1 范圍

      本標準規定了電力監控系統網絡安全評估工作的評估內容、系統生命周期各階段的安全評估、評估流程及方法、安全防護技術評估、應急備用措施評估、安全管理評估。

      本標準適用于各電力企業電力監控系統規劃階段、設計階段、實施階段、運行維護階段和廢棄階段的網絡安全防護評估工作。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 9361 計算機場地安全要求

      GB 17859-1999 計算機信息系統 安全保護等級劃分準則

      GB/T 18336.2-2015 信息技術 安全技術 信息技術安全性評估準則 第2部分：安全功能組件

      GB/T 20272-2006 信息安全技術 操作系統安全技術要求

      GB/T 20984-2007 信息安全技術 信息安全風險評估規范

      GB/T 21028-2007 信息安全技術 服務器安全技術要求

      GB/T 21050-2007 信息安全技術 網絡交換機安全技術要求（評估保證級3）

      GB/T 22186-2016 信息安全技術 具有中央處理器的IC卡芯片安全技術要求

      GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求

      GB/T 22240-2008 信息安全技術 信息系統安全等級保護定級指南

      GB/T 25058-2010 信息安全技術 信息系統安全等級保護實施指南

      GB/T 25068.3-2010 信息技術 安全技術 IT網絡安全 第3部分：使用安全網關的網間通信安全保護

      GB/Z 25320（所有部分）電力系統管理及其信息交換 數據和通信安全

      GB/T 31509-2015 信息安全技術 信息安全風險評估實施指南

      GB/T 36572-2018 電力監控系統網絡安全防護導則

3 術語和定義

      GB/T 36572-2018和GB/T 20984-2007界定的以及下列術語和定義適用于本文件。

3.1

      自評估 self-assessment

      運行單位對本單位電力監控系統組織實施的安全評估，以及調度機構在調度管轄范圍內（以下簡稱“調管范圍內”）各運行單位自評估結果基礎上，對調管范圍內電力監控系統組織實施的安全評估。

3.2

      檢查評估 inspection assessment

      由被評估單位的業務主管部門組織或委托安全評估機構，依據有關標準和管理規定，對電力監控系統進行的具有強制性的安全評估。

3.3

      上線安全評估 online implementation security assessment

      電力監控系統投運前及發生重大變更時，運行單位自行組織或委托評估機構對系統進行的安全評估。      注：重大變更包括，但不限于：

      a）增加新的應用或應用發生較大變更；

      b）網絡結構和連接狀況發生較大變更；

      c）技術平臺大規模更新；

      d）系統擴容或改造；

      e）系統運行維護管理機構或人員發生較大規模調整。

3.4

      型式安全評估 type safety assessment

      電力監控系統設計、開發完成后，系統供應商自行組織或委托評估機構對系統進行的安全評估。

4 縮略語

      下列縮略語適用于本文件。

      FTP：文件傳輸協議（File Transfer Protocol）

      HTTP：超文本傳輸協議（Hyper-Text Transfer Protocol）

      IED：智能電子設備（Intelligent Electronic Device）

      LAN：局域網絡（Local Area Network）

      OSPF：開放式最短路徑優先（Open Shortest Path First）

      SCADA：監視控制與數據采集系統（Supervisory Control And Data Acquisition）

      SNMP：簡單網絡管理協議（Simple Network Management Protocol）

      UPS：不間斷電源（Uninterruptible Power System）

      USB：通用串行總線（Universal Serial Bus）

      VLAN：虛擬局域網（Virtual Local Area Network)

      VPN：虛擬專用網（VirtVirtual Private Networks)

5 評估內容

      評估內容包括資產評估、威脅評估、脆弱性評估。

      資產評估通過資產分類、資產調查、資產賦值等過程，最終形成資產列表和資產賦值報告。資產評估按照、國家等級保護相關標準及GB/T 31509-2015中5.2.2的規定執行。資產分類按照GB/T 20984-2007中5.2.1的規定執行。

      威脅評估通過威脅分類、威脅調查、威脅分析和賦值等過程，最終形成威脅分析報告。威脅評估按照GB/T 31509-2015中5.2.3的規定執行。威脅分類按照GB/T 20984-2007 中5.3.1和GB/T 36572-2018中5.2的規定執行。

      脆弱性評估主要包括基礎設施安全、體系結構安全、本體安全、可信安全免疫、應急備用措施、安全

管理等。

6 系統生命周期各階段的安全評估

6.1 評估概述

      電力監控系統生命周期包含5個基本階段：規劃階段、設計階段、實施階段、運行維護階段和廢棄階段。安全評估工作應貫穿于電力監控系統整個生命周期。各階段中涉及的安全評估的原則和方法一致，但由于實施的內容、對象、信息安全需求不同，安全評估的對象、目的、要求等方面也不同。

6.2 規劃階段

      規劃階段的安全評審是根據電力監控系統的業務使命和功能，確定系統建設應達到的安全目標。主要根據未來系統的應用對象、應用環境、業務狀況、操作要求等方面進行威脅分析，重點分析系統應達到的安全目標。規劃階段的評審結果應包含在電力監控系統整體規劃中。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。