厂站电力监控系统安全防护验收标准

ICS29.240

K45

备案号：DL

中华人民共和国电力行业标准

DL/TXXXX—20XX

厂站电力监控系统安全防护验收标准

Acceptancetestspecificationofsecurityprotectionforelectricpower

systemsupervisionandcontrolinpowerstationandsubstation

（征求意见稿）

20XX-XX-XX发布20XX-XX-XX实施

国家能源局发布

DL/TXXXX—20XX

前  言

本标准按照GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》的要求编写。

本标准由中国电力企业联合会提出。

本标准由全国电网运行与控制标准化技术委员会归口并负责解释。

本标准主要起草单位：

本标准主要参加单位：

本标准主要起草人：

本标准首次发布。

本标准在执行过程中的意见或建议请反馈至中国电力企业联合会标准化管理中心(北京市白广路二

条一号，100761)。

II

DL/TXXXX—20XX

厂站电力监控系统安全防护验收标准

1范围

本标准规定了并网电厂电力监控系统涉网部分、变电站电力监控系统安全防护验收的管理要求和技

术要求。

本标准适用于35kV及以上电压等级并网电厂涉网部分、变电站新建、改（扩）建工程的电力监控系

统安全防护验收。其他厂站、分布式电源可参照执行。

2并网电厂规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20270信息安全技术网络基础安全技术要求

GB/T20271信息安全技术信息系统安全通用技术要求

GB/T20272信息安全技术操作系统安全技术要求

GB/T20273信息安全技术数据库管理系统安全技术要求

GB/T20275信息安全技术入侵检测系统技术要求和测试评价

GB/T20281信息安全技术防火墙技术要求和测试评价方法

GB/T21028信息安全技术服务器安全技术要求

GB/T21052信息安全技术信息系统物理安全技术要求

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T22240信息安全技术信息系统安全等级保护定级指南

国家发展改革委员会2014年第14号令电力监控系统安全防护规定

国能安全〔2015〕36号电力监控系统安全防护总体方案等安全防护方案和评估规范

3术语和定义

下列术语和定义适用于本标准。

3.1

电力监控系统electricpowersupervisionandcontrolsystem

用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为

基础支撑的通信及数据网络等。

3.2

安全防护securityprotection

1

DL/TXXXX—20XX

是指为保障核心业务系统的网络信息安全而建立一整套综合安全防护措施，包括安全防护技术、应

急备用措施、全面安全管理等多个方面。

3.3

网络安全管理平台cybersecuritymanagementplatform

部署于调度机构，具备网络安全实时监视告警、分析定位、安全审计、风险核查和协同管控等功能

的软件系统。

3.4

网络安全监测装置cybersecuritymonitoringdevice

部署于电力监控系统局域网网络中，用于对监测对象的网络安全信息进行采集、分析处理并与网络

安全管理平台通信的装置，为网络安全管理平台上传事件并提供服务代理功能。

4缩略语

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）

USB：通用串行总线（UniversalSerialBus）

IDS：入侵检测系统（IntrusionDetectionSystem）

IP：互联网协议（InternetProtocol）

HTTP：超文本传输协议（Hyper-TextTransferProtocol）

FTP：文件传输协议（FileTransferProtocol）

SSH：安全外壳协议（SecureShell）

NTP：网络时间协议（NetworkTimeProtocol）

MAC：介质存取控制地址码（MediaAccessControl）

5总则

5.1电厂和变电站电力监控系统安全防护应符合国家发展和改革委员会2014年14号令、国能安全

〔2015〕36号、GB/T22239等文件和标准要求，坚持“安全分区、网络专用、横向隔离、纵向认证”

的基本原则，保障电力监控系统安全可靠运行。

5.2本标准并网电厂指35kV及以上电压等级并网电厂涉网部分；本标准变电站指35kV及以上电压等

级的变电站，包括换流站、开关站、用户站等。本标准验收的具体范围为35kV及以上电压等级并网电

厂涉网部分电力监控系统以及35kV及以上电压等级变电站电力监控系统。

5.3并网电厂和变电站在新建、改（扩）建工程完成后，并网投运或移交生产运行前，应开展电力监

控系统安全防护验收工作。验收工作包括基础设施验收、网络结构验收、设备及软件系统验收、安全管

理验收等内容。

5.4并网电厂和变电站电力监控系统安全防护验收工作除应遵循本标准外，尚应符合国家、电力行业

相关文件和标准要求。

6验收组织和流程

2

DL/TXXXX—20XX

6.1验收人员

6.1.1验收组负责现场验收工作，由被验收厂站上级专业主管部门、信息安全主管部门以及相应电力

调度机构组成；

6.1.2被验收厂站建设单位或部门作为责任主体，接受现场验收，并组织设计、监理、施工、调试等

单位做好配合工作。

6.1.3验收组主要职责

a)负责编制验收方案和验收大纲，根据工作量合理安排验收时间；

b)负责审查设备调试报告、自验收报告、技术文件、管理制度等文档资料的真实性、准确性、完整

性和可执行性，并依据验收方案开展验收工作；

c)负责下达验收报告，对工作开展情况、发现及解决问题情况、工程遗留问题及解决建议等进行全

面总结，并对工程验收情况给出明确结论；

d)负责通知并监督被验收单位对问题、缺陷及隐患及时整改，并对整改情况开展复查验收。

6.1.4被验收单位主要职责

a)负责提供完整的符合工程实际的纸质版和电子版图纸资料，包括电力监控系统网络结构图、电力

监控系统安全防护拓扑图等；

b)负责提供电力监控系统安全防护调试报告、自验收报告；提供电力监控系统设备台账、安全防护

实施方案、主要设备配置文件、安全防护组织机构证明以及相关管理制度等；提供现场验收工作所需的

专用工器具及测试设备；

c)负责组织设计、监理、施工、调试等单位配合现场验收工作。

d)负责对验收发现的问题、缺陷及隐患进行整改；

e)做好验收期间现场安全措施；

6.2验收必备条件

a)被验收厂站电力监控系统安全防护实施方案应由本企业上级专业主管部门、信息安全主管部门以

及相应电力调度机构审核通过；

b)被验收厂站建设单位或部门组织完成系统及设备安装、调试工作；

c)被验收厂站建设单位或部门自验收合格，并具有完整的自验收报告；

d)被验收厂站电力监控系统完成网络安全等级保护定级；

e)被验收厂站电力监控系统应按照国家及行业要求，由具备资质的第三方评估机构完成系统安全防

护评估，根据评估结果完成整改并出具报告；

f)应具有完整并符合工程实际的纸质版和电子版图纸资料、系统及设备清单、主要设备配置文件、

调试报告、安全防护组织机构和相关管理制度等文档资料；

g)应具有必要的测试工器具及设备。

6.3验收流程

6.3.1被验收单位（发电企业或建设部门）在组织完成厂站相关施工调试工作、自验收合格、相关文

档资料准备齐全、其他验收准备工作确认完备后向上级专业主管部门、信息安全主管部门以及相应电力

调度机构提出验收申请；在确认其具备验收条件后，上述单位或部门组成验收组开展现场验收工作；

3

DL/TXXXX—20XX

6.3.2检查组对被验收厂站电力监控系统安全防护管理体系进行核查，确认其组织机构、人员配置、

管理制度是否符合要求；

6.3.3检查组对被验收厂站电力监控系统物理环境进行核查，确认是否满足相关要求；

6.3.4检查组对被验收厂站电力监控系统设备选型、系统组网、软件配置、安全策略进行核查，确认

是否满足相关要求；

6.3.5检查组根据核查结果并下达验收报告；

6.3.6被验收单位按照报告提出的问题组织整改，整改后由验收组进行复查。

7验收内容及要求

7.1安全管理验收

a)应成立电力监控系统安全防护工作的委员会或领导小组，其最高领导由单位主管领导担任或授权，

应配备网络安全专责。等级保护三级厂站应配备专职网络安全管理人员；

b)应建立电力监控系统安全管理制度，包括门禁管理、人员管理、权限管理、访问控制管理、设备

及系统维护管理、恶意代码防护管理、审计管理、数据级系统备份管理、培训管理等；

c)应建立系统变更、重要操作、物理访问和系统接入等事项建立管理流程，对重要活动建立逐级审

批制度；

d)应编制并保存与安全防护相关的资产清单，应制定重要设备的配置和操作手册；

e)应与关键岗位人员、接触内部敏感信息的第三方人员签署保密协议；

f)应制定应急预案，包括应急处理流程、系统恢复流程等；

g)应对各类人员进行安全意识教育和岗位技能培训，并告知相关安全责任和惩戒措施。

7.2物理安全验收

7.2.1设备物理安全验收

a)屏体及设备应安装牢靠，外观良好、铭牌清晰，数量、型号与设计相符；

b)电缆、光纤、网线等二次接线应整齐牢固，标签标识应清晰、规范；

c)设备应对静电放电、电磁辐射、电磁传导等电磁干扰有一定抗扰度，符合GB/T21052的相关要求。

7.2.2环境物理安全验收

a)物理环境应具备防水、防火、防小动物、防雷、防盗、防尘、防磁、防静电等措施；

b)机房出入口应安排专人值守，并进行出入登记。等级保护三级系统所在机房应配置电子门禁系统，

控制、鉴别和记录进出机房的人员；

c)应采用防静电地板或地面，其静电性能需符合相关要求，且长期稳定。等级保护三级系统所在机

房应采用静电消除器、佩戴防静电手环等措施；

d)机柜和设备的金属外壳、框架应良好接地并符合GB/T21052的相关规定；

e)电源线和通信线缆应隔离铺设，避免互相干扰。等级保护三级系统所在机房关键设备应实施电磁

屏蔽；

f)机房应配备至少两路独立电源供电，且每路电源容量能够独立支撑机房内设备持续运行；

g)重要设备应具有冗余电源模块并双路供电，每路电源应配置独立空气开关或专用工业插座；

h)应配备火灾自动消防系统，并具备自动报警及灭火功能，应在机房明显位置张贴防火标识；

4

DL/TXXXX—20XX

i)应配备空气调节设施，机房温湿度的变化应在设备运行所允许的范围内。等级保护三级系统所在

机房应配备温湿度监控设备，并具备自动告警功能；

j)等级保护三级系统所在机房应设置防盗报警系统或配备有专人（本地或远程）值守的视频监控系

统；

7.3网络结构验收

a)电力监控系统部署应符合安全分区原则，同一系统不同安全等级的功能模块应分置于不同安全

区，并通过安全隔离设施进行通信；严禁将高安全区的系统或功能模块部署至低安全区；生产控制

大区内业务系统使用公用通信网络、无线通信网络以及其他安全不可控网络与终端进行通信的应设

立安全接入区；严禁非法接入、违规外联和跨区混联；

b)不同安全区的设备必须连接至不同交换机；严禁通过划分VLAN的方式将不同安全区的设备接入

同一台交换机；同一安全区内不同业务系统应采用VLAN划分实现访问控制；

c)生产控制大区与管理信息大区或其他非生产控制大区之间数据通信必须通过经国家指定部门检

测认证的电力专用横向单向安全隔离装置，实现物理隔离访问控制；

d)生产控制大区内部控制区与非控制区之间数据通信应采用硬件防火墙等隔离措施，实现逻辑访

问控制；

e)生产控制大区在调度数据网纵向边界必须部署纵向加密认证装置，实现双向身份认证、访问控

制和数据加密；

f)新能源场站站控系统与就地终端之间数据通信应部署纵向加密认证装置，实现安全通信；

g)严禁将电力调度数据网延伸至厂站外其他区域。

7.4设备及软件系统验收

7.4.1通用验收要求

a)禁止选用存在已知漏洞和风险的设备及软件系统；

b)安全防护设备应获得国家指定机构安全检测认证，并经电力系统电磁兼容检测合格；

c)涉及密码产品的设备及软件系统应当严格执行国家商用密码管理的有关规定；

d)除安全接入区外，严禁使用无线通信功能的设备；

e)IC卡或USBkey等身份认证部件应从设备拔出并由专人妥善保管。

7.4.2主机验收

a)禁止主机KVM系统或带外管理网络与业务网络共用。禁止生产控制大区和管理信息大区的KVM或

带外管理网络共用；

b)应按照最小授权原则对带外管理用户授权，并采取有效认证措施；

c)空闲网络端口、USB接口、光驱等应采取软件关闭、限制驱动程序和物理封堵等措施，防止非法

接入；

7.4.3网络设备验收

a)入网设备应符合网络接入规范，与纵向通信无关的设备不得接入调度数据网；

b)网络设备使用的固件版本应经过具备相关资质的检测单位检测合格，并提供检测报告；

c)应根据需求分配用户权限，不应存在共享用户、多余用户、过期用户；

d)远程及本地管理设备应采用用户名和口令认证，口令应符合复杂度要求，并加密存储；

e)应开启用户登录鉴别处置功能，具备结束会话、限制非法登录次数、连接超时自动退出等措施；

5

DL/TXXXX—20XX

f)远程管理设备应使用SSH等安全协议，并配置受信任网络管理地址范围。严禁使用telnet、HTTP

等高风险管理服务；

g)应删除缺省Banner信息，防止通过登录界面泄漏敏感信息；

h)应禁用本体HTTP、FTP、Rlogin、DNS等不必要的公共网络服务；

i)应开启对时功能，确保设备与时钟同步装置或时钟同步服务端时间一致；

j)应配置访问控制列表，拒绝不必要的高风险服务端口访问；

k)应将IP地址、MAC地址和物理端口进行绑定，防止恶意攻击和非法接入。

l)空闲物理端口应采取配置关闭和物理封堵措施；

m)避免使用默认路由，关闭网络边界的OSPF路由功能；

n)应采用SNMPv2及以上版本的网管协议，通信团体字应符合复杂度要求，并加密存储。禁止使用

默认团体字；

o)应开启日志服务，日志信息至少保存六个月；

p)网管信息、日志信息格式应符合网络安全监测装置数据采集接口规范，相关信息应接入本地网络

安全监测装置或所属调度机构网管系统，实现运行监视和管理；

7.4.4安全防护设备验收

a)应根据需求分配用户权限，不应存在共享用户、多余用户、过期用户；

b)远程及本地管理安全防护设备应采用用户名和口令认证，口令应符合复杂度要求，并加密存储；

c)应开启用户登录鉴别处置功能，具备结束会话、限制非法登录次数、连接超时自动退出等措施；

d)远程管理设备应使用SSH等安全协议，并配置受信任网络管理地址范围。严禁使用telnet、HTTP

等高风险管理服务；

e)应禁用HTTP、FTP、Rlogin、DNS等不必要的通用网络服务；

f)应开启对时功能，实现基于IRIG-B码或NTP的时钟同步；

g)安全信息和日志信息应符合电力系统通用告警格式规范要求，并接入本地网络安全监测装置或所

属调度机构网络安全管理平台，实现安全监视和管理。

h)纵向加密认证装置、防火墙禁止开启默认通过或旁路的工作模式；

i)纵向加密认证装置、防火墙安全策略应细化到具体IP地址、服务端口、模式和协议类型，并对

不符合安全策略的数据流进行阻断和告警；

j)纵向加密认证装置应确保所有业务通信隧道协商成功；

k)纵向加密认证装置应实现所属调度机构网络安全管理平台的远程管控；

l)横向隔离装置应根据业务需求配置基于IP地址、MAC地址、服务端口、传输协议以及通信方向的

数据流控制；

m)入侵检测系统应确保有效获取被检测网络的流量信息，配置合理检测策略，实现异常网络行为监

视预警；

n)入侵检测系统应将特征库升级至最新；

o)网络安全监测装置应实现站控层主机、网络设备和安全防护设备等监测对象运行信息及网络安全

事件信息采集；

p)网络安全监测装置应通过调度数据网接入所属调度机构网络安全管理平台，实现集中安全监视和

管理；

q)网络安全监测装置应合理配置网络信息白名单及关键文件目录黑名单，防止网络安全事件漏报、

错报、误报；

r)网络安全监测装置应实现图形化界面的网络安全态势本地监视。

6

DL/TXXXX—20XX

7.4.5操作系统验收

a)系统功能应安全可控，生产控制大区主机应采用经国家有关部门检测认证的安全操作系统；

b)应按照“三权分立”原则和业务需求分配用户权限，不应存在共享用户、多余用户、过期用户；

c)应采用用户名和口令认证，口令应符合复杂度要求，并加密存储；

d)应开启用户登录鉴别处置功能，具备结束会话、限制非法登录次数、连接超时自动退出等措施；

e)等级保护三级系统应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别；

f)远程登录应使用SSH等安全协议，并配置受信任网络管理地址范围。严禁使用telnet、HTTP等高

风险管理服务。处于网络边界的主机不宜开启远程管理服务；

g)应遵循最小安装原则，并进行安全加固；关闭E-Mail、HTTP、FTP、telnet、SMB、Rlogin、DNS

等不必要服务；禁止在控制区内使用通用WEB服务；

h)应开启自身访问控制策略，实现对来访主机IP地址、端口、协议的限制；

i)等级保护三级系统访问控制粒度应达到主体为用户级或进程级，客体为文件、数据库表级，应

由授权主体配置访问控制策略，规定主体对客体的访问规则；

j)应启用安全审计功能，并对审计记录进行保护；等级保护三级系统主机应对审计进程进行保护，

防止未经授权的中断；

k)应具备备份及故障恢复功能；

l)应安装防恶意代码软件，并升级至最新代码库；等级保护三级系统主机宜采用免受恶意代码攻

击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为；

m)应部署操作系统监测组件，将运行状态、网络安全事件等信息上送至网络安全监测装置，并提

供安全核查、审计等代理服务功能；

n)应开启对时功能，确保设备与时钟同步装置或时钟同步服务端时间一致；

7.4.6关系数据库验收

a)应按照“三权分立”原则和业务需求分配用户权限，不应存在共享用户、多余用户、过期用户；

b)应采用用户名和口令认证，口令应符合复杂度要求，并加密存储；

c)应开启用户登录鉴别处置功能，具备结束会话、限制非法登录次数、连接超时自动退出等措施；

d)应配置身份鉴别、访问控制、权限划分、资源控制、安全审计及备份等管理策略；

e)应对日志记录、配置参数重要数据进行数据保护，杜绝非授权的访问、修改、删除等操作；

f)日志信息至少保存六个月。

7.4.7软件系统验收

a)应按照业务需求分配用户权限，不应存在共享用户、多余用户、过期用户；

b)应采用用户名和口令认证，口令应符合复杂度要求，并加密存储；

c)应开启用户登录鉴别处置功能，具备结束会话、限制非法登录次数、连接超时自动退出等措施；

d)应配置日志审计功能，对用户登录、用户退出、增加用户、修改用户权限等重要安全事件进行日

志记录，能够对审计记录数据进行统计和查询；

e)软件系统应升级到最新、最安全版本，确保无已知的安全漏洞；

f)重要软件系统应采用双机或多机冗余部署方式，实现热备用功能。

_________________________________

7

DL/TXXXX—XXXX

目  次

目  次...............................................................................................................................................................I

前言.............................................................................................................................................................II

厂站电力监控系统安全防护验收标准...............................................................................................................1

1范围...................................................................................................................................................................1

2并网电厂规范性引用文件...............................................................................................................................1

3术语和定义.......................................................................................................................................................1

4缩略语...............................................................................................................................................................2

5总则...................................................................................................................................................................2

6验收组织和流程...............................................................................................................................................2

7验收内容及要求...............................................................................................................................................4

I

DL/TXXXX—20XX

厂站电力监控系统安全防护验收标准

1范围

本标准规定了并网电厂电力监控系统涉网部分、变电站电力监控系统安全防护验收的管理要求和技

术要求。

本标准适用于35kV及以上电压等级并网电厂涉网部分、变电站新建、改（扩）建工程的电力监控系

统安全防护验收。其他厂站、分布式电源可参照执行。

2并网电厂规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20270信息安全技术网络基础安全技术要求

GB/T20271信息安全技术信息系统安全通用技术要求

GB/T20272信息安全技术操作系统安全技术要求

GB/T20273信息安全技术数据库管理系统安全技术要求

GB/T20275信息安全技术入侵检测系统技术要求和测试评价

GB/T20281信息安全技术防火墙技术要求和测试评价方法

GB/T21028信息安全技术服务器安全技术要求

GB/T21052信息安全技术信息系统物理安全技术要求

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T22240信息安全技术信息系统安全等级保护定级指南

国家发展改革委员会2014年第14号令电力监控系统安全防护规定

国能安全〔2015〕36号电力监控系统安全防护总体方案等安全防护方案和评估规范

3术语和定义

下列术语和定义适用于本标准。

3.1

电力监控系统electricpowersupervisionandcontrolsystem

用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为

基础支撑的通信及数据网络等。

3.2

安全防护securityprotection

1

DL/TXXXX—20XX

是指为保障核心业务系统的网络信息安全而建立一整套综合安全防护措施，包括安全防护技术、应

急备用措施、全面安全管理等多个方面。

3.3

网络安全管理平台cybersecuritymanagementplatform

部署于调度机构，具备网络安全实时监视告警、分析定位、安全审计、风险核查和协同管控等功能

的软件系统。

3.4

网络安全监测装置cybersecuritymonitoringdevice

部署于电力监控系统局域网网络中，用于对监测对象的网络安全信息进行采集、分析处理并与网络

安全管理平台通信的装置，为网络安全管理平台上传事件并提供服务代理功能。

4缩略语

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）

USB：通用串行总线（UniversalSerialBus）

IDS：入侵检测系统（IntrusionDetectionSystem）

IP：互联网协议（InternetProtocol）

HTTP：超文本传输协议（Hyper-TextTransferProtocol）

FTP：文件传输协议（FileTransferProtocol）

SSH：安全外壳协议（SecureShell）

NTP：网络时间协议（NetworkTimeProtocol）

MAC：介质存取控制地址码（MediaAccessControl）

5总则

5.1电厂和变电站电力监控系统安全防护应符合国家发展和改革委员会2014年14号令、国能安全

〔2015〕36号、GB/T22239等文件和标准要求，坚持“安全分区、网络专用、横向隔离、纵向认证”

的基本原则，保障电力监控系统安全可靠运行。

5.2本标准并网电厂指35kV及以上电压等级并网电厂涉网部分；本标准变电站指35kV及以上电压等

级的变电站，包括换流站、开关站、用户站等。本标准验收的具体范围为35kV及以上电压等级并网电

厂涉网部分电力监控系统以及35kV及以上电压等级变电站电力监控系统。

5.3并网电厂和变电站在新建、改（扩）建工程完成后，并网投运或移交生产运行前，应开展电力监

控系统安全防护验收工作。验收工作包括基础设施验收、网络结构验收、设备及软件系统验收、安全管

理验收等内容。

5.4并网电厂和变电站电力监控系统安全防护验收工作除应遵循本标准外，尚应符合国家、电力行业

相关文件和标准要求。

6验收组织和流程

2

DL/TXXXX—20XX

6.1验收人员

6.1.1验收组负责现场验收工作，由被验收厂站上级专业主管部门、信息安全主管部门以及相应电力

调度机构组成；

6.1.2被验收厂站建设单位或部门作为责任主体，接受现场验收，并组织设计、监理、施工、调试等

单位做好配合工作。

6.1.3验收组主要职责

a)负责编制验收方案和验收大纲，根据工作量合理安排验收时间；

b)负责审查设备调试报告、自验收报告、技术文件、管理制度等文档资料的真实性、准确性、完整

性和可执行性，并依据验收方案开展验收工作；

c)负责下达验收报告，对工作开展情况、发现及解决问题情况、工程遗留问题及解决建议等进行全

面总结，并对工程验收情况给出明确结论；

d)负责通知并监督被验收单位对问题、缺陷及隐患及时整改，并对整改情况开展复查验收。

6.1.4被验收单位主要职责

a)负责提供完整的符合工程实际的纸质版和电子版图纸资料，包括电力监控系统网络结构图、电力

监控系统安全防护拓扑图等；

b)负责提供电力监控系统安全防护调试报告、自验收报告；提供电力监控系统设备台账、安全防护

实施方案、主要设备配置文件、安全防护组织机构证明以及相关管理制度等；提供现场验收工作所需的

专用工器具及测试设备；

c)负责组织设计、监理、施工、调试等单位配合现场验收工作。

d)负责对验收发现的问题、缺陷及隐患进行整改；

e)做好验收期间现场安全措施；

6.2验收必备条件

a)被验收厂站电力监控系统安全防护实施方案应由本企业上级专业主管部门、信息安全主管部门以

及相应电力调度机构审核通过；

b)被验收厂站建设单位或部门组织完成系统及设备安装、调试工作；

c)被验收厂站建设单位或部门自验收合格，并具有完整的自验收报告；

d)被验收厂站电力监控系统完成网络安全等级保护定级；

e)被验收厂站电力监控系统应按照国家及行业要求，由具备资质的第三方评估机构完成系统安全防

护评估，根据评估结果完成整改并出具报告；

f)应具有完整并符合工程实际的纸质版和电子版图纸资料、系统及设备清单、主要设备配置文件、

调试报告、安全防护组织机构和相关管理制度等文档资料；

g)应具有必要的测试工器具及设备。

6.3验收流程

6.3.1被验收单位（发电企业或建设部门）在组织完成厂站相关施工调试工作、自验收合格、相关文

档资料准备齐全、其他验收准备工作确认完备后向上级专业主管部门、信息安全主管部门以及相应电力

调度机构提出验收申请；在确认其具备验收条件后，上述单位或部门组成验收组开展现场验收工作；

3

DL/TXXXX—20XX

6.3.2检查组对被验收厂站电力监控系统安全防护管理体系进行核查，确认其组织机构、人员配置、

管理制度是否符合要求；

6.3.3检查组对被验收厂站电力监控系统物理环境进行核查，确认是否满足相关要求；

6.3.4检查组对被验收厂站电力监控系统设备选型、系统组网、软件配置、安全策略进行核查，确认

是否满足相关要求；

6.3.5检查组根据核查结果并下达验收报告；

6.3.6被验收单位按照报告提出的问题组织整改，整改后由验收组进行复查。

7验收内容及要求

7.1安全管理验收

a)应成立电力监控系统安全防护工作的委员会或领导小组，其最高领导由单位主管领导担任或授权，

应配备网络安全专责。等级保护三级厂站应配备专职网络安全管理人员；

b)应建立电力监控系统安全管理制度，包括门禁管理、人员管理、权限管理、访问控制管理、设备

及系统维护管理、恶意代码防护管理、审计管理、数据级系统备份管理、培训管理等；

c)应建立系统变更、重要操作、物理访问和系统接入等事项建立管理流程，对重要活动建立逐级审

批制度；

d)应编制并保存与安全防护相关的资产清单，应制定重要设备的配置和操作手册；

e)应与关键岗位人员、接触内部敏感信息的第三方人员签署保密协议；

f)应制定应急预案，包括应急处理流程、系统恢复流程等；

g)应对各类人员进行安全意识教育和岗位技能培训，并告知相关安全责任和惩戒措施。

7.2物理安全验收

7.2.1设备物理安全验收

a)屏体及设备应安装牢靠，外观良好、铭牌清晰，数量、型号与设计相符；

b)电缆、光纤、网线等二次接线应整齐牢固，标签标识应清晰、规范；

c)设备应对静电放电、电磁辐射、电磁传导等电磁干扰有一定抗扰度，符合GB/T21052的相关要求。

7.2.2环境物理安全验收

a)物理环境应具备防水、防火、防小动物、防雷、防盗、防尘、防磁、防静电等措施；

b)机房出入口应安排专人值守，并进行出入登记。等级保护三级系统所在机房应配置电子门禁系统，

控制、鉴别和记录进出机房的人员；

c)应采用防静电地板或地面，其静电性能需符合相关要求，且长期稳定。等级保护三级系统所在机

房应采用静电消除器、佩戴防静电手环等措施；

d)机柜和设备的金属外壳、框架应良好接地并符合GB/T21052的相关规定；

e)电源线和通信线缆应隔离铺设，避免互相干扰。等级保护三级系统所在机房关键设备应实施电磁

屏蔽；

f)机房应配备至少两路独立电源供电，且每路电源容量能够独立支撑机房内设备持续运行；

g)重要设备应具有冗余电源模块并双路供电，每路电源应配置独立空气开关或专用工业插座；

h)应配备火灾自动消防系统，并具备自动报警及灭火功能，应在机房明显位置张贴防火标识；

4

DL/TXXXX—20XX

i)应配备空气调节设施，机房温湿度的变化应在设备运行所允许的范围内。等级保护三级系统所在

机房应配备温湿度监控设备，并具备自动告警功能；

j)等级保护三级系统所在机房应设置防盗报警系统或配备有专人（本地或远程）值守的视频监控系

统；

7.3网络结构验收

a)电力监控系统部署应符合安全分区原则，同一系统不同安全等级的功能模块应分置于不同安全

区，并通过安全隔离设施进行通信；严禁将高安全区的系统或功能模块部署至低安全区；生产控制

大区内业务系统使用公用通信网络、无线通信网络以及其他安全不可控网络与终端进行通信的应设

立安全接入区；严禁非法接入、违规外联和跨区混联；

b)不同安全区的设备必须连接至不同交换机；严禁通过划分VLAN的方式将不同安全区的设备接入

同一台交换机；同一安全区内不同业务系统应采用VLAN划分实现访问控制；

c)生产控制大区与管理信息大区或其他非生产控制大区之间数据通信必须通过经国家指定部门检

测认证的电力专用横向单向安全隔离装置，实现物理隔离访问控制；

d)生产控制大区内部控制区与非控制区之间数据通信应采用硬件防火墙等隔离措施，实现逻辑访

问控制；

e)生产控制大区在调度数据网纵向边界必须部署纵向加密认证装置，实现双向身份认证、访问控

制和数据加密；

f)新能源场站站控系统与就地终端之间数据通信应部署纵向加密认证装置，实现安全通信；

g)严禁将电力调度数据网延伸至厂站外其他区域。

7.4设备及软件系统验收

7.4.1通用验收要求

a)禁止选用存在已知漏洞和风险的设备及软件系统；

b)安全防护设备应获得国家指定机构安全检测认证，并经电力系统电磁兼容检测合格；

c)涉及密码产品的设备及软件系统应当严格执行国家商用密码管理的有关规定；

d)除安全接入区外，严禁使用无线