新版標(biāo)準(zhǔn)國網(wǎng)"Q/GDW 11807—2024《網(wǎng)絡(luò)安全性評價規(guī)范》"是由國家電網(wǎng)有限公司發(fā)布的技術(shù)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)已于2024-03-08正式發(fā)布與實施。替代了目前在用的代替Q/GDW 11807—2018《信息通信及電力監(jiān)控安全性評價規(guī)范》標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全性評價的基本原則、工作流程和評價內(nèi)容,主要用于指導(dǎo)電力行業(yè)信息通信及電力監(jiān)控系統(tǒng)的安全性評價工作。
網(wǎng)絡(luò)安全性評價規(guī)范應(yīng)按照“貴在真實、重在整改、旨在提高”原則,通過評價、整改、管理標(biāo)準(zhǔn)化的過程循環(huán),不斷消除安全隱患,完善安全管理。采用企業(yè)自評價和專家評價相結(jié)合的方式進行,各單位組織自評價,上級單位組織專家評價。一般分為自查評、專家查評、整改提高、復(fù)查評四個階段,各查評階段按照“評價、分析、評估、整改”的過程循環(huán)推進。
該標(biāo)準(zhǔn)適用于國家電網(wǎng)公司總分部及所屬各單位的信息通信及電力監(jiān)控安全性評價,接入電力監(jiān)控系統(tǒng)的相關(guān)發(fā)電企業(yè)可參照執(zhí)行。
主要內(nèi)容解讀
國家電網(wǎng)新版Q/GDW 11807—2024《網(wǎng)絡(luò)安全性評價規(guī)范》標(biāo)準(zhǔn)的基本框架如下圖所示:
01 評價內(nèi)容
本標(biāo)準(zhǔn)共設(shè)一級評價指標(biāo)4個,二級評價指標(biāo)27個,三級評價指標(biāo)125個。評價內(nèi)容主要包括網(wǎng)絡(luò)安全管理體系、信息安全防護體系、通信安全防護和電力監(jiān)控安全防護4個一級評價指標(biāo)。
a)網(wǎng)絡(luò)安全管理體系,主要包括6個二級指標(biāo),分別是安全基礎(chǔ)保障、研發(fā)與實施安全管理、上線及投運管理、等級保護、運維管理、應(yīng)急管理,檢查要點。
b)信息安全防護體系,主要包括6個二級指標(biāo),分別是應(yīng)用系統(tǒng)安全、網(wǎng)絡(luò)與邊界安全、基礎(chǔ)平臺安全、物理環(huán)境安全、 終端及外設(shè)安全、數(shù)據(jù)安全管理,檢查要點。
c)通信安全防護,主要包括7個二級指標(biāo),分別是通信網(wǎng)絡(luò)架構(gòu)安全、通信網(wǎng)管系統(tǒng)安全、通信設(shè)備安全、通信線纜 安全、通信網(wǎng)承載典型業(yè)務(wù)及通道安全、通信機房安全、通信電源安全,檢查要點。
d)電力監(jiān)控安全防護,主要包括8個二級指標(biāo),分別是結(jié)構(gòu)安全、網(wǎng)絡(luò)設(shè)備、安全防護設(shè)備、操作系統(tǒng)、關(guān)系數(shù)據(jù)庫、應(yīng)用安全、配電終端、物理環(huán)境,檢查要點。
網(wǎng)絡(luò)安全性評價規(guī)范總分為2400分,其中網(wǎng)絡(luò)安全管理體系600分、信息安全防護600分、通信安全防護600分、電力監(jiān)控系統(tǒng)安全防護600分。各單位在查評過程中可結(jié)合實際對標(biāo)準(zhǔn)評價項目進行調(diào)整,不具備評價條件或無相應(yīng)內(nèi)容的項目可不參評。對不參評項目,應(yīng)說明不參評理由,該項不得分,且在評價總分中扣除。
每項評價內(nèi)容按標(biāo)準(zhǔn)明細(xì)表進行評分,評價完成后按評分表匯總,最后形成查評實得分。用總得分率來衡量被評價單位網(wǎng)絡(luò)安 全總體水平,用各部分的得分率來衡量被評價單位各專業(yè)網(wǎng)絡(luò)安全水平。得分率=(實得分/標(biāo)準(zhǔn)分)× 100%。評價結(jié)果應(yīng)當(dāng)根據(jù)評價得分率確定,優(yōu)秀、良好、合格和不合格4個等級中1個。
03 評價方法
綜合運用多種方法對評價項目做出全面、準(zhǔn)確的評價,如漏洞掃描、配置核查、現(xiàn)場檢查、查閱和分析資料、現(xiàn)場考試、實物檢查或抽樣檢查、現(xiàn)場試驗或測試等。采用企業(yè)自評價和專家評價相結(jié)合的方式,分為自查評、專家查評、整改提高、復(fù)查評四個階段,各階段按照“評價、分析、評估、整改”的過程循環(huán)推進。
博智電力監(jiān)控系統(tǒng)監(jiān)督檢查工具在該標(biāo)準(zhǔn)的應(yīng)用
博智電力監(jiān)控系統(tǒng)督檢查工具主要依據(jù)《Q/GDW 11807—2024網(wǎng)絡(luò)安全性評價規(guī)范》、 《GB/T 38318-2019電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估指南》、《2024年第27號令電力監(jiān)控系統(tǒng)安全防護規(guī)定》、《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》等相關(guān)標(biāo)準(zhǔn)法規(guī)和要求,推出的一款針對電力行業(yè)專用的安全監(jiān)督檢查工具。不僅可以依托漏洞掃描、配置核查、現(xiàn)場檢查、查閱和分析資料、現(xiàn)場試驗或測試等手段,遵循網(wǎng)絡(luò)安全管理體系-信息安全防護體系-通信安全防護-電力監(jiān)控安全防護檢查流程,做出全面、準(zhǔn)確的評價。采用企業(yè)自評價和專家評價相結(jié)合的方式,分為自查評、專家查評、整改提高、復(fù)查評四個階段,各階段按照“評價、分析、評估、整改”的過程循環(huán)推進,輸出網(wǎng)絡(luò)安全性評價自查評/專家查評報告。
而且還可以針對電力系統(tǒng)生產(chǎn)線提供專業(yè)的檢查知識和檢查方法,遵循體系結(jié)構(gòu)-系統(tǒng)本體-監(jiān)測評估-基礎(chǔ)設(shè)施-管理制度-運維行為檢查流程,對采集的資產(chǎn)信息、漏洞信息、高危端口和配置核查等數(shù)據(jù)進行對比、自動化關(guān)聯(lián),結(jié)合人工檢查結(jié)果,輸出電力監(jiān)控系統(tǒng)安全防護整改通知書和電力監(jiān)控系統(tǒng)安全防護技術(shù)監(jiān)督報告,從而促進電力監(jiān)控系統(tǒng)安全執(zhí)法檢查和企業(yè)自查工作的常態(tài)化、標(biāo)準(zhǔn)化,以及規(guī)范化。
電力監(jiān)控系統(tǒng)監(jiān)督檢查工具主要包括網(wǎng)絡(luò)配置、策略配置、新建任務(wù)、檢查任務(wù)內(nèi)容篩選、任務(wù)執(zhí)行和結(jié)果報告等流程,具體業(yè)務(wù)操作流程如下圖所示:
工具通過綜合檢查模塊設(shè)計,涵蓋資產(chǎn)信息采集、漏洞掃描、配置核查、合規(guī)填報和系統(tǒng)管理等各方面,確保檢查內(nèi)容完整,符合相關(guān)標(biāo)準(zhǔn)和法規(guī)要求,對電力監(jiān)控系統(tǒng)進行全面檢查。
工具不僅可以遵循網(wǎng)絡(luò)安全管理體系-信息安全防護體系-通信安全防護-電力監(jiān)控安全防護檢查流程,而且還可以遵循“體系結(jié)構(gòu)-系統(tǒng)本體-監(jiān)測評估-基礎(chǔ)設(shè)施-管理制度-運維行為”檢查流程,確保檢查工作有條不紊進行。系統(tǒng)性檢查逐一排查安全隱患,檢查結(jié)果更具針對性和準(zhǔn)確性。
通過工具自動化與人工填報結(jié)合的檢查模式,工具提高檢查效率和準(zhǔn)確性。自動化對數(shù)據(jù)進行對比和關(guān)聯(lián)分析,結(jié)合人工檢查的專業(yè)性,確保結(jié)果準(zhǔn)確,并輸出整改通知書和技術(shù)監(jiān)督報告,推動檢查工作的規(guī)范化。
針對《Q/GDW 11807—2024網(wǎng)絡(luò)安全性評價規(guī)范》、 《GB/T 38318-2019電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估指南》、《2024年第27號令電力監(jiān)控系統(tǒng)安全防護規(guī)定》、《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》等相關(guān)標(biāo)準(zhǔn)法規(guī)和要求的一款電力行業(yè)專用安全監(jiān)督檢查工具。
國家電網(wǎng)公司總分部、所屬各單位以及相關(guān)發(fā)電企業(yè)等,開展涉及信息通信系統(tǒng)及電力監(jiān)控監(jiān)控系統(tǒng)的監(jiān)督檢查和安全性評價工作。
