《发电厂监控系统信息安全防护技术规范》

ICS17.100

F30

DL

中华人民共和国电力行业标准

XX/TXXXXX—XXXX

发电厂监控系统信息安全防护技术规范

Technicalspecificationforinformationsecurityprotectionofpowerplant

monitoringsystem

点击此处添加与国际标准一致性程度的标识

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

发布

XX/TXXXXX—XXXX

I

XX/TXXXXX—XXXX

发电厂监控系统信息安全防护技术规范

1范围

本标准规范了发电厂监控系统信息安全防护的技术条件。

本标准适用于燃煤、燃气、水力、风力、光伏发电厂监控系统信息安全防护工作的技术指导。

2规范性引用文件

本标准引用下列文件或其中的条款。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是

不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T22240-2008信息安全技术信息系统安全保护等级定级指南

GB/T20984-2007信息安全技术信息系统安全风险评估规范

GB/T25069-2010信息安全技术_术语

GB/T26863-2011火电站监控系统术语（参考术语）

GB/T30976.1-2014工业控制系统信息安全第1部分:评估规范

GB/T30976.2-2014工业控制系统信息安全第2部分:验收规范

GB/T32919-2016信息安全技术工业控制系统安全控制应用指南

GB5060-2011大中型火力发电厂设计规范

GB/T33008.1-2016工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:系统要求

GB/T33009.1-2016工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求

GB/T33009.2-2016工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求

GB/T33009.3-2016工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南

GB/T33009.4-2016工业自动化和控制系统网络安全集散控制系统(DCS)第4部分:风险与脆弱性

检测要求

3术语和定义

GB/T7721和JJG195界定的以及下列术语和定义适用于本标准。为了便于使用，以下重复列出了

这些标准中的一些术语和定义。

3.1

发电厂监控系统powerplantmonitoringandcontrolsystem

用于监视和控制发电厂生产过程、基于计算机及网络技术的业务系统及智能设备，以及作为基础支

撑的通信及数据网络等，包括发电厂的主控制系统、外围辅助控制系统、控制区电气二次系统、现场总

线设备与智能化仪表等控制区实时系统，以及厂级监控信息系统等非控制区监控系统。

3.2

1

XX/TXXXXX—XXXX

生产控制大区productioncontrolzone

由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的电力监控系统构成的安全区域。

3.3

控制区controlsubzone

由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或者专用通道的各业务系统构成的

安全区域。

3.4

非控制区non-controlsubzone

在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力

调度数据网的非实时子网的各业务系统构成的安全区域。

3.5

主控制系统maincontrolsystems

对发电厂发电过程实施集中或分布式控制的主要监控系统、独立控制装置与智能仪表等，主要包括

火电厂单元机组的分散控制系统与可编程控制器系统、水电厂集中监控系统、梯级水电站调度监控系统、

风电场监控系统、光伏电站运行监控系统等。。

3.6

辅助控制系统auxiliarycontrolsystems

对发电厂全厂公用的外围辅助设备系统进行控制的监控系统、独立控制装置与智能仪表等，主要包

括燃煤电厂外围公用的水、煤、灰控制系统、燃机电厂的全厂BOP控制系统、火警探测系统、以及其他

电厂的全厂辅助设备的相关控制系统等

3.7

控制区电气二次系统electricsecondarysystemsincontrolsubzone

对发电厂电气设备与发电机实施保护、测控与调度的自动化系统与设备，主要包括升压站监控系统、

AGC及AVC系统、发电机励磁系统、五防监控系统、继电保护及安全自动化装置、相量测量装置等。

3.8

非控制区监控系统real-timesystemsinnon-controlsubzone

对发电厂运行参数与监控信息进行在线监测分析但不直接参与控制的系统，主要包括火电厂厂级监

控信息系统、梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统、光功率预测

系统、风功率预测系统、电能量采集装置、电力市场报价终端、故障录波装置及信息管理终端等

3.9

威胁threat

能够通过未授权访问、毁坏、揭露、数据修改和/或拒绝服务对系统造成潜在危害的任何环境或事

件。

3.10

脆弱性vulnerability

在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中的，可能被攻击者利用来获

得未授权的信息或破坏关键处理的弱点。

3.11

2

XX/TXXXXX—XXXX

身份鉴别identityauthentication

验证实体所声称的身份。

3.12

访问控制accesscontrol

防止对资源的未授权使用，包括防止以未授权方式使用某一资源。

3.13

安全审计securityaudit

为了测试出系统的安全控制是否足够，为了保证与已建立的策略和操作堆积相符合，为了发现安全

中的漏洞，以及为了建议在控制、策略和堆积中做任何指定的改变，而对系统记录与活动进行的独立观

察和考核。

4缩略语

下列缩略语适用于本文件。

BPCBypasscontrolsystem旁路控制系统

DCSDistributedControlSystem分散控制系统

DEHDigitalElectricHydraulicControlSystem数字电液控制系统

ETSEmergencytripsystem汽轮机跳闸保护系统

FSSSFurnacesafeguardsupervisorysystem炉膛安全监控系统

HMIHuman-MachineInterface人机接口

ICSIndustrialControlSystem工业控制系统

NCSNetworkcomputerizedmonitoringandcontrolsystem网络监控系统

OCSOptimizedControlSystem优化控制系统

PCUProcessControlUnit过程控制单元

PLCProgrammableLogicController可编程逻辑控制器

PMUPhasormeasurementunit相量测量单元

RTURemoteTerminalUnit远程终端单元

SISSupervisoryInformationSystemForPlantLevel厂级监控信息系统

TCSTurbineControlSystem汽轮机控制系统

TSITurbinesupervisoryinstruments汽轮机监视仪表

5监控系统信息安全基本要求

5.1发电厂监控系统范围

发电厂监控系统应包括主控制系统、辅助控制系统、控制区电气二次系统和非控制区监控系统等。

发电厂监控系统的主要类型包括：分散控制系统（DCS、DEH、TCS等）、独立监测控制系统（ETS、BPC、

TSI、FSSS、OCS等）、就地设备控制系统、智能仪表、调度自动化系统（NCS、RTU、PMU等）、继电保

护装置、厂级监控信息系统（SIS）和资源预测预报系统等。

火电厂和水电厂在控制区（安全Ⅰ区）主要包括以下业务系统和功能模块：火电机组分散控制系统

（DCS）、火电机组辅机控制系统、自动发电控制系统（AGC）、自动电压控制系统（AVC）、火电厂厂

级信息监控系统（SIS）的监控功能、水电厂集中监控系统、梯级调度监控系统、网控系统、相量测量

3

XX/TXXXXX—XXXX

装置（PMU）、继电保护、各种控制装置（调速系统、励磁系统、快关汽门装置等）和五防系统等。在

非控制区（安全Ⅱ区）主要包括以下业务系统和功能模块：火电厂厂级信息监控系统（SIS）的优化功

能、梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统、电能量采集装置、电

力市场报价终端和故障录波管理终端等。

风电场在控制区主要包括以下业务系统和功能模块：风电场监控系统、无功电压控制、发电功率控

制、升压站监控系统、继电保护和相量测量装置（PMU）等。在非控制区（安全Ⅱ区）主要包括以下业

务系统和功能模块：风功率预测系统、状态监测系统、电能量采集装置和故障录波装置等。

光伏电站在控制区主要包括以下业务系统和功能模块：光伏电站运行监控系统、无功电压控制、发

电功率控制、升压站监控系统和继电保护等。在非控制区（安全Ⅱ区）主要包括以下业务系统和功能模

块：光功率预测系统、电能量采集装置和故障录波装置等。

燃机电厂在控制区主要包括以下业务系统和功能模块：燃机电厂厂级分散控制系统（DCS）、燃气

轮机控制系统（TCS）、厂级信息监控系统（SIS）的监控功能、自动发电控制系统（AGC）、自动电压

控制系统（AVC）、相量测量装置（PMU）、火警探测系统、升压站监控系统和继电保护等。在非控制区

（安全Ⅱ区）主要包括以下业务系统和功能模块：厂级信息监控系统（SIS）的优化功能、电能量采集

装置和故障录波装置等。

5.2潜在的脆弱性及主要威胁

发电厂监控系统潜在的脆弱性及面临的主要威胁，随着时间的推移和系统研发技术、信息安全攻防

技术的变化和更新始终会有新的发现。一般来讲，发电厂监控系统的脆弱性都可以归为策略管理类、平

台类和网络类，当然也可能有一些特殊的脆弱性，不包括这三类之中。而发电厂所面临的威胁也源自各

个方面，主要来源可分为两类,一类是对抗性来源，另一类是自然来源。其中自然来源主要源自：系统

的复杂性、人为的错误、意外事故、设备故障和自然灾害，他们属于传统的生产安全范畴。

5.2.1潜在的脆弱性

5.2.1.1策略管理类脆弱性,主要是由于企业安全策略及管理程序不完整、不适合或缺失所致。常见的

脆弱性包括：

a)监控系统安全策略不当；员工安全培训和意识不足；

b)安全架构和设计不足；

c)对于监控系统没有明确的；

d)书面的安全策略和管理文件；

e)安全措施的保障机制缺失；

f)监控系统缺乏安全审计机制；

g)缺乏实用的应急响应预案或预案缺乏演练；

h)缺乏明确配置变更管理机制或管理不到位。

5.2.1.2平台类的脆弱性主要包括但不限于以下方面：

a)平台配置方面的典型脆弱性主要有：系统漏洞被发现后，系统厂商没有及时开发相应的补丁；

漏洞补丁不能及时安装；漏洞补丁缺乏广泛而有效的测试；系统使用厂家的缺省配置；关键配

置文件没有可靠的备份；没有有效的访问控制策略；密码策略设置不当、没有密码或密码不当。

b)平台硬件方面的典型脆弱性主要有：安全环境变更时没有充分的测试；未授权用户可接触设备；

允许远程访问；双网卡跨接不同的网络环境；未注册设备；使用无线传输的设备；关键设备无

冗余；关键设备无备用电源。

c)平台软件方面的脆弱性主要有：使用不安全的协议；采用明文传输；开启不必要的服务；存在

缓冲区溢出的可能；自身的安全功能未开启；无日志或日志维护不当。

4

XX/TXXXXX—XXXX

d)恶意软件防护方面的脆弱性主要有：未安装防恶意软件的工具；防恶意软件的工具的版本或特

征库为更新；防恶意软件的工具安全前未进行有效的广泛测试。

5.2.1.3网络方面的脆弱性主要包括但不限于以下方面：

a)网络配置脆弱性主要有：网络安全架构的脆弱性；为实施数据流控制；安全设备配置不当；网

络设备配置文件保存不当；网络设备密码修改周期过长；访问控制措施不充分。

b)网络硬件脆弱性主要有：网络设备物理防护不足；不安全的物理接口；物理环境控制缺失；非

授权人员对设备和网络连接的访问；关键网络设备没有冗余备份措施。

c)网络边界脆弱性主要有：未定义网络边界；边界未安装适当的防护设备或设备的防护策略配置

不当；专网中存在非法流量；专网运行非专用的协议和应用。

d)网络监控和日志方面的脆弱性主要有：网络设备和安全设备未开启日志或日志保存不当；没有

安装信息安全监控系统或监控设备。

e)网络通信方面的脆弱性主要有：采用未加密的通用的协议；未识别关键监测点和控制路径；用

户、数据与设备的认证手段不足；网络通信数据完整性校验不足。

f)无线连接的脆弱性主要有：无线客户端和接入点的认证措施不足；无线客户端和接入点的传输

保护措施不足。

5.2.2面临的主要威胁

5.2.2.1发电厂监控系统面临的主要自然威胁来源，属于传统的生产安全范畴。

5.2.2.2发电厂监控系统面临的对抗性威胁来源则主要来自：敌对的国家、犯罪集团、工业间谍、恶

意攻击的黑客和心怀不满的员工：

a)敌对的国家：国家情报部门将网络渗透工具作为情报收集和开展间谍活动的重要手段。一些国

家正在积极地发展信息战学说，建立网络战能力，从事网络战实践。

b)犯罪集团：一般性的犯罪集团，利用网络攻击来获取经济利益。恐怖分子则利用网络来破坏国

家的关键基础设施，通过造成经济损失和人员的伤亡来威胁国家安全。

c)工业间谍：利用网络秘密获取知识产权和技术秘密，目的是打击竞争对手和获取经济利益。

d)恶意攻击的黑客：掌握了网络渗透能力的个人或组织，通过制作、使用和扩散恶意软件和间谍

软件对用户形成威胁，他们的动机各不相同。

e)心怀不满的内部员工：内部人员因为他们对目标系统的了解，往往使他们能够不受限制地访问

系统。所以他们如果要对系统造成损害或窃取系统数据，往往并不需要大量的计算机入侵知识。

5.3等级保护

发电厂监控系统实行国家网络安全等级保护制度，信息安全防护应满足信息安全等级保护的相关要

求。发电厂信息安全等级保护坚持自主定级、自主保护的原则，根据不同安全区域的安全防护要求，确

定其安全等级和防护水平，从物理和环境、网络和通信、设备和计算、应用和数据等层面进行安全防护。

发电厂应按照《信息安全等级保护管理办法》《信息系统安全等级保护实施指南》（GB/T25058-2010）

具体实施等级保护工作。发电厂监控系统的定级，可参考《信息系统安全等级保护定级指南》（BG/T

22240-2008）和《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号）进行。“电

力行业重要信息系统安全等级保护定级建议”参见附录A，其中三级系统实行监督保护、二级系统实行

指导保护，其中未涉及的其他系统实行自主保护。

（注：本节依据国家能源局关于印发《电力行业信息安全等级保护管理办法》的通知（国能安全

[2014]318号）

5.4关键信息基础设施安全保护

5

XX/TXXXXX—XXXX

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重

要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，

对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

关键信息基础设施的确定，首先是确定关键业务；其次是确定支撑关键业务的信息系统或工业控制

系统；三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可

能造成的损失来加以确定。根据一般的工控信息安全工作实践，电力生产的发电、输电、变电和配电等

环节均被认定为关键业务，其相应的设备和设施也应被认定为关键信息基础设施。监控系统作为发电生

产自动化的核心系统，其信息安全防护工作应满足国家对关键信息基础设施的安全保护要求。

（注：本节依据《中央网络安全和信息化领导小组办公室关于开展关键信息基础设施网络安全检查

的通知》(中网办发文〔2016〕3号)）

5.5信息安全防护基本原则

发电厂工控网络与信息系统的安全防护总体原则为“安全分区、网络专用、横向隔离、纵向认证”。

安全防护主要针对用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设

备，以及作为基础支撑的通信及数据网络。通过将发电厂业务系统根据不同的功能特性划分为不同的安

全区域，重点强化边界的安全防护，同时加强区域内部的物理、网络、主机、应用和数据安全，加强安

全管理制度、机构、人员、系统建设、系统运维的管理，提高系统整体安全防护能力，保证发电厂业务

系统及重要数据的安全，提高机组运行可靠性和安全经济性。

发电厂监控系统的分区结构与边界防护应满足如图5.1的基本形式，发电厂监控系统与企业的管理

信息系统进行单向通信，采用物理隔离方式保证边界安全。

图5.1发电厂监控系统分区结构与边界防护示意图

5.5.1安全分区

发电厂网络与信息系统按业务功能划分为生产控制大区和管理信息大区，发电厂监控系统属于生产

控制大区，并根据监控系统的重要性和对电力系统的影响程度将生产控制大区划分为控制区（安全区Ⅰ）

及非控制区（安全区Ⅱ）。生产控制大区内个别业务系统或其功能模块（或子系统）需要使用公用通信

网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信时，应设立安全接入区。

5.5.2网络专用

电力调度数据网是为生产控制大区服务的专用数据网络，发电厂端的电力调度数据网应当在专用通

6

XX/TXXXXX—XXXX

道上使用独立的网络设备组网，在物理层面上实现与电厂其他数据网及外部公共信息网络的安全隔离。

发电厂端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制

区。

5.5.3横向隔离

横向隔离是安全防护体系的横向防线，生产控制大区与管理信息大区之间必须设置经国家指定部门

检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。生产控制大区内部的安

全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。安全接

入区与生产控制大区中的其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向安全隔

离装置。

5.5.4纵向认证

纵向加密认证是安全防护体系的纵向防线。电厂生产控制大区系统与调度端系统通过电力调度数据

网进行远程通信时，应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网

关及相应设施。

6监控系统信息安全技术要求

6.1物理安全

6.1.1物理位置的选择应满足：

a)机房场地应选择在具有防震、防尘和防雨等能力的建筑内；

b)机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施；

c)机房外安装的设备应符合发电行业相关标准对所选用设备使用的物理和环境的要求。

自主保护：c)指导保护：c)监督保护：a)、b)、c)

6.1.2电源系统安全应包括：

a)应在机房供电线路上配置稳压器和过电压防护设备；

b)应为机房提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。

自主保护：a)指导保护：a)监督保护：a)、b)

6.1.3温湿度控制应包括：

a)机房应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内；

b)机房外安装的设备应符合发电行业相关标准对所应用的物理和环境的要求。

自主保护：a)、b)指导保护：a)、b)监督保护：a)、b)

6.1.4防火应包括：

a)机房应设置相应的灭火设备；

b)机房应设置火灾报警消防系统，能够检测火情、报警，并灭火。

7

XX/TXXXXX—XXXX

自主保护：a)指导保护：a)、b)监督保护：a)、b)

6.1.5防水和防潮应包括：

a)水管安装，不得穿过机房屋顶和活动地板下；

b)机房窗户、屋顶和墙壁应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

c)机房应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

d)机房应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警；

e)机房外安装的设备应符合发电行业相关标准对其所选用设备使用的物理和环境的要求。

自主保护：a)、b)、c)、e)指导保护：a)、b)、c)、e)监督保护：a)、b)、c)、d)、e)

6.1.6防雷与电磁防护应包括：

应将各类机柜、设施和设备等通过接地系统安全接地，接地电阻应满足相关标准的要求。

6.1.7电磁防护应包括：

应符合发电行业相关标准对其所选用设备使用的物理和环境的要求。

6.1.8防静电应包括：

a)机房应安装防静电地板或采用必要的接地等防静电措施；

b)机房外安装的设备应符合发电行业相关标准对所应用的物理和环境的要求。

自主保护：a)、b)指导保护：a)、b)监督保护：a)、b)

6.1.9防盗和防外力破坏应包括：

a)应将设备或主要部件进行固定；

b)应对通信线缆实施防护，如：可铺设在地下或管道中。

自主保护：a)指导保护：a)监督保护：a)、b)

6.1.10物理访问控制应包括：

a)进入安全区域边界有明确的防止非授权人员接触的提示标志；

b)有防止非授权人员进入的物理措施（如，栅栏）；

c)有身份识别机制手段（如，门禁、视频监视等）或专人值守。

自主保护：a)指导保护：a)、b)监督保护：a)、b)、c)

6.2边界安全

6.2.1边界安全要求应包括：

a)在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单

向安全隔离装置，禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务；

b)在与电力调度数据网等广域网的纵向联接处，应当设置经过国家指定部门检测认证的电力专

8

XX/TXXXXX—XXXX

用纵向加密认证装置或者加密认证网关及相应设施；

c)使用无线通信网、非电力调度数据网或者外部公用数据网的虚拟专用网（VPN）等进行通信

的，应当设立“安全接入区”；

d)生产控制大区与“安全接入区”的联接处必须设置经国家指定部门检测认证的电力专用横向

单向安全隔离装置；

e)生产控制大区内部控制网络和非控制网络之间应当采用具有访问控制功能的设备、防火墙或

者相当功能的设施，实现逻辑隔离；

f)应对控制网络和非控制网络的边界，以及控制网络内安全域和安全域之间的边界，进行监视

和控制区域边界通信；

g)应在控制网络和非控制网络的边界，以及控制网络内安全域和安全域之间的边界，默认拒绝

所有非必要的网络数据流，但可允许例外的网络数据流；

h)应在控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间的边界上，阻止任

何通过的非必要通信；

i)应在控制网络和非控制网络的边界防护机制失效时，能阻止所有边界通信（也称故障关闭）；

但故障关闭功能的设计不应干扰相关安全功能的运行；

j)应在控制网络内安全域和安全域之间的边界防护机制失效时，及时进行报警，并保障关键设

备的通信；

k)应能识别控制网络和非控制网络上的边界通信的入侵行为，并进行有效阻断；

l)生产控制大区中除安全接入区外，不应选用具有无线通信功能的设备；

m)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护程序等进行

可信验证，在检测到其可信性受到破坏后进行报警；

n)在应用程序的关键执行环节应进行动态可信验证；

o)可信验证结果应形成审计记录送至安全管理中心。

自主保护：a)、b)、指导保护：a)、b)、c)、d)、监督保护：a)、b)、c)、d)、e)、f)、

c)、d)、e)、l)、m)e)、f)、g)、k)、l)、m)、o)g)、h)、i)、j)、k)、l)、m)、n)、o)

6.2.2信息安全集中管控应包括

a)应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；

b)应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；

c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；

d)应对分散在各个设备上的审计数据进行收集汇总和集中分析；

e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；

f)应能对网络中发生的各类安全事件进行识别、报警和分析。

自主保护：无指导保护：无监督保护：a)、b)、c)、d)、e)、f)

6.3网络和通信安全

6.3.1网络架构安全应包括：

a)应保证网络设备的业务处理能力满足业务高峰期需要；

b)应保证网络各个部分的带宽满足业务高峰期需要；

c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

9

XX/TXXXXX—XXXX

d)应避免将重要网络区域部署在网络边界处且没有边界防护措施；

e)应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性；

f)应将控制系统网络与非控制系统网络进行逻辑分区，将关键控制系统网络与非关键控制系统

网络进行逻辑分区；

g)应将控制系统网络与非控制系统网络进行物理分段，将关键控制系统网络与非关键控制系统

网络进行物理分段；

h)应在不与非控制系统网络相连的情况下，能为关键或非关键控制系统网络提供网络服务。

自主保护：f)、g)指导保护：a)、b)、c)、d)、e)、f)、g)监督保护：a)、b)、c)、d)、e)、f)、g)、h)

6.3.2通信传输安全应包括：

a)应利用会话完整性机制，保护会话完整性；控制系统应拒绝任何非法会话ID的使用；

b)应在用户退出或其他会话结束（包括浏览器会话）后使会话ID失效。

自主保护：无指导保护：a)监督保护：a)、b)

6.3.3无线通信安全应包括：

a)根据普遍接受的工控安全实践，应对无线连接的授权、监视以及操作的使用进行限制；

b)应对所有参与无线通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别；

c)应识别在控制系统物理环境中使用的未经授权的无线设备，并报告未经授权的试图接入或干

扰控制系统行为；

d)对于采用工业无线网络进行通信的联网设备，应确保无线空中接口的安全。

自主保护：a)指导保护：a)、b)、d)监督保护：a)、b)、c)、d)

6.3.4访问控制应包括：

a)对一个可配置的时间或事件序列，应支持高权限主管手动超驰当前用户的授权；

b)应通过手动或在一个可配置的非活动周期后系统可自动启动会话锁定功能，以防止对系统的

进一步访问。会话锁定应一直保持有效，直到拥有会话权限的用户或其它授权的用户使用适

当的身份标识和鉴别规程重新建立访问；

c)应在一个可配置的非活动时间周期后自动地或由发起会话的用户手动终止远程会话；

d)应在网络边界或安全域之间根据访问控制策略设置访问控制规则，受控接口应具备设置“白

名单制”的访问控制规则的能力；

e)应删除多余的或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。

f)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效

阻断。

自主保护：b)、c)、d)、e)指导保护：b)、c)、d)、e)监督保护：a)、b)、c)、d)、e)、f)

6.3.5可信验证应包括：

a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序进行可

信验证，在检测到其可信性受到破坏后进行报警；

10

XX/TXXXXX—XXXX

b)可信验证结果应形成审计记录送至安全管理中心；

c)在应用程序的关键执行环节应进行动态可信验证。

自主保护：a)指导保护：a)、b)监督保护：a)、b)、c)

6.3.6入侵防范应包括：

a)在有效的补救条件下，识别和处理错误状况。在此过程中，不应暴露任何可被攻击者利用的

信息，除非透露这一信息对于及时排除故障是必要的；

b)不得传输、接收私人消息；

c)不得未经授权的数据传输；

d)在关键网络节点处检测、防止或限制从外部发起的网络攻击行为，重要网段应采取技术手段

防止地址欺骗；

e)采取技术措施对网络的使用行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检

测和分析；

f)当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目的和攻击时间，在发生严重入侵

事件时应及时发出报警信息。

自主保护：无指导保护：a)监督保护：a)、b)、c)、d)、e)、f)

6.3.7恶意代码防范应包括：

a)应在关键网络节点处对恶意代码进行检测，并维护恶意代码防护机制的升级和更新；

b)应在所有入口和出口提供恶意代码防护机制；

c)应指定专人对网络和主机进行恶意代码检测并保存检测记录。

自主保护：无指导保护：b)、c)监督保护：a)、b)、c)

6.3.8安全审计应包括：

a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重

要安全事件进行审计；

b)应能生成与安全相关的审计记录，包括:访问控制、请求错误、操作系统事件、备份和恢复

事件、配置改变、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源（源

设备、软件进程或人员用户账户）、分类、类型、事件ID和事件结果；

c)应能集中管理审计事件，对来自系统范围（包括逻辑或物理）内的多个组件进行审计记录收

集，并能集中管理与时间相关的审计踪迹。应按照工业标准格式输出这些审计记录，用日志

分析工具进行分析，例如，安全信息和事件管理；

d)根据一般公认的日志管理和系统配置的建议，系统应设置足够的审计记录存储容量，并采用

有效机制来减少超出容量的可能性；

e)当所分配的审计记录存储值达到最大审计记录存储容量的配置时，系统应能发出警告，当容

量超出时，应采用合理的机制支持记录的覆盖；

f)在审计事件的处理失败时，系统能对人员进行警示并防止丧失基本服务和功能；根据普遍接

受的工业实践和建议，系统应能在审计处理失败的情况下，采取恰当的响应行动；

g)在审计记录生成时，系统应提供时间戳；

11

XX/TXXXXX—XXXX

h)应在可配置的频率下，对系统时钟进行同步；

i)应保护审计信息和审计工具（如有），防止其在未授权情况下被获取、修改和删除；

j)授权人员和/或工具以只读方式访问审计日志。

自主保护：b)、d)、f)、j)指导保护：a)、b)、d)、f)、监督保护：a)、b)、c)、d)、

g)、i)、j)e)、f)、g)、h)、i)、j)

6.4主机和设备安全

6.4.1系统软件版本更新应包括：

a)跟踪主机和智能设备系统软件的版本更新、漏洞和补丁发布情况，严格进行软件升级和补丁

安装等工作管理，防止病毒、木马等恶意代码的侵入；

b)系统软件的升级、补丁安装，在工作开始前宜请专业机构进行安全评估和验证，应在与生产

环境一致的验证环境或平台上对更新的有效性、安全性和对系统安全稳定运行的影响进行评

估和验证，并对更新进行记录。

自主保护：a)、b)指导保护：a)、b)监督保护：a)、b)

6.4.2身份鉴别应包括：

a)应能唯一地鉴别和认证信息设备和全部人员用户，应在所有接口上执行标识和鉴别，当有人

员用户访问时，应根据适用的安全策略和规程实施职责分离和最小权限；

b)应能对所有使用人员用户实施多因子鉴别；

c)应能对所有设备提供唯一性的标识和鉴别，应在进行系统访问时，使所有接口根据适用的安

全策略和规程支持最小权限，实施标识和鉴别；

d)应支持用户、组、角色或者接口的标识符管理功能；

e)应能初始化鉴别器内容；系统一经安装完成，立即改变所有鉴别器的默认值；改变或者刷新

所有的鉴别器；当存储或者传输的时候，要保护鉴别器免受未经授权的泄露和修改；

f)对于使用设备的用户，应通过硬件机制保护相关鉴别器；

g)对于使用口令鉴别机制的设备，设备应能通过设置最小长度和多种字符类型，实现强制配置

口令强度；可能对实时性产生影响进而影响到系统正常操作的，应采用其他替代安全手段或

通过管理手段来进行弥补；

h)设备应防止任何已有的用户账户重复使用同一批口令，应对用户口令使用的最大和最小有效

期进行限制，这些能力应符合一般公认的信息安全实践要求；

i)应根据通用的可以接受的安全行业实践和建议，通过硬件机制来保护相关的私钥；

j)应能够隐藏鉴别过程中的鉴别信息反馈；

k)应针对任何用户（人员、软件进程或设备）在可配置时间周期内的连续无效的访问尝试，进

行可配置次数的访问限制；当限制次数超出后，应在规定的周期内拒绝访问或者直到管理员

解锁；对于代表关键服务或者服务器运行的系统账户，不应允许交互式登录；

l)在进行鉴别之前，应能显示系统提示信息。使用提示信息应可通过授权人进行配置；

m)应不允许进行远程管理,或采取必要措施，防止鉴别信息在网络传输过程中被窃听；

自主保护：a)、d)、e)、f)、指导保护：a)、d)、e)、f)、监督保护：a)、b)、c)、d)、

g)、j)、k)、l)g)、j)、k)、l)、m)e)、f)、g)、h)、i)、j)、k)、

12

XX/TXXXXX—XXXX

l)、m)

6.4.3访问控制应包括：

a)应能支持授权用户管理所有账户，包括添加、激活、修改、禁用和删除账户；

b)应能支持统一账户管理；

c)应在一个可配置的非活动时间周期后自动地或由发起会话的用户手动终止远程会话；

d)对于所有接口，应根据职责分离和最小权限对特定用户（人员、软件进程或设备）实施系统

的控制使用授权；

e)对于授权的用户或角色，应能对所有用户到角色的映射进行规定和修改；

f)应能在日常维护时，进行安全功能操作的验证和异常事件的报告；

g)禁止在工程师站、操作员站、服务器使用默认账户，应限制默认账户的访问权限，应重命名

系统默认账户、修改默认口令；

h)应及时删除多余的、过期的账户，避免共享账户的存在。

自主保护：a)、g)、h)指导保护：a)、c)、d)、e)、监督保护：a)、b)、c)、d)、

f)、g)、h)e)、f)、g)、h)

6.4.4可信验证应包括：

d)可基于可信根对主机和设备的系统引导程序、系统程序、重要配置参数和通信应用程序进行

可信验证，在检测到其可信性受到破坏后进行报警；

e)可信验证结果应形成审计记录送至安全管理中心；

f)在应用程序的关键执行环节应进行动态可信验证。

自主保护：a)指导保护：a)、b)监督保护：a)、b)、c)

6.4.5入侵防范应包括：

a)所有主机设备均应采用最小化原则进行系统安装，除了必要的安全组件或软件外，只安装与

自身业务相关的操作系统组件及应用软件，如：工程师站、操作员站只安装组态软件、监控

软件、编程软件、报表软件以及与此相关的操作系统组件；OPC服务器、实时数据库服务器

只安装数据库软件、服务器软件以及与此业务相关的操作系统组件；

b)应关闭不需要的系统服务、默认共享和高危端口；

c)应通过设定终端接入方式或网络地址范围等措施，限制通过网络进行管理的管理终端；

d)应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；

e)应能够检测到对重要节点进行的入侵行为，并在发生严重入侵事件时提供报警；

f)应自动执行可配置的使用限制，包括：防止使用便携式或移动设备、要求访问特定内容的授

权、限制便携式或移动设备的代码读写和数据传输操作；

g)应可通过手动，或在一个可配置的非活动周期后系统自动启动会话锁定操作，以防止对系统

的进一步访问；会话锁定应一直保持有效，直到拥有会话权限的用户或被授权的其他用户使

用适当的身份标识和鉴别规程重新建立访问；可能对实时性产生影响进而影响到系统正常操

作的，应采用其他替代安全手段或通过管理手段来进行弥补；

h)应在有效的补救条件下识别和处理错误状况，在此过程中不应泄露任何与安全相关的信息，

除非该信息是为及时排除故障所必需的信息。

13

XX/TXXXXX—XXXX

自主保护：a)、f)、g)指导保护：a)、b)、c)、d)、监督保护：a)、b)、c)、d)、

e)、f)、g)、h)e)、f)、g)、h)

6.4.6恶意代码防范应包括：

a)应能对可能造成损害的可移动代码技术进行使用限制，包括：监视可移动代码的执行、对于

可移动代码的来源进行适当的鉴别和授权、限制可移动代码的传入和传出；

b)应能应用保护机制，防止、检测、报告和减轻恶意代码或未经授权软件的影响，应能及时更

新防护机制；

c)应在所有出、入口提供可管理的恶意代码防护机制；

d)应能允许代码执行之前验证移动代码完整性；

e)应能管理恶意代码防护机制；

f)可采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重要程序或文件完整

性检测，并在检测到破坏后进行恢复。

自主保护：a)、b)指导保护：a)、b)、c)监督保护：a)、b)、c)、d)、e)、f)

6.4.7安全审计应包括：

a)应启用安全审计功能，审计要覆盖每个用户，审计的内容包括：访问控制、请求错误、控制

系统事件、备份和恢复事件、配置改变和审计日志事件；

b)审计记录应包括时间戳、来源（源设备、软件进程或人员账户）、类型、事件ID和事件结果

及其他与审计相关的信息；

c)应保护审计信息和审计工具（如有），防止其在未授权情况下被获取、修改和删除；

d)应对审计进程进行保护，防止未经授权的中断；

e)审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性；

f)设备应能够为集中审计管理提供接口，可将生成的审计记录上传；

g)应提供编程访问审计记录的能力；

h)应向授权人员和/或工具提供以只读的方式访问审计日志。

自主保护：a)、b)、h)指导保护：a)、b)、c)、d)、监督保护：a)、b)、c)、d)、

f)、h)e)、f)、g)、h)

6.4.8资源控制应包括：

a)在不影响当前安全状态的情况下，系统应能在正常供电电源和应急电源之间进行切换；

b)应参照供应商提供的指南，根据所推荐的网络和安全配置进行系统设置；

c)应对重要节点如：工程师站、操作员站和服务器等系统的运行资源进行监视，监视包括：CPU、

硬盘和内存等资源的使用情况，在资源使用情况达到预先设置的阈值时，可触发报警；

d)应能对重要节点的服务水平进行检测，并在其降低到预先设定的最小值时进行报警；

e)应能实时监控设备的运行和通信状态，并在发现异常时能及时报警；

f)应提供重要节点设备的硬件冗余，保证系统的可用性。

g)应对于任何给定设备的每个接口限制并发会话数量；

h)应把当前的安全配置设置生成一个设备可读的报告列表；

14

XX/TXXXXX—XXXX

自主保护：a)、b)指导保护：a)、b)监督保护：a)、b)、c)、d)、e)、f)、g)、h)

6.5应用软件和数据安全

6.5.1软件版本和系统更新应包括：

c)跟踪监控系统应用软件的版本更新、漏洞和补丁发布情况，严格进行软件升级和补丁安装等

工作管理，防止病毒、木马等恶意代码的侵入；

d)重要监控系统的软件升级、补丁安装，在工作开始前宜请专业机构进行安全评估和验证，应

在与生产环境一致的验证环境或平台上对更新的有效性、安全性和对系统安全稳定运行的影

响进行评估和验证，并对更新进行记录。

自主保护：a)、b)指导保护：a)、b)监督保护：a)、b)

6.5.2身份鉴别应包括：

a)应对登录的用户进行身份标识和鉴别，身份标识应具有唯一性，鉴别信息应满足复杂度要求

并定期更换，标识和鉴别应在所有系统接口上执行；

b)所有用户到角色的映射和访问授权，应根据适用的安全策略和规程实施职责的分离，并遵循

最小权限原则；

c)应提供并启用登录失败处理功能，多次登录失败后应采取必要的保护措施；

d)应强制用户首次登录时修改初始口令，口令设置应具备对最小长度、多字符类型组合等通用

原则的校验功能，未达到强度要求的口令设置不能生效；对口令设置可能对系统的实时性产

生影响，进而影响到系统正常操作的，应采用其他身份鉴别手段替代或通过管理手段进行弥

补；

e)应防止任何已有的用户账户重复使用同一批口令，并对用户口令最大和最小有效期进行限

制，以符合一般公认的安全产业的实践要求；

f)应在可配置时间周期内，对连续无效的访问尝试进行可配置次数限制；

g)当无效访问次数超出限制后，应进行报警；对于代表关键服务或者服务器运行的系统账户，

应不允许交互式登录。

h)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。

i)用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证系统

安全；

自主保护：a)、b)、c)、f)指导保护：a)、b)、c)、d)、监督保护：a)、b)、c)、d)、

f)、h)、i）e)、f)、g)、h)、i)

6.5.3访问控制应包括：

a)应提供访问控制功能，对登录的用户分配账号和权限；

b)应具备默认账号重命名或账号默认口令修改的管控机制，禁止在工程师站、操作员站、服务

器使用默认账户；

c)应及时删除或停用多余的、过期的账号，避免共享账号的存在；

d)系统账号权限的授予应遵循最小化原则，授权应仅以完成其自身任务为限，并在不同角色的

账户之间形成相互制约的关系；

15

XX/TXXXXX—XXXX

e)应对敏感信息资源设置安全标记，并控制主体对有安全标记的信息资源的访问；

f)应能支持授权用户管理所有账户，包括添加、激活、修改、禁用和删除账户；

g)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

h)访问控制的粒度应达到主体为用户级，客体为文件、数据库表级、记录或字段级；

i)应支持统一账户管理；

j)应通过手动或在一个可配置的非活动周期后自动启动会话锁定操作，以防止对系统的进一步

访问；会话锁定应一直保持有效，直到拥有会话权限的用户或被授权的其他用户使用适当的

身份标识和鉴别规程重新建立访问；可能对实时性产生影响进而影响到系统正常操作的，应

采用其他替代安全手段或通过管理手段来进行弥补；

k)对于所有接口，应根据职责分离和最小权限原则为所有用户分配访问授权。

自主保护：a)、b)、c)、f)、指导保护：a)、b)、c)、d)、监督保护：a)、b)、c)、d)、

g)、k)f)、g)、h)、j)e)、f)、g)、h)、i)、j）

6.5.4可信验证应包括：

a)可基于可信根对应用程序进行可信验证，在检测到其可信性受到破坏后进行报警；

b)可信验证结果应形成审计记录送至安全管理中心；

c)在应用程序的关键执行环节应进行动态可信验证。

自主保护：a)指导保护：a)、b)监督保护：a)、b)、c)

6.5.5安全审计应包括：

d)应启用安全审计功能，审计应覆盖每个用户，审计的内容包括：访问控制、请求错误、控制

系统事件、备份和恢复事件、配置改变和审计日志事件；

e)审计记录应包括时间戳、来源（源设备、软件进程或人员账户）、类型、事件ID和事件结果

及其他与审计相关的信息；

f)应保护审计信息和审计工具（如果有），防止其在未授权情况下被获取、修改和删除；

g)应对审计进程进行保护，防止未经授权的中断；

h)审计记录产生时的时间应由系统范围内唯一确定的时钟产生，且具备可配置的频率，以确保

审计分析的正确性；

i)应能够为集中审计管理提供接口，提供编程访问审计记录的能力；

j)应向授权人员和/或工具提供以只读的方式访问审计日志。

自主保护：a)、b)、g)指导保护：a)、b)、c)、g)监督保护：a)、b)、c)、d)、e)、

f)、g)

6.5.6软件容错应包括：

a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设

定的要求；

b)在故障发生时，应能够继续提供一部分功能，确保能够实施必要的措施；

c)应提供自动保护功能，当故障发生时自动保护当前所有状态，以保证系统能够进行恢复。

16

XX/TXXXXX—XXXX

自主保护：a)指导保护：a)、b)、c)监督保护：a)、b)、c)

6.5.7资源控制应包括：

a)当通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；

b)应能够对系统的最大并发会话连接数进行限制；

c)应能够对单个账号的多重并发会话进行限制；

d)应能够对并发进程的每个进程所占用资源的最大限额进行分配。

自主保护：c)指导保护：a)、b)、c)、d)监督保护：a)、b)、c)、d)

6.5.8数据完整性应包括：

a)应采用加解密、校验码或同等的安全技术手段，保证重要数据在传输过程中的完整性；

b)应采用加解密、校验码或同等的安全技术手段，保证重要数据在存储过程中的完整性；

c)应具备检测、记录和报告机制，防止对软件和信息的未经授权更改；

d)在完整性验证过程中如发现差异，应提供自动化工具通知给一组可配置的接收者；

e)应对发电厂监控系统的输入或直接影响控制系统动作的输入内容和语法的合法性进行校验；

f)对于采用工业无线或现场总线网络通信的联网设备，应保护其传输信息的完整性。

g)对于采用工业无线或现场总线网络通信的联网设备，应能使用密码学机制识别信息在通信过

程中是否被篡改。

自主保护：a)、c)、e)、f)指导保护：a)、c)、e)、f)监督保护：a)、b)、c)、d)、

e)、f)、g)

6.5.9数据保密性应包括：

a)无论在信息存储或传输时，都应对有明确的读权限的信息提供保密性保护；

b)在进行加密时，应按照国家相关保密部门的要求采用合适的加密算法、密钥长度和密钥管理

机制；

c)应支持国家密码管理部门批准使用的密码算法，使用国家密码管理部门认证核准的密码产

品，遵循与密码相关的国家标准和行业标准；

d)当信息穿过任何安全域边界时，应保证保密性。

自主保护：a)、b)指导保护：a)、b)监督保护：a)、b)、c)、d)

6.5.10数据备份和恢复应包括：

a)应提供重要数据的本地备份与恢复功能；

b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

c)应提供重要数据处理系统的热冗余，以保证系统的高可用性；

d)对于包括采用工业无线或现场总线网络通信在内的设备，应在不影响正常设备使用的前提

下，识别和定位关键文件，以及备份用户级和系统级的信息（包括系统状态信息）；

e)对于包括采用工业无线或现场总线网络通信在内的设备，应提供备份机制的可靠性验证能

力；

f)应具备可配置频率的自动备份能力；

17

XX/TXXXXX—XXX