关于《防止电力生产事故的二十五项重点要求》（2023版）网络安全政策的解读与可行解决方案

一、政 策 背 景

国家能源局组织电力行业有关单位及部分专家近期修订了《防止电力生产事故的二十五项重点要求》（国能发安全〔2023〕22号），于2023年3月9日正式发布，旨在更好地适应当前电力生产的新技术、新设备和新挑战，提高安全防范水平，降低生产事故风险，确保电力生产的安全和稳定。

二、政 策 结 构

《防止电力生产事故的二十五项重点要求》（国能发安全〔2023〕22号）全文共计25个章节，包括防止人身伤亡、火灾、电气误操作、系统稳定破坏事故、机网协调及风电机组、光伏逆变器大面积脱网事故、锅炉事故、压力容器等承压设备爆破事故、汽轮机、燃气轮机事故、分散控制系统失灵事故、发电机及调相机损坏事故，以及电力自动化系统、电力监控系统网络安全、电力通信网及信息系统事故的重点要求等方面内容，阐述了防止电力生产事故的二十五项重点要求。

政策的具体结构如下：

为了保障国家电力安全，响应监管部门提出包括《防止电力生产事故的二十五项重点要求》（国能发安全〔2023〕22号）在内的一系列网络安全要求和标准,我司针对该文件中网络安全相关内容，结合北京珞安科技技术方案及实际落地成效制定整体解决方案，帮助电力行业用户单位快速响应监管部门要求，合规的同时，积极做好电力生产网络安全防护措施，切实保障自身系统的网络安全。

三、网络安全重点及解决方案

《防止电力生产事故的二十五项重点要求》（国能发安全〔2023〕22号）中涉及网络安全相关要求的内容在第19章的第2小节，即“19.2 防止电力监控系统网络安全事故”，涉及的内容包括如下几个方面：

以上要求经总结后对应如下安全需求：

安全需求

01.安全隔离需求

各系统设备之间必须采取符合相关规定的横向隔离措施，生产业务系统设备与调度端经调度数据和保护专用网络通信须采取隔离措施，采用无线通信方式时必须采用网络安全防护措施，防止系统末梢的无线通信直接联入电力控制专用网络。

02.合理配置需求

电力监控系统应按照最小化原则，采取白名单方式对安全防护设备的策略进行合理配置，对工程师站、操作员站建立有效的安全保障和主机防护措施，及时发现管理网及生产网防护不到位的措施及策略配置。

03.行为审计需求

对用户登录本地操作系统、访问系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计，对异常行为进行监测。

04.统一管理需求

保证所有安全设备、系统、配置、数据，以及安全中间件能够被集中、高效、安全管控，安全策略能够动态配置，并且不影响现有生产网的运行。

05.完善管理制度需求

为保障员工的生命财产安全，规范员工的安全生产行为，需制定一系列可落地的规章制度和操作规程，完善安全建设、安全评估、安全测试等管理流程标准。

06.动态运营需求

加强内部的物理、网络、主机、应用和数据安全能力，加强安全管理制度、机构、人员、系统建设、系统运维的管理，提供系统整体安全防护能力，保证电力监控系统及重要数据的安全。

解决方案

珞安科技作为国内技术实力领先的工控安全企业，从电力行业生产现场网络安全现状出发，按照《防止电力生产事故的二十五项重点要求》（国能发安全〔2023〕22号）的规定要求，并结合电力行业其他政策法规，运用领先技术和自主研发先进安全产品，结合多年深耕工控安全领域的实战经验设计整改方案。

01.加强边界隔离措施

为保障电力生产控制大区安全防护标准以满足行业防护需求和建设原则，秉承安全分区网络专用原则，生产控制大区安全一区和二区通过建立工业防火墙实现边界业务逻辑隔离，生产网和办公网部署电力专用隔离装置实现边界物理隔离防护标准，采用物联网控制技术的系统，应当部署安全接入网关实现安全隔离。

02.采用“白名单”式策略配置

为保证电力生产网络中工业主机的运行安全，在各生产网络区域内上位机及服务器上部署工业主机安全防护系统，并辅以安全加固服务，采取白名单方式对安全防护设备的策略进行合理配置，关闭空闲的硬件端口，有效阻止病毒的侵入，加强主机安全防护标准和电力监控系统安全保障措施，并部署USB安全管理系统，禁止将未经病毒查杀的移动介质接入生产系统，保证接入电力监控系统的介质的安全性。

03.采取安全监测审计措施

在各区网络流量汇聚交换机或核心交换机处，旁路部署工控网络安全审计系统、工控入侵检测系统，实现人员异常操作行为挂空、安全事件实时审计、入侵行为实时告警，提供安全追溯以及电力监控系统全局化行为监测。

04.建立安全管理中心体系

为方便统一管理安全产品，安全管理区内旁路部署集中安全管理平台，用以采集生产网络中各工控安全设备及系统的数据，实现安全产品全局化管控，加强电力监控系统安全管理水平和监管能力。

为保证电力监控系统生产网络的安全运维，安全管理区内旁路部署运维安全审计系统（堡垒机），通过账号集中管理、细粒度访问权限、操作审计，让运维人员的操作处于可管、可控的状态下，规范运维操作。

为实现全网资产统一管理，安全管理区内旁路部署部署日志审计与分析系统，满足电力监控系统防护标准以及网络安全法要求，提升系统处理和关联分析能力，及时对安全事件进行追溯。

05.完善安全管理制度流程

为保障人员、设备和资产的安全，应制定一系列规章制度和操作规程，包括安全管理组织机构、资产管理、介质管控、事故应急预案等内容，完善安全建设、安全评估、安全测试等流程，规范员工的安全生产行为，预防和减少安全事故的发生，保障员工和公众的生命财产安全。

06.搭建动态安全运营体系

为提升电力监控系统动态防御能力，建立工控安全态势感知平台，结合安全测试、定期巡检、安全评估等安全服务，发现安全问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化，构建动态防御安全体系。

未来，珞安科技将继续秉持“守护工业网络空间安全”的企业使命，紧跟政策发展变革，充分发挥自主研发与技术创新的优势，持续完善产品体系及行业解决方案，进一步提高电力监控系统网络安全管理水平，助力电力企业高质量发展，全面保障国家电力系统网络安全稳定。