电力网络安全资讯季刊-第一期

- 49 -

析研判网络安全信息、统筹协调网络安全检查、组织通报网络安全信息等职责。

4.2.3 行业主管监管部门。《实施办法》第四条规定：“行业主管监管部门对

本行业本领域的网络安全负指导监管责任。没有主管监管部门的，由所在地区负

指导监管责任。”

4.3 责任范围

《实施办法》所划定的责任主体，具有各自不尽相同的责任范围，覆盖每一

个行业和领域、地区、关键信息基础设施运营单位、党政机关。

4.3.1 行业和领域。按照《实施办法》第四条，本行业本领域的网络安全检

查、事件处置，由主管监管部门负责指导监管。没有主管监管部门的行业，由所

在地区负指导监管责任。少数没有主管监管部门的行业、领域，由所在地区网信

领导机构负责。

4.3.2 地区。按照《实施办法》第五条，本地区的网络安全事件汇集、分析研

判、组织指导信息通报、统筹协调网络安全检查等工作，由本地区的网信领导机

构负责。

4.3.3 关键信息基础设施运营单位。关键信息基础设施运营单位网络安全工

作，由本单位的党委（党组）负主体责任，由相关行业主管监管部门负指导监管

责任，没有主管监管部门的关基单位，由所在地区网信领导机构负指导监管责

任。

4.3.4 党政机关。按照《实施办法》第三条，党政机关本单位的网络安全工

作，由本单位党委（党组）负主体责任。

4.4 责任事项

不同的责任主体，具有不同的责任事项。

4.4.1 各级党委（党组）。

按照《实施办法》第三条，各级党委（党组）主要承担的网络安全责任是：

1.认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决

电力网络安全资讯季刊-第一期

- 50 -

策部署，贯彻落实网络安全法律法规，明确本地区本部门网络安全的主要目标、

基本要求、工作任务、保护措施；

2.建立和落实网络安全责任制，把网络安全工作纳入重要议事日程，明确工作

机构，加大人力、财力、物力的支持和保障力度；

3.统一组织领导本地区本部门网络安全保护和重大事件处置工作，研究解决重

要问题；

4.采取有效措施，为公安机关、国家安全机关依法维护国家安全、侦查犯罪以

及防范、调查恐怖活动提供支持和保障；

5.组织开展经常性网络安全宣传教育，采取多种方式培养网络安全人才，支持

网络安全技术产业发展。

4.4.2 行业主管监管部门。

《实施办法》第四条规定：

行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监

管部门的，由所在地区负指导监管责任。主管监管部门应当依法开展网络安全检

查、处置网络安全事件，并及时将情况通报网络和信息系统所在地区网络安全和

信息化领导机构。各地区开展网络安全检查、处置网络安全事件时，涉及重要行

业的，应当会同相关主管监管部门进行。

4.4.3 各级（各地区各部门）网络安全和信息化领导机构。

《实施办法》第五条：各级网络安全和信息化领导机构应当加强和规范本地

区本部门网络安全信息汇集、分析和研判工作，要求有关单位和机构及时报告网

络安全信息，组织指导网络安全通报机构开展网络安全信息通报，统筹协调开展

网络安全检查。《实施办法》第六条：各地区各部门网络安全和信息化领导机构

应当向中央网络安全和信息化委员会及时报告网络安全重大事项，包括出台涉及

网络安全的重要政策和制度措施等。各地区各部门网络安全和信息化领导机构每

年向中央网络安全和信息化委员会报告网络安全工作情况。

4.5 责任追究

电力网络安全资讯季刊-第一期

- 51 -

《实施办法》第八条规定了责任追究的几种情形。

4.5.1 按行为追责。《实施办法》第八条第一款规定：各级党委（党组）违反

或者未能正确履行本办法所列职责，按照有关规定追究其相关责任。按此规定，

责任主体若未履行本办法所列职责，有违反本办法的不作为或乱作为行为，则按

有关规定追究相关责任。

4.5.2 按后果追责。《实施办法》第八条第二款规定：“有下列情形之一的，

各级党委（党组）应当逐级倒查，追究当事人、网络安全负责人直至主要负责人

责任。协调监管不力的，还应当追究综合协调或监管部门负责人责任。

1.党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改，导致反动言

论或者谣言等违法有害信息大面积扩散，且没有及时报告和组织处置的；

2.地市级以上党政门户网站或者重点新闻网站受到攻击后没有及时组织处置，

且瘫痪 6 小时以上的；

3.发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家

基础数据泄露的；

4.关键信息基础设施遭受网络攻击，没有及时处置导致大面积影响人民群众工

作、生活，或者造成重大经济损失，或者造成严重不良社会影响的；

5.封锁、瞒报网络安全事件情况，拒不配合有关部门依法开展调查、处置工

作，或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的；

6.阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查

恐怖活动，或者拒不提供支持和保障的；

7.发生其他严重危害网络安全行为的。”

4.6 问责主体

《实施办法》第九条规定了实施问责的主体：“对领导班子、领导干部进行问

责，应当由有管理权限的党组织依据有关规定实施。”按照党的民主集中制原则，

下级党组织服从上级党组织，“有管理权限的党组织”即为被问责对象的上级党组

织。

电力网络安全资讯季刊-第一期

- 52 -

在党的组织结构中，存在双重领导或多重领导的情形。另外，因为存在分管

领域的划分，党组织之间还存在归口领导管理、归口指导、协调或监督职责等关

系。如高校党组织，往往同时受地方党组织、教育部门党组织的双重领导；国有

企业，往往受国资监管部门的领导，同时受所在行业主管监管部门的指导。对

此，为了准确理解“有管理权限的党组织”，可参考《中国共产党重大事项请示报告

条例》的规定。《条例》第二章“党组织请示报告主体”对于党组织向上请示的对象

做出规定，一是在双重领导的情况下，向负有主要领导职责的上级党组织请示报

告，二是在归口领导、管理的情况下，服从批准其设立的党组织的领导。据此，

将“有管理权限的党组织”理解为被问责党组织的上级党组织，或批准其设立的党组

织则更为准确。

需要说明的是，虽然各级网信办有可能不是被问责对象的上级党组织，但作

为网信领域发挥党的领导作用的核心机构，各级网信部门在实施问责中起到重要

作用。《实施办法》第九条第二款规定：“各级网络安全和信息化领导机构办公室

可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。”

4.7 问责措施

《实施办法》第九条规定：“对领导班子、领导干部进行问责，应当由有管理

权限的党组织依据有关规定实施。”此处的“有关规定”，即为《中国共产党问责条

例》。

《中国共产党问责条例》第八条规定了三种针对党组织的问责方式，即检

查、通报、改组；四种针对党的领导干部的问责方式，即通报、诫勉、组织调整

或者组织处理、纪律处分。给予纪律处分的，依照《中国共产党纪律处分条例》

追究纪律责任。

4.8 保障措施

4.8.1 表彰奖励。《实施办法》第七条规定，用表彰奖励的形式促进网络安全

工作的落实：“中央网络安全和信息化委员会办公室会同有关部门按照国家有关规

电力网络安全资讯季刊-第一期

- 53 -

定对网络安全先进集体予以表彰，对网络安全先进工作者予以表彰奖励”。

4.8.2 干部考核。《实施办法》第十条规定：“各级党委（党组）应当建立网

络安全责任制检查考核制度，完善健全考核机制，明确考核内容、方法、程序，

考核结果送干部主管部门，作为对领导班子和有关领导干部综合考核评价的重要

内容”。

(原文摘自财政部官网)

电力网络安全资讯季刊-第一期

- 54 -

电力网络安全资讯季刊-第一期

- 55 -

国网某供电公司配电自动化主站量子加密系统建设

2017 年 1 月，国网运检部为贯彻国家发改委和能源局相关文件精神，落实国

网公司全面建设智能配电网工作部署，推进配电自动化建设，进一步提升配电自

动化应用水平，下发了《运检三〔2017〕6 号国网运检部关于做好“十三五”配电自

动化建设应用工作的通知》，简称“运检 6 号文”。

为了加强配电自动化系统安全防护，保障电力监控系统的安全，《电力监控

系统安全防护规定》（国家发展和改革委员会令 2014 年第 14 号）（以下简称

“14 号令”）和《关于印发电力监控系统安全防护总体方案等安全防护方案和评估

规范的通知》（国能安全〔2015〕36 号）（以下简称“36 号文”）等对配电自动化

系统的安全防护做出了原则性规定。

量子技术作为全球强国都在竞争研发的科技领域，利用经典无线通道融合量

子加密通信技术，是解决配电设备环境复杂、易被入侵以及业务数据无线传输安

全成本投入巨大等传统问题的突破性尝试。量子通信已纳入国家能源技术创新行

动计划。国家发改委、国家能源局 2016 年 4 月 7 日下发了《能源技术革命创新行

动计划（2016-2030 年）》，行动计划《第十三条：现代电网关键技术创新》中，

在信息通信战略方向上明确指出：“重点在电力系统量子通信技术应用、电力设备

在线监测先进传感技术、高效电力线载波通信、推动电力系统与信息系统深度融

合等方面开展研发与攻关”。

国网公司电网信息系统中存有大量暴露在公共环境或使用公网通信的电力测

控设备，这些设备存在被黑客入侵破解后群控大停电的安全隐患。基于量子技术

对国网二次设备防护体系进行加固，使用量子密钥对电力系统关键信令进行加

密，从网络层提高设备的安全等级。融合无线通信资源，有效降低有线专网建设

成本，盘活公司海量测控设备，在保证安全前提下，强化电力对电网、设备、业

电力网络安全资讯季刊-第一期

- 56 -

务的精准掌控度。

在电网配电自动化领域应用量子加密技术，能够防止重要的计量数据被大范

围修改，实现电网远程安全控制，提升社会发展价值。本文提出的量子加密技术

方案，能够大幅提升配电自动化中无线远程遥控的安全水平；对原有网络架构不

产生影响，应用灵活，易于扩展，易于部署验证，实现深度安全防护。量子加密

系统的部署可以保障无线网络的安全接入水平，提升 4G/5G 网络的安全等级，符

合国网安全规范。基于国网某供电公司配电自动化主站系统，采用量子加密方式

实现主站侧与各 DTU、FTU 配电终端的通信安全，满足电网分支互联、分支出口

融合网关等多种应用场景的组网需求。

5.1 现状分析

国网某供电公司配电自动化主站系统遵循 14 号令、36 号文的要求，参照

“安全分区、网络专用、横向隔离、纵向认证”的原则，针对配电自动化系统点多面

广、分布广泛、户外运行等特点，采用基于数字证书的认证技术及基于国产商用

密码算法的加密技术，实现配电主站与配电终端间的双向身份鉴别及业务数据的

加密，确保三遥数据的完整性和机密性；加强配电主站边界安全防护，接入生产

控制大区的配电终端均通过安全接入区接入配电主站。

配电专用纵向认证装置采用非对称算法进行保护，主站传输的下行数据通过

密码机/机密卡进行基于非对称加密技术的身份认证签名，实现数据报文的完整性

保护和主站身份鉴别，同时添加时间戳、随机数，保证数据报文的时效性；上行

数据通过配电信息采集系统将信息传输至配电单向加密认证模块，进行身份的认

证，信息的完整性、时效性以及正确性的判断，并将有效数据发送给终端设备。

目前国网某供电公司配电终端主要通过光纤、无线网络等通信方式接入配电

自动化主站系统，由于目前安全防护措施相对薄弱以及黑客攻击手段的增强，致

使点多面广、分布广泛的配电自动化系统面临来自公网或专网的网络攻击风险，

进而影响配电系统对用户的安全可靠供电。同时，当前国际安全形势出现了新的

变化，攻击者存在通过配电终端误报故障信息等方式迂回攻击主站，进而造成更

电力网络安全资讯季刊-第一期

- 57 -

大范围的安全威胁。为了保障电网安全稳定运行，对国网某供电公司配电自动化

主站系统安全防护方案中的相关措施做进一步细化与补充，特制定本技术方案。

图 9：主站侧现网拓扑图

5.2 方案设计

5.2.1 整体设计

国网某供电公司配电自动化量子加密系统整体设计以量子密钥管理平台和运

营商 4G/5G 网络为基础，计划选取 30 个一二次融合智能开关（DTU/FTU）进行

量子加密保护。系统采用量子物理真随机密钥源作为密钥对现有电力配网的三遥

数据进行加密保护，并强化安全密钥动态管理，实现一次一密或按需调整频次。

设备主要包含量子密钥管理平台（包含密钥管理服务器、密钥分发网关）、量子

加密网关（IPsec vpn）、量子随机数发生器、量子 cpe 终端。

电力网络安全资讯季刊-第一期

- 58 -

图 10：量子加密应用拓扑图

新增量子安全接入区，其中量子密钥管理平台（包含密钥管理服务器、密钥

分发网关）、量子随机数发生器部署在主站侧。量子密钥管理平台通过量子随机

数发生器产生量子密钥实现密钥安全管理及密钥安全分发功能；量子加密网关部

署在网络出口侧，通过运营商 APN 网络与终端量子 cpe 建立 IPsec vpn 隧道实现数

据加解密操作；量子 cpe 终端设备部署在 FTU/DTU 设备终端侧，通过建立 IPsec

隧道实现配网终端设备三遥数据的加密保护。

与现有组网对比如下：

1）保证数据内容传输的完整性

量子加密传输可以为数据传输提供无连接数据完整性安全传输服务，对 IP 数

据包是否被篡改进行多方面检查，确保数据内容在网络中传输没有发生任何变

化，保障数据传输的完整、可靠。

2）确保数据传输过程未被读取

在数据传输过程中，通过量子加密技术，在传输前对数据内容进行量子加

电力网络安全资讯季刊-第一期

- 59 -

密，实现未授权方不能读取报文和数据内容。通过量子加密数据，可以确保黑客

或攻击者即使运用侦听程序截获报文，也无法破解数据内容。

3）量子加密技术保障信息安全

结合量子保密通信技术与经典通信技术进行量子密钥交换，安全可靠，信息

传送高保密。

根据国网某供电公司配网业务实际情况，本方案将量子加密技术结合云、

管、端进行场景落地和实施落地。业务数据加密流向如下：

上行数据：DTU/FTU（内置国网加密芯片）遥测、遥信数据经过国网加密后

再由量子 CPE 进行二次量子加密，最后通过运营商 4G/5G APN 通信网络传至主

站侧，主站侧量子加密网关进行解密操作后，再有国网加密机进行解密，最终将

明文数据提供给业务系统。

下行数据：主站测控制指令(遥控）通过国网加密机、量子加密网关进行二次

加密，密文数据通过运营商 4G/5G APN 通信网络传至终端量子 CPE 进行量子密钥

解密，最后由 DTU/FTU 内的国网加密芯片进行解密得到明文控制指令。

图 11：产品部署示意图

5.2.2 系统架构设计

量子密钥管理平台通过软件+硬件的模式提供面向网络传输安全， 覆盖密钥

生命全周期的管理，包括密钥管理、密钥服务、平台管理、监控预测、传输安全

几大模块。

电力网络安全资讯季刊-第一期

- 60 -

图 12：平台架构图

1 搭建覆盖数据全链路流转的安全保护：面向数据生命全周期，搭建全链路的

量子密码安全保护机制、涵盖、传输安全、数据信息安全等全方位安全保护。

2 量子加密技术提供安全，可靠的传输保护：在电力关键基础设施领域中密钥

安全是数据安全的重中之重，独特的量子密钥技术、可以提供最高级别的量子密

钥安全保障，可抵抗最高级别的量子攻击。

3 围绕密钥生命全周期的功能体系：围绕密钥生命周期，生成、存储、导入和

导出、分发、使用、备份和恢复、归档、销毁等环节，搭建完整的密钥管理体

系，保证完善的密钥管理服务。

5.2.3 系统功能设计

量子密钥管理平台提供安全、可靠、可扩展的密钥管理和分发服务，并实现

对量子安全网关及量子 CPE 的身份认证及密钥更新管理。在密钥生成及获取上，

支持基于量子量子随机数发生器的真量子密钥随机源接入。具备密钥全生命周期

管理功能，对业务系统中的各种密钥、密码设备、密码终端和密码应用进行统一

集中管理，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤

销、密钥归档、密钥恢复以及安全管理等，并提供基于角色的用户管理和权限管

理以及安全审计等功能。支持汇总加密终端的工作状态并对其进行监控，实现各

电力网络安全资讯季刊-第一期

- 61 -

终端密码安全态势监控。

5.3 方案特色

5.3.1 量子密钥加密，提高安全性

量子加密被认为是超过现有算力的安全加密技术，具有数学可证的不可破解

特性，且与现网架构无感兼容。量子密钥管理平台通过对接 QRNG 量子随机数发

生器生成的量子真随机数来生成量子密钥，提供密钥全生命周期管理服务，包括

密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、

密钥恢复以及安全管理等，动态监测密钥状态，全面管理密钥材料，别名，及其

凭证。

图 13：密钥全生命周期

5.3.2 高可靠性

量子+终端全面开放智能遥控功能，平均故障隔离时间从 45 分钟压减至 1 分

钟，最大限度减少国网某供电公司配网大停电风险；

为确保系统的高可靠性，量子加密系统在硬件设计、软件设计等诸多方面采

取了大量的措施：

（1）硬件设计：采用标准服务器设备和交换机设备的硬件架构来作为量子加

密服务器和量子加密设备终端的硬件架构。

（2）软件设计：系统终端认证/密钥申请/密钥更新/配置申请和推送都采用量

子密钥加密传输。

电力网络安全资讯季刊-第一期

- 62 -

5.3.3 透明加密，不影响用户使用习惯

可以在不改变国网某供电公司配电自动化主站已部署的设备网络架构基础

上，添加量子加密系统。用户无感知，不影响用户使用习惯。

5.3.4 根据业务需求，选择性加解密

对于终端设备采集的数据，量子密钥管理平台可根据需要（源 IP、目的 IP、

源 PORT、目的 PORT、源 MAC、目的 MAC、协议标志等）选择性对数据进行加

解密。

5.3.5 方便实用的操作维护功能

量子密钥管理平台提供 B/S 客户端，支持 web 管理，方便用户配置和管理所

有设备。B/S 客户端能提供方便、实用的操作与维护功能：

(1) 管理方式灵活多样。客户端采用基于 Browser/Server 的架构，客户端无需

安装，有 Web 浏览器即可，并支持本地、远程多客户同时访问，用户可根据网络

构成、管理需要和投资规模，灵活地构建网管网络。

(2) 简约化的图形界面。客户端采用直观的列表操作界面，能简洁快速地对设

备进行配置，交互性较强，可视化操作程度高。

(3) 简单方便的维护方式。BS 架构无需升级多个客户端，改变网页，升级服

务器，即可实现所有用户同步更新。

5.3.6 更高效、更经济：量子+中枢强化安全密钥动态管理，可盘活国网某供

电公司大量配网设备，并在各个地市进行推广应用；量子+无线以无线传输替代有

线光纤，最大限度融合公网资源；可减少光纤敷设成本。

电力网络安全资讯季刊-第一期

- 63 -

电力网络安全资讯季刊-第一期

- 64 -

成都创信华通信息技术有限公司

公司成立于 2013 年，位于四川省成都市高新区，现有员工 200 人，是公安

部认可的网络安全等级保护测评与检测评估机构，是国家密码管理局批准的全国

商用密码应用安全性评估机构，是川内首批工业互联网安全评估测评机构，同时

也是国家工业和信息化部商用密码应用产业促进联盟会员单位和国家工业信息安

全产业发展联盟会员单位、国家工业互联网安全评估机构会员单位、中国电子企

业协会会员单位、中关村信息安全联盟第二届理事会单位、四川省密码行业协会

商用密码检测专业委员会主任单位、四川省电力企业协会电力网络安全专委会副

主任单位、成都市保密协会商用密码专业委员会常务理事单位，成都市保密协会

理事单位。

公司是中国共产党第二十次全国代表大会网络安全技术保障单位，“中国共产

党成立 100 周年”网络安保应急处置技术支持单位，四川省内唯一一家对 31 届世

界大学生夏季运动会提供网络安全等保、密评、网络安全服务保障、2022 年冬奥

会提供四川省网络安全保障支撑、以及在疫情期间（2022 年）四川省天府健康通

平台全民健康码提供等保、密评、安全服务保障单位。公司是四川省、云南省防

疫系统网络安全测评服务单位，四川省内唯一一家对省内 26 家省级部门信息系

统安全 AK 服务单位和中共成都市委办公厅信息系统 AK 服务单位，连续三年被

公安部评为“全国网络安全等级保护测评机构先进单位”称号。

公司是国家高新技术企业、科技型中小企业、四川省“专精特新”企业、成都市

网络信息安全产业影响力企业 TOP30，成都市新经济梯度培育企业、高新区“瞪

羚”企业。公司在公安部攻防比赛中排名前 20，在成都市公安局\"等级保护测评机

构渗透能力验证\"第一名，在西藏自治区 2023 年第四届“玄盾杯”网络安全技能大

赛二等奖，2022“天山杯”第二届新疆工业互联网安全大赛第三名，2022 年川渝网

电力网络安全资讯季刊-第一期

- 65 -

络与信息安全职业技能竞赛三等奖，在 2023 年各地市的攻防演练中屡获得一等

奖。

图 14：成都创信华通信息技术有限公司

公司获得了中国合格评定国家认可机构资质（CNAS）和检验检测机构资质

（CMA），信息安全风险评估服务资质，信息系统安全运维、应急处置、网络审

计资质，信息系统工程监理资质等，通过了 ISO 27001 信息安全管理体系认证、

ISO 20000 信息技术服务管理体系认证、ISO 9001 质量管理体系认证、ISO 14001

环境管理体系认证、ISO 45001 职业健康安全管理体系认证等完善的质量管理体系

认证，保障了公司各项业务规范、有序、快速开展。

公司主营业务有等保测评、密码测评、软件测试、网络和数据安全服务、风

险评估、工业互联网安全评估、信息系统工程监理以及信息安全培训等综合网络

安全服务，以“等保+密评+软测+安服+数据安全+安全培训”引领行业发展，已成功

为 3000 多位客户提供安全服务，测评系统超过 6000 多个。公司秉承求真务实、

追求卓越的文化理念，坚持“开创、诚信、规范、专业”的经营宗旨，竭尽全力为网

络安全和国家安全保驾护航。

公司也积极参与网络安全、密码安全和数据安全领域国标、团标和行标的制

定，公司是国家信息安全标准化技术委员会委员单位、国家密码行业标准化技术

委员会委员单位。

电力网络安全资讯季刊-第一期

- 66 -

《电力网络安全资讯季刊》编辑组成员：

四川省电力企业协会网络安全专委会

成都创信华通信息技术有限公司

北京数字认证股份有限公司

长扬科技（北京）股份有限公司

杭州安恒信息技术股份有限公司

深信服科技股份有限公司

亚信安全科技股份有限公司

浙江九州量子信息技术股份有限公司四川分公司

审核：

国网四川省电力公司电力科学研究院

- 1 -

讯季刊

电力网络安全资讯季刊