探索电力行业等保三级与通用等保的差异

为了落实国家网络安全等级保护相关标准规范要求，并为电力企业开展电力行业网络安全等级保护定级、建设、测评与整改等工作提供指导，国家能源局于2023年5月26日发布DL/T 2614-2023《电力行业网络安全等级保护基本要求》（下文简称：电力等保要求），并于2023年11月26日开始实施。能源标准化信息平台标准公开截图如下图所示：

 

图1 电力行业网络安全等级保护基本要求标准公开截图

本文将针对DL/T 2614-2023《电力行业网络安全等级保护基本要求》的电力监控系统第三级安全保护通用要求的安全通信网络、安全区域边界、安全计算环境、安全管理中心方面与GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》要求的差异进行阐述。

02

差异性分析

  

2.1 安全通信网络

 

2.1.1网络架构  

• 标准要求对比

 

• 差异说明

c) 应按照6.1节要求的区域划分合理部署系统，带控制功能的系统应部署在生产控制大区的安全区I或安全区Ⅱ,不带控制功能的系统可部署在管理信息大区，并按照方便管理和控制的原则为各网络区域分配地址；

   

【说明】在结合电力行业自身网络分区的特点，细化网络区域划分，将带有控制功能的系统部署在生产控制大区的安全区I或安全区Ⅱ。这些系统通常涉及对生产过程的控制和监控，因此需要更高的安全性和可靠性。安全区I和安全区Ⅱ通常具备更严格的访问控制和数据保护措施，能够防止未经授权的访问和数据泄露。

 

不带控制功能的系统可以部署在管理信息大区。这些系统主要用于管理和处理信息和数据，例如人力资源管理系统、财务系统等。管理信息大区通常具备较高的可用性和灵活性，可以方便地进行管理和控制。

 

根据方便管理和控制的原则，为各网络区域分配地址。在进行地址分配时，可以考虑将相似功能或相互关联的系统部署在同一网络区域，以便进行集中管理和控制。同时，还应考虑网络流量和带宽的分配，确保系统之间的通信畅通。

 

2.1.2通信传输

 

• 标准要求对比

 

• 差异说明

【说明】电力等保要求多次强调密码技术的合规要求，在采用密码技术保证通信过程中数据的完整性和保密性时，应按照国家密码管理部门和行业的相关要求选择和使用密码算法。国家密码管理部门通常会发布密码算法的标准和规范，包括密码算法的安全性评估、密钥管理、密钥长度等方面的要求。行业也会有自己的密码算法选择和使用的规范，以适应特定的行业需求和安全级别。电力行业常用的手段包括但不限于：VPN、加密通信设备（如纵向加密装置）、数字签名产品等。 

2.2 安全区域边界

                        

2.2.1边界防护

 

• 标准要求对比

• 差异说明

 

e) 宜采用网络准入、终端控制、身份认证、可信计算等技术手段进行边界安全防护。

 

【说明】电力等保要求增强了边界的安全防护要求，可以采用网络准入、终端控制、身份认证、可信计算等技术手段：

 

网络准入控制：通过网络准入控制技术，对进入网络的用户、设备和流量进行验证和控制。例如，使用防火墙、入侵检测和入侵防御系统等技术，限制非授权用户或设备的访问，并监测和阻止潜在的攻击行为。   

 

终端控制：通过终端控制技术，可以对接入网络的终端设备进行安全管理和控制。例如：使用终端安全软件、策略管理和远程管理工具，确保终端设备的安全性，防止恶意软件和未经授权的访问。

 

身份认证：通过身份认证技术，可以验证用户的身份和权限，确保只有合法用户可以访问网络资源。例如：使用强密码策略、多因素身份认证和单点登录等技术，提供更可靠的身份验证机制。

 

可信计算：通过可信计算技术，可以确保计算过程和数据的完整性和安全性。例如：使用安全芯片、加密处理和安全计算环境，保护敏感数据和关键计算任务，防止恶意软件和攻击者的篡改和窃取。

 

2.2.2访问控制

 

• 标准要求对比

 

• 差异说明

e) 应采用严格的接入控制措施，保证业务系统接入的可信性，经过授权的节点方可接入电力调度数据网；

 

【说明】电力等保要求增强了安全区域边界访问控制的要求，保证只有经过授权的节点才能接入电力调度数据网，从而保证业务系统接入的可信性，常见的措施包括：

 

身份验证：对接入节点进行身份验证，确保其身份的真实性和合法性。可以采用用户名和密码、数字证书等方式进行身份验证。

 

访问控制：对接入节点进行访问控制，限制其对电力调度数据网的访问权限。可以根据不同的角色和权限设置不同的访问级别，确保只有经过授权的节点能够获取相应的数据。

 

安全传输：采用加密技术对数据进行传输，确保数据在传输过程中不被窃取或篡改。可以使用SSL/TLS等安全传输协议来保证数据的安全性。

 

审计和监控：对于接入电力调度数据网的节点，应进行审计和监控。这可以包括记录节点的访问日志、监测节点的行为等，以便及时检测和响应任何异常或未授权的访问。   

2.2.3拨号使用控制

 

• 标准要求对比

• 差异说明

a) 应仅在必要的远程维护时使用拨号认证设施，该设施平时应断电关机，需要时临时开机，使用完毕应及时关机。

 

【说明】为了确保拨号认证设施的安全性，应仅在必要的远程维护时使用该设施。平时应将设施断电关机，以减少潜在的安全风险。需要使用时，临时开机，使用完毕后应及时关机，避免长时间开启设施暴露在网络中。

   

b) 对确需以拨号或VPN等方式接入网络的，应仅允许单个用户登录，采用强认证方式，并对用户访问权限进行严格限制。

 

【说明】对于确实需要通过拨号或VPN等方式接入网络的用户，应该限制只允许单个用户登录。同时，采用强认证方式，如双因素认证，以增加登录的安全性。此外，还应对用户的访问权限进行严格限制，仅提供必要的权限，以减少潜在的风险。

 

d) 涉及实时控制和数据传输的系统应禁止使用拨号访问服务。

 

【说明】涉及实时控制和数据传输的系统应禁止使用拨号访问服务，主要有以下原因：

 

拨号访问服务的安全性较低，容易受到攻击和入侵。攻击者可以通过拨号访问服务进行未经授权的访问和攻击，导致系统数据泄露、篡改或服务中断。

 

拨号访问服务的稳定性较差，容易受到干扰和信号干扰。电话线路或无线网络的质量不稳定，可能导致数据传输的延迟、丢失或中断，影响实时控制和数据传输的可靠性和准确性。

 

拨号访问服务的带宽通常较低，无法满足实时控制和数据传输的需求。对于需要大量数据传输的系统，拨号访问服务可能无法提供足够的带宽支持，导致数据传输速度慢或传输失败。

 

为了确保实时控制和数据传输系统的安全性和稳定性，应禁止使用拨号访问服务，并选择更可靠和安全的网络连接方式。

 

2.3 安全计算环境

 

 

2.3.1身份鉴别  

 

• 标准要求对比

• 差异说明

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换，口令长度应不小于8位，且为字母、数字和特殊字符的混合组合，账户和口令应不相同，禁止明文存储口令；

 

【说明】电力等保要求提出了更加具体的密码复杂度及口令存储的要求，更有利于控制项的执行。电力场景中，如DCS系统等工业控制系统密码在部署是直接固化到配置中，修改密码需要得到厂家的支持，沟通成本高，难度大。可通过修改安全运维管理系统（堡垒机）的账号密码达到合规要求。   

                                  

2.3.2访问控制  

 

• 标准要求对比

   

• 差异说明

 

d)应授予管理用户所需的最小权限，实现管理用户的权限分离，系统不支持的应部署日志服务器保证管理员的操作能够被审计，且特权用户管理员无权对审计记录进行操作；

   

【说明】为了确保系统的安全性和防止滥用权限，应该按照最小权限原则为管理用户授予权限。这意味着管理用户只能获得完成其工作所需的最低权限，而不是所有权限。

 

此外，为了监控和审计管理用户的操作，应部署日志服务器记录管理用户的操作和事件，以便在需要时进行审计和调查。管理员应该无法对审计记录进行操作，以防止篡改或删除重要的审计信息。

 

g) 应对重要主体和客体设置安全标记，主机不支持敏感标记的，应在系统级生成敏感标记，使系统整体支持强制访问控制机制，并控制主体对有安全标记信息资源的访问。

 

【说明】为了实现强制访问控制，应对重要的主体和客体设置安全标记。安全标记可以用于标识和分类信息资源的敏感程度和访问权限。

 

如果主机不支持敏感标记，可以在系统级别生成敏感标记，确保系统整体支持强制访问控制机制，限制主体对具有安全标记的信息资源的访问。

 

通过设置安全标记，可以实现对敏感信息的保护和控制，确保只有经过授权的主体可以访问具有安全标记的信息资源，从而提高系统的安全性和保密性。

 

主机内可以使用具备强制访问控制功能的主机产品进行控制；系统整体的访问控制可以通过具备访问控制功能的网络防护设备进行控制。   

 

2.3.3安全审计

 

• 标准要求对比

 

• 差异说明

a) 应启用安全审计功能或利用生产控制大区专用安全审计系统进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

 

【说明】为了确保系统的安全性和合规性，应启用安全审计功能或使用专用的安全审计系统对用户行为和安全事件进行审计。审计应覆盖到每个用户，确保对所有用户的活动进行监测和记录。重要的用户行为和安全事件应特别关注，如管理员操作、系统配置变更、异常登录等。   

 

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息，至少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如用户登录、退出）等；

 

【说明】审计记录可以用于追踪和监测组织内部的活动，以确保合规性和安全性。审计记录可以涵盖多个方面，如用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用以及重要的系统操作等。通过这些记录，组织可以追溯和分析事件，识别潜在的安全问题并做出适当的响应。

 

c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等，审计记录的留存时间应符合法律法规要求。

 

【说明】审计记录是重要的安全证据，应采取措施对其进行保护。

 

首先，应确保审计记录的完整性和可靠性，避免未预期的删除、修改或覆盖等情况发生。可以使用写入保护、访问控制等技术手段，限制对审计记录的修改和删除权限。

 

其次，应定期备份审计记录，以防止数据丢失或损坏。备份数据应存储在安全的位置，并采取适当的加密和访问控制措施。

 

最后，审计记录的留存时间应符合法律法规的要求。根据不同的行业和地区，可能存在不同的数据保留期限要求，如个人信息保护法、电子商务法等。应确保审计记录的留存时间符合相关法律法规的要求，并及时销毁过期的记录。

   

通过以上措施，可以保护审计记录的完整性和可靠性，确保审计的有效性和合规性。同时，备份和留存审计记录，可以提供后续的安全分析和调查所需的证据。

 

操作员站、工程师站等工控主机会通过Modbus、OPC、IEC104等工业协议向工控设备发送指令或向其他系统传输数据，可采用可以识别工业协议的专用审计系统，同时启动设备或者系统审计功能并搭配日志审计系统，来完成安全计算环境的审计覆盖，同时达到法律法规的要求。

 

2.3.4入侵防范  

 

• 标准要求对比

• 差异说明

b) 应关闭不需要的系统服务、默认共享和高危端口，如需使用SNMP服务，应采用安全性增强版本，应设定复杂的Community控制字段，禁止使用Public、Private等默认字段；

【说明】为了减少系统的攻击面和安全风险，应关闭不需要的系统服务、默认共享和高危端口。系统服务和端口的关闭应基于实际需求和安全性评估，确保只开启必要的服务和端口，减少攻击者的入侵途径。

 

如果需要使用SNMP服务，应选择安全性增强版本，如SNMPv3。SNMPv3提供了更强的安全性功能，包括消息加密、身份验证和访问控制等。此外，还应设定复杂的Community控制字段，避免使用默认的Community字符串（如Public、Private），以增加系统的安全性。

 

e) 应能发现可能存在的已知漏洞，并在经过安全性、兼容性和稳定性等方面充分测试评估后，及时修补漏洞。

 

【说明】系统和应用程序可能存在已知的漏洞，这些漏洞可能被攻击者利用来入侵系统或获取敏感信息。为了提高系统的安全性，应能够发现可能存在的已知漏洞，并及时采取修补措施。

   

发现漏洞可以通过漏洞扫描工具、安全漏洞数据库等方式进行。漏洞修补应经过充分的测试评估，包括安全性、兼容性和稳定性等方面的考虑。修补漏洞前，应先评估修补的影响范围和风险，确保修补操作不会对系统的正常运行产生负面影响。

 

修补漏洞可以采取更新补丁、升级软件版本、配置安全策略等方式。修补操作应在合适的时间窗口内进行，以最小化对系统的影响。

 

通过以上措施，可以减少系统的攻击面，增强系统的安全性。及时修补漏洞可以防止攻击者利用已知漏洞入侵系统，提高系统的整体安全性。

 

2.3.5剩余信息保护  

 

• 标准要求对比

 

• 差异说明

应保证操作系统、数据库管理系统、应用系统、中间件、系统管理软件等的鉴别信息所在的存储空间被释放或重新分配前得到完全清除。

 

【说明】完全清除数据的方法可以根据具体的存储介质、操作系统、数据库管理系统、应用系统、中间件、系统管理软件来确定。以下是一些常见的方法： 

 

• 磁盘擦除：使用专业的磁盘擦除工具，对存储介质进行多次覆盖写操作，以确保敏感数据无法恢复。

• 数据加密：在存储数据时使用强大的加密算法对其进行加密，当需要释放或重新分配存储空间时，仅需销毁或重新生成加密密钥即可。

• 文件销毁：对于特定的文件或目录，可以使用文件销毁工具来进行彻底的文件删除操作，确保数据无法被恢复。

• 物理销毁：对于存储介质或设备，可以采取物理销毁的方式，如磁盘碎裂，以确保敏感信息不会被恢复。

 

2.4 安全管理中心

 

 

2.4.1系统管理  

 

• 标准要求对比

   

• 差异说明

a) 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；

 

首先，对系统管理员进行身份鉴别可以确保只有经过授权的管理员才能进行系统管理操作。这可以通过使用强密码、双因素认证等身份验证机制来实现。只有通过身份验证的管理员才能获得访问权限，从而防止未经授权的人员进行系统管理操作。

 

其次，限制管理员只能通过特定的命令或操作界面进行系统管理操作可以减少潜在的安全风险。这样可以防止管理员误操作或滥用权限，同时也可以限制管理员对系统的访问和操作范围，减少系统遭受攻击的可能性。   

 

同时，对管理员进行审计可以记录管理员的操作行为，包括其使用的命令、操作界面以及操作的日期和时间等信息。这样可以及时发现和追踪管理员的操作行为，以便后续的审查和调查。审计记录可以用于监控管理员的行为，检测潜在的安全威胁和违规行为，保护系统的安全性和完整性。

 

综上所述，对系统管理员进行身份鉴别，并限制其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计，可以增强系统的安全性，防止未经授权的人员进行系统管理操作，并及时发现和追踪管理员的操作行为。

 

c) 应定期及在配置发生变动前后对设备的配置文件进行备份。

 

【说明】电力等保要求提出了对设备配置文件的备份措施，要求在对设备进行任何配置变动之前，应先备份当前的配置文件。在配置变动出现问题或不符合预期时，可以快速恢复到之前的配置状态。

 

在对设备进行配置变动后，应立即备份新的配置文件。可以确保新的配置文件被保存，以便在需要时进行恢复。

 

应将备份文件存储在安全可靠的地方，以防止未经授权的访问或丢失。同时，备份文件也应定期检查和验证，以确保备份文件的完整性和可用性。

 

总而言之，定期备份设备的配置文件是电力行业中重要的安全措施之一，可以帮助保证设备的正常运行和快速恢复。

 

2.4.2审计管理

 

• 标准要求对比    

• 差异说明

c) 应严格限制审计数据的访问控制权限，实现审计用户与其他用户的权限分离；

 

【说明】电力等保要求强调了对审计数据的访问控制的重要性。审计数据通常包含关键的系统活动和事件信息，只有经过授权的用户才能访问这些数据。可以通过三权分立，分离审计用户的权限与其他用户的权限，防止滥用和未经授权的访问，保护审计数据的安全性和隐私。

 

d) 应定期及在配置发生变动前、后分别对设备的配置文件进行备份。

 

【说明】电力等保要求再次强调了定期以及在配置变动前后备份的重要性。可以通过手动或者专用备份软件的方式实现定期备份，可以确保在配置丢失、错误或变动引发问题时能够快速恢复。同时，在进行配置变动之前和之后备份配置文件，可以确保在引入新配置之前有一个可用的备份状态，以便在问题出现时可以轻松回滚。   

 

2.4.3安全管理  

 

• 标准要求对比

• 差异说明

c)应定期及在配置发生变动前、后分别对设备的配置文件进行备份。

 

【说明】电力等保要求再次强调了对设备配置文件的备份措施，可见在电力行业中，定期备份设备的配置文件是非常重要的安全措施之一，可以有助于错误配置、设备故障或恶意操作导致的数据丢失和服务中断的故障恢复。定期备份和在配置变动前后备份可以保证在问题发生时有可用的备份副本，以便迅速恢复设备的正常运行。

 

03

  总结  

   

综上所述，电力等保三级要求主要在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的三级基本要求基础上，结合电力行业电力监控系统特点给出了部分新增、增强和细化要求：

 

安全通信网络，明确系统所属的分区，提出通信传输的密码技术要求，以保证数据的完整性和保密性。

 

安全区域边界，明确需采用网络准入、终端控制、身份认证和可信计算等技术手段，保护网络免受未经授权的访问和攻击；通过身份验证、访问控制、安全传输和审计监控，确保只有经过授权的节点才能接入电力调度数据网。

 

安全计算环境，提出了细化的密码要求、最小权限管理、强制控制访问、行为和事件的审计、漏洞管理，以确保计算环境的安全；同时对剩余数据清除提出了要求，避免信息泄漏。

 

安全管理中心，强调审计数据的访问控制，保护数据安全和隐私。多次提出备份要求，以确保可以快速从故障中恢复。

 

以下专门针对差异项进行方案对标：