新版標準國網"Q/GDW 11807—2024《網絡安全性評價規(guī)范》"是由國家電網有限公司發(fā)布的技術標準，該標準已于2024-03-08正式發(fā)布與實施。替代了目前在用的代替Q/GDW 11807—2018《信息通信及電力監(jiān)控安全性評價規(guī)范》標準。該標準規(guī)定了網絡安全性評價的基本原則、工作流程和評價內容，主要用于指導電力行業(yè)信息通信及電力監(jiān)控系統(tǒng)的安全性評價工作。

網絡安全性評價規(guī)范應按照“貴在真實、重在整改、旨在提高”原則，通過評價、整改、管理標準化的過程循環(huán)，不斷消除安全隱患，完善安全管理。采用企業(yè)自評價和專家評價相結合的方式進行，各單位組織自評價，上級單位組織專家評價。一般分為自查評、專家查評、整改提高、復查評四個階段，各查評階段按照“評價、分析、評估、整改”的過程循環(huán)推進。 

該標準適用于國家電網公司總分部及所屬各單位的信息通信及電力監(jiān)控安全性評價，接入電力監(jiān)控系統(tǒng)的相關發(fā)電企業(yè)可參照執(zhí)行。

主要內容解讀

國家電網新版Q/GDW 11807—2024《網絡安全性評價規(guī)范》標準的基本框架如下圖所示：

01 評價內容

本標準共設一級評價指標4個，二級評價指標27個，三級評價指標125個。評價內容主要包括網絡安全管理體系、信息安全防護體系、通信安全防護和電力監(jiān)控安全防護4個一級評價指標。

a)網絡安全管理體系，主要包括6個二級指標，分別是安全基礎保障、研發(fā)與實施安全管理、上線及投運管理、等級保護、運維管理、應急管理，檢查要點。

b)信息安全防護體系，主要包括6個二級指標，分別是應用系統(tǒng)安全、網絡與邊界安全、基礎平臺安全、物理環(huán)境安全、 終端及外設安全、數(shù)據安全管理，檢查要點。

c)通信安全防護，主要包括7個二級指標，分別是通信網絡架構安全、通信網管系統(tǒng)安全、通信設備安全、通信線纜 安全、通信網承載典型業(yè)務及通道安全、通信機房安全、通信電源安全，檢查要點。

d)電力監(jiān)控安全防護，主要包括8個二級指標，分別是結構安全、網絡設備、安全防護設備、操作系統(tǒng)、關系數(shù)據庫、應用安全、配電終端、物理環(huán)境，檢查要點。

網絡安全性評價規(guī)范總分為2400分，其中網絡安全管理體系600分、信息安全防護600分、通信安全防護600分、電力監(jiān)控系統(tǒng)安全防護600分。各單位在查評過程中可結合實際對標準評價項目進行調整，不具備評價條件或無相應內容的項目可不參評。對不參評項目，應說明不參評理由，該項不得分，且在評價總分中扣除。

每項評價內容按標準明細表進行評分，評價完成后按評分表匯總，最后形成查評實得分。用總得分率來衡量被評價單位網絡安 全總體水平，用各部分的得分率來衡量被評價單位各專業(yè)網絡安全水平。得分率=（實得分/標準分）× 100%。評價結果應當根據評價得分率確定，優(yōu)秀、良好、合格和不合格4個等級中1個。

03 評價方法

綜合運用多種方法對評價項目做出全面、準確的評價，如漏洞掃描、配置核查、現(xiàn)場檢查、查閱和分析資料、現(xiàn)場考試、實物檢查或抽樣檢查、現(xiàn)場試驗或測試等。采用企業(yè)自評價和專家評價相結合的方式，分為自查評、專家查評、整改提高、復查評四個階段，各階段按照“評價、分析、評估、整改”的過程循環(huán)推進。

博智電力監(jiān)控系統(tǒng)監(jiān)督檢查工具在該標準的應用

博智電力監(jiān)控系統(tǒng)督檢查工具主要依據《Q/GDW 11807—2024網絡安全性評價規(guī)范》、 《GB/T 38318-2019電力監(jiān)控系統(tǒng)網絡安全評估指南》、《2024年第27號令電力監(jiān)控系統(tǒng)安全防護規(guī)定》、《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》等相關標準法規(guī)和要求，推出的一款針對電力行業(yè)專用的安全監(jiān)督檢查工具。不僅可以依托漏洞掃描、配置核查、現(xiàn)場檢查、查閱和分析資料、現(xiàn)場試驗或測試等手段，遵循網絡安全管理體系-信息安全防護體系-通信安全防護-電力監(jiān)控安全防護檢查流程，做出全面、準確的評價。采用企業(yè)自評價和專家評價相結合的方式，分為自查評、專家查評、整改提高、復查評四個階段，各階段按照“評價、分析、評估、整改”的過程循環(huán)推進，輸出網絡安全性評價自查評/專家查評報告。

而且還可以針對電力系統(tǒng)生產線提供專業(yè)的檢查知識和檢查方法，遵循體系結構-系統(tǒng)本體-監(jiān)測評估-基礎設施-管理制度-運維行為檢查流程，對采集的資產信息、漏洞信息、高危端口和配置核查等數(shù)據進行對比、自動化關聯(lián)，結合人工檢查結果，輸出電力監(jiān)控系統(tǒng)安全防護整改通知書和電力監(jiān)控系統(tǒng)安全防護技術監(jiān)督報告，從而促進電力監(jiān)控系統(tǒng)安全執(zhí)法檢查和企業(yè)自查工作的常態(tài)化、標準化，以及規(guī)范化。

電力監(jiān)控系統(tǒng)監(jiān)督檢查工具主要包括網絡配置、策略配置、新建任務、檢查任務內容篩選、任務執(zhí)行和結果報告等流程，具體業(yè)務操作流程如下圖所示：

工具通過綜合檢查模塊設計，涵蓋資產信息采集、漏洞掃描、配置核查、合規(guī)填報和系統(tǒng)管理等各方面，確保檢查內容完整，符合相關標準和法規(guī)要求，對電力監(jiān)控系統(tǒng)進行全面檢查。

工具不僅可以遵循網絡安全管理體系-信息安全防護體系-通信安全防護-電力監(jiān)控安全防護檢查流程，而且還可以遵循“體系結構-系統(tǒng)本體-監(jiān)測評估-基礎設施-管理制度-運維行為”檢查流程，確保檢查工作有條不紊進行。系統(tǒng)性檢查逐一排查安全隱患，檢查結果更具針對性和準確性。

通過工具自動化與人工填報結合的檢查模式，工具提高檢查效率和準確性。自動化對數(shù)據進行對比和關聯(lián)分析，結合人工檢查的專業(yè)性，確保結果準確，并輸出整改通知書和技術監(jiān)督報告，推動檢查工作的規(guī)范化。

針對《Q/GDW 11807—2024網絡安全性評價規(guī)范》、 《GB/T 38318-2019電力監(jiān)控系統(tǒng)網絡安全評估指南》、《2024年第27號令電力監(jiān)控系統(tǒng)安全防護規(guī)定》、《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》等相關標準法規(guī)和要求的一款電力行業(yè)專用安全監(jiān)督檢查工具。

國家電網公司總分部、所屬各單位以及相關發(fā)電企業(yè)等，開展涉及信息通信系統(tǒng)及電力監(jiān)控監(jiān)控系統(tǒng)的監(jiān)督檢查和安全性評價工作。