文章总结： 文档解析IEC62351-10电力系统网络安全架构指南，旨在解决防护不当或资源浪费问题。核心要求是开展资产识别与风险分级，据此划分安全域并实施物理或逻辑隔离。强调按级别匹配差异化防护措施，高等级系统需强认证加密，低等级可简化。文章还指出跨域通信管控及资产分级主观性是实施难点。 综合评分： 92 文章分类： 技术标准,安全建设,解决方案,网络安全

【大话工控安全】工业控制系统行业知识：电力行业通信安全标准IEC62351（GB/T 25320）-PART10

原创

老付话安全

老付话安全

2025年12月30日 20:36 山东

点击蓝字

关注我们

始于理论，源于实践，终于实战

老付话安全，每天一点点

激情永无限，进步看得见

关注我，带给你不一样的精彩

世界因你的沉淀而出彩

严正声明

本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施，发生一切问题由相关个人承担法律责任，其与本号无关。

特此声明！！！

本文字数：

2210字

阅读时间：

6分钟

IEC 62351 第十部分（IEC TR 62351-10:2012，作为技术报告发布）主要提供电力系统网络安全体系结构指南，旨在帮助系统集成商在部署电力系统时应用可用的安全标准。

主要内容与目标

该技术报告不是一个强制性的标准，而是一份指导性文件，重点在于描述基于基本安全控制措施的电力系统安全体系结构。

• 安全控制措施：该报告概述了安全相关的组件、功能及其相互作用，例如防火墙、认证、基于角色的访问控制（RBAC）、拒绝服务预防、监控和审计功能等。
• 架构映射：它提供了这些安全控制与电力系统（如发电、输电、配电系统）通用系统架构之间的关系和映射，为系统集成商提供了实用指导。
• 风险评估指导：该部分有助于对电力系统中的各种设备、系统、网络和数据进行“安全资产盘点”和“风险等级划分”，并根据不同等级安排相应的保护措施。
• 标准整合：它结合了 IEC 62351 系列的其他部分以及 IT 领域的成熟标准（如 VPN、安全 FTP、HTTPS）中的机制，以满足电力系统的特定安全需求。

第十部分要解决的核心风险：

• 胡子眉毛一把抓： 把保护核电站控制系统的安全标准，生搬硬套到智能电表上，成本高到离谱还不实用。

• 该防的没防住： 给最关键的实时控制网络只配了普通办公网级别的安全措施，黑客轻松攻破。

• 资源严重浪费： 在无关紧要的数据传输上耗费大量资源做最高等级加密认证，拖慢系统性能。

• 安全域乱成一锅粥： 办公电脑、用户电表、电网控制系统都接在同一个网络上，毫无隔离，一个点被攻破，全线崩溃。

第十部分的要求：

资产识别与分级：

把电网里所有设备（服务器、工作站、保护装置、电表、RTU）、系统（SCADA, EMS, DMS, 电费系统）、网络（控制网、办公网、用户接入网）、数据（实时控制命令、保护定值、用户用电量、运维日志）都列出来。

然后问最关键的问题：“评估被破坏了/被黑了/泄密了，后果有多严重？”

• 人命关天？ (比如核电站安全系统失效)

• 大范围停电？ (比如主干电网控制指令被篡改)

• 重大设备损坏？ (比如发电机保护失灵)

• 经济损失/罚款？ (比如用户数据大规模泄露)

• 轻微不便？ (比如单户电表读数延迟上报)

根据后果的严重性，给它们分级（比如：极高、高、中、低）。

按级别划分安全分区/安全域：

• 把重要性级别相同或相近、安全要求一致的东西，划到同一个“安全小区”（安全域）里。

在不同安全级别的小区之间，必须建立坚固的“围墙”和严格的“门禁”：

• 物理隔离： 最高级别的控制网络，物理上就和办公网、用户网分开布线。

• 逻辑隔离： 用防火墙、网闸、单向隔离装置等技术手段，严格控制不同域之间的数据流向。比如：

• 只允许办公域向生产控制域发送经过严格过滤和审批的指令（比如经过安全加固的远程维护请求），绝对禁止反向流出实时控制数据到办公网。

• 允许生产控制域向用户服务域单向发送脱敏后的汇总数据（比如区域总负荷），但禁止用户服务域直接访问控制设备。

• 访问控制 (Part 8)： 跨域访问必须经过严格的身份认证和权限检查。

按级别“配保安、上保险”（分级防护措施）：

超高/高级别资产 (如实时控制系统、保护装置)：

• 通信安全： 必须用最强的Part 6安全措施（双向认证TLS + 强加密）。

• 访问控制： 最严格的Part 8权限管理（最小权限 + 多因素认证）。

• 审计日志： 最详尽的Part 7日志记录。

• 密钥管理： 最高等级的Part 9保护（HSM存储私钥、短周期轮换）。

• 物理安全： 锁在专用机房，有门禁监控。

• 网络位置： 放在最核心、隔离最好的安全域。

中等级别资产 (如历史数据库、部分配电自动化设备)：

• 通信安全： 可以用相对轻量的认证加密（比如单向TLS或带密钥的MAC）。

• 访问控制： 严格的权限管理，但可能不需要每次都多因素认证。

• 审计日志： 记录关键操作。

• 密钥管理： 安全存储，定期轮换。

• 物理/网络： 放在次核心域，有防火墙保护。

低级别资产 (如智能电表、部分办公系统)：

• 通信安全： 可能只需要简单的认证（如预共享密钥MAC）或依赖网络层安全。

• 访问控制： 基本权限控制。

• 审计日志： 记录重要事件。

• 密钥管理： 基础管理。

• 物理/网络： 放在外围域，与核心域严格隔离。

要严管跨域通信：

不同安全域之间不是完全不能通信，但必须：

• 走专用安全通道： 比如通过严格配置的防火墙、单向隔离装置。

• 内容严格过滤： 只允许特定类型、特定格式的数据通过，深度检查防止夹带恶意代码或非法指令。

• 协议加固： 对允许通过的协议（如ICCP, IEC 60870-5-104），应用IEC 62351其他部分（如Part 6）的安全加固。

• 记录在案： 所有跨域访问都要记日志（Part 7）。

局限性：

• 分级是门艺术： 怎么准确判断某个资产或数据的风险等级？需要专业知识和经验，分错了（高判低或低判高）都麻烦。

• 分区可能复杂： 现有系统可能已经混在一起，“分小区”改造涉及网络重构，可能费时费力费钱。

• 跨域管理是难点： 既要保证必要的业务数据流动，又要确保安全，平衡点难找，配置容易出错。

• 动态变化： 系统在变，威胁在变，分级和防护措施也需要定期回顾和调整。

end

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老付话安全 老付话安全《【大话工控安全】工业控制系统行业知识：电力行业通信安全标准IEC62351（GB/T 25320）-PART10》