新能源集控中心等级保护建设方案.pdfVIP

新能源集控中心等级保护建设方案

1.概述

1.1.背景

电力是国家的支柱能源和经济命脉，其安全稳定运行不仅关系到国家的经

济发展，而且维系国家安全。随着发电企业规模的逐渐扩大，安全事故的影响

范围越来越大，安全问题越来越突出，电力网络安全运行已经成为全球的研究

热点。近年来，发电企业通过信息化手段在电力生产、企业管理等方面均取得

较大的进步，使我国发电企业信息化应用水平迅速提高。但是，在我们享受信

息化技术带来的高效和便捷的同时，发电企业所面临的网络与信息安全风险也

与日剧增。发电行业的信息安全问题，作为国家意志的体现已经上升到国家战

略的高度，关乎国家安危。

2017年6月，《网络安全法》正式实施，其中第二十一条规定“国家实行网

络安全等级保护制度”。2019年5月，国家标准化管理委员会正式发布了网络

安全等级保护2.0核心技术标准。为履行网络安全主体责任，按照网络安全等级

保护制度的要求，开展了新能源集控系统网络安全等级保护建设工作，以建立、

健全新能源集控网络安全防护体系，提升新能源集控系统整体网络安全防护能力，

满足第三级系统网络安全等级保护的能力要求。

1.2.目标

新能源集控系统作为第三级系统，根据《信息安全技术网络安全等级保护

基本要求》（GB/T22239-2019）的有关规定，本次网络安全等级保护建设完成

后，新能源集控系统应当具备如下安全保护能力：

新能源集控系统在统一的安全防护策略下，能够免受来自外部有组织的团体、

拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相

当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置

安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

1

为满足上述安全保护能力，将通过系统性、体系化的需求分析、方案设计和

风险控制等方式，使新能源集控系统达到以下5个方面的建设目标：

完善新能源集控系统网络安全防护技术措施，通过“一个中心、三重防护”

的安全设计，形成网络安全综合技术防护体系，满足第三级系统网络安全等级保

护相关技术要求；

建立、健全新能源集控系统网络安全管理制度、机构和人员要求，提升新能

源集控系统网络安全管理能力，满足第三级系统网络安全等级保护相关管理要求；

建立、健全新能源集控系统网络安全运营体系，提升新能源集控系统全生命

周期网络安全保护能力，满足网络安全等级保护整体框架和关键技术落实等相关

要求；

建立、健全基于APDRO能力模型的安全保护架构，使新能源集控系统具备

安全可视、持续检测和协同防御等安全能力，提升网络安全解决方案整体价值；

通过体系化的网络安全建设，使新能源集控系统满足第三级系统等级保护合

法、合规要求，有效维护国家安全、社会秩序、公共利益以及公民、法人和其他

组织的合法权益。

2.总体设计

随着等级保护对象扩展到云计算、移动互联网、物联网、工业控制系统与大

数据等，如今的网络环境复杂度已远超过去。结合等级保护2.0相关标准和要求

以及国内外必威体育精装版的安全防护体系模型，以保障用户业务安全高效运行为根本出发

点，提出了“持续保护，不止合规”的价值主张。同时，有效的风险管理一定是

建立在一定的模型之上的。为适应新的安全形势，等级保护2.0安全建设建议引

入新的智安全能力模型“APDRO”，其中集防御（P）、检测（D）、响应（R）

于一体的闭环安全理念已经深入人心，但是仅有PDR还不够，安全能力模型需

要适应新的安全形势，因此才有了对PDR的改进模型，A代表智能，O代表运

营，在PDR模型上叠加智能和运营能力。APDRO安全架构的简单逻辑就是：首

先，要打造集防御、检测和响应于一体的闭环安全能力；然后，面对自动化水平

不断提高的威胁，利用人工智能技术来提升PDR的自动化程度；最后通过运营

2

来让PDR变得更有效，让PDR运转得更好。通过以APDRO为安全能力模型支

撑，为用户构建以技术、管理和运营三大安全体系为目标的可运营的智能化安全

体系，让等级保护对象具备了安全可视、持续检测、协同防御的能力。

等级保护2.0建设规划框架

依据等级保