生產控制大區可以分為控制區(安全區 I)和非控制區(安全區Ⅱ);管理信息大區內部在不影響生產控制大區安全的前提下,可以根據各企業不同安全要求劃分安全區。
根據應用系統實際情況,在滿足總體安全要求的前提下,可以簡化安全區的設置,但是應當避免形成不同安全區的縱向交叉聯接。第七條 電力調度數據網應當在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其它數據網及外部公用數據網的安全隔離。
電力調度數據網劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區。第八條 生產控制大區的業務系統在與其終端的縱向聯接中使用無線通信網、電力企業其它數據網(非電力調度數據網)或者外部公用數據網的虛擬專用網絡方式(VPN)等進行通信的,應當設立安全接入區。第九條 在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。
生產控制大區內部的安全區之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施,實現邏輯隔離。
安全接入區與生產控制大區中其他部分的聯接處必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。第十條 在生產控制大區與廣域網的縱向聯接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。第十壹條 安全區邊界應當采取必要的安全防護措施,禁止任何穿越生產控制大區和管理信息大區之間邊界的通用網絡服務。
生產控制大區中的業務系統應當具有高安全性和高可靠性,禁止采用安全風險高的通用網絡服務功能。第十二條 依照電力調度管理體制建立基於公鑰技術的分布式電力調度數字證書及安全標簽,生產控制大區中的重要業務系統應當采用認證加密機制。第十三條 電力監控系統在設備選型及配置時,應當禁止選用經國家相關管理部門檢測認定並經國家能源局通報存在漏洞和風險的系統及設備;對於已經投入運行的系統及設備,應當按照國家能源局及其派出機構的要求及時進行整改,同時應當加強相關系統及設備的運行管理和安全防護。生產控制大區中除安全接入區外,應當禁止選用具有無線通信功能的設備。第三章 安全管理第十四條 電力監控系統安全防護是電力安全生產管理體系的有機組成部分。電力企業應當按照“誰主管誰負責,誰運營誰負責”的原則,建立健全電力監控系統安全防護管理制度,將電力監控系統安全防護工作及其信息報送納入日常安全生產管理體系,落實分級負責的責任制。
電力調度機構負責直接調度範圍內的下壹級電力調度機構、變電站、發電廠涉網部分的電力監控系統安全防護的技術監督,發電廠內其它監控系統的安全防護可以由其上級主管單位實施技術監督。第十五條 電力調度機構、發電廠、變電站等運行單位的電力監控系統安全防護實施方案必須經本企業的上級專業管理部門和信息安全管理部門以及相應電力調度機構的審核,方案實施完成後應當由上述機構驗收。
接入電力調度數據網絡的設備和應用系統,其接入技術方案和安全防護措施必須經直接負責的電力調度機構同意。