1 范圍

      本標(biāo)準(zhǔn)規(guī)定了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估工作的評估內(nèi)容、系統(tǒng)生命周期各階段的安全評估、評估流程及方法、安全防護(hù)技術(shù)評估、應(yīng)急備用措施評估、安全管理評估。

      本標(biāo)準(zhǔn)適用于各電力企業(yè)電力監(jiān)控系統(tǒng)規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)行維護(hù)階段和廢棄階段的網(wǎng)絡(luò)安全防護(hù)評估工作。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 9361 計(jì)算機(jī)場地安全要求

      GB 17859-1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級劃分準(zhǔn)則

      GB/T 18336.2-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第2部分：安全功能組件

      GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求

      GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范

      GB/T 21028-2007 信息安全技術(shù) 服務(wù)器安全技術(shù)要求

      GB/T 21050-2007 信息安全技術(shù) 網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求（評估保證級3）

      GB/T 22186-2016 信息安全技術(shù) 具有中央處理器的IC卡芯片安全技術(shù)要求

      GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求

      GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南

      GB/T 25058-2010 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南

      GB/T 25068.3-2010 信息技術(shù) 安全技術(shù) IT網(wǎng)絡(luò)安全 第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)

      GB/Z 25320（所有部分）電力系統(tǒng)管理及其信息交換 數(shù)據(jù)和通信安全

      GB/T 31509-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南

      GB/T 36572-2018 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則

3 術(shù)語和定義

      GB/T 36572-2018和GB/T 20984-2007界定的以及下列術(shù)語和定義適用于本文件。

3.1

      自評估 self-assessment

      運(yùn)行單位對本單位電力監(jiān)控系統(tǒng)組織實(shí)施的安全評估，以及調(diào)度機(jī)構(gòu)在調(diào)度管轄范圍內(nèi)（以下簡稱“調(diào)管范圍內(nèi)”）各運(yùn)行單位自評估結(jié)果基礎(chǔ)上，對調(diào)管范圍內(nèi)電力監(jiān)控系統(tǒng)組織實(shí)施的安全評估。

3.2

      檢查評估 inspection assessment

      由被評估單位的業(yè)務(wù)主管部門組織或委托安全評估機(jī)構(gòu)，依據(jù)有關(guān)標(biāo)準(zhǔn)和管理規(guī)定，對電力監(jiān)控系統(tǒng)進(jìn)行的具有強(qiáng)制性的安全評估。

3.3

      上線安全評估 online implementation security assessment

      電力監(jiān)控系統(tǒng)投運(yùn)前及發(fā)生重大變更時(shí)，運(yùn)行單位自行組織或委托評估機(jī)構(gòu)對系統(tǒng)進(jìn)行的安全評估。      注：重大變更包括，但不限于：

      a）增加新的應(yīng)用或應(yīng)用發(fā)生較大變更；

      b）網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更；

      c）技術(shù)平臺大規(guī)模更新；

      d）系統(tǒng)擴(kuò)容或改造；

      e）系統(tǒng)運(yùn)行維護(hù)管理機(jī)構(gòu)或人員發(fā)生較大規(guī)模調(diào)整。

3.4

      型式安全評估 type safety assessment

      電力監(jiān)控系統(tǒng)設(shè)計(jì)、開發(fā)完成后，系統(tǒng)供應(yīng)商自行組織或委托評估機(jī)構(gòu)對系統(tǒng)進(jìn)行的安全評估。

4 縮略語

      下列縮略語適用于本文件。

      FTP：文件傳輸協(xié)議（File Transfer Protocol）

      HTTP：超文本傳輸協(xié)議（Hyper-Text Transfer Protocol）

      IED：智能電子設(shè)備（Intelligent Electronic Device）

      LAN：局域網(wǎng)絡(luò)（Local Area Network）

      OSPF：開放式最短路徑優(yōu)先（Open Shortest Path First）

      SCADA：監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)（Supervisory Control And Data Acquisition）

      SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol）

      UPS：不間斷電源（Uninterruptible Power System）

      USB：通用串行總線（Universal Serial Bus）

      VLAN：虛擬局域網(wǎng)（Virtual Local Area Network)

      VPN：虛擬專用網(wǎng)（VirtVirtual Private Networks)

5 評估內(nèi)容

      評估內(nèi)容包括資產(chǎn)評估、威脅評估、脆弱性評估。

      資產(chǎn)評估通過資產(chǎn)分類、資產(chǎn)調(diào)查、資產(chǎn)賦值等過程，最終形成資產(chǎn)列表和資產(chǎn)賦值報(bào)告。資產(chǎn)評估按照、國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)及GB/T 31509-2015中5.2.2的規(guī)定執(zhí)行。資產(chǎn)分類按照GB/T 20984-2007中5.2.1的規(guī)定執(zhí)行。

      威脅評估通過威脅分類、威脅調(diào)查、威脅分析和賦值等過程，最終形成威脅分析報(bào)告。威脅評估按照GB/T 31509-2015中5.2.3的規(guī)定執(zhí)行。威脅分類按照GB/T 20984-2007 中5.3.1和GB/T 36572-2018中5.2的規(guī)定執(zhí)行。

      脆弱性評估主要包括基礎(chǔ)設(shè)施安全、體系結(jié)構(gòu)安全、本體安全、可信安全免疫、應(yīng)急備用措施、安全

管理等。

6 系統(tǒng)生命周期各階段的安全評估

6.1 評估概述

      電力監(jiān)控系統(tǒng)生命周期包含5個(gè)基本階段：規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)行維護(hù)階段和廢棄階段。安全評估工作應(yīng)貫穿于電力監(jiān)控系統(tǒng)整個(gè)生命周期。各階段中涉及的安全評估的原則和方法一致，但由于實(shí)施的內(nèi)容、對象、信息安全需求不同，安全評估的對象、目的、要求等方面也不同。

6.2 規(guī)劃階段

      規(guī)劃階段的安全評審是根據(jù)電力監(jiān)控系統(tǒng)的業(yè)務(wù)使命和功能，確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。主要根據(jù)未來系統(tǒng)的應(yīng)用對象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進(jìn)行威脅分析，重點(diǎn)分析系統(tǒng)應(yīng)達(dá)到的安全目標(biāo)。規(guī)劃階段的評審結(jié)果應(yīng)包含在電力監(jiān)控系統(tǒng)整體規(guī)劃中。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。