GB∕T 36572-2018
基本信息
标准号:
GB∕T 36572-2018
中文名称:电力监控系统网络安全防护导则
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:2582KB
相关标签:
电力
监控
系统
网络安全
防护
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36572-2018 电力监控系统网络安全防护导则
GB∕T36572-2018
标准压缩包解压密码:www.bzxz.net
标准内容
ICS29.240.01
中华人民共和国国家标准
GB/T36572—2018
电力监控系统网络安全防护导则Guidelines of cyber security protection forelectric power system supervision and control2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
GB/T36572—2018
规范性引用文件
术语和定义
缩略语
电力监控系统特性及安全防护原则5.1电力监控系统特性
5.2电力监控系统面临的网络安全威胁电力监控系统网络安全防护原则5.3
电力监控系统网络安全防护体系5.4
6安全防护技术
基础设施安全
体系结构安全
监控系统本体安全
可信安全免疫
7应急备用措施·
元余备用
应急响应·
多道防线
全面安全管理.
融人电力安全生产管理体系…
8.2全体人员安全管理…
8.3全部设备及系统的安全管理….8.4全生命周期安全管理·下载标准就来标准下载网
附录A(规范性附录)
附录B(规范性附录)
发电厂监控系统安全防护
变电站监控系统安全防护
电网调度控制系统安全防护
附录C(规范性附录)
本标准按照GB/T1.1一2009给出的规则起草GB/T36572—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国电力企业联合会提出。本标准由全国电力监管标准化技术委员会(SAC/TC296)、全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)、全国电网运行与控制标准化技术委员会(SAC/TC446)、全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)、全国工业机械电气系统标准化技术委员会(SAC/TC231)联合归口。
本标准起草单位:国家能源局、国家电网有限公司、南瑞集团有限公司、全球能源互联网研究院有限公司、中国电力科学研究院有限公司、中国南方电网公司、中国华能集团公司、国家信息技术安全研究中心、中国信息安全测评中心、公安部、机械工业仪器仪表综合技术经济研究所、中国科学院沈阳自动化研究所、中国科学院沈阳计算技术研究所、国网江西省电力公司电力科学研究院、许继集团有限公司、北京四方继保自动化股份有限公司、东方电子股份有限公司北京和利时系统工程有限公司、浙江大学、北京启明星辰信息安全技术有限公司、北京国电智深控制技术有限公司。本标准主要起草人:辛耀中、苑舜、胡红升、许洪强、许海铭、易俗、余勇、朱世顺、郭建成、南贵林、陶洪铸、孙炜、高昆仑、霍书昆、梁寿感、郭森、李京春、李冰、李斌、张狮斌、郭启全、祝国邦、范春玲、李明、马跃、杨维永、邓兆云、杨浩、王志皓、马晓、李凌、梁智强、陈雪鸿、王玉敏、尚文利、尹震宇、吕忠、汪强、任雁铭、蕊国兴、冯冬芹、孟雅辉、朱镜灵、刘森、张亮、王GB/T36572—2018
随着计算机和网络通信技术在电力监控系统中的广泛应用,电力监控系统网络安全问题日益凸显。为了加强电力监控系统的安全管理,防范黑客及恶意代码等对电力监控系统的攻击侵害,保障电力系统的安全稳定运行,根据国家发展改革委员会2014年第14号令《电力监控系统安全防护规定》和国家信息系统等级保护等相关规定制定本标准1范围
电力监控系统网络安全防护导则GB/T36572—2018
本标准规定了电力监控系统网络安全防护的基本原则、体系架构、防护技术、应急备用措施和安全管理要求。
本标准适用于发电、输配电、用电、电网调度等电力生产各环节的电力监控系统安全防护,覆盖其规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等各阶段。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T9361计算机场地安全要求
GB178591999计算机信息系统安全保护等级划分准则GB/T18336.2—2015信息技术安全技术信息技术安全性评估准则第2部分:安全功能
GB/T20272—2006
GB/T20984—2007
GB/T210282007
GB/T210502007
GB/T22186——2016
GB/T22239—2008
GB/T222402008
GB/T25058—2010
操作系统安全技术要求
信息安全技术
信息安全风险评估规范
信息安全技术
服务器安全技术要求
信息安全技术
信息安全技术
网络交换机安全技术要求(评估保证级3)信息安全技术
具有中央处理器的IC卡芯片安全技术要求信息安全技术
信息系统安全等级保护基本要求信息安全技术
信息系统安全等级保护定级指南信息系统安全等级保护实施指南信息安全技术
GB/T25068.3—2010
信息技术
安全技术IT网络安全第3部分:使用安全网关的网间通信安全保护
GB/Z25320(所有部分)电力系统管理及其信息交换数据和通信安全GB/T30976.1—2014工业控制系统信息安全第1部分:评估规范IEC62443(所有部分)工业自动化和控制系统安全(SecurityforIndustrialAutomationandControlSystems)
3术语和定义
下列术语和定义适用于本文件
电力监控系统
electricpowersystemsupervisionandcontrol用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等,包括电力数据采集与监控系统(SCADA)、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装1
GB/T36572—2018
置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网络等。3.2
网络安全防护体系cybersecurityprotectionarchitecture为保障核心业务系统的网络信息安全而建立一整套综合安全防护措施所形成的体系,安全防护体系由安全防护技术、应急备用措施、全面安全管理所形成的三维立体结构组成。3.3
生产控制大区productioncontrolzone由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的电力监控系统构成的安全区域。3.4
控制区control subzone
由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或者专用通道的各业务系统构成的安全区域。
非控制区non-control subzone
在生产控制范围内由在线运行但不直接参与控制,是电力生产过程的必要环节,纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域3.6
管理信息大区managementinformationzone生产控制大区之外的,主要由企业管理、办公自动化系统及信息网络构成的安全区域。3.7
横向隔离lateralisolation
在不同安全区间禁止通用网络通信服务,仅充许单向数据传输,采用访问控制、签名验证、内容过滤、有效性检查等技术,实现接近或达到物理隔离强度的安全措施。3.8
纵向认证verticalauthentication采用认证、加密,访问控制等技术实现数据的远方安全传输以及纵向边界的安全防护的措施。3.9
本体安全self security
电力监控系统软件及设备自身的安全、可控,包括业务系统软件的安全、操作系统和基础软件的安全、计算机和网络设备及电力测控设备的安全、核心处理器芯片的安全。3.10
trustsecurityimmunology
可信安全免疫
基于可信计算技术实现电力监控系统的安全免疫,保障操作系统和电力监控软件安全可信,防范已知和未知的病毒、木马及恶意代码的侵害3.11
5symmetric cipher
对称密码
在加密和解密算法中都是用相同秘密密钥的密码技术3.12
非对称密码
asymmetriccipher
基于非对称密码技术的体制.公开变换用于加密,私有变换用于解密,反之亦然,2
身份认证
:authentication
GB/T36572—2018
专用于确定传输、消息或发信方的有效性的安全措施,或者对接受特定的信息类别的个人授权进行验证的手段
4缩略语
下列缩略语适用于本文件。
BIOS:基本输人输出系统(BasicInputOutputSystem)DTU:配电终端装置(DistributionTerminalUnitFTP:文件传输协议(FileTransferProtocol)FTU:馈线终端装置(FeederTerminalUnit)HTTP:超文本传输协议(Hyper-TextTransferProtocol)IED:智能电子设备(IntelligentElectronicDevice)LAN:局域网络(LocalAreaNetwork)MPLS:多协议标记交换(Multi-ProtocolLabelSwitching)PLC:可编程序控制器(ProgrammableLogicalController)PVC:永久虚拟电路(PermanentVirtualCircuit)RAS:远程访间服务器(RemoteAccessServer)SCADA:监视控制与数据采集系统(SupervisoryControlAndDataAcquisition)SDH:同步数学传输体系(SynchronousDigitalHierarchy)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)USB:通用串行总线(UniversalSerialBus)VLAN:虚拟局域网(VirtualLocalAreaNetwork)VPN:虚拟专用网(VirtualPrivateNetworks)WAN:广域网络(WideAreaNetwork)5电力监控系统特性及安全防护原则5
电力监控系统特性
电力监控系统具有如下特性:
可靠性。电力监控系统的可靠稳定运行是确保电力生产安全的基础,安全防护措施应融人生产控制业务中,减少中间环节,提高电力监控系统的可靠性。b)
实时性。电力监控系统从过程数据的实时采集、传输到控制指令的下达执行,周期短,安全措施应适应电力监控系统的实时性,保证系统正常运行。c)
安全性。电力监控系统大量采用计算机及通信技术,应在保障电力生产过程安全的同时,确保系统及网络安全,能够抵御网络安全威胁d)
分布性。电力监控系统具有实时闭环控制的特性.采集、传输、控制等业务模块采用地理或空间位置上的分散布置方式,生产过程的实时性越高分布性越强,网络安全防护应适应其分布性。
系统性。电力监控系统在时间上具有时变性和连续性,在空间上具有分布参数和分布处理的特性,在技术上涉及技术领域和设备系统较多,在管理上涉及业务部门和层级较多,对系统性要求很高,网络安全防护具有很强的系统性。3
GB/T36572—2018
电力监控系统面临的网络安全威胁5.2
电力监控系统面临的主要网络安全威胁如表1所示。电力监控系统面临的主要网络安全威胁表1
安全威胁
黑客人侵
旁路控制
完整性破坏
越权操作
无意或故意行为
拦截算改
非法用户
信息泄漏
网络欺骗
身份伪装
拒绝服务攻击
有组织的黑客团体对电力监控系统进行恶意攻击、窃取数据,破坏电力监控系统及电力系统的正常运行
非投权者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解
非授权修改电力监控系统配置、程序、控制命令:非授权修改电力市场交易中的敏感数据
超越已授权限进行非法操作
无意或有意地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等拦截或筹改调度数据广域网传输中的控制命令、参数设置、交易报价等感数据
非投权用户使用计算机或网络资源口令、证书等敏感信息泄密
Web服务欺骗攻击:IP欺骗攻击
人侵者伪装合法身份,进入电力监控系统向电力调度数据网络或通信网关发送大量雪崩数据,造成网络或监控系统瘫痰黑客在调度数据网或专线信道上搭线窃听明文传输的敏感信息,为后续攻击做准备
电力监控系统网络安全防护原则结合电力监控系统特性和面临网络安全威胁,网络安全防护应遵循以下基本原则:建立体系不断发展。逐步建立电力监控系统网络安全防护体系,主要包括基础设施安全、体系a
结构安全、系统本体安全、可信安全免疫、安全应急措施、全面安全管理等,形成多维栅格状架构,并随着技术进步而不断动态发展完善。b
分区分级保护重点。根据电力监控系统的业务特性和业务模块的重要程度,遵循国家信息安全等级保护的要求.准确划分安全等级,合理划分安全区域,重点保护生产控制系统核心业务的安全。
网络专用多道防线。电力监控系统应采用专用的局域网络(LAN)和广域网络(WAN),与外部因特网和企业管理信息网络之间进行物理层面的安全隔离:在与本级其他业务系统相连的横向边界,以及上下级电力监控系统相连的纵向边界,应部署高强度的网络安全防护设施,并对数据通信的七层协议采用相应安全措施,形成立体多道安全防线全面融入安全生产。应将安全防护技术融人电力监控系统的采集、传输、控制等各个环节各d)
业务模块,融人电力监控系统的设计研发和运行维护;应将网络安全管理融人电力安全生产管理体系,对全体人员、全部设备、全生命周期进行全方位的安全管理4
GB/T36572—2018
管控风险保障安全。电力监控系统安全直接影响电网安全,关乎国家安全和社会稳定,应全面e
加强网络安全风险管控,保障电力监控系统安全,确保电力系统安全稳定经济运行。5.4电力监控系统网络安全防护体系电力监控系统网络安全防护体系存在多种描述方式,本标准从安全防护技术、应急备用措施、全面安全管理的三维描述安全防护体系的立体结构,三个维度相互支撑、相互融合、动态关联,并不断发展进化,形成动态的三维立体结构,如图1所示。全面安全管理
融入安全生产
全生命周期
全部设备
全体人员
元余备用
应急响应
多道防线
应急备用措施
一安全防护技术
监控系统版本管理
安全分区
网络专用
操作系统静态免疫
整机主板动态免疫
横向隔离
级向认证
关键芯片
图1电力监控系统网络安全防护体系三维立体结构示意图其中,安全防护技术维度主要包括基础设施安全、体系结构安全、系统本体安全、可信安全免疫等;应急备用措施维度主要包括元余备用、应急响应、多道防线等:全面安全管理维度主要包括全体人员安全管理、全部设备安全管理、全生命周期安全管理、融人安全生产管理体系。如图2所示安全防护技术
0、机房、电源、通信
屏蔽、密码、认证
1.、业务系统应分区分级
2.关键业务应网络专用
3、横向边界应单向隔离
4.级向边界应加密认证
5、监控系统无恶意软件
6、类作系统无恶意后门
7.整机主板无恶意芯片
8、主要芯片无恶意指令
9.可信计算安全免疫
应急备用措施
分布式
备用调度
内网监控
应急预案
从外到内
从下到上
多道防线
全面安全管理
全体人员
安全管理
全部设备
安全管理
全生命周期
安全管理
融入安全生产管
理体系
图2电力监控系统网络安全防护体系示意图网络安全防护体系应融入电力监控系统的规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等各个阶段,且应随着计算机技术、网络通信技术、安全防护技术、电力控制技术的发展而不断发展完善。
GB/T36572—2018
6安全防护技术
基础设施安全
电力监控系统机房和生产场地应选择在具有防震,防风和防雨等能力的建筑内,应采取有效防水,防潮、防火、防静电、防雷击、防盗窃、防破坏措施;机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁(见GB/T9361)。应在机房供电线路上配置稳压器和过电压防护设备设置元余或并行的电力电缆线路为计算机系统供电,应建立备用供电系统,提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;生产控制大区机房与管理信息大区机房应独立设置,应安排专人值守并配置电子门禁系统及具备存储功能的视频、环境监控系统以加强物理访问控制;应对生产控制大区关键区域或关键设备实施电磁屏蔽。(见GB/T22239—2008中的四级系统物理安全和三级系统物理安全等部分。)生产控制大区所有的密码基础设施,包括对称密码、非对称密码、摘要算法,调度数字证书和安全标签等,应符合国家有关规定,并通过国家有关机构的检测认证。6.2体系结构安全
6.2.1总体要求
结构安全是电力监控系统网络安全防护体系的基础框架,也是所有其他安全防护措施的重要基础。电力监控系统结构安全应采用\安全分区、网络专用、横向隔离、纵向认证\的基本防护策略,如图3所示。生产控制大区
控制区
(安全区I)
非控制区
(安全区I)
实时子网
非实时子网
电力调度数据网
控制区
(安全区1)
说明:
生产控制大区
横向单向安全隔离设施:
纵向加密认证设施
防火墙。
非控制区
(安全区)
管理信息大区
信息内网
信息外网
电力企业数据网
信息内网
信息外网
管理信息大区
防火墙
图3电力监控系统结构安全总体框架示意图外部公共因特网
6.2.2分区分级
GB/T36572—2018
电力监控系统应划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区:生产控制大区的纵向互联应与相同安全区互联,避免跨安全区纵向交叉联接。对于小型变电站和发电厂可根据具体情况简化安全区的设置,应按就高不就低的原则对简化后的安全区进行防护,同时避免形成不同安全区的纵尚交义联接生产控制大区的业务系统在与其终端的纵向联接中使用无线通信网、电力企业其他数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信的,应设立安全接人区,如图4所示。
安全接入区
终端设备
说明:
公用通信网络
横向单向安全隔离设施:
身份认证和加密设施
公网前置机
生产控制大区
图4安全接入区防护结构示意图
管理信息大区
各区域安全边界应采取必要的安全防护措施,禁止任何穿越生产控制大区和管理信息大区之间达界的通用网络服务(如FTP、HTTP、TELNET、MAIL、RLOGIN、SNMP等)。应遵循国家信息安全等级保护要求,准确划分电力监控系统安全等级(见GB17859一1999的第4章,GB/T22240—2008中的5.5、GB/T25058—2010中的5.3).生产控制大区的控制区(安全区I)的安全等级最高,非控制区(安全区Ⅱ)次之,管理信息大区再次之6.2.3网络专用
电力监控系统的生产控制大区应在专用通道上使用独立的网络设备组网,采用基于SDH不同道、不同光波长、不同纤芯等方式,在物理层面上实现与其他通信网及外部公用网络的安全隔离生产控制大区通信网络可进一步划分为逻辑隔离的实时子网和非实时子网,采用MPLS-VPN技术、安全隧道技术、PVC技术静态路由等构造子网。生产控制大区数据通信的七层协议均应采用相应安全措施,在物理层应与其他网络实行物理隔离,在链路层应合理划分VLAN,在网络层应设立安全路由和虚拟专网,在传输层应设置加密隧道,在会话层应采用安全认证,在表示层应有数据加密,在应用层应采用数字证书和安全标签进行身份认证见GB/Z25320(所有部分)。
6.2.4横向隔离
在生产控制大区与管理信息大区之间应设置通过国家有关机构安全检测认证的电力专用横向单向安全隔离装置·隔离强度应接近或达到物理隔离,只充许单向数据传输,禁止HTTP、TELNET等双向的通用网络安全服务通信;生产控制大区内部的安全区之间应采用具有访问控制功能的设备、防火墙或GB/T36572—2018
者相当功能的设施,实现逻辑隔离生产控制大区到管理信息大区的数据传输采用正向安全隔离设施·仅允许单向数据传输;管理信息大区到生产控制大区的数据传输采用反向安全隔离设施,仅允许单向数据传输,并采取基于非对称密钥技术的签名验证、内容过滤、有效性检查等安全措施安全接入区与生产控制大区中其他部分的联接处应设置通过国家有关机构安全检测认证的电力专用横向单向安全隔离装置。
6.2.5纵向认证
在生产控制大区与广域网的纵向联接处应设置通过国家有关机构安全检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。6.2.6数字证书和安全标签
依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书及安全标签,生产控制大区中的重要业务系统应采用加密认证机制。6.2.7防火墙和入侵检测
生产控制天区内不同系统间应采用逻辑隔离措施,实现逻辑隔离、报文过滤、访问控制等功能(见GB/T25068.3—2010的第6章和第7章):生产控制大区可部署入侵检测措施,合理设置检测规则,及时捕获网络异常行为,分析潜在威胁,进行安全审计,宜保持特征码及时更新,特征码更新前应进行充分的测试,禁止直接通过因特网在线更新。6.2.8防病毒和防木马
生产控制大区应部署恶意代码防范措施,宜保持特征码以离线方式及时更新,特征码更新前应进行充分的测试,更新过程应严格遵循相关安全管理规定,禁止直接通过因特网在线更新。6.2.9拨号认证设施
拨号认证设施主要用于必要的远程维护,该设施平时应断电关机,需要时临时开机,仅允许单用户登录并严格监管审计,用完应及时关机。拨号认证设施,如远程访问服务器(RAS),应使用安全加固的操作系统,采用数字证书进行登录认证和访问认证,并通过国家有关机构安全检测认证。6.3监控系统本体安全
6.3.1基本要求
在电力监控系统网络安全防护体系架构中,构成体系的各个模块应实现自身的安全,依次分为电力监控系统软件的安全、操作系统和基础软件的安全、计算机和网络设备及电力专用监控设备的安全、核心处理器芯片的安全,均应采用安全、可控、可靠的软硬件产品,并过国家有关机构的安全检测认证。本体安全的相关要求主要适用于新建或新开发的电力监控系统,在运系统具备升级改造条件时可参照执行,不具备升级改造条件的应强化安全管理和安全应急措施。发电厂监控系统安全防护要求见附录A,变电站监控系统安全防护要求见附录B,电网调度控制系统安全防护见附录C。
6.3.2电力监控系统软件安全
电力监控系统中的控制软件.在部署前应通过国家有关机构的安全检测认证和代码安全审计,防范8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。