T/ZDL 019-2023
供电企业网络安全管理规范

Code for cybersecurity management of power supply enterprises

非常抱歉，我们暂时无法提供预览，您可以试试： 免费下载 T/ZDL 019-2023 前三页，或者稍后再访问。

您也可以尝试购买此标准，
点击右侧 “立即购买” 按钮开始采购（由第三方提供）。

标准号

T/ZDL 019-2023

发布

2023年

发布单位

中国团体标准

当前最新

T/ZDL 019-2023

 

 

适用范围

5 规划设计管理 5.1 规划管理 5.1.1  应制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全工作任务和措施。 5.1.2  规划设计网络时，应当明确安全保护需求，保证安全措施同步规划、同步建设、同步使用。 5.1.3  应建立网络安全资金保障制度，安排网络安全专项预算，确保网络安全投入不低于信息化总投入的5%。 5.1.4  基于业务系统类别，应将网络划分为生产控制大区、管理信息大区和互联网大区。生产控制大区宜划分为控制区和非控制区；管理信息大区在不影响生产控制大区的安全的前提下，可根据各企业不同安全要求划分安全区。 5.1.5  生产控制大区与管理信息大区通过电力专用横向单向安全隔离装置进行物理隔离，管理信息大区与互联网大区通过信息网络安全隔离装置进行逻辑强隔离，互联网大区与互联网通过防火墙等常用安全防护设备进行逻辑隔离。 5.2 设计管理 5.2.1  在信息系统可研阶段，应按照国家网络安全等级保护制度和标准，明确系统的保护等级和防护要求，编制定级报告，报相关部门申请信息系统等级定级审批，并取得有关机构出具的备案证明。 5.2.2  应根据系统安全防护等级，参照国家等级保护有关标准规范和网络安全规章制度，编写系统安全防护方案。 5.2.3  应对关键功能进行解耦设计，确保系统发生故障时可优先保障重要客户、重要业务的正常使用。 5.2.4  应充分考虑服务异常中断时的数据保护能力，当系统恢复后能够保证业务和数据的一致性、完整性。 5.2.5  对于涉及生产控制大区、管理信息大区以及互联网大区交互的信息系统，应充分考虑隔离装置特性进行业务系统设计与开发，通过优化系统架构、业务流程降低跨网络大区交换的频率。 5.2.6  生产控制大区的业务系统与终端的纵向通信，宜采用电力调度数据网等专用数据网络；使用无线通信网或非电力调度数据网进行通信的，应设立安全接入区，并采用安全隔离、访问控制、安全认证及数据加密等安全措施。 5.2.7  具有远方控制功能（如系统保护、精准切负荷等）的业务，应采用人员、设备和程序的身份认证，具备数据加密等安全技术措施。 5.2.8  应设置账号权限模块，具备弱口令校验、定期更换口令、超时退出、非法登录次数限制、禁止账号自动登录等功能，支持系统管理员、业务配置员、系统审计员三种角色分离及用户账号实名制管理。 6 建设管理 6.1 网络建设 6.1.1  应当依照法律、行政法规的规定和国家标准的强制性要求，落实系统安全防护方案，开展安全区域划分、安全产品部署集成、边界安全防护、安全配置加固、应用系统安全防护、机房环境改造、完善网络安全管理体系等安全建设整改工作。 6.1.2  各网络大区之间的边界应采用专用隔离装置进行安全隔离；应严格控制生产控制大区网络的延伸，严格控制异地使用键盘、显示器、鼠标（KVM）功能。 6.1.3  生产控制大区、管理信息大区不宜使用无线网络组网。 6.1.4  使用无线网络建设互联网大区，应启用网络接入控制、身份认证和行为审计，采用高强度加密算法、隐藏无线网络名标识和禁止无线网络名广播，防止无线网络被外部攻击者非法进入，确保无线网络安全。 6.1.5  在建设业务应用时，若需要采用无线专网接入生产控制大区、管理信息大区，应在网络边界部署统一安全接入防护措施，并建立专用加密传输通道。 6.1.6  网络边界应按照安全防护要求部署安全防护设备，定期升级特征库，及时调整安全防护策略，强化日常巡检、运行监测、安全审计。 6.2 系统建设 6.2.1  在信息系统建设阶段，应按照研发安全要求，落实研发环境、代码防护、安全测试、支撑服务、人员管理等安全防护措施。 6.2.2  开发信息系统应在专用环境中进行，开发环境应与实际运行环境及办公环境安全隔离；应加强开发环境的安全访问控制与安全防护措施，严格控制访问策略与权限管理。 6.2.3  在信息系统开发阶段，应在单元测试、回归测试、集成测试等测试的同时开展安全测试，测试包含安全功能测试、代码安全测试等内容。 6.2.4  在信息系统开发阶段，应加强代码安全管理，严格按照安全编程规范进行代码编写，全面开展代码安全检测，不得在代码中设置恶意及与功能无关的程序。 6.2.5  在信息系统开发阶段，应按照企业端口安全管理要求设定业务端口，且明确每个端口的用途。 6.2.6  在信息系统上线及阶段版本升级前，应进行安全性、可靠性、性能、可维护性、运行监控、易用性等方面测评并整改通过。 6.2.7  在信息系统上线前，应对系统访问策略、操作权限、临时账号、临时数据进行全面清理，复查账号权限，核实开放端口和策略，各类用户、账号赋权应遵循最小化原则，仅满足该业务或功能需求。 7 测试与评估管理 7.1 测试管理 7.1.1  应按照国家有关规定，开展系统安全防护评估、网络安全等级保护测评、关键信息基础设施网络安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作，未达到要求的应及时进行整改。 7.1.2  应按照等级保护要求周期性开展网络等级保护测评，新建的网络应在通过等级保护测评后再投入运行。 7.1.3  网络安全等级保护测评工作，应与系统安全防护评估、关键信息基础设施网络安全检测评估、商用密码应用安全性评估等工作相衔接，避免重复测评。 7.1.4  在上线信息系统前，应选择网络安全测试机构或具有CNAS（中国合格评定国家认可委员会）认证的网络安全相关实验室开展第三方测试，测试单位应按照企业研发安全测试标准开展测试并出具测试报告。 7.1.5  在系统发生重大升级、变更或迁移后，需立即进行测评。 7.1.6  当网络功能、服务范围、服务对象和处理的数据等发生重大变化时，应依法变更系统的安全保护等级；因系统下线、网络撤销或变更调整安全保护等级的，应向原受理备案公安机关办理备案撤销或变更手续，并向行业主管部门报备。 7.2 评估管理 7.2.1  应按照国家有关规定，开展网络安全风险评估，建立健全网络安全风险评估的自评估和检查评估制度，完善网络安全风险管理机制。 7.2.2  应采购安全可信的网络产品和服务，按照有关要求开展风险预判，评估投入使用后可能对关键信息基础设施安全、电力生产安全和国家安全的影响，形成评估报告。 7.2.3  宜自行或者委托网络安全服务机构，每年对网络的安全性和可能存在的风险进行一次检测评估。

T/ZDL 019-2023相似标准