电力行业商用密码应用白皮书.docx

电力行业商用密码应用白皮书 目 录 一、 电力行业商用密码应用背景 2 (一) 电力行业面临愈加复杂的网络安全威胁 2 (二) 推进商用密码应用是落实政策文件要求 3 二、 电力行业商用密码应用典型场景 4 (一) 电力行业密码基础设施 5 (二) 重要生产网络和信息系统 6 (三) 新技术应用场景 18 三、 电力行业商用密码应用面临的挑战 36 (一) 密码应用监管力度持续优化，提高政策推进的全要素建设 36 (二) 密码应用资源投入分散，密码基础设施统筹规划 36 (三) 密码系统建设处于传统模式，钻研新型技术能力发展模型 36 四、 推进建议 37 (一) 高层管理者参与，加强密码应用体系建设 37 (二) 建立弹性安全边界，密码服务统一化建设 37 (三) 密码设施完善换代，强化密码技术自主创新 38 一、电力行业商用密码应用背景 (一)电力行业面临愈加复杂的网络安全威胁 电力行业网络信息安全形势日益严峻。当前复杂的国际形势下，全球范围内电力信息系统和网络屡遭网络攻击：巴西电力公司和欧洲能源巨头 EDP 公司等遭勒索软件攻击，印度核电站内网感染恶意软件，乌克兰某核电厂发生重大网络安全事故，委内瑞拉电力系统两年内遭受多次网络攻击，美国电力公司遭受 DDoS 攻击，法国费森海姆核电站敏感数据被泄露，俄黑客组织对美国核电站实施攻击。作为关键基础设施的重要组成部分，电力行业网络信息安全不仅关乎企业信息和经济安全，而且可影响社会安全和国家安全。更保障电力行业网络信息安全，具有重要的战略意义和现实意义。 电力行业新技术融合应用引入了新的安全风险。近年来，电力行业对网络和信息技术的依赖程度越来越高，电力物理空间与网络空间的连通、融合进一步加深，随着数字化转型下电力工业技术体系在开放性、互联互通性上的增强，以及能源网络的结构复杂化、边界模糊化、形态多样化，网络安全风险化显著增加。与此同时，能源互联网广泛融合能源生产、传输、交易、消费等各环节数据，能源电力生产中的信息获取方式、存储形态、传输渠道、处理方法以及对网络安全保障与防护的需求均发生了显著的变化。网络安全不再仅仅只是影响虚拟空间，而是将会通过电力信息物理耦合关系 渗透到现实电力一次系统，严重影响电力一次系统的安全、稳定、高效运行。 (二)推进商用密码应用是落实政策文件要求 法律法规明确提出商用密码应用要求。面对国家安全的新形势，我国已在多部法律法规中明确规定了密码应用的要求，包括《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人 民共和国数据安全法》、《关键信息基础设施安全保护条例》、《商用密码管理条例（修订草案）》等，突出强调了关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管，并实施商用密码应用安全性评估和安全审查制度。 1.主管部门和责任单位发布系列指导文件 国家能源局统筹指导体系推进。2018 年，国家能源局印发《关于加强电力行业网络安全工作的指导意见》，明确提出加快密码基础设施建设，包括在重要业务、重要领域实施密码保护，完善电力行业密码支撑体系，实现电力行业密码基础设施一体化管理；健全电力行业密码检测手段，开展密码应用安全性评估。2021 年国家能源局印发的《电力安全生产“十四五”行动计划》，将“加快推进密码应用基础设施建设、密码改造和商用密码应用安全性评估”作为网络与信息安全基础能力提升攻关重点之一。 责任单位扎实推进行业密码应用。根据中办、国办 2019 年 36 号文，加强金融和重要行业领域密码应用要求，国家电网编制了《国家电网有限公司商用密码应用与建设发展规划（2018-2022 年）》，印发《国家电网有限公司商用密码应用与建设发展工作要点》，明确提出了建设统一密码应用服务体系的工作方向和要求。按照“合法合规、安全高效、集中统一、长效发展”的原则，确立公司密码 “五统一”的工作思路（统一规划、统一标准、统一建设、统一运营和统一服务）。分阶段建成技术领先、理念超前的“1+2+3”的统一密码应用服务体系（一个中心+两种技术体制+形成三种核心能力）” 二、电力行业商用密码应用典型场景 现代电力生产和经营管理都已具备高度网络化、系统化、自动化的特征，以网络、数据库、计算机自动控制技术为代表的信息处理技术已经渗透到电力生产、经营管理的各个方面。此外，能源互联网技术、云计算、大数据、物联网、5G、区块链等新技术也逐步应用到电力行业重要信息系统，在为电力行业提质增效的同时也带来了新的安全挑战。密码作为网络信息安全的核心技术和基础支撑，在电力行业网络信息安全防护体系中占据重要地位。以下从力行业密码基础设施建设、重要生产网络和信息系统、新技术赋