T/ZDL 019-2023 供电企业网络安全管理规范

主要技术内容:5 规划设计管理5.1 规划管理5.1.1  应制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全工作任务和措施。5.1.2  规划设计网络时，应当明确安全保护需求，保证安全措施同步规划、同步建设、同步使用。5.1.3  应建立网络安全资金保障制度，安排网络安全专项预算，确保网络安全投入不低于信息化总投入的5%。5.1.4  基于业务系统类别，应将网络划分为生产控制大区、管理信息大区和互联网大区。生产控制大区宜划分为控制区和非控制区；管理信息大区在不影响生产控制大区的安全的前提下，可根据各企业不同安全要求划分安全区。5.1.5  生产控制大区与管理信息大区通过电力专用横向单向安全隔离装置进行物理隔离，管理信息大区与互联网大区通过信息网络安全隔离装置进行逻辑强隔离，互联网大区与互联网通过防火墙等常用安全防护设备进行逻辑隔离。5.2 设计管理5.2.1  在信息系统可研阶段，应按照国家网络安全等级保护制度和标准，明确系统的保护等级和防护要求，编制定级报告，报相关部门申请信息系统等级定级审批，并取得有关机构出具的备案证明。5.2.2  应根据系统安全防护等级，参照国家等级保护有关标准规范和网络安全规章制度，编写系统安全防护方案。5.2.3  应对关键功能进行解耦设计，确保系统发生故障时可优先保障重要客户、重要业务的正常使用。5.2.4  应充分考虑服务异常中断时的数据保护能力，当系统恢复后能够保证业务和数据的一致性、完整性。5.2.5  对于涉及生产控制大区、管理信息大区以及互联网大区交互的信息系统，应充分考虑隔离装置特性进行业务系统设计与开发，通过优化系统架构、业务流程降低跨网络大区交换的频率。5.2.6  生产控制大区的业务系统与终端的纵向通信，宜采用电力调度数据网等专用数据网络；使用无线通信网或非电力调度数据网进行通信的，应设立安全接入区，并采用安全隔离、访问控制、安全认证及数据加密等安全措施。5.2.7  具有远方控制功能（如系统保护、精准切负荷等）的业务，应采用人员、设备和程序的身份认证，具备数据加密等安全技术措施。5.2.8  应设置账号权限模块，具备弱口令校验、定期更换口令、超时退出、非法登录次数限制、禁止账号自动登录等功能，支持系统管理员、业务配置员、系统审计员三种角色分离及用户账号实名制管理。6 建设管