眾所周知，能源、電力等關鍵信息基礎設施是網絡安全的重中之重，它們的安全嚴重影響國家的經濟發(fā)展和社會穩(wěn)定。一旦這些基礎設施出現問題，帶來的結果將具有很大的破壞性和殺傷力。

而電力系統已經成為國際網絡戰(zhàn)的重要攻擊目標，電力監(jiān)控系統安全防護承受巨大壓力。資料顯示，在美國工業(yè)控制系統系統應急響應小組監(jiān)測到的200多起工業(yè)控制系統安全事件中，電力等能源領域的事件就超過一半。

本文梳理了電力行業(yè)網絡安全標準和網絡安全等級保護2.0標準的對比。（主要對照網絡安全等級保護2.0中的工業(yè)控制系統擴展要求）

1電力行業(yè)主要標準

• 《電力行業(yè)信息系統等級保護定級工作指導意見》

• 《電力信息系統安全等級保護實施指南》（GB/T 37138-2018）

• 《電力行業(yè)信息系統安全等級保護基本要求》

• 《電力監(jiān)控系統網絡安全防護導則》（GB/T 36572-2018）

• 《電力信息系統安全檢查規(guī)范》（GB/T 36047-2018）

• 《國家能源局關于印發(fā)電力監(jiān)控系統安全防護總體方案等安全防護方案和評估規(guī)范的通知》

• 《電力監(jiān)控系統安全防護規(guī)定》

2網絡安全等級保護2.0主要標準

• 網絡安全等級保護條例（總要求/上位文件）（正在修訂）

• 計算機信息系統安全保護等級劃分準則（GB 17859-1999）

• 網絡安全等級保護定級指南（GB/T 22240）（正在修訂）

• 網絡安全等級保護實施指南（GB/T 25058-2019）

• 網絡安全等級保護基本要求（GB/T 22239-2019）

• 網絡安全等級保護設計技術要求（GB/T 25070-2019）

• 網絡安全等級保護測評要求（GB/T 28448-2019）

• 網絡安全等級保護測評過程指南（GB/T 28449-2018）

網絡安全等級保護2.0中工業(yè)控制系統新增要求

1、安全運維管理

變更性運維；運維工具；遠程運維；無線上網；密碼技術與產品使用；配置管理；外包運維管理；外部人員應簽署保密協議；外部人員離場后應及時清除其所有的訪問權限。

2、安全計算環(huán)境

控制設備安全

應保證控制設備在上線前經過安全性檢測，避免控制設備固件中存在惡意代碼程序。

3、安全區(qū)域邊界

訪問控制

應在工業(yè)控制系統內安全域和安全域之間的邊界防護機制失效時，及時進行報警。

4、安全物理環(huán)境

室外控制設備物理防護

室外控制設備應防止在采用鐵板或其他防火材料制作的箱體或裝置中并緊固；箱體或裝置具有透風、散熱、防盜、防雨和防火能力等；

室外控制設備防止應遠離強電磁干擾，強熱源等環(huán)境，如無法避免應及時做好應急處置及檢修，保證設備正常運行。

5、安全管理中心

系統管理；審計管理；安全管理；集中管控。

6、安全建設管理

上線前進行安全性測試，并出具測試報告且含密碼應用安全性測試。