27号令解读系列：电力监控系统安全防护规定变化-技术部分

2024年11月25日，国家发展改革委第十八次委务会议，审议通过了新修订的《电力监控系统安全防护规定》，自2025年1月1日起施行。

今天梳理一下电力监控系统安全防护规定变化中的技术部分。

▼▼Ⅲ区与Ⅳ区网络隔离

27号令（第十条）新增：安全Ⅲ区与安全Ⅳ区之间当设置具有访问控制功能的设备、防火墙或者相当功能的逻辑隔离设施。

14号令无Ⅳ区的概念，

此条款目的是限制未经授权的访问、减少跨区风险传播。

▼▼外设接入管控

27号令（第十三条）新增：生产控制区应当对外设接入行为进行管控。

14号令无此要求，

此条款目的是降低病毒感染的风险、防止数据泄露。

▼▼系统安全加固

27号令（第十六条）新增：电力监控系统投运前应当进行安全加固。

14号令无此要求，

此条款目的是增加系统安全性。

▼▼网络安全监测预警机制

27号令（第十七条）新增：建立网络安全监测预警机制，建设基于内置探针等的网络安全监测手段，实时监视分析电力监控系统网络安全运行状态及可疑行为告警。

14号令无此要求，

此条款目的是提升网络安全监测与预警能力。

▼▼网络安全监测探针与告警

采用基于内置探针的网络安全监测手段，实时监视分析电力监控系统网络安全运行状态，以及可疑的行为告警。

内置探针是嵌入到设备的运行环境中，直接访问和采集设备的原始数据，确保采集数据的真实性和准确性，尽量避免对原始安全数据的重复采集。

与调度数据网相连的电力监控系统,其网络安全运行状态及可疑行为告警信息，应当同步的传送给相应的电力调度系统。

▼▼强化安全接入区防护措施

1、生产控制区与安全接入区之间的连接处，应当设置电力专用单向安全隔离装置。

2、安全接入区与终端之间应当设置具备控制功能的设备、防火墙，或者相当功能的逻辑隔离措施。

3、安全接入区应当设置负责转发与控制报文的通信代理模块，并使用可信验证措施来加强通信代理模块的保护。

4、通信代理模块与终端之间的通信应当采用加密的这种措施。

5、业务模块经安全接入区与终端之间传输控制指令等重要的数据时，应与终端进行端对端的身份认证。

6、安全接入区应当简化功能配置，禁止存储重要的数据。

▼▼深化生产控制系统本体内生安全（安全免疫）

1、电力监控系统投运前应当进行安全加固。

2、重要的业务应当优先采用可信验证措施实现安全验证。

3、禁止任何穿越生产控制区与其他安全区之间边界的高风险通用网络服务。

4、生产控制区禁止选用无线通信功能的产品。

5、生产控制区对外设接入行为进行管控。

电力监控系统防护规定（新27号令）能源局官方解读材料，以及电力行业监管要求文件，已经整理汇总并上传到知识星球，需要的可以下载。