DLT 2203-2020标准规范下载简介
DLT 2203-2020 发电厂监控系统信息安全管理导则.pdfICS27.100 CCS F 24
华人民共和国电力行业标
DL/T 22032020
CJJ/T 301-2020 城市轨道交通高架结构设计荷载标准(完整高清正版).pdf0L/T22032020
发电厂监控系统信息安全管理导则
Guideforinformationsecuritymanagementofpowerplant monitoringandcontrolsystem
前言. 范围· 规范性引用文件, 术语和定义 缩略语 信息安全管理总体要求 信息安全管理基本内容.. 信息安全管理专项工作 :信息安全管理控制 ·15 附录A(资料性)发电厂监控系统信息安全管理制度内容 30 参考文献
DL/T 22032020
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国电力企业联合会提出。 本文件由电力行业热工自动化与信息标准化技术委员会(DL/TC28)归口。 本文件起草单位:国网浙江省电力有限公司电力科学研究院、中电华创电力技术研究有限公司、 润电能源科学技术有限公司、国网河南省电力有限公司电力科学研究院、浙江浙能技术研究院有限公 司、中国电力技术市场协会、浙江大唐乌沙山发电有限责任公司、中国大唐浙江分公司、浙江省能源 集团、国家电力投资集团有限公司、浙江国华浙能发电有限公司、中国东方电气集团中央研究院、国 家能源集团有限公司、杭州安恒信息技术有限公司、北京信达探索者科技有限公司、北京天地和兴科 技有限公司、阳城国际发电有限责任公司、浙能兰溪发电有限责任公司、国网浙江省电力调控中心、 浙江省电力学会、杭州华电半山发电有限责任公司、浙能台州第二发电有限责任公司、华能电力股份 有限公司长兴发电厂、物耀安全科技(杭州)有限公司、贵州华电乌江水电发电有限公司。 本文件主要起草人:尹峰、俞卫新、卢化、郭为民、何志瞧、胡伯勇、苏利辉、郭志民、王剑平、 尹松、华志刚、吴永存、袁晓舒、余程、王鹏、王中胜、何小梅、谢东、叶鹏、王小东、刘林虎、 吴佩侃、夏克显、魏路平、郑迎九、王焕明、董勇卫、左天才、孙长生。 本文件为首次发布。 本文件在执行过程中的意见或建议反馈至中国电力企业联合会标准化管理中心(北京市白广路二 条一号,100761)。
主控制系统maincontrolsystems
对发电厂发电过程实施集中或分布式控制的主要监控系统、独立控制装置与智能仪表等,主要 电厂单元机组的分散控制系统与可编程控制器系统、水电厂集中监控系统、梯级水电站调度监 、风电场监控系统、光伏电站运行监控系统等。
辅助控制系统auxiliarycontrolsystem
对发电厂全厂公用的外围辅助设备系统进行控制的监控系统、独立控制装置与智能仪表等,主 燃煤电厂外围公用的水、煤、灰控制系统,燃气轮机电厂全厂辅助控制系统、火警探测系统, 他电厂的全厂辅助设备的相关控制系统等。
控制区电气二次系统electricsecondarysystemsincontrolsubzone
控制区电气二次系统electricsecondarysystemsincontrolsubzone
电气设备与发电机实施保护
对发电厂运行参数与监控信息进行在线监测分析,但不直接参与控制的系统,主要包括火电厂厂 级监控信息系统、梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统、光 功率预测系统、风功率预测系统、电能量采集装置、电力市场报价终端、故障录波装置及信息管理终 端等。
DL/T22032020
信息安全管理体系informationsecuritymanagementsystem:ISMS 基于业务风险的控制方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一 个组织整个管理体系的一部分。 注:该管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源。
5信息安全管理总体要求
5.1信息安全防护原则
5.1.1.1发电厂网络与信息系统按业务功能划分为生产控制大区和管理信息大区。发电广监控系统属于 生产控制大区,并根据监控系统的重要性和对电力系统的影响程度将生产控制大区划分为控制区(安 全区I)及非控制区(安全区Ⅱ)。 5.1.1.2生产控制大区内个别业务系统或其功能模块(或子系统)需要使用公用通信网络、无线通信网 络,以及处于非可控状态下的网络设备与终端等进行通信时,应设立安全接入区
5.1.2.1发电厂端的电力调度数据网应在专用通道上使用独立的网络设备组网,在物理层面上实现与电 其他数据网及外部公共信息网络的安全隔离。 5.1.2.2发电厂端的电力调度数据网应划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非 控制区。
5.1.3.1生产控制大区与管理信息大区之间应设置经国家指定部门检测认证的电力专
.3.1生产控制大区与管理信息大区之间应设置经国家指定部门检测认证的电力专用横向单向安
DL/T22032020
离装置,隔离强度应接近或达到物理隔离。 5.1.3.2生产控制大区内部的安全区之间应采用具有访问控制功能的网络设备、防火墙或者相当功能的 设施,实现逻辑隔离。 5.1.3.3安全接入区与生产控制大区中的其他部分的连接处应设置经国家指定部门检测认证的电力专用 横向安全隔离装置。
发电厂生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时,应设置经国家指定 部门检测认证的电力专用纵向加密认证装置,或者加密认证网关及相应设施。
发电企业应在实现5.1.1~5.1.4要求的基础上,结合国家网络安全等级保护工作的相关要求,对发 电厂监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行 信息安全的综合防护。
5.2信息安全管理体系
5.2.1.1发电企业应将发电厂监控系统信息安全管理融入安全生产管理体系中,按照“谁主管、谁负 责;谁运营、谁负责;谁使用、谁负责”的原则,健全发电厂监控系统安全防护的组织保证体系和安 全责任体系。 5.2.1.2应设立发电厂监控系统安全管理工作的组织机构,由企业负责人作为主要责任人;开发制造单
图1ISMS体系结构
5.3.1发电企业应配备发电厂监控系统安全防护人员,设立相应岗位,明确各岗位职责。 5.3.2应开展对发电厂监控系统安全防护的管理、运行、维护、使用等全体人员的安全管理和培训教 育,以及对设备厂家维护和评估检测等第三方人员的安全管理,提高全体内部人员和相关外部人员的 安全意识。
5.4.1发电企业应对发电厂监控系统中全部业务系统软件模块和硬件设备,特别是安全防护设备,建 立设备台账,实行全方位安全管理。 5.4.2安全防护设备及发电厂监控系统设备选型与配置时,不应选用被国家相关部门检测通报存在漏 洞和风险的特定系统及设备。 5.4.3相关系统、设备接入发电厂监控系统网络时,应制定接入技术方案,采取相应安全防护措施, 并经发电企业安全管理部门的审核、批准。 5.4.4有关安全保证技术要求,应符合GB/T20984一2007中第5章的规定;有关发电厂监控系统安全 技术等级要求应符合GB/T20984一2007中第6章的规定;有关系统能力(技术)评估,应符合GB/T 30976.1一2014中第6章的规定:针对发现的间题应及时进行改进、完善。
5.5全生命周期安全管理
发电企业在建设发电厂监控系统时,应严格落实以下“三同步”原则: a)同步规划:在业务规划阶段应同步纳入信息安全要求,引入安全措施; b)同步建设:在项目建设阶段应通过合同条款落实系统集成商、厂商的责任,保证相关安全技术 措施的顺利实施,项目上线时安全措施的验收和工程验收同步,确保只有符合信息安全要求的 系统才能上线; c)同步使用:在安全验收后的日常运营维护中,应持续保持系统信息安全防护水平
DL/T22032020
发电厂监控系统及设备在规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退 没报废等全生命周期阶段应采取下列安全管理措施: a)系统及设备应采用安全、可靠,符合本文件,以及国家和行业信息系统安全等级保护要求的 产品; b)重要监控系统及专用安全防护产品在开发使用过程中,供应商应保证所提供的设备及系统符 合本文件,以及国家和行业信息系统安全等级保护的要求,并在设备及系统全生命周期内对此 负责; c)发电厂监控系统及专用安全防护产品在开发、使用及供应过程中,应按国家有关要求做好保密 工作,防止安全防护关键技术和设备的扩散; d)发电企业应依据相关标准和规定对发电厂监控系统及设备进行安全防护专项验收; e)发电企业应结合日常运维和安全防护管理,定期开展运行分析和自评估,保障系统及设备的可 靠运行;
5.6联合防护和应急管理
6信息安全管理基本内容
6.1.1发电厂监控系统信息安全管理的资产范围,宜包括发电机组生产控制大区的主控制系统、辅助 控制系统、控制区电气二次系统、非控制区监控系统,以及厂区内与其相关联的信息系统或设备,见 图2
图2发电厂监控系统信息资产分区结构示意图
DL/T22032020
电厂监控系统主要设备宜包括分散型控制系统(DCS、DEH、TCS、计算机监控系统等)、独 制系统(ETS、BPC、TSI、火检系统、OCS、PLC等)、就地设备控制系统、智能仪表、调度 统(NCS、RTU、PMU等)、继电保护装置、厂级监控信息系统(SIS)等。
发电厂监控系统应遵循的信息安全管理基本框
a)顶层承诺:发电企业应获得管理层的承诺,确定发电厂监控系统信息安全管理的方针,明确发 电企业各相关成员在发电厂监控系统信息管理活动中的角色、责任和权限; b)规划评估:发电企业应确定规划总则,开展发电厂监控系统信息安全风险评估和处置,明确安 全目标和实现规划: C 资源支持:发电企业应保障发电厂监控系统信息安全所需的资源,提供能力和意识培训,确定 沟通机制并建立文档化制度; d)策略实施:发电企业应规划、实现和控制满足发电厂监控系统信息安全管理活动要求的具体过 程,定期开展发电厂监控系统信息安全风险评估和处置工作; e)绩效评价:发电企业应对发电厂监控系统开展监视、测量、分析和评价,定期开展内部审核和 管理评审: f)持续改进:发电企业应对发电厂监控系统的安全开展持续监控,在发电厂监控系统发生信息安 全异常情况时,采取纠正措施并持续改进。
DL/T22032020
6.5组织机构与职责界定
发电企业应以设备为中心开展发电厂监控系统信息安全专业管理,建立由企业主要负责人牵头 部门负责,仪控、电气、信息、集控运行及安监等专业相互协同的组织管理框架,以实现发电 部信息安全管理机制的控制和运行。
DL/T22032020
全建设的各项工作; 4)审定网络与信息安全的应急策略及应急预案; 5)定期召开工作会议,广泛征求信息安全建设的意见和建议,协调解决信息安全工作中遇到 的重大问题。 b)网络与信息安全工作组应具体负责本单位网络与信息安全的下列日常管理工作: 1)按照发电厂监控系统信息安全防护规定和信息系统安全等级保护制度的要求,针对本单位 的网络和发电厂监控系统开展安全防护工作; 2)负责制定网络和信息安全相关的管理制度,并及时修订,确保各项制度的有效性 3)按要求组织开展网络与信息安全专项检查、安全评估、等级保护测评、风险评估工作,完 善信息安全管理机制; 4)负责制定和实施网络与信息安全防护的具体方案、措施,提高网络与信息安全防护能力, 保障监控系统网络与信息安全。 c)应急管理工作组应具体负责本单位网络与信息安全的下列应急管理工作: 1)负责编写本单位网络与信息安全相关的应急预案; 2)定期组织开展应急预案演练和修订; 3)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统。
旋挖机施工工艺7信息安全管理专项工作
7.1等级保护与测评评估
7.1.1等级保护管理要求
发电厂监控系统的信息安全等级保护管理要求应符合GB/T22239的规定。网络安全等级保护 求内容框架见图4,应包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全 理,工作流程与要求如下:
a)发电企业网络安全等级保护工作流程应包括以下五个步骤:
图4网络安全等级保护管理要求内容框架
DL/T22032020
1)定级:发电企业应确定发电厂监控系统的安全等级; 2)备案:发电企业应对发电厂监控系统进行备案信息管理; 3)系统建设和整改:发电企业应结合自身业务特点建立可信、可控、客观的安全防护体系, 使系统能够按照预期运行DB33/T 2274-2020 生态系统生产总值(GEP)核算技术规范 陆域生态系统.pdf,免受信息安全攻击和破坏; 4)等级测评:测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标 准,对非涉及国家机密信息系统安全等级保护状况进行检测评估; 5)监督检查:发电企业应接受并配合信息安全监管部门的信息安全监督检查。 b)发电企业应明晰等级保护标准体系内容,包括定级指南、基本要求、测评要求,
7.1.2等级保护定级与备案