅱ区防护要求部署；与电力生产和供应相关，实现运行指挥、分析决策的业务模块应当按照不低于安全Ⅲ区防护要求部署；其他业务模块应当按照不低于安全Ⅳ区防护要求部署。

基于计算机及网络技术的业务系统及设备的分区，不得降低电力监控系统安全防护强度。

第六条　部署在生产控制区的业务模块与终端联接使用非电力监控专用网络（如公用有线通信网络、无线通信网络、运营者其他数据网等）通信或终端不具备物理访问控制条件的，应当设立安全接入区。

第七条　根据实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，低安全等级业务模块可以就高放置于高安全等级区域，但是应当避免形成不同安全区的纵向交叉联接。

第八条　生产控制区应当使用电力监控专用网络。电力监控专用网络应当在专用通道上使用独立的网络设备组网，在物理层面上实现与运营者其他数据网及外部公用数据网的安全隔离。

电力监控专用网络划分为逻辑隔离的实时子网和非实时子网，分别连接安全Ⅰ区和安全Ⅱ区。

第九条　生产控制区与管理信息区、安全接入区之间的联接处应当设置电力专用横向单向安全隔离装置。

第十条　安全Ⅰ区与安全Ⅱ区之间、安全Ⅲ区与安全Ⅳ区之间、安全接入区与终端之间应当设置具有访问控制功能的设备、防火墙或者相当功能的逻辑隔离设施。

第十一条　生产控制区与电力监控专用网络的广域网之间的联接处应当设置电力专用纵向加密认证装置或者加密认证网关。

第十二条　电力调度机构应当依照电力调度管理体制建立基于数字证书等技术的分布式电力调度认证机制。生产控制区处理重要业务过程中应当采用应用层端到端加密认证机制，其中与电力调度机构交互业务数据应当纳入电力调度认证机制，保障数据传输的完整性和真实性。

第十三条　生产控制区应当具有高安全性和高可靠性，禁止采用安全风险高的通用网络服务功能，禁止选用具有无线通信功能的产品，应当对外设接入行为进行管控。

生产控制区重要业务应当优先采用可信验证措施实现安全免疫。

第十四条　安全接入区应当设置负责转发采集与控制报文的通信代理模块，通信代理模块与终端之间的通信应当采用加密认证措施。业务模块经安全接入区与终端之间传输控制指令等重要的数据时，应当与终端进行端到端的身份认证。

安全接入区内应当简化功能配置，禁止存储重要的数据，并使用可信验证措施加强通信代理模块保护。

第十五条　电力监控系统各分区边界应当采取必要的安全防护措施，禁止任何穿越生产控制区与管理信息区、安全接入区之间边界的通用网络服务。

第十六条　电力监控系统优先选用安全可信的产品和服务。不得选用存在已知安全缺陷、漏洞等风险但未采取有效补救措施的产品和服务。

电力监控系统投运前应当进行安全加固，对于已经投入运行且存在漏洞或风险的系统及设备，应当按照国家能源局及其派出机构的要求及时进行整改，同时应当加强相关系统及设备的运行管理和安全防护。

第十七条　运营者应当建立网络安全监测预警机制，建设基于内置探针等的网络安全监测手段，实时监视分析电力监控系统网络安全运行状态及可疑行为告警。与调度数据网相连的电力监控系统，其网络安全运行状态及可疑行为告警信息应当同步传送至相应电力调度机构。监视过程中应当尽量避免对原始安全数据的重复采集。

总共3页  1 [2] [3] 
下一页