2021电力物联网全场景安全技术要求

电力物联网全场景安全技术要求 目 次 前 言 II 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语2 5 总则2 5.1 总体防护原则 2 5.2 大区隔离总体防护要求 3 5.3 系统部署总体防护要求 3 5.4 终端接入总体防护要求 3 6 感知层安全防护技术要求3 6.1 终端本体安全 3 6.2 本地通信安全技术要求 4 7 网络层安全防护技术要求4 7.1 网络通信安全技术要求 4 7.2 网络边界接入安全技术要求 4 8 平台层安全防护技术要求5 8.1 云平台安全防护要求 5 8.2 物联管理平台安全防护要求 5 9 应用层安全防护技术要求5 9.1 传统应用系统安全防护要求 5 9.2 云端应用安全防护要求 5 9.3 APP 应用安全防护要求 .5 10 通用安全防护技术要求6 10.1 密码基础设施要求 6 10.2 监测安全及态势感知要求 6 10.3 数据安全要求 6 编制说明 .8 I 1 电力物联网全场景安全技术要求 1 范围 本 标 准 规 定 了 国 家 电 网 有 限 公 司 （ 以下简称 “公司 ”） 电 力 物 联 网 全 场 景 安 全 防 护 总 则 ， 以 及 感 知 层 、 网 络 层 、 平 台 层 、 应 用 层 和 通 用 安 全 防 护 技 术 要 求 。 本 标 准 适 用 于 公 司 各 分 部 、 公 司 各 单 位 的 电 力 物 联 网 规 划 、 设 计 、 采 购 、 安 全 审 查 、 开 发 测 试 、 实 施 上 线 、 运 行 管 理 等 全 过 程 管 理 。 2 规范性引用文件 下 列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 ， 仅 注 日 期 的 版 本 适 用 于 本 文 件 。 凡 是 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 （ 包 括 所 有 的 修 改 单 ） 适 用 于 本 文 件 。 GB/T 22080 信息技术 安全技术 信息安全管理体系 要求 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 31168 信息安全技术 云计算服务安全能力要求 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 35274 信息安全技术 大数据服务安全能力要求 GB/T 35295 信息技术 大数据 术语 GB/T 36572 电力监控系统网络安全防护导则 GM/T 0022 IPSec VPN 技 术 规 范 GM/T 0024 SSL VPN 技 术 规 范 Q/GDW 1594 国家电网公司管理信息系统安全防护技术要求 Q/GDW 1937 国家电网公司非国家秘密电子数据销毁、清除和恢复技术要求 Q/GDW 11416 国家电网公司商业秘密安全保密技术规范 Q/GDW 12098 电力物联网术语 3 术语和定义 GB/T 22239、GB/T 25069、GB/T 35295、GB/T 36572、GM/T 0022、GM/T 0024和Q/GDW 12098界定 的以及下列术语和定义适用于本文件。 3.1 物联网终端 IoT terminal 一 种 能 够 对 物 联 网 对 象 或 环 境 的 状 态 进 行 测 量 、 感 知 ， 并 具 有 简 单 数 据 处 理 、 通 信 、 人 机 交 互 等 全 部 或 部 分 功 能 的 设 备 。 属 于 感 知 层 设 备 ， 包 括 智 能 传 感 器 、 智 能 业 务 终 端 、 采 集 控 制 终 端 、 智 能 设 备 、 移 动 终 端 等 。 3.2 2 电力物联安全接入网关 eIoT security access gateway 采用 SSAL、 国 密 SSL或国密 IPsec等 技 术 实 现 对 物 联 网 终 端 或 边 缘 物 联 代 理 的 身 份 认 证 、 网 络 访 问 控 制 和 传 输 通 道 加 密 ， 保 障 电 力 物 联 网 终 端 接 入 安 全 的 防 护 设 备 。 3.3 信息安全网络隔离装置(逻辑型) information security network isolation device（Logic） 一 种 用 于 国 家 电 网 有 限 公 司 管 理 信 息 大 区 对 外 隔 离 的 专 用 安 全 防 护 设 备 ， 可 提 供 逻 辑 强 隔 离 状 态 下 的 跨 边 界 代 理 访 问 服 务 。 3.4 信息安全网络隔离装置(网闸型) information security network isolation device（GAP） 一 种 用 于 国 家 电 网 有 限 公 司 管 理 信 息 大 区 接 入 边 界 的 专 用 安 全 防 护 设 备 ， 可 提 供 基 于 双 主 机 电 路 交 换 的 网 闸 隔 离 功 能 。 3.5 物联网控制域 control domain of IoT 在 国 家 电 网 有 限 公 司 管 理 信 息 大 区 内 划 分 出 来 的 网 络 子 区 域 ， 可 用 于 部 署 除 电 力 监 控 系 统 外 的 控 制 类 业 务 。 3.6 数据共享负面清单 negative list of data sharing 以 清 单 的 方 式 明 确 列 出 在 公 司 内 部 各 部 门 、 各 单 位 之 间 需 审 批 后 共 享 的 数 据 ， 及 配 套 的 一 系 列 管 理 制 度 措 施 ， 旨 在 最 大 化 数 据 共 享 范 围 ， 促 进 公 司 范 围 内 的 数 据 共 享 。 4 缩略语 下列缩略语适用于本文件。 APN：接入点名称（Access Point Name） ERP：企业资源计划（Enterprise Resource Planning） eIoT：电力物联网（Electric Internet Of Things） IPS：入侵防御系统（Intrusion Prevention System） IPsec：Internet 协议安全性（Internet Protocol Security） JTAG：联合测试工作组（Joint Test Action Group） SSAL：国家电网公司安全应用层协议（StateGrid Secure Application Layer） SSL：安全套接层（Secure Sockets Layer） SWD：串行调试（Serial Wire Debug） USB：通用串行总线（Universal Serial Bus） WiFi：无线局域网（Wireless Fidelity） WAF：应用层防火墙（Web Application Firewall） 5 总则 5.1 总体防护原则 3 本标准在遵循GB/T 22239的安全防护要求的基础上，将电力物联网网络分区划分为生产控制大区、 管 理 信 息 大 区 和 互 联 网 大 区 。 生 产 控 制 大 区 严 格 遵 循 GB/T 36572的 要 求 进 行 安 全 防 护 ， 管 理 信 息 大 区 和 互 联 网 大 区 坚 持 “出 口 统 一 、 数 据 分 级 、 装 置 集 成 、 多 措 并 举 ”的 全 场 景 网 络 安 全 防 护 策 略 。 5.2 大区隔离总体防护要求 本项要求包括： a) 生产控制大区与管理信息大区通过电力专用横向单向安全隔离装置进行物理隔离； b) 管理信息大区与互联网大区通过信息安全网络隔离装置（逻辑型）进行逻辑强隔离； c) 互联网大区与互联网通过防火墙、IPS、WAF等常用安全防护设备进行逻辑隔离； d) 管理信息大区可按需建立物联网控制域，其与管理信息大区其他系统间应通过专用安全设备 进行隔离，如需与互联网大区通信，必须按照5.2 b）的要求进行防护。 5.3 系统部署总体防护要求 本项要求包括： a) 对于 ERP、生产管理、营销管理应用、协同办公等已有业务，支撑公司内部多维精益等新增业 务以及涉及商密数据的业务模块，应部署在管理信息大区； b) 对于配电、营销、光伏云网、综合能源服务、分布式电源以及客户侧相关的控制类业务，应 部署在物联网控制域； c) 对于外网网站、外网邮件、电力交易、电子商务等已有业务，以及车联网、互联网金融等互 联网新兴业务，应部署在互联网大区。 5.4 终端接入总体防护要求 本项要求包括： a) 在接入公司管理信息大区时，应经专线并采用加密认证措施，专线包括但不限于租用的虚拟 专用线路； b) 在接入公司互联网大区时，宜采用互联网通道； c) 原则上不建议交叉混接不同安全大区。 6 感知层安全防护技术要求 6.1 终端本体安全 6.1.1 边缘物联代理防护要求 本项要求包括： a) 应 按 照 GB/T 22239 中 相 应 等 级 的 安 全 物 理 环 境 的 要 求 实 现 物 理 安 全 防 护 ； b) 应基于公司统一的密码基础设施进行身份认证和加密保护，采用硬件密码模块或软件密码模 块 等 方 式 实 现 ， 其 中 涉 控 涉 敏 业 务 优 先 采 用 硬 件 密 码 模 块 的 方 式 ， 硬 件 密 码 模 块 应 采 用 通 过 国 家 有 关 检 测 机 构 检 测 认 证 的 安 全 芯 片 ； c) 应具备对自身应用、漏洞补丁等重要程序代码，以及配置参数和控制指令等重要操作的数字 签名和验证能力； d) 应支持本地及远程升级，并能校验升级包的合法性； e) 应具备安全监测、审计和分析功能，应支持软件定义安全策略，并支持自动和联动处置； f) 应具备对物联网终端安全接入的管理能力； 4 g) 应关闭设备调试接口，防范软硬件逆向工程； h) 应通过系统加固、可信计算等技术，保障边缘物联代理本体安全。 6.1.2 物联网终端防护要求 本项要求包括： a) 应关闭设备调试接口，包括但不限于USB/JTAG/SWD接口等，防范软硬件逆向工程； b) 应支持本地及远程升级，并校验升级包的合法性； c) 具有边缘计算能力的物联网终端，应遵循6.1.1的防护要求。 6.2 本地通信安全技术要求 本 地 通 信 指 物 联 网 终 端 与 边 缘 物 联 代 理 等 设 备 ， 通 过 光 纤 、 网 线 、 WiFi、 载 波 通 信 、 微 功 率 无 线 通 信 等 通 道 ， 不 经 过 安 全 大 区 ， 在 现 场 互 连 通 信 。 本 项 要 求 还 应 满 足 ： a) 任意两个直接接入公司安全大区的终端，如接入的大区不同，禁止双方在感知层跨大区直接 通信，如需本地通信，应采取等同大区间隔离强度的技术措施； b) 不直接接入公司各安全大区的终端，在与直接接入公司管理信息大区的终端本地通信时，应 在网络协议、数据格式、数值有效性上加强过滤和校验，并应实现身份认证； c) 不直接接入公司各安全大区的终端，在与直接接入公司互联网大区的终端本地通信时，宜按 需实现身份认证和通信数据加密传输，防范通信数据被窃听或篡改； d) 管理信息大区侧的本地通信应采用抗干扰性强的通信协议，并加强通道自身安全配置管控。 7 网络层安全防护技术要求 7.1 网络通信安全技术要求 应在网络流量关键出口处加强安全审计和监控，及时发现安全异常情况。 7.2 网络边界接入安全技术要求 7.2.1 管理信息大区的安全接入 本项要求包括： a) 应使用公司自建光纤专网、电力无线专网、租用的APN和第三方专线作为网络接入通道； b) 边缘物联代理、物联网终端等设备，在采用无线方式接入管理信息大区时，应结合业务应用 需 求 采 用 公 司 电 力 物 联 安 全 接 入 网 关 、 信 息 安 全 网 络 隔 离 装 置 （网闸型 ） 实现双向认证和加密 传输； c) 对于无法满足7.2.1 b）接入要求的设备，应在管理信息大区外设置安全接入区，通过安全接 入区实现和管理信息大区的交互。 7.2.2 互联网大区的安全接入 本项要求包括： a) 边缘物联代理、物联网终端等设备，在互联网大区直接访问公司对内业务，包括但不限于公 司 外 网 移 动 办 公 、 外 网 移 动 作 业 等 面 向 公 司 员 工 的 业 务 时 ， 应 采 用 公 司 电 力 物 联 安 全 接 入 网 关 实 现 双 向 认 证 和 加 密 传 输 ； b) 无法满足7.2.2 a）接入要求的设备，在直接访问互联网大区的公司对内业务时，应在互联网 大区外部署前置服务器，通过前置服务器进行协议转换和数据归集； 5 c) 前置服务器访问公司互联网大区的公司对内业务时，应采用公司电力物联安全接入网关实现 双向认证和加密传输。 8 平台层安全防护技术要求 8.1 云平台安全防护要求 本项要求包括： a) 应 遵 循 GB/T 22239中相应等级的安全通用要求和云安全扩展要求、GB/T 31168的 要 求 进 行 安 全 防 护 ； b) 云平台和云租户的业务应用系统应作为不同的定级对象分别定级，且云平台不得承载高于其 安全保护等级的业务应用系统； c) 应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云计算平台选 择第三方安全服务； d) 应提供安全管理中心，实现访问控制、多租户安全隔离、流量监测、身份认证、数据保护、 镜像加固校验、安全审计、安全态势感知等功能。 8.2 物联管理平台安全防护要求 本项应符合下述要求： a) 遵循GB/T 22239中相应等级的安全通用要求和物联网安全扩展要求进行安全防护； b) 能够对直接接入的边缘物联代理、物联网终端进行认证，能够控制接入终端的访问； c) 具备数据存储和传输保护功能，在传输鉴别信息、隐私数据和重要业务数据等敏感信息时应 进行保密性和完整性保护，所使用密码算法应符合国家密码相关规定； d) 具备对边缘物联代理、物联网终端集中管控的能力，重点对设备注册、在线和离线进行安全 监测； e) 能与边缘物联代理进行协同联动，实现安全策略的下发与更新； f) 能对管辖范围内的边缘物联代理进行升级，升级内容包括但不限于漏洞补丁、配置参数和应 用软件，升级内容正式部署前应进行功能和安全测试； g) 能与平台系统接口对接，包括但不限于态势感知平台、资产管理平台等系统，实现对物联网 终端安全事件全方位监测。 9 应用层安全防护技术要求 9.1 传统应用系统安全防护要求 应遵循GB/T 22239、Q/GDW 1594的要求进行安全防护。 9.2 云端应用安全防护要求 本项应符合下述要求： a) 根据应用自身定级和业务需求，遵循GB/T 22239中安全计算环境的安全防护要求进行安全防 护； b) 实现业务和用户行为的安全审计。 9.3 APP 应 用 安 全 防 护 要 求 6 本项要求包括： a) 应确保APP应用发布符合公司要求，发布的渠道可信； b) 发布前应进行统一加固、统一检测，并对APP应用运行状态进行安全监测； c) 应支持本地及远程升级，并能校验升级包的合法性； d) 在收集用户信息前，应明示收集使用信息的目的、方式和范围，并获得用户授权； e) 在进行金融支付、审核授权等重要操作时应进行二次认证。 10 通用安全防护技术要求 10.1 密码基础设施要求 本项要求包括： a) 管理信息大区和互联网大区新建的系统 /设备，应用到密码技术的，应基于公司统一的密码基 础设施开展设计和建设； b) 业务系统如对电子签名、电子签章有法律效力要求的，应严格按照公司和国家商用密码管理 的有关规定执行； c) 公司统一的密码基础设施应通过国家有关检测机构检测认证； d) 密 码 基 础 设 施 运 营 单 位 应 建 立 完 备 的 规 章 制 度 和 服 务 流 程 ， 为 各 业 务 、 各 单 位 提 供 快 速 便 捷 服 务 。 10.2 监测安全及态势感知要求 本项应符合下述要求： a) 对电力物联网全场景的安全态势进行监测和审计分析，及时发现异常、攻击并快速处置； b) 逐步建立网络安全监测分析模型，实现未知威胁检测预警和攻击溯源。 10.3 数据安全要求 10.3.1 数据安全合规要求 数据安全应遵循GB/T 35273、GB/T 22080、GB/T 35274、Q/GDW 1594、Q/GDW 1937、Q/GDW 11416 等数据防护要求。 10.3.2 数据分级 本项要求包括： a) 应对数据进行分级，明确本专业商密数据、企业重要数据、一般数据的范围，并严格遵循数 据级别进行适度防护； b) 商密数据应遵照Q/GDW 11416进行防护； c) 企业重要数据应进行全生命周期安全防护，数据在对外提供、公开发布、跨域传输等环节中 应采取数据内容加密、数据脱敏等技术措施； d) 一般数据可根据各专业部门、各单位自身情况采取相对灵活的防护措施。 10.3.3 数据全生命周期管控 10.3.3.1 数据采集 本项应符合下述要求： 7 a) 对采集数据进行有效性、合理性校验，支持数据一次采集、多处使用； b) 在对客户数据进行采集前明示采集和使用规则、目的、范围等，并取得客户授权同意。 10.3.3.2 数据传输与存储 本项要求包括： a) 新建系统应采用公司统一的密码基础设施发放的密钥或证书进行加密传输或存储； b) 数据需要跨境、出境传输时，应征询法律部门意见后方可开展相关工作； c) 在互联网大区部署应用数据库的业务系统，应进行备案并开展安全性检查。 10.3.3.3 数据访问与使用 本项要求包括： a) 应基于数据中台，进行数据在线查询和应用，并对不同的访问主体实施相应控制措施； b) 属于数据共享负面清单的应按照数据使用审批程序进行授权办理。 8 电力物联网全场景安全技术要求 编 制 说 明 9 目 次 1 编制背景 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10 2 编制主要原则 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10 3 与其他标准文件的关系 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10 4 主要工作过程 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10 5 标准结构和内容 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙11 6 条文说明 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙11 10 1 编制背景 本标准依据《国家电网有限公司关于下达2019年第二批技术标准制修订计划的通知》（国家电网科 〔2019〕807号文）的要求编写。 本 标 准 的 编 制 背 景 是 随 着 电 力 物 联 网 的 全 面 建 设 ， 亟 需 防 范 网 络 安 全 风 险 ， 形 成 灵 活 、 精 准 、 智 能 的 安 全 服 务 和 业 务 支 撑 能 力 ， 指 导 公 司 电 力 物 联 网 安 全 建 设 ， 因 此 制 定 本 标 准 。 本 标 准 编 制 的 主 要 目 的 是 规 定 了 公 司 电 力 物 联 网 全 场 景 安 全 防 护 的 总 体 原 则 和 技 术 要 求 ， 作 为 GB/T 22239《 信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求 》 、 国 家 发 展 和 改 革 委 员 会 令 第 14号 《 电 力 监 控 系 统 安 全 防 护 规 定 》 、 Q/GDW 1594《 国 家 电 网 公 司 管 理 信 息 系 统 安 全 防 护 技 术 要 求 》 、 国 家 电 网 信 息 〔 2011〕 1727号《国家电网公司智能电网信息安全防护总体方案（试行）》和国家电网互联〔2019〕806号《电 力 物 联 网 全 场 景 网 络 安 全 防 护 方 案 》 等 标 准 和 规 定 的 重 要 补 充 ， 指 导 公 司 各 分 部 、 公 司 各 单 位 的 电 力 物 联 网 规 划 、 设 计 、 采 购 、 安 全 审 查 、 开 发 测 试 、 实 施 上 线 、 运 行 管 理 等 全 过 程 管 理 。 2 编制主要原则 本标准主要根据以下原则编制： a) 坚 持 先 进 性 与 实 用 性 相 结 合 、 统 一 性 与 灵 活 性 相 结 合 、 可 靠 性 与 经 济 性 相 结 合 的 原 则 ， 以 标 准 化 为 指 导 相 关 业 务 系 统 的 安 全 建 设 ； b) 借鉴现行相关的国家标准、行业标准、企业标准，使指导性技术文件具有科学性和规范性； c) 分 析 各 业 务 系 统 的 安 全 需 求 、 性 能 特 征 ， 研 究 提 出 具 有 必 要 性 、 实 用 性 和 可 实 施 性 的 安 全 机 制 和 实 施 措 施 ； d) 严 格 按 照 公 司 统 一 信 息 安 全 防 护 策 略 ， 融 合 公 司 已 有 各 种 安 全 防 护 措 施 ， 制 定 安 全 设 计 框 架 技 术 要 求 ； e) 适 度 防 范 ， 分 级 防 护 ， 提 出 构 建 互 联 网 大 区 ， 明 确 管 理 信 息 大 区 和 互 联 网 大 区 的 感 知 层 、 网 络 层 、 平 台 层 、 应 用 层 的 安 全 防 护 要 求 ， 生 产 控 制 大 区 严 格 遵 循 GB/T 36572 的 要 求 进 行 安 全 防 护 。 3 与其他标准文件的关系 本标准与相关技术领域的国家 /行业现行法律、法规、技术要求保持一致。 本标准不涉及专利、软件著作权等知识产权问题。 4 主要工作过程 2019年8月，项目正式启动，成立项目编写组，确立分工与职责，制定工作计划。 2019年8月 ， 编 写 组 通 过 分 析 、 验 证 ， 起 草 了 本 标 准 草 案 稿 ， 并 组 织 内 部 专 家 对 初 稿 的 内 容 、 格 式 、 章 节 等 进 行 了 认 真 讨 论 ， 对 本 标 准 的 技 术 要 求 、 规 范 性 引 用 文 件 等 提 出 修 改 意 见 ， 会 后 编 写 组 根 据 专 家 意 见 进 行 了 修 改 ， 形 成 标 准 初 稿 。 2019年9月，公司互联网技术标准专业工作组(TC06)在北京组织专家对标准初稿进行了评审，提出 了修改意见，会后编写组对标准初稿进行完善，形成征求意见稿。 2019年10月，采用发函的方式，广泛、多次在国家电网有限公司范围内征求意见。 2019年11月，根据各单位专家反馈的意见，进一步对内容进行丰富和修改，形成送审稿。 1 1 2019年12月 ， 公 司 互 联 网 技 术 标 准 专 业 工 作 组 (TC06) 在 北 京 组 织 召 开 了 标 准 审 查 会 ， 审 查 结 论 为 ： 审 查 组 协 商 一 致 ， 同 意 修 改 后 以 技 术 标 准 形 式 报 批 。 2019年12月，修改形成报批稿。 5 标准结构和内容 本标准按照 《 国家电网公司技术标准管理办法 》 （国家电网企管 〔2018〕222 号文）的要求编写。 本标准的主要结构和内容如下： 本标准主题章分为6章，由总则、感知层安全防护技术要求、网络层安全防护技术要求、平台层安 全防护技术要求、应用层安全防护技术要求、通用安全防护技术要求组成。第5章总则章节给出了电力 物联网全场景总体防护原则，以及大区隔离、系统部署、终端接入的总体防护要求；然后第6-9章分别 阐 述 了 感 知 层 、 网 络 层 、 平 台 层 以 及 应 用 层 的 安 全 防 护 技 术 要 求 ； 最 后 第 10章提出了通用安全防护技术 要 求，包括密码基础设施要求、监测安全及态势感知要求、数据安全要求。 6 条文说明 无。