​电力《二十五项反措（2023版）》网络安全政策解读及落地指引

背景概述

为切实做好电力安全监管工作，有效防范电力生产事故，国家能源局组织电力行业有关单位及部分专家，根据近年来电力生产事故的经验教训，以及电力行业的发展趋势，结合已颁布的标准规范，对2014年印发的《防止电力生产事故的二十五项重点要求》（国能安全〔2014〕161号）进行了修订，形成了新版本的《防止电力生产事故的二十五项重点要求》（国能发安全〔2023〕22号），并于2023年3月9日正式引发，以下简称《二十五项反措（2023版）》。

政策介绍

《二十五项反措（2023版）》全文共计25个章节，从防止人身伤亡、火灾、电气误操作、分散控制系统失灵、电力监控系统网络安全、重大环境污染事故等不同维度阐述了防止电力生产事故的二十五项重点要求，政策大纲简介如下：

表1 《二十五项反措（2023版）》政策大纲

本文将重点解读《二十五项反措（2023版）》中与网络安全相关的内容，并结合威努特成熟技术方案介绍如何准确落地，旨在帮助电力行业用户单位快速响应监管部门要求，积极做好电力生产网络安全防护措施，切实维护国家电力安全。

网络安全重点要求

在《二十五项反措（2023版）》中涉及网络安全相关要求的内容在第19章的第2小节，即“19.2 防止电力监控系统网络安全事故”。该章小节内容明确了电力监控系统（或电力二次系统，包括继电保护和安自装置、各类自动化系统、电力通信系统等）安全防护要满足《中华人民共和国网络安全法》、《电力监控系统安全防护规定》（国家发展改革委令2014年第14号）、《电力监控系统网络安全防护导则》（GB/T 36572）等有关要求，建立健全网络安全防护体系（包括安全防护技术、应急备用措施、全面安全管理、不断发展完善）。下面将从网络安全防护技术的角度出发，总结概括《二十五项反措（2023版）》对防止电力监控系统网络安全事故所提出的重点要求：

3.1 安全Ⅰ区和安全Ⅱ区之间逻辑隔离要求

在章节19.2.3中提到“生产控制大区一和二区之间应实现逻辑隔离，访问控制规则（ACL）应按最小化原则进行配置”，故需要在生产控制大区内部的安全Ⅰ区和安全Ⅱ区边界处部署专业防护设备，通过安全防护技术实现两区域之间的逻辑隔离并将防护设备的访问控制规则（ACL）进行最小化配置，关闭没有必要的访问规则或全部允许的规则。

3.2 无线通信接入边界安全防护要求

在章节19.2.4中提到“配电网自动化、用电负荷控制、风电场和光伏电站内部控制等业务可以采用无线通信方式，但必须采用网络安全防护措施，防止系统末梢的无线通信直接联入电力控制专用网络”，即在以上场景中若采用无线通信的方式进行数据传输，需要在无线通信网络接入到电力控制网络的边界处部署专业防护设备，通过安全防护技术实现接入边界处的访问控制、入侵防御、攻击防护等，可有效防止来自无线通信网络的异常流量对电力控制专用网络造成干扰。

3.3 火电分散控制系统逻辑隔离要求

在章节19.2.7中提到“火电厂分散控制系统与生产控制大区其他业务之间至少应采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离”，即火电厂分散控制系统由于其业务特点，当与生产控制大区内其他业务进行通信时需要部署防火墙作为逻辑隔离的技术手段，实现跨系统通信行为的安全可靠。

3.4 白名单方式配置策略及主机加固要求

在章节19.2.10中提到“调度主站、变电站、发电厂电力监控系统工程建设和管理单位（部门）应按照最小化原则，采取白名单方式对安全防护设备的策略进行合理配置”，即在电力监控系统网络中的防火墙、流量监测等专业设备自身防护策略需要采用白名单的方式进行配置，以实现策略最小化原则，将安全防护技术对业务运行的影响降到最低。

在章节19.2.10中提到“应按照要求对电力监控系统主机及网络设备进行安全加固，关闭空闲的硬件端口，关闭生产控制大区禁用的通用网络服务”，即需要对电力监控系统网络中各主机进行安全加固，考虑到人工加固存在疏漏和误操作，建议采用软件一键加固的方式进行主机加固，可确保主机自身安全并将不必要的端口统一管控。

3.5 移动介质强制杀毒管控要求

在章节19.2.11中提到“应加强现场作业人员的作业管控，禁止将未经病毒查杀的移动介质接入生产系统”，即现场常用的U盘、移动硬盘等移动介质需要在完成病毒查杀后才能接入生产系统使用，规避移动介质带毒运行感染生产系统其他主机。

但仅通过管理制度去约束作业人员的移动介质使用习惯，无法从根源上杜绝携带病毒的移动介质的使用行为，因为制度无法100%靠人为去执行和落地。故需要采用技术的手段，强制管控生产系统网络中移动介质的使用，达到“不杀毒就无法使用”的效果，才能彻底规避风险。

3.6 日志留存及操作行为审计要求

在章节19.2.15中提到“调度主站、变电站、发电厂记录电力监控系统网络运行状态、网络安全事件的日志应保存不少于六个月”，即需要采用专业日志接收和存储分析设备对网络安全事件的日志进行实时采集，并按照约定的格式进行关联分析和可视化呈现，满足日志留存时间六个月以上要求的同时也便于管理员查看电力监控系统网络的安全态势，为决策提供依据。

在章节19.2.15中还提到“应对用户登录本地操作系统、访问系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计”，即针对以上用户行为需要进行事后审计，提供非法操作告警和事故溯源依据。

3.7 非法外联及远程运维行为管控要求

在章节19.2.18中提到“禁止各类发电厂生产控制大区任何形式的非法外联，严禁设备厂商或其他服务企业远程进行电力监控系统的控制、调节和运维操作”，即需要通过技术手段对生产控制大区中主机非法外联的行为进行检测和干预，对于主机上可能存在的远程运维途径（远程运维软件或远程共享桌面等）进行限制，以规避由对外网络通信途径引入的未知风险。

3.8 安全运维及外设管控要求

在章节19.2.21中提到“调度主站、变电站、发电厂应配置运维网关（堡垒机）、专用安全U盘、专用运维终端等运维装备，在监控后台等重要主机具备U盘监视功能，拆除或禁用不必要的光驱、USB接口、串行口等，严格管控移动介质接入生产控制大区”，即需要配备堡垒机等安全运维类专业设备，对运维操作进行审计并确保运维终端和运维U盘为专用的、可控的，对重要主机U盘使用情况进行严格管控和监测。

网络安全落地指引

在已明确《二十五项反措（2023版）》中对电力监控系统网络安全相关的重点要求之后，接下来将结合威努特在电力行业众多案例建设经验，阐述如何通过网络安全防护技术的建设来帮助电力行业各用户单位准确落地重点要求。

4.1 安全Ⅰ区和安全Ⅱ区之间逻辑隔离指引

【满足章节19.2.3重点要求】

电力监控系统安全Ⅰ区和安全Ⅱ区之间建议部署工业防火墙实现逻辑隔离，并按照最小化原则配置访问控制规则（ACL），同时威努特工业防火墙提供针对40种工业协议的深度解析以及IEC104、IEC103、IEC61850 MMS/goose/SV、DNP3.0、JMS等常见电力系统控制协议的白名单防护，更贴合电力业务场景的实际防护需求。

图4-1 威努特工业防火墙工业协议解析及电力常见协议支持

4.2 无线通信接入边界安全防护指引

【满足章节19.2.4重点要求】

无线通信网络接入到电力控制网络的边界处建议部署工业互联防火墙，通过访问控制、入侵防御、病毒查杀等策略实现接入边界的安全防护，对于伪装控制指令类型的攻击，威努特工业互联防火墙提供工业协议应用识别和白名单防护，以“白+黑”的机制实现接入边界多维度安全防护。

图4-2 威努特工业互联防火墙安全防护模块

图4-3 威努特工业互联防火墙工业协议支持情况

图4-4 威努特工业互联防火墙工业协议白名单

4.3 火电分散控制系统逻辑隔离要求

【满足章节19.2.7重点要求】

火电分散控制系统逻辑隔离的防护落地措施与“电力监控系统安全Ⅰ区和安全Ⅱ区之间逻辑隔离”一致，均采用工业防火墙实现。威努特工业防火墙与多家主流自动化厂商的DCS系统已完成兼容性测试并取得测试通过报告，充分体现威努特工业防火墙应用到火电分散控制系统（DCS）安全防护场景时稳定、可靠。

图4-5 威努特产品兼容性测试报告

4.4 白名单方式配置策略及主机加固指引

【满足章节19.2.10重点要求】

前文提到的用于边界逻辑隔离防护的威努特工业防火墙，自身支持基于工业控制协议解析的白名单防护策略配置，以“仅允许可信任的数据传输”为原则，将安全防护技术对业务运行的影响降到最低。

针对电力监控系统操作员站、工程师站等主机，建议部署工控主机卫士进行一键加固，威努特工控主机卫士在全球范围内已部署超10万点位，基于丰富的行业实践经验，针对电力行业用户提供“电力标准级”的一键主机加固。同时支持导出电力标准安全检测报告，符合《国调中心关于印发windows操作系统安全加固指导手册的通知》（调网安[2017]169号）相关要求。

图4-6 威努特工控主机卫士基于电力标准的安全加固

图4-7 威努特工控主机卫士电力标准检测报告

4.5 移动介质强制杀毒管控要求

【满足章节19.2.11重点要求】

电力监控系统网络中确需使用的移动介质，建议采用移动介质管控方案实现对移动介质的强制杀毒，未经杀毒的移动介质无法识别、无法读取。威努特移动介质管控方案由工控主机卫士、安全U盘、移动介质安检站三个部分构成，安全U盘作为移动介质在电力监控系统网络中被使用时，需要先经移动介质安检站杀毒并形成杀毒标记，主机上部署的工控主机卫士识别杀毒标记后对该安全U盘进行策略放行从而可以安全地使用，通过工控主机卫士外设管理可以实现只有安全U盘才能作为移动介质使用，最终达成对移动介质强制杀毒管控的效果。

图4-8 威努特移动介质安检站及杀毒标记生成原理

图4-9 威努特工控主机卫士杀毒标记校验原理

4.6 日志留存及操作行为审计指引

【满足章节19.2.15重点要求】

针对日志留存及操作行为审计要求，建议部署日志审计与分析系统，通过Syslog、SNMP Trap、(S)FTP、JDBC、SMB等多种方式采集内网日志并关联分析形成内网安全事件报告，满足日志留存12个月以上及行为审计的要求。

威努特日志审计与分析系统支持南网监测装置私有协议、国网电力监控系统II型装置对接，并满足AB网日志采集的需求，贴合电力监控系统网络安全防护真实场景。

图4-10 威努特日志审计与分析系统协议支持情况

图4-11 威努特日志审计与分析系统AB网日志采集场景

4.7 非法外联及远程运维行为管控指引

【满足章节19.2.18重点要求】

针对非法外联及远程运维行为管控，建议在各操作员站、工程师站、运维工作站等主机部署工控主机卫士软件，通过该软件定期访问外部网站地址可探测相关主机是否存在非法外联的情况并及时告警，管理员可根据告警情况及时做干预和风险排除；另外可通过工控主机卫士将远程运维软件排除在程序白名单外，名单以外的程序无法运行，在根源上杜绝设备厂商或其他服务企业远程进行电力监控系统的控制、调节和运维操作。

威努特工控主机卫士通过域名或IP地址的形式对非法外联进行检测，程序白名单自动扫描生成并支持自定义编辑更新。

图4-12 威努特工控主机卫士程序白名单

图4-13 威努特工控主机卫士非法外联检测

4.8 安全运维及外设管控指引

【满足章节19.2.21重点要求】

针对安全运维的要求，建议在电力监控系统网络的安全运维区域部署安全运维管理系统（堡垒机）作为运维跳板机，设定运维专用主机和运维专用安全U盘；针对外设管控的要求，建议在重要主机部署工控主机卫士，通过外设管理功能对非必要的光驱、USB接口、蓝牙等外设严格管控，同时结合前文提到的移动介质管控方案实现对移动介质接入生产控制大区的安全管控。

威努特安全U盘内置硬件级加密芯片，支持国密算法并且采用真随机数发生器，有效保证存储数据的安全性。安全U盘内置专用写入软件，终端数据写入时，需完成管理员身份鉴权，鉴权完成后使用私有API接口进行数据写入，避免恶意代码程序隐瞒用户后感染安全U盘。

图4-14 威努特安全U盘优势介绍

总结

《二十五项反措（2023版）》自发布以来已过去三个月，电力行业各用户单位需要根据防止电力监控系统网络安全事故的重点要求，加快推进相应技术和管理措施落地，才能在国际形势越发严峻、网络威胁越发多变的大环境下有效防范电力生产事故，切实维护国家电力安全。

威努特深耕电力行业多年，以可靠的产品和专业的团队服务于众多用户，其中包括华能、大唐等发电集团以及国家电网、南方电网等电力公司。《二十五项反措（2023版）》网络安全落地指引措施中涉及的相关产品已通过中国电力科学研究院有限公司检测，被验证符合相关标准要求且设备自身稳定可靠，可成熟应用于电力监控系统网络安全防护场景。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121