官網熱線:400-100-0298
新版標準國網"Q/GDW 11807—2024《網絡安全性評價規范》"是由國家電網有限公司發布的技術標準,該標準已于2024-03-08正式發布與實施。替代了目前在用的代替Q/GDW 11807—2018《信息通信及電力監控安全性評價規范》標準。該標準規定了網絡安全性評價的基本原則、工作流程和評價內容,主要用于指導電力行業信息通信及電力監控系統的安全性評價工作。
網絡安全性評價規范應按照“貴在真實、重在整改、旨在提高”原則,通過評價、整改、管理標準化的過程循環,不斷消除安全隱患,完善安全管理。采用企業自評價和專家評價相結合的方式進行,各單位組織自評價,上級單位組織專家評價。一般分為自查評、專家查評、整改提高、復查評四個階段,各查評階段按照“評價、分析、評估、整改”的過程循環推進。
該標準適用于國家電網公司總分部及所屬各單位的信息通信及電力監控安全性評價,接入電力監控系統的相關發電企業可參照執行。
主要內容解讀
國家電網新版Q/GDW 11807—2024《網絡安全性評價規范》標準的基本框架如下圖所示:
01 評價內容
本標準共設一級評價指標4個,二級評價指標27個,三級評價指標125個。評價內容主要包括網絡安全管理體系、信息安全防護體系、通信安全防護和電力監控安全防護4個一級評價指標。
a)網絡安全管理體系,主要包括6個二級指標,分別是安全基礎保障、研發與實施安全管理、上線及投運管理、等級保護、運維管理、應急管理,檢查要點。
b)信息安全防護體系,主要包括6個二級指標,分別是應用系統安全、網絡與邊界安全、基礎平臺安全、物理環境安全、 終端及外設安全、數據安全管理,檢查要點。
c)通信安全防護,主要包括7個二級指標,分別是通信網絡架構安全、通信網管系統安全、通信設備安全、通信線纜 安全、通信網承載典型業務及通道安全、通信機房安全、通信電源安全,檢查要點。
d)電力監控安全防護,主要包括8個二級指標,分別是結構安全、網絡設備、安全防護設備、操作系統、關系數據庫、應用安全、配電終端、物理環境,檢查要點。
網絡安全性評價規范總分為2400分,其中網絡安全管理體系600分、信息安全防護600分、通信安全防護600分、電力監控系統安全防護600分。各單位在查評過程中可結合實際對標準評價項目進行調整,不具備評價條件或無相應內容的項目可不參評。對不參評項目,應說明不參評理由,該項不得分,且在評價總分中扣除。
每項評價內容按標準明細表進行評分,評價完成后按評分表匯總,最后形成查評實得分。用總得分率來衡量被評價單位網絡安 全總體水平,用各部分的得分率來衡量被評價單位各專業網絡安全水平。得分率=(實得分/標準分)× 100%。評價結果應當根據評價得分率確定,優秀、良好、合格和不合格4個等級中1個。
03 評價方法
綜合運用多種方法對評價項目做出全面、準確的評價,如漏洞掃描、配置核查、現場檢查、查閱和分析資料、現場考試、實物檢查或抽樣檢查、現場試驗或測試等。采用企業自評價和專家評價相結合的方式,分為自查評、專家查評、整改提高、復查評四個階段,各階段按照“評價、分析、評估、整改”的過程循環推進。
博智電力監控系統監督檢查工具在該標準的應用
博智電力監控系統督檢查工具主要依據《Q/GDW 11807—2024網絡安全性評價規范》、 《GB/T 38318-2019電力監控系統網絡安全評估指南》、《2024年第27號令電力監控系統安全防護規定》、《電力行業信息系統安全等級保護基本要求》等相關標準法規和要求,推出的一款針對電力行業專用的安全監督檢查工具。不僅可以依托漏洞掃描、配置核查、現場檢查、查閱和分析資料、現場試驗或測試等手段,遵循網絡安全管理體系-信息安全防護體系-通信安全防護-電力監控安全防護檢查流程,做出全面、準確的評價。采用企業自評價和專家評價相結合的方式,分為自查評、專家查評、整改提高、復查評四個階段,各階段按照“評價、分析、評估、整改”的過程循環推進,輸出網絡安全性評價自查評/專家查評報告。
而且還可以針對電力系統生產線提供專業的檢查知識和檢查方法,遵循體系結構-系統本體-監測評估-基礎設施-管理制度-運維行為檢查流程,對采集的資產信息、漏洞信息、高危端口和配置核查等數據進行對比、自動化關聯,結合人工檢查結果,輸出電力監控系統安全防護整改通知書和電力監控系統安全防護技術監督報告,從而促進電力監控系統安全執法檢查和企業自查工作的常態化、標準化,以及規范化。
電力監控系統監督檢查工具主要包括網絡配置、策略配置、新建任務、檢查任務內容篩選、任務執行和結果報告等流程,具體業務操作流程如下圖所示:
工具通過綜合檢查模塊設計,涵蓋資產信息采集、漏洞掃描、配置核查、合規填報和系統管理等各方面,確保檢查內容完整,符合相關標準和法規要求,對電力監控系統進行全面檢查。
工具不僅可以遵循網絡安全管理體系-信息安全防護體系-通信安全防護-電力監控安全防護檢查流程,而且還可以遵循“體系結構-系統本體-監測評估-基礎設施-管理制度-運維行為”檢查流程,確保檢查工作有條不紊進行。系統性檢查逐一排查安全隱患,檢查結果更具針對性和準確性。
通過工具自動化與人工填報結合的檢查模式,工具提高檢查效率和準確性。自動化對數據進行對比和關聯分析,結合人工檢查的專業性,確保結果準確,并輸出整改通知書和技術監督報告,推動檢查工作的規范化。
針對《Q/GDW 11807—2024網絡安全性評價規范》、 《GB/T 38318-2019電力監控系統網絡安全評估指南》、《2024年第27號令電力監控系統安全防護規定》、《電力行業信息系統安全等級保護基本要求》等相關標準法規和要求的一款電力行業專用安全監督檢查工具。
國家電網公司總分部、所屬各單位以及相關發電企業等,開展涉及信息通信系統及電力監控監控系統的監督檢查和安全性評價工作。
