DL/Z 981-2005
基本信息
标准号: DL/Z 981-2005
中文名称:电力系统控制及其通信数据和通信安全
标准类别:电力行业标准(DL)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1127536
标准分类号
关联标准
出版信息
相关单位信息
标准简介
DL/Z 981-2005.Power system control and associated communication Data and communication security.
1范围和目的
DL/Z 981文件适用于电力部门的计算机化的监视、控制、计量和保护系统。
DL/Z 981涉及这些系统的使用、访问以及内部和系统之间的通信协议有关的安全方面问题。
注:本文件不包含与物理安全问题相关的建议或开发准则。
本文件讨论了对系统及其运行的实际威胁,举例说明了安全隐患和入侵的后果,讨论了改善目前状况的行动和应对措施,但解决方案将考虑作为将来的工作项目。
2概述
安全性和可靠性一直是电力 部门中系统设计和运行的重要问题。监视、保护以及控制系统都按尽可能高的安全性和可靠性要求进行设计,已经开发了接近于零的残留差错率的各种通信协议。采取这些措施的目的是为了使危及人体及设备的风险最小,并促进电网的高效运行。
对易受攻击对象的物理威胁已经通过传统的方法,即靠封闭建筑物、围栏和警卫等方法处理,但忽略了通过搭接的通信电路伪造SCADA命令跳开关键开关的这种十分可能的恐怖威胁。在目前使用的协议中没有确保控制命令来自授权来源的功能。
随着电力市场解除管制又带来新的威胁:了解竞争方的资产和其系统的运行有可能获利,获取这些信息是十分可能的现实。
通信协议愈开放、愈标准化,集成到企业的和全球化的通信网络中的通信系统愈多,通信协议和系统就愈需要防范有意或无意的入侵。
1范围和目的
DL/Z 981文件适用于电力部门的计算机化的监视、控制、计量和保护系统。
DL/Z 981涉及这些系统的使用、访问以及内部和系统之间的通信协议有关的安全方面问题。
注:本文件不包含与物理安全问题相关的建议或开发准则。
本文件讨论了对系统及其运行的实际威胁,举例说明了安全隐患和入侵的后果,讨论了改善目前状况的行动和应对措施,但解决方案将考虑作为将来的工作项目。
2概述
安全性和可靠性一直是电力 部门中系统设计和运行的重要问题。监视、保护以及控制系统都按尽可能高的安全性和可靠性要求进行设计,已经开发了接近于零的残留差错率的各种通信协议。采取这些措施的目的是为了使危及人体及设备的风险最小,并促进电网的高效运行。
对易受攻击对象的物理威胁已经通过传统的方法,即靠封闭建筑物、围栏和警卫等方法处理,但忽略了通过搭接的通信电路伪造SCADA命令跳开关键开关的这种十分可能的恐怖威胁。在目前使用的协议中没有确保控制命令来自授权来源的功能。
随着电力市场解除管制又带来新的威胁:了解竞争方的资产和其系统的运行有可能获利,获取这些信息是十分可能的现实。
通信协议愈开放、愈标准化,集成到企业的和全球化的通信网络中的通信系统愈多,通信协议和系统就愈需要防范有意或无意的入侵。
标准图片预览
标准内容
ICS 29.240.01
备案号:16985-2006
中华人民共和国电力行业标准化指导性技术文件DL/Z 981 2005 / IEC TR 62210: 2003 电力系统控制及其通信
数据和通信安全
Power system control and associated communicationData and communication security(IEC TR 62210:2003, IDT)
2005-11-28发布
2006-06-01实施
中华人民共和国国家发展和改革委员会发布
范国和H的
规范性引用必件
术语、定义和缩略语
安全问题介绍.
安企分析过程
本文件安全工作的焦点…
8安全隐患..
9IECTC57对未来安企防护作的建议附聚A(资料性附录)
耐录 B(资料性附录)
附求C(资料性附录)
舫护方案是什么
TASE.2的防护方案
后果图示例
DL/Z981—2005
DL/ z 981 —2005
本指导性技术文件是根据《国家发展和改革委员会关于下达2004年行业标准项目计划通知》(发改办工业[2004了872号文】的安排制的。随着计算机、通信和网络技术的发展,电方系统使用计算机、通信和网络技术实现调度中心、电厂,变电站之问的数据通信越来越普遍,间时,由于Intcrnct 技术已得到广泛使用,E-mail、Web和PC的应也口益普及,随之而来的是病声和黑客等问题。为此,国际电工委员会57技术委员会(IECTC57)对有关电力系统控制的数据和通信安全进行了研究,光于2003发布了技术报告IECTR2210电力系统控制及其通信数据和通信安全》:此外,IECTC57还在进行《数据利通信安全IEC60870一5安个及导则》(57/675/NP)、《数据和通信安全端对端网络管理的管理信息基.本要求》(57/676/NP)、《数据和通信安全EC61850协议集的安全》(57/677/NP)、《数据和通信安全包含MMS协议集的通信网络和系统安全》(57/678/NP)、数据和通信安全包含TCPAP协议集的信网络和系统的安个》(57/679/NP)等安个文件的研究和编写工作,技术报告IECIR2210《电力系统控制及其通信数据和通信安全》是该系列文件的第一个。灯防止中力二次系统的计算机感染病毒和受黑客政击,我国对电力系统次安全防护进行了深入研究,并在此基础上发布了一系列安全防扩规定。这些安全防护规定涉及面比IECTR62210广,内容也更深入,ECTR62210是在通信协议的应用层采取防护措施,与我国的安全防护规定有互补性,对我国电力系统二次安全防护具有指导意义。本指导性技术义件等同采用ECTR62210:2003《电力系统控制及其通信数据和通信安全》。本指导性技术文件的附录A、附录 H和附录C足资料性附录。本指导性技术文件声中国电力企业联会会提出,本指导性技术文件由全国电力系统控制及其通信标准化术委员会归口并负责解释。本指导性技术文件起草单位:国家电力调度通信中心,中国电力科学研究院、国电白动化研究院、福建省电力调度通信中心、华东电力调度通信中心、华中电力调度通信中心:本指导性技术文件主要起草人:南贵林、杨秋恒、许幕梁、邓兆云、姚和、李根蔚、韩水保、陶洪铸。
1范围和目的
电力系统控制及其通信
数据和通信安全
DL / Z 981 2005
本指导性技术文件适用手电力部门的计算机化的监视、控制、计量和保护系统。文件涉及这些系统的使用,访问以及内部和系统之间的通信协议有关的安全方面问题。注:本文件不包含与物理安全问题相关的建议或开发准则。本文件讨论了对系统及其运行的实际威逊,举例说明了安全隐滤和入侵的后果,讨论了改善目前状况的行动和应对措施,但解决方案将虑作为将来的工作项月。2概述
安全性和可靠性一直是电力部门中系统设计和运行的重要问题。监视、保护以及控制系统都按尽可能高的安余性和可靠性要求进行设计,己经开发了接近于零的残留差错率的各种迪信协议。采取这些措施的日的是为了使危及人体及设备的风险最小,并促迹电网的高效运行,对易受攻击对象的物理威助已经通过传统的方法,即靠封闭建筑物、阖栏和警卫等方法处理,但忽略了通过搭接的通信电路伪造SCADA命令跳JF关键开关的这种十-分可能的恐怖威胁。在目前使用的协议中没有确保控制命令米自授权来源的功能。随着电力市场解除管制又带来新的威胁:了解竞争方的资心和其系统的运行有可能获利,获取这些信息是「分可能的现实。
通信协议愈开放、愈标准化,集成到企业的和全球化的通信网络中的通信系统愈多,通信协议和系统就愈需要防范有意或无意的入侵。本文件讨论了电力部门的安全防扩过程,涉及企业安全防护策略,通信网络安全以及端对端的应用安全等。
整个系统的安全依赖于网络设备的安全,也就是依赖于能通信的所有设备的安全。安全的网络设备必须能进行“安全”的通借并能验证用户的访问级别。对各种入侵攻击的有效检测,记求和处理(起诉)必须作为正动审计系统的部分。对威胁的分析要基于系统的可能后果,也就是说,如一个非法入侵者既有野心又有智谋,会发生的最坏结是什么?要把电力部门及其资产的易攻击性:与威胁放在一起米分折。在分析了电力部门的各个系统中存在对易攻击点的威胁之后,本文件着重于GR18657,GB1870和DL 790系列的通信协议,讨论了应对措施。本文件还提出在这些遗信协议中列入安全议题的新工作项目的建议。3规范性引用文件
下列文件中的亲款通过本文件的引用而成为本文件的条款。凡是注期的引用文件,其随后所有的修改单(不包括勘误的内客)或惨订版均不适用于本文件,然而,鼓励根据本文件达成协议的各方足否使用这些文件的最新版本。凡是不注!期的引用文件,其最新版本适用于本文件。GB18657(所有部分)远动设备和系统第5部分:传输协议(IDTIEC60870一S)GB18700(所有部分)远动设备和系统第6部分:与ISO标准和ITU-T建议兼容的远动协议(IDTIEC60870-6)
DL / z 981 — 2005
GBT9387.1一1998信息技术:川放系统互连基本参考模型第1部分:基木模型(IDTISO/LEC74981:1994)
GB/T9387.2--1995信息处理系统川放系统互连基本参:考模型第2部分:安全体系结构(IDTISO/EC 7498—2: 1989)
DL860(所有部分)变电站通信网络和系统(IDTIEC61850)DL.790(所有部分)采用配电线载波的配电自动化(JT[EC61334)ISO/EC10181-1:1996情息技术开放系统左连开放型系统安全框架:概述I50/IEC10181一7:1996信息技术开放系统互连开放型系统安个析架:安个中计和报警框架IS0/IEC 15408-1信息技术安全术IT安全评估标准第1部分:引告和基本通用模式ISO/IEC:15408一2信息技术安全技术IT安今评估标准第2部分:安全功能需求IS0/IEC15408一3信息技术安全技术FT安全评估标滑第3部分:安全保障需求4术语、定义和缩略语
下列术语和定义适用子本标推,4.1 术语和定义
可追溯性accounlability
确保-个实体的活动可以被唯一地追溯到该实体的特性。4.1.2
资产asset
对组织有经济价值的任间事物。[1SO/EC TR 13335-1: 1997]
真实性authenticity
确保一个主体或资源的身份与声称相致的特性,真实性适用于实体,如用,过程、系统和信息。4.1.4
违反授权authorization violutien为一个用途被授权使用某个系统的实体,将该系统川于另一个未经授权的用途。4.1.5
可用性availability
要被授权变体需要就能访和使用的特性。[IS07498-2;1989]
安全底线控制baselinecontrols为系统或组织所设定的最低的安全防护的集合。[ISO/IEC TR 13335--1: 1997
机密性confidentiality
使信息不被未经授权的个人、实体或过程使用或不泄露的特性。[ISO 7498 -2:1989]免费标准bzxz.net
数据完整性data integrity
使数据不被术经授权方式改变或破坏的特性。2
[ISO7498-2; 1989]
拒绝服务:denialofservice
授权的通借流被有意阻退。
窃听eavesdropping
信息被暴露监视通信信号的未授权人员。4.1.11
黑客hack
以卜一种或多种威胁的组:违反授权,信息泄露、完整性破坏和伪装4.1.12
散列函数hashfunction
将大的(可能非常大的)数值集合的务数值映射到较小数值范围的数学函数。4.1.13
信息泄露 information leakage末经投权实体获得交全信息或受限制的信息。4.1.14
完整性破坏integrityviolation信息被未经授权实体生成或修改。4.1.15
截获/蒙改interceptalter
通信包被截获、修改,然后像原通信包一样继续发送。4.1.16
伪装masyuerade
未经授权实体企图假装可信方的身份。4. 1.17
可靠性reliabifity
预期行为和预期结果效的特性。[ISO/IECTR13335-1:1997]
重放replay
通信包被记求,然后在不适当的时间再次传送4. 1. 19
抵赖repudiation
发作信息交换后,交换的两个实体之否认这次交换或否认交换的内容。4.1.20
残留风险 residual risk
在实施安全防扩后剩余的风险。[1SO/HCTR13335-1:1997]
资源耗尽
resourceexhaustion
参览“拒绝服务”。
DL/Z981—2005
DL/Z 981—2005
风险risk
某一给定威胁充分利用一个或一组资产的安全隐患造成资产损失或破坏的可能。[ISO/LEC TR 13335 -- 1I : 1997]4.1.23
安全审计员或安全审计程序securityauditor被允许访问安全审计的踪迹记录并以此生成审计报告的个人或过程:[ISO/IEC 10181-7:1996]
4. 1.24 :
security authorits
安全机构
负责定义,实施或强制执行安全防护策略的实体。4.1.25
安全域 gecurlty doman
安全域尼儿的集合、安全防护策略、安全机构以及与一套安全相关的活动。其中元素的集合按照安全防护策略事指定的活动,安个防护策略巾安全城的安全机构管理。4.1.26
安全域机构securitydomainauthority资全域机构是负责实施安全域安全防护略的安金机构。4.1.27
安全令牌security token
安全令牌是由一个或多个安全服务保护的一组数据,与提供这些安全服务使用的安全信息一,在通信实体之阅进行传送,
安全相关事件security-relatcd evnt已经由安全防护策略规定为可能违反安全或与安全关的任何事件。达到预定义的界限就是安企相关事仆的实例。
欺骗 spoof
一种或多种以下威胁的组合:窃听,信息泄露、光整性破坏、截获/篡改及伪装。4.1.30
系统完整性system integrity
系统以不受损害方式执行其预定功能的特性:不受有意或无意未经授权的系统操作影响[ISO/IEC TR-13335—1: 1997]
安全威胁threat
可能产牛导致有损」系统或组织的有占偶发事件的因素。[ISO/IEC'T 13335—1:1997]
信任trust
当且仪当实体X就一红行为以一种特殊方式表现出它依赖丁实体Y,就称实体X在这组行为上信任实体Y。
可信实体trusted entity
DL/ z 981 — 2005
假设已适当地执行各种安全对策的实体。有了这假设,该实体可以有理由免除其他安全对策。例如:一个可信的授权实体声明一个用户被授权可以进行控制,因而不需采用通带需要的质询认证过程。
实体可能违反安全防护策略,例如执衍安全防扩策略所不充许的动作或者无法执行安全防护策略所充许的动作。
脆弱性vulnerability
脆弱性包括资产或一组资产的弱点,它可用威胁说明。[1SO/IECTR13335—1:1997]
已开发的技术developedtechnology在EAL一5级质量及安全保障导则或者为更高级别的ISO/IEC15408一3中所规定的配置和指导下所元发的软件代码或觉法。
4.2缩略语
Automatic Meter Reading
Common Criteria
Commercial off the Shelf SofrwareDistribution Company
Distribution Line Carrier
Distrihution Line Messaging SystemDistribution Management SystemEvaluation Assurance Level
Energy Management System
Generation Company
Hunan-Machine Interface
High Voltage
Intelligent Electronie DeviceInformation Technology
Local Area Network
LowVoltage
Manufacturiag Mcssage SpecificationMedium Voltage
OpenAccessSame-TimeInformationSystem(user)Programmabl Logic ControllerPlain Old Telephone System
Protection Profite
Rermote Tcrminal Unit
Supervisory Cunlrol And Data AcquisitionSccurity Target
自动抄表
通用谁则
现货供应的商业软件
配电公司
配电线截波
配电线报文系统
配电管理系统
安全保障评估等级
能量管理系统
发电公司
人机界面(如:操作员工作站)高电压
智能电子设备
信息技术
局堪网
低电压
制造报文规范
中电压
Windows NT,是微软视窗个人
计算机操作系统,专为需要先
进性能的个人用户或商务而
开放访问即时信息系统
(用户)可编程逻辑控制器
普通老式电话系统
防扩方案
远方终端设备
监视控制和数据采集
安全目标
DL/Z 981 - 2005
TCP/IP
TelecontrolApplication ServiceElcmcnt远动应用服务元素
TransmissionControlProtoxol/lntenetworkingProtacol传输控制协议/网间协议Target of Evaluation
ransmissionCompany
TRANSCO
5安全问题介绍
Virlual ApplicationAssociationVirtual DistributionEquipinentWidc Area Network
评估目标
输电公司
虚拟应用烂联
虚拟配电设备
广域网
通信和信息安全正成为商业或私有部门信息网络的一个基本要求。对于用通信和信息技术作为关键服务基磁设施或关键服务组部分的部门特别是这样。中断这些服务(例如中断供气,供水,供电)可能影响到!夫地区及大量的个人和公司。无论在公司内部还是公司之问,通信网络化和信息交换在电力基础设施内正日益普迦,尽管在过去,公用事业部门牢牢把握着他们的信总并且控制着他们通信基础设施的大部分,这已成为历史,在共享通信网络以及公儿网络上信息交换愈来愈多。这种趋势使不可信方(如黑客、低素质的员工和恐分子)会考虑采取系统性的攻击。这种趋势以及大量可在攻击中使用的技术,预示省攻击数量会更多,攻击得谨的儿率地会上升。
正:几乎没有能排导出未来威胁模型或攻击模型的公开的可用信总。然而,这方而信息的缺乏升不意味着没有发生攻,而只说明公用事业部门检测攻击的工作不到位,或这类攻击的信息没有公开发表。另外,攻击几率不断上升的趋势可能反映财务动机在不断增长(例如自于解除管制)和容易进行攻击(包如出于技术进步)不像军队那样,计算机或公用事业部门的信息系统和协议的人多数用基本上或还没有意识到对他们的信息和基础设施的可能威胁。史糖的是,虽然用户有时意识到但不重视差手解决已知的安全风险。目前,偶发事件(检测到的攻击)的次数还对较低。然而,检测出的攻击H益增多而1已经证实主要基鸦设施(如煤气、水和电)都是极易被攻击的。可以从多方而考虑安全问题,本文件仅涉及通信安全。它不涉及计算机系统内与信息安全有关的安全问题,而!针对信息通过正CTC57规定的一些协议传送时的信息安全。本文件的使用方法:本文件是用」向ICTC57及其工作组提出建议,可视为建立新工作项日的基础,而不应视为蔡完善。
应进:步考虑与其他IEC技术委员会(IC)建立密切的联系,这样,他们也能考虑未文件提出的建议,
6安全分析过程
本文件的建议将直接影响带规的企业安全防护过程,而且必须以与这个过程一致的方式来构想建议,因此,理解典型的企业安个防护过程的需求以及它们对本文件范围的影响是很重要的1据绘了那些通常认为是带规企业的安全防护策略,这点企业需要建立相对“安个”的公司基础设施。图1清楚地表明,为了建立安全的企业基础设施,企业安全防护策略必须先出企业管理若制定和采纳。
企业安全防护策略的规则涉及安全域,安全域机构、安全审计员(或安企审计程序)的责任规定和指派,此外,企业安全防护策略付诺行动和实施,追常就决定了可接受的残留风险。很明显,企业会制自已的安全防护策略,不是要依靠本文件的建议。然而,向企业管埋者说明木文件论及的通信协议相关的威胁和后果,却在本文件的范遇内。所以企业安全防护策略应仔细对照本义件的以下部分:6
七动审计
IT,安者,「商
安全的两络设备
网络安金
行及比他
图1常规的企业安全过程
a)定义(见4.1):有助一建文敏的词汇表:鹿安全
开发老和厂商
DL. Z 981 2005
b)在防护方案(PP)考虑的特定威胁(见7.2.3):列出了这种威胁的集合及它们的定义,这些在本文件中论及:
c)安个隐患(见第8章):涉及已知存在于本文们讨论的通信协议的通信系统安全隐忠:d)安全分析过程(见第6章):也许这足企业安全防护策略编制人员所关心的,但这更应足企业安全防护策略团队其他成员关心的。企业的安全防护策略往往针对某个防护H标层面,因此应便用所关心的章节以有助对防护扫标制订方案,并告知企业的臂理者,不管怎样,企业防扩目标都要转化为在网络安全、成用安全以及安全网络设备防护过程中的实施策略以及各安全对策:应用安个主要涉及端对端的应用层面的安全。安全防护步骤需要强有力和明确的指导,这样王计算机的应用才只需要些适当的限制、维护和审计。本文件不讨论苯丁主机应用的防护技术和方法。在企业安全防护过程中网络安念通常涉及对防火墙和子网的访问。在这个域叶的安全防护策略必须解决出个了网到另个了网的访问权限问题,本文件对网络安全的企业安全防护策略过程没有行何直接影响。
然而,应用的用户和通过选程通危与终端设备和应用批谁的权阴之间的关系很密切。所以,在制定安全随护策略时主要应考虑以下问题:a)某些应用可能需要根据使用哪台主机或终端束确定安全权限。例如,在SCADA主站,可以允许任例经认证的终端或用看SCADA信息,但是,只有位于物理安全(如控制中心)环境中的终端才有权真止控制远方设备或进行远方应用,或改变其配置。在以上例了中,即使应用的用户有相应的权限,这权限还会进,步受到执行应用的主机或终端的限制
b)某些应用可能需要制定它们自己的安全防护策略,虽然这很少见。对不一楚能确定应川户的!享应用尤其如此(如NT的服务)。闪此,建议在构建应用安全防护策略时要考虑的层次是:a)能否通过远方应用进行用广认证并把它转换成可用信息;b)用户认证的场所能否确定;
心)应用执行的网络位置能否确定:从通信的角度看,最安全的是制定这样的安全防扩策略:可以通过远方设备或远方应用来认证用广7
DL/Z 981—2005
而不仪认证册于连接的节点。
安全网络设备:木文件士要论及可以增强电力部门联网设备的交全性的问题、技术和建议。根据本文件的的,“联网设备”是指任何能相通信的设备,本文件的读者应明确,通信系统的总体安全将由联网设备的安全程度来决定,这一点很重要。这主要是因为设备是大多数信息的米源,也悬能亢接影响电力部门服务的实体(例如断开一个开关导致了停中}。所以,重要的是这些设备有能力鉴别用的访问级别。另外,更为重要的是这些设条能成为审计过程的一部分,从雨使攻击能被还速检测、应对和起诉。多数电力部门不愿准安全防扩方而开销额外费用,然而安个教育和本文件将论及许多问题,并就为什么说H前实施得不够作有力的陈述。主动审计:作为连续的企业安全防护过程的部分,刘任何·套安全防护策略和实施都必须不断进行监视和修正,如没有能力去审计和分析安全攻击,系统的运行及系统的薄弱点,一个安全的系统最终将变得不安全:
为了具务十动审计过科和连续的企业安防护过程,必须有人专门致力」这项上作。因此,需要对电力部门进行与采取这样措施的风险的教育。在还没遭受一次得逻的攻击之前,要证明这种过程的投入效益,即使不是完全不可能,也是很困难的。需要用如不实施安个防护过程会具有怎样可能风险的代价来证明它
该过程的所有部分都需要仔细研究,并针对特定的坏境逆行取舍,但是所有方面都需要加以分析,并在某些方而着手解决。
6.1网络拓扑
可以用很多不同方式来观察通信拓扑结构。就高层说来,分析信息源和使用者之问的信息流是必雷的。见图2。
第兰方
电力中齐
妙教服务
账户利
商务活动
环足和控制
图2中有以下几种主要业务实体:其勉
电力部门
业务功能
电力部门
控制功能
图2业务信息流
a)客产:这个业务实体代表电力和服务的消费名,些为客户期望的服务类型,从出电费账单到电力质量控制作为送电的一部分来提供。客户通常期望以下服务:1)账户和商务证动:包拓客户服务,出单利购电售电(电办中介),在这此证动之叫进行信息交换的力法通说是电话,传真或出了邮件。但发展趋势是通过互联网或具他电了商务方法行信息交换。
此外,这些信息交换现在不仅叫通过电力部门的业务以能提供,也叫由第三方提供。在许多8
DL/z981—2005
情祝下,两个相互竞争的组织常常可以在同-信息基础设施上和同一客广进行信息交换。2)计量和控制活动:这些活动主要与控制供电和控制送达终端客户的电力版量的通信有关。即使可以委托第三方监视营业表计信息,但抄表是当地配电部门的责任。b)第三方:解除电力行业管制的趋势导致彩种业务实体出现,这些实体代理电力部门,执行第三方表计的读数和出单,还提供其他服务。第三方与客户以及电力部门业务功能变换信息:也可能直接监视营业表计和电力的质量。c)电力部门业务功能:这些功能向客户和第三方(按法律要求)提供信息。在解除管制的环境中,可能需要将这些活动的一部分看作相当于第三方。d)电力部门控制功能:这些功能是当前提供的典型的SCADA、EMSLDMS功能。控制功能包括决定发电,配电或电力产品的质量的所有活动。而通信活动的范围包括配电自动化、电力部门到电力部门,电力部门到变电站、电力部门到发电厂等:本文件的主题是确定在ECTC57范围内使扭的避信类型和对这些投术的感胁的影响,然而,许多威胁涉及到通信体系结构和通信拓扑结构巾的弱点,在最品层,如图2所示,业务实体之间任何古接或间接的接口点出现安全相关事件的儿率都很高。然而,为了保护接口点上已有的信息,以及为了推荐适马的安全防护策略规则,需要讨论这些接口点的实际通信拓扑结构。客户对可能的三种不同的业务实体实际工有两个主要接口点,如图2所示。然而,用于账户括动和商务活动功能的拓扑结构通常基于电子商务成因特网技术(或拓扑结构)。但是,计量和控制功能表现为类似」电力部门所使用的质量、配电、输电、发电和变电站那样的拓扑结构。图3表示连接:个或多个设各或数据源的1通信路径和可选的第二通信路径。这些路径中任何一条都可能是引入安全威助的接口。对每个接口点,甚至对实际设备,都需评估它的风险,作为安全分析的一-部分,协议利通信介质也往往会涉及风险:本技术文件的范围是根据这些因索确定土要威协的影响,并在此分析基础上提出安全底线控的建议。1个接对n个设色
接口点
第二通信路经<
图3通常的通信拓扑
6.2基于用户后果的安全分析
很明显,信息的重要性以及公司因此而愿意为保护信息付出的努力是极具主观性的:信息的重要是由实体或被攻击方根据得涅的攻击对其业务或其利益的后果决定的。为此制订了基}被收击方和后果的安全分析方法。
6.2.1被攻击方
被攻击方的定义是:业务过程会遭受攻击得谨影响的任何实体,对本技术文件1来说,图2中能识别为被攻击方的是:
a)发电公司(GENCO):这些业务实体的最终品是电力,它们在发电设施上带投资很多,b)输电公司(TRANSCO):这些业务实休的最终产品是传输发电公司生产的电能。-般是向配电公司传输电能输电公司常是发电公司的客户。1I板攻击方和业务过程的定义及叙述可能随区域而不同。详情要向相应的区域管弹扎构查询:9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
备案号:16985-2006
中华人民共和国电力行业标准化指导性技术文件DL/Z 981 2005 / IEC TR 62210: 2003 电力系统控制及其通信
数据和通信安全
Power system control and associated communicationData and communication security(IEC TR 62210:2003, IDT)
2005-11-28发布
2006-06-01实施
中华人民共和国国家发展和改革委员会发布
范国和H的
规范性引用必件
术语、定义和缩略语
安全问题介绍.
安企分析过程
本文件安全工作的焦点…
8安全隐患..
9IECTC57对未来安企防护作的建议附聚A(资料性附录)
耐录 B(资料性附录)
附求C(资料性附录)
舫护方案是什么
TASE.2的防护方案
后果图示例
DL/Z981—2005
DL/ z 981 —2005
本指导性技术文件是根据《国家发展和改革委员会关于下达2004年行业标准项目计划通知》(发改办工业[2004了872号文】的安排制的。随着计算机、通信和网络技术的发展,电方系统使用计算机、通信和网络技术实现调度中心、电厂,变电站之问的数据通信越来越普遍,间时,由于Intcrnct 技术已得到广泛使用,E-mail、Web和PC的应也口益普及,随之而来的是病声和黑客等问题。为此,国际电工委员会57技术委员会(IECTC57)对有关电力系统控制的数据和通信安全进行了研究,光于2003发布了技术报告IECTR2210电力系统控制及其通信数据和通信安全》:此外,IECTC57还在进行《数据利通信安全IEC60870一5安个及导则》(57/675/NP)、《数据和通信安全端对端网络管理的管理信息基.本要求》(57/676/NP)、《数据和通信安全EC61850协议集的安全》(57/677/NP)、《数据和通信安全包含MMS协议集的通信网络和系统安全》(57/678/NP)、数据和通信安全包含TCPAP协议集的信网络和系统的安个》(57/679/NP)等安个文件的研究和编写工作,技术报告IECIR2210《电力系统控制及其通信数据和通信安全》是该系列文件的第一个。灯防止中力二次系统的计算机感染病毒和受黑客政击,我国对电力系统次安全防护进行了深入研究,并在此基础上发布了一系列安全防扩规定。这些安全防护规定涉及面比IECTR62210广,内容也更深入,ECTR62210是在通信协议的应用层采取防护措施,与我国的安全防护规定有互补性,对我国电力系统二次安全防护具有指导意义。本指导性技术义件等同采用ECTR62210:2003《电力系统控制及其通信数据和通信安全》。本指导性技术文件的附录A、附录 H和附录C足资料性附录。本指导性技术文件声中国电力企业联会会提出,本指导性技术文件由全国电力系统控制及其通信标准化术委员会归口并负责解释。本指导性技术文件起草单位:国家电力调度通信中心,中国电力科学研究院、国电白动化研究院、福建省电力调度通信中心、华东电力调度通信中心、华中电力调度通信中心:本指导性技术文件主要起草人:南贵林、杨秋恒、许幕梁、邓兆云、姚和、李根蔚、韩水保、陶洪铸。
1范围和目的
电力系统控制及其通信
数据和通信安全
DL / Z 981 2005
本指导性技术文件适用手电力部门的计算机化的监视、控制、计量和保护系统。文件涉及这些系统的使用,访问以及内部和系统之间的通信协议有关的安全方面问题。注:本文件不包含与物理安全问题相关的建议或开发准则。本文件讨论了对系统及其运行的实际威逊,举例说明了安全隐滤和入侵的后果,讨论了改善目前状况的行动和应对措施,但解决方案将虑作为将来的工作项月。2概述
安全性和可靠性一直是电力部门中系统设计和运行的重要问题。监视、保护以及控制系统都按尽可能高的安余性和可靠性要求进行设计,己经开发了接近于零的残留差错率的各种迪信协议。采取这些措施的日的是为了使危及人体及设备的风险最小,并促迹电网的高效运行,对易受攻击对象的物理威助已经通过传统的方法,即靠封闭建筑物、阖栏和警卫等方法处理,但忽略了通过搭接的通信电路伪造SCADA命令跳JF关键开关的这种十-分可能的恐怖威胁。在目前使用的协议中没有确保控制命令米自授权来源的功能。随着电力市场解除管制又带来新的威胁:了解竞争方的资心和其系统的运行有可能获利,获取这些信息是「分可能的现实。
通信协议愈开放、愈标准化,集成到企业的和全球化的通信网络中的通信系统愈多,通信协议和系统就愈需要防范有意或无意的入侵。本文件讨论了电力部门的安全防扩过程,涉及企业安全防护策略,通信网络安全以及端对端的应用安全等。
整个系统的安全依赖于网络设备的安全,也就是依赖于能通信的所有设备的安全。安全的网络设备必须能进行“安全”的通借并能验证用户的访问级别。对各种入侵攻击的有效检测,记求和处理(起诉)必须作为正动审计系统的部分。对威胁的分析要基于系统的可能后果,也就是说,如一个非法入侵者既有野心又有智谋,会发生的最坏结是什么?要把电力部门及其资产的易攻击性:与威胁放在一起米分折。在分析了电力部门的各个系统中存在对易攻击点的威胁之后,本文件着重于GR18657,GB1870和DL 790系列的通信协议,讨论了应对措施。本文件还提出在这些遗信协议中列入安全议题的新工作项目的建议。3规范性引用文件
下列文件中的亲款通过本文件的引用而成为本文件的条款。凡是注期的引用文件,其随后所有的修改单(不包括勘误的内客)或惨订版均不适用于本文件,然而,鼓励根据本文件达成协议的各方足否使用这些文件的最新版本。凡是不注!期的引用文件,其最新版本适用于本文件。GB18657(所有部分)远动设备和系统第5部分:传输协议(IDTIEC60870一S)GB18700(所有部分)远动设备和系统第6部分:与ISO标准和ITU-T建议兼容的远动协议(IDTIEC60870-6)
DL / z 981 — 2005
GBT9387.1一1998信息技术:川放系统互连基本参考模型第1部分:基木模型(IDTISO/LEC74981:1994)
GB/T9387.2--1995信息处理系统川放系统互连基本参:考模型第2部分:安全体系结构(IDTISO/EC 7498—2: 1989)
DL860(所有部分)变电站通信网络和系统(IDTIEC61850)DL.790(所有部分)采用配电线载波的配电自动化(JT[EC61334)ISO/EC10181-1:1996情息技术开放系统左连开放型系统安全框架:概述I50/IEC10181一7:1996信息技术开放系统互连开放型系统安个析架:安个中计和报警框架IS0/IEC 15408-1信息技术安全术IT安全评估标准第1部分:引告和基本通用模式ISO/IEC:15408一2信息技术安全技术IT安今评估标准第2部分:安全功能需求IS0/IEC15408一3信息技术安全技术FT安全评估标滑第3部分:安全保障需求4术语、定义和缩略语
下列术语和定义适用子本标推,4.1 术语和定义
可追溯性accounlability
确保-个实体的活动可以被唯一地追溯到该实体的特性。4.1.2
资产asset
对组织有经济价值的任间事物。[1SO/EC TR 13335-1: 1997]
真实性authenticity
确保一个主体或资源的身份与声称相致的特性,真实性适用于实体,如用,过程、系统和信息。4.1.4
违反授权authorization violutien为一个用途被授权使用某个系统的实体,将该系统川于另一个未经授权的用途。4.1.5
可用性availability
要被授权变体需要就能访和使用的特性。[IS07498-2;1989]
安全底线控制baselinecontrols为系统或组织所设定的最低的安全防护的集合。[ISO/IEC TR 13335--1: 1997
机密性confidentiality
使信息不被未经授权的个人、实体或过程使用或不泄露的特性。[ISO 7498 -2:1989]免费标准bzxz.net
数据完整性data integrity
使数据不被术经授权方式改变或破坏的特性。2
[ISO7498-2; 1989]
拒绝服务:denialofservice
授权的通借流被有意阻退。
窃听eavesdropping
信息被暴露监视通信信号的未授权人员。4.1.11
黑客hack
以卜一种或多种威胁的组:违反授权,信息泄露、完整性破坏和伪装4.1.12
散列函数hashfunction
将大的(可能非常大的)数值集合的务数值映射到较小数值范围的数学函数。4.1.13
信息泄露 information leakage末经投权实体获得交全信息或受限制的信息。4.1.14
完整性破坏integrityviolation信息被未经授权实体生成或修改。4.1.15
截获/蒙改interceptalter
通信包被截获、修改,然后像原通信包一样继续发送。4.1.16
伪装masyuerade
未经授权实体企图假装可信方的身份。4. 1.17
可靠性reliabifity
预期行为和预期结果效的特性。[ISO/IECTR13335-1:1997]
重放replay
通信包被记求,然后在不适当的时间再次传送4. 1. 19
抵赖repudiation
发作信息交换后,交换的两个实体之否认这次交换或否认交换的内容。4.1.20
残留风险 residual risk
在实施安全防扩后剩余的风险。[1SO/HCTR13335-1:1997]
资源耗尽
resourceexhaustion
参览“拒绝服务”。
DL/Z981—2005
DL/Z 981—2005
风险risk
某一给定威胁充分利用一个或一组资产的安全隐患造成资产损失或破坏的可能。[ISO/LEC TR 13335 -- 1I : 1997]4.1.23
安全审计员或安全审计程序securityauditor被允许访问安全审计的踪迹记录并以此生成审计报告的个人或过程:[ISO/IEC 10181-7:1996]
4. 1.24 :
security authorits
安全机构
负责定义,实施或强制执行安全防护策略的实体。4.1.25
安全域 gecurlty doman
安全域尼儿的集合、安全防护策略、安全机构以及与一套安全相关的活动。其中元素的集合按照安全防护策略事指定的活动,安个防护策略巾安全城的安全机构管理。4.1.26
安全域机构securitydomainauthority资全域机构是负责实施安全域安全防护略的安金机构。4.1.27
安全令牌security token
安全令牌是由一个或多个安全服务保护的一组数据,与提供这些安全服务使用的安全信息一,在通信实体之阅进行传送,
安全相关事件security-relatcd evnt已经由安全防护策略规定为可能违反安全或与安全关的任何事件。达到预定义的界限就是安企相关事仆的实例。
欺骗 spoof
一种或多种以下威胁的组合:窃听,信息泄露、光整性破坏、截获/篡改及伪装。4.1.30
系统完整性system integrity
系统以不受损害方式执行其预定功能的特性:不受有意或无意未经授权的系统操作影响[ISO/IEC TR-13335—1: 1997]
安全威胁threat
可能产牛导致有损」系统或组织的有占偶发事件的因素。[ISO/IEC'T 13335—1:1997]
信任trust
当且仪当实体X就一红行为以一种特殊方式表现出它依赖丁实体Y,就称实体X在这组行为上信任实体Y。
可信实体trusted entity
DL/ z 981 — 2005
假设已适当地执行各种安全对策的实体。有了这假设,该实体可以有理由免除其他安全对策。例如:一个可信的授权实体声明一个用户被授权可以进行控制,因而不需采用通带需要的质询认证过程。
实体可能违反安全防护策略,例如执衍安全防扩策略所不充许的动作或者无法执行安全防护策略所充许的动作。
脆弱性vulnerability
脆弱性包括资产或一组资产的弱点,它可用威胁说明。[1SO/IECTR13335—1:1997]
已开发的技术developedtechnology在EAL一5级质量及安全保障导则或者为更高级别的ISO/IEC15408一3中所规定的配置和指导下所元发的软件代码或觉法。
4.2缩略语
Automatic Meter Reading
Common Criteria
Commercial off the Shelf SofrwareDistribution Company
Distribution Line Carrier
Distrihution Line Messaging SystemDistribution Management SystemEvaluation Assurance Level
Energy Management System
Generation Company
Hunan-Machine Interface
High Voltage
Intelligent Electronie DeviceInformation Technology
Local Area Network
LowVoltage
Manufacturiag Mcssage SpecificationMedium Voltage
OpenAccessSame-TimeInformationSystem(user)Programmabl Logic ControllerPlain Old Telephone System
Protection Profite
Rermote Tcrminal Unit
Supervisory Cunlrol And Data AcquisitionSccurity Target
自动抄表
通用谁则
现货供应的商业软件
配电公司
配电线截波
配电线报文系统
配电管理系统
安全保障评估等级
能量管理系统
发电公司
人机界面(如:操作员工作站)高电压
智能电子设备
信息技术
局堪网
低电压
制造报文规范
中电压
Windows NT,是微软视窗个人
计算机操作系统,专为需要先
进性能的个人用户或商务而
开放访问即时信息系统
(用户)可编程逻辑控制器
普通老式电话系统
防扩方案
远方终端设备
监视控制和数据采集
安全目标
DL/Z 981 - 2005
TCP/IP
TelecontrolApplication ServiceElcmcnt远动应用服务元素
TransmissionControlProtoxol/lntenetworkingProtacol传输控制协议/网间协议Target of Evaluation
ransmissionCompany
TRANSCO
5安全问题介绍
Virlual ApplicationAssociationVirtual DistributionEquipinentWidc Area Network
评估目标
输电公司
虚拟应用烂联
虚拟配电设备
广域网
通信和信息安全正成为商业或私有部门信息网络的一个基本要求。对于用通信和信息技术作为关键服务基磁设施或关键服务组部分的部门特别是这样。中断这些服务(例如中断供气,供水,供电)可能影响到!夫地区及大量的个人和公司。无论在公司内部还是公司之问,通信网络化和信息交换在电力基础设施内正日益普迦,尽管在过去,公用事业部门牢牢把握着他们的信总并且控制着他们通信基础设施的大部分,这已成为历史,在共享通信网络以及公儿网络上信息交换愈来愈多。这种趋势使不可信方(如黑客、低素质的员工和恐分子)会考虑采取系统性的攻击。这种趋势以及大量可在攻击中使用的技术,预示省攻击数量会更多,攻击得谨的儿率地会上升。
正:几乎没有能排导出未来威胁模型或攻击模型的公开的可用信总。然而,这方而信息的缺乏升不意味着没有发生攻,而只说明公用事业部门检测攻击的工作不到位,或这类攻击的信息没有公开发表。另外,攻击几率不断上升的趋势可能反映财务动机在不断增长(例如自于解除管制)和容易进行攻击(包如出于技术进步)不像军队那样,计算机或公用事业部门的信息系统和协议的人多数用基本上或还没有意识到对他们的信息和基础设施的可能威胁。史糖的是,虽然用户有时意识到但不重视差手解决已知的安全风险。目前,偶发事件(检测到的攻击)的次数还对较低。然而,检测出的攻击H益增多而1已经证实主要基鸦设施(如煤气、水和电)都是极易被攻击的。可以从多方而考虑安全问题,本文件仅涉及通信安全。它不涉及计算机系统内与信息安全有关的安全问题,而!针对信息通过正CTC57规定的一些协议传送时的信息安全。本文件的使用方法:本文件是用」向ICTC57及其工作组提出建议,可视为建立新工作项日的基础,而不应视为蔡完善。
应进:步考虑与其他IEC技术委员会(IC)建立密切的联系,这样,他们也能考虑未文件提出的建议,
6安全分析过程
本文件的建议将直接影响带规的企业安全防护过程,而且必须以与这个过程一致的方式来构想建议,因此,理解典型的企业安个防护过程的需求以及它们对本文件范围的影响是很重要的1据绘了那些通常认为是带规企业的安全防护策略,这点企业需要建立相对“安个”的公司基础设施。图1清楚地表明,为了建立安全的企业基础设施,企业安全防护策略必须先出企业管理若制定和采纳。
企业安全防护策略的规则涉及安全域,安全域机构、安全审计员(或安企审计程序)的责任规定和指派,此外,企业安全防护策略付诺行动和实施,追常就决定了可接受的残留风险。很明显,企业会制自已的安全防护策略,不是要依靠本文件的建议。然而,向企业管埋者说明木文件论及的通信协议相关的威胁和后果,却在本文件的范遇内。所以企业安全防护策略应仔细对照本义件的以下部分:6
七动审计
IT,安者,「商
安全的两络设备
网络安金
行及比他
图1常规的企业安全过程
a)定义(见4.1):有助一建文敏的词汇表:鹿安全
开发老和厂商
DL. Z 981 2005
b)在防护方案(PP)考虑的特定威胁(见7.2.3):列出了这种威胁的集合及它们的定义,这些在本文件中论及:
c)安个隐患(见第8章):涉及已知存在于本文们讨论的通信协议的通信系统安全隐忠:d)安全分析过程(见第6章):也许这足企业安全防护策略编制人员所关心的,但这更应足企业安全防护策略团队其他成员关心的。企业的安全防护策略往往针对某个防护H标层面,因此应便用所关心的章节以有助对防护扫标制订方案,并告知企业的臂理者,不管怎样,企业防扩目标都要转化为在网络安全、成用安全以及安全网络设备防护过程中的实施策略以及各安全对策:应用安个主要涉及端对端的应用层面的安全。安全防护步骤需要强有力和明确的指导,这样王计算机的应用才只需要些适当的限制、维护和审计。本文件不讨论苯丁主机应用的防护技术和方法。在企业安全防护过程中网络安念通常涉及对防火墙和子网的访问。在这个域叶的安全防护策略必须解决出个了网到另个了网的访问权限问题,本文件对网络安全的企业安全防护策略过程没有行何直接影响。
然而,应用的用户和通过选程通危与终端设备和应用批谁的权阴之间的关系很密切。所以,在制定安全随护策略时主要应考虑以下问题:a)某些应用可能需要根据使用哪台主机或终端束确定安全权限。例如,在SCADA主站,可以允许任例经认证的终端或用看SCADA信息,但是,只有位于物理安全(如控制中心)环境中的终端才有权真止控制远方设备或进行远方应用,或改变其配置。在以上例了中,即使应用的用户有相应的权限,这权限还会进,步受到执行应用的主机或终端的限制
b)某些应用可能需要制定它们自己的安全防护策略,虽然这很少见。对不一楚能确定应川户的!享应用尤其如此(如NT的服务)。闪此,建议在构建应用安全防护策略时要考虑的层次是:a)能否通过远方应用进行用广认证并把它转换成可用信息;b)用户认证的场所能否确定;
心)应用执行的网络位置能否确定:从通信的角度看,最安全的是制定这样的安全防扩策略:可以通过远方设备或远方应用来认证用广7
DL/Z 981—2005
而不仪认证册于连接的节点。
安全网络设备:木文件士要论及可以增强电力部门联网设备的交全性的问题、技术和建议。根据本文件的的,“联网设备”是指任何能相通信的设备,本文件的读者应明确,通信系统的总体安全将由联网设备的安全程度来决定,这一点很重要。这主要是因为设备是大多数信息的米源,也悬能亢接影响电力部门服务的实体(例如断开一个开关导致了停中}。所以,重要的是这些设备有能力鉴别用的访问级别。另外,更为重要的是这些设条能成为审计过程的一部分,从雨使攻击能被还速检测、应对和起诉。多数电力部门不愿准安全防扩方而开销额外费用,然而安个教育和本文件将论及许多问题,并就为什么说H前实施得不够作有力的陈述。主动审计:作为连续的企业安全防护过程的部分,刘任何·套安全防护策略和实施都必须不断进行监视和修正,如没有能力去审计和分析安全攻击,系统的运行及系统的薄弱点,一个安全的系统最终将变得不安全:
为了具务十动审计过科和连续的企业安防护过程,必须有人专门致力」这项上作。因此,需要对电力部门进行与采取这样措施的风险的教育。在还没遭受一次得逻的攻击之前,要证明这种过程的投入效益,即使不是完全不可能,也是很困难的。需要用如不实施安个防护过程会具有怎样可能风险的代价来证明它
该过程的所有部分都需要仔细研究,并针对特定的坏境逆行取舍,但是所有方面都需要加以分析,并在某些方而着手解决。
6.1网络拓扑
可以用很多不同方式来观察通信拓扑结构。就高层说来,分析信息源和使用者之问的信息流是必雷的。见图2。
第兰方
电力中齐
妙教服务
账户利
商务活动
环足和控制
图2中有以下几种主要业务实体:其勉
电力部门
业务功能
电力部门
控制功能
图2业务信息流
a)客产:这个业务实体代表电力和服务的消费名,些为客户期望的服务类型,从出电费账单到电力质量控制作为送电的一部分来提供。客户通常期望以下服务:1)账户和商务证动:包拓客户服务,出单利购电售电(电办中介),在这此证动之叫进行信息交换的力法通说是电话,传真或出了邮件。但发展趋势是通过互联网或具他电了商务方法行信息交换。
此外,这些信息交换现在不仅叫通过电力部门的业务以能提供,也叫由第三方提供。在许多8
DL/z981—2005
情祝下,两个相互竞争的组织常常可以在同-信息基础设施上和同一客广进行信息交换。2)计量和控制活动:这些活动主要与控制供电和控制送达终端客户的电力版量的通信有关。即使可以委托第三方监视营业表计信息,但抄表是当地配电部门的责任。b)第三方:解除电力行业管制的趋势导致彩种业务实体出现,这些实体代理电力部门,执行第三方表计的读数和出单,还提供其他服务。第三方与客户以及电力部门业务功能变换信息:也可能直接监视营业表计和电力的质量。c)电力部门业务功能:这些功能向客户和第三方(按法律要求)提供信息。在解除管制的环境中,可能需要将这些活动的一部分看作相当于第三方。d)电力部门控制功能:这些功能是当前提供的典型的SCADA、EMSLDMS功能。控制功能包括决定发电,配电或电力产品的质量的所有活动。而通信活动的范围包括配电自动化、电力部门到电力部门,电力部门到变电站、电力部门到发电厂等:本文件的主题是确定在ECTC57范围内使扭的避信类型和对这些投术的感胁的影响,然而,许多威胁涉及到通信体系结构和通信拓扑结构巾的弱点,在最品层,如图2所示,业务实体之间任何古接或间接的接口点出现安全相关事件的儿率都很高。然而,为了保护接口点上已有的信息,以及为了推荐适马的安全防护策略规则,需要讨论这些接口点的实际通信拓扑结构。客户对可能的三种不同的业务实体实际工有两个主要接口点,如图2所示。然而,用于账户括动和商务活动功能的拓扑结构通常基于电子商务成因特网技术(或拓扑结构)。但是,计量和控制功能表现为类似」电力部门所使用的质量、配电、输电、发电和变电站那样的拓扑结构。图3表示连接:个或多个设各或数据源的1通信路径和可选的第二通信路径。这些路径中任何一条都可能是引入安全威助的接口。对每个接口点,甚至对实际设备,都需评估它的风险,作为安全分析的一-部分,协议利通信介质也往往会涉及风险:本技术文件的范围是根据这些因索确定土要威协的影响,并在此分析基础上提出安全底线控的建议。1个接对n个设色
接口点
第二通信路经<
图3通常的通信拓扑
6.2基于用户后果的安全分析
很明显,信息的重要性以及公司因此而愿意为保护信息付出的努力是极具主观性的:信息的重要是由实体或被攻击方根据得涅的攻击对其业务或其利益的后果决定的。为此制订了基}被收击方和后果的安全分析方法。
6.2.1被攻击方
被攻击方的定义是:业务过程会遭受攻击得谨影响的任何实体,对本技术文件1来说,图2中能识别为被攻击方的是:
a)发电公司(GENCO):这些业务实体的最终品是电力,它们在发电设施上带投资很多,b)输电公司(TRANSCO):这些业务实休的最终产品是传输发电公司生产的电能。-般是向配电公司传输电能输电公司常是发电公司的客户。1I板攻击方和业务过程的定义及叙述可能随区域而不同。详情要向相应的区域管弹扎构查询:9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。