QGDW 国 家 电 网 公 司 企 业 标 准.docx
《QGDW 国 家 电 网 公 司 企 业 标 准.docx》由会员分享,可在线阅读,更多相关《QGDW 国 家 电 网 公 司 企 业 标 准.docx(28页珍藏版)》请在冰豆网上搜索。
QGDW国家电网公司企业标准
Q/GDW
ICSXX.XXX
备案号:
CEC××—××××
国家电网公司企业标准
Q/GDW×××—2009
电力用户用电信息采集系统
电能信息安全技术规范
poweruserelecoenergydataacquiresystem
Informationsafetyspecification
2009-××-××发布2009-××-××实施
中华人民共和国国家电网公司发布
目次
前言IV
1范围1
2规范性引用文件1
3术语、定义和缩略语1
3.1安全模块SecurityModule1
3.2密码机CryptographyMachine1
3.3密码算法CryptographicAlgorithm1
3.4国密算法CryptographicAlgorithm1
3.5国密SM1算法SM1CryptographicAlgorithm1
3.6认证Certification1
3.7明文PlainText1
3.8密文Ciphertest2
3.9加密Encryption2
3.10解密Decryption2
3.11密钥Key2
3.12消息鉴别码算法MessageAuthenticationCodeAlgorithm2
3.13消息鉴别码MessageAuthenticationCode(MAC)2
3.14分散因子DiffusionFactor2
3.15密钥信息KeyInformation2
3.16公钥基础设施PublicKeyInfrastructure(PKI)2
3.17认证中心CertificationAuthority(CA)2
3.18注册中心RegistrationAuthority(RA)2
3.19数字证书(或证书)DigtalCertificate2
3.20目录服务器DirectoryService2
3.21RSA2
3.22安全隔离网闸(GAP)2
4安全技术要求2
4.1总体要求2
4.2安全防护框架3
4.3边界防护4
4.4主站防护5
4.5无线公网信道防护8
4.6采集设备防护8
4.7应用防护10
4.8密钥管理12
前言
为了满足电力用户用电信息采集系统建设中各环节的安全认证与安全检测的需要,特制订电力用户用电信息采集系统电能信息安全防护技术规范。
本规范制订时参考了用电信息采集系统相关国家标准、行业标准和国家电网公司企业标准。
制订过程中多次召集科研、电力部门和生产单位的有经验的专家共同讨论,广泛征求意见。
本规范规定了电力用户用电信息采集系统的电能信息安全防护技术规范,主要从主站、信道、采集设备、应用和密钥管理方面全面考虑电力用户用电信息采集系统的安全防护。
本规范由国家电网公司营销部提出并负责解释;
本规范由国家电网公司科技部归口;
本规范主要起草单位:
本规范主要起草人:
电力用户用电信息采集系统
安全技术规范
范围
本规范规定了电力用户用电信息采集系统的电能信息安全防护技术规范,主要从主站、信道、采集设备、应用和密钥管理方面全面考虑电力用户用电信息采集系统的安全防护。
本规范适用于电力用户用电信息采集系统建设中各环节的安全认证、信息传输与安全检测。
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
DL/T698.41-200X电能信息采集与管理系统第4-1部分通信协议-主站与电能信息采集终端通信;
GB15853.3-1999:
信息技术-安全技术-实体鉴别第3部分:
使用非对称签名的机制(ISO/IEC9798-3:
1997);
GB/T17903.2-1999:
信息技术-安全技术-抗抵赖第2部分:
使用对称技术的机制(ISO/IEC13888-2:
1997);
GB/T17903.3-1999:
信息技术-安全技术-抗抵赖第3部分:
使用非对称技术的机制(ISO/IEC13888-3:
1997);
术语、定义和缩略语
除下述定义外,DL/T698其它部分定义均适用本部分。
1.1安全模块SecurityModule
安全模块是含有操作系统和加解密逻辑单元的集成电路,可以实现安全存储、数据加/解密、双向身份认证、存取权限控制、线路加密传输等安全控制功能。
1.2密码机CryptographyMachine
能够独立完成加/解密和密钥管理功能的设备。
1.3密码算法CryptographicAlgorithm
描述密码处理过程的一组运算规则或规程。
1.4国密算法CryptographicAlgorithm
国家密码管理局编制的密码算法。
1.5国密SM1算法SM1CryptographicAlgorithm
国密SM1算法是由国家密码管理局编制的一种商用密码分组标准对称算法。
1.6认证Certification
验证一个称谓的系统实体身份的过程。
1.7明文PlainText
待加密的数据。
1.8密文Ciphertest
加密后的数据。
1.9加密Encryption
对数据进行密码变换以产生密文的过程。
1.10解密Decryption
加密过程对应的逆过程。
1.11密钥Key
控制密码变换操作的关键信息或参数。
1.12消息鉴别码算法MessageAuthenticationCodeAlgorithm
带密钥的密码杂凑算法,可用于数据源鉴别。
1.13消息鉴别码MessageAuthenticationCode(MAC)
消息鉴别码算法的输出。
1.14分散因子DiffusionFactor
密钥分散是上级的密钥与本级特征相结合形成本级密钥,与本级特征有关的业务代码,密钥学称之为分散因子。
1.15密钥信息KeyInformation
密钥信息是与密钥相关的一些信息标识。
1.16公钥基础设施PublicKeyInfrastructure(PKI)
支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务。
1.17认证中心CertificationAuthority(CA)
受一个或多个用户信任、创建和分配证书的机构,又称为认证机构。
1.18注册中心RegistrationAuthority(RA)
证书的注册机构,负责证书的申请业务。
本规范指公安信息安全认证管理系统注册子系统。
1.19数字证书(或证书)DigtalCertificate
数字证书是经一个权威的、可信赖的、公正的第三方机构证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
1.20目录服务器DirectoryService
分布在网络中的各种节点或服务器提供的分布式数据库服务,它们可以存储像证书和CRL这样的信息。
1.21RSA
公开非对称算法,用于数字签名和数据加密。
1.22安全隔离网闸(GAP)
是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
安全技术要求
1.23总体要求
1.23.1安全防护总体要求
用电信息采集系统是营销管理业务应用系统的基础数据源的提供者,为确保系统的安全性和保密性,安全防护工作首先应做到统一规划,全面考虑。
用电信息采集系统安全防护总体方案的制定应依据“分区、分级、分域”防护方针。
用电信息采集系统应部署在国家电网公司管理信息大区,独立成域,按照三级防护原则进行安全防护设计。
应积极采用各种先进技术,如虚拟交换网络、防火墙技术、加密技术、网络管理技术等,在系统的各个层面(操作系统、数据库系统、应用系统、网络系统等)加以防范;另外,在系统日常运行管理中,要加强规范管理、严格执行安全管理制度。
在不同主站系统之间建立远程安全加密信道及身份认证、网络边界防护、隔离装置等安全措施,为应用系统提供数据源认证、抗回放、数据加密、数据完整性验证等多种安全功能,有效抵抗窃取网络信息、篡改网络数据、网络重放攻击,确保发送电力数据的加密性,保证充值数据的安全性或通过网络诱骗防止内部网络信息等攻击。
1.23.2安全防护体系建设的总体目标
防止信息网络瘫痪、防止应用系统破坏、防止业务数据丢失、防止篡改网络数据、保证数据远程传输的加密性、保证数据的安全性、防止企业信息泄密、防止终端病毒感染、防止有害信息传播、防止恶意渗透攻击,以确保信息系统安全稳定运行,确保业务数据安全。
1.23.3安全防护体系建设遵循的策略
信息内外网间采用逻辑强隔离设备进行隔离;信息系统间的远程传输采用网络加密系统保证远程数据传输的安全性和防止对数据的篡改、对终端和用户身份进行严格认证,保证用户身份的唯一性和安全性。
信息系统划分为边界、主站、网络、采集设备、应用五个层次进行安全防护设计,以实现层层递进,纵深防御。
1.24安全防护框架
1.24.1集中式主站部署方式
集中式主站部署是指全省(直辖市)仅部署一套主站系统,一个统一的通信接入平台,直接采集全省(直辖市)范围内的所有现场终端和表计,集中处理信息采集、数据存储和业务应用。
下属的各地市公司不设立单独的主站,用户统一登录到省公司主站,根据各自权限访问数据和执行本地区范围内的运行管理职能。
1.24.2分布式主站部署方式
分布式主站部署是在全省各地市公司分别部署一套主站系统,独立采集本地区范围内的现场终端和表计,实现本地区信息采集、数据存储和业务应用。
省公司从各地市抽取相关的数据,完成省公司的汇总统计和全省应用。
1.24.3防护框架
无论是分布式主站部署方式还是集中式主站部署方式,对安全防护的整体框架是相同的,都需要分别对边界、主站、信道、采集设备、应用系统进行防护,以满足整个系统的安全防护需求。
表1总体防护技术要求
防护对象
具体目标
采取措施
边界
主站系统与营销系统的边界防护
防火墙
入侵检测系统
网闸系统
主站系统与信息外网第三方的边界防护
主站系统与下级(上级)系统的边界防护
主站
服务器防护
服务器加固及采用各种安全功能
桌面终端防护
桌面终端的安全防护措施及审计
网络防护
网络设备与数据的防护
操作与通信认证
建立CA系统,使用数字证书完成操作与通信认证
信道
GPRS/CDMA的无线公网
结合APN专线和VPN技术进行防护
采集设备
设备本身的安全
设备性能的安全
在设计、选材、测试等多层面做好工作
通信数据的安全
采用设备间的加密与认证措施
应用
身份鉴别
关键数据的完整性
敏感信息的机密性
采用对称密钥算法与非对称密钥算法相结合的混合密码系统。
1.24.4部署策略
在各主站系统内部署病毒防护中心,在所有的计算机终端、服务器上部署防病毒客户端,以防止恶意代码、病毒威胁及黑客攻击。
在各主站系统边界处部署两套防火墙系统,以实现边界隔离和边界策略保护。
在服务器上部署服务器安全增强系统以增强服务器的安全性,保证服务器数据的安全。
在系统内部署一套安全审计系统,对各服务器和终端的操作行为进行监控。
网络入侵检测系统部署在主站系统的核心交换机上。
采用漏洞扫描系统提供定期对终端、服务器漏洞的扫描,并及时打补丁,漏洞扫描系统部署在各网省公司主站系统内。
在各主站系统处部署两台高速主机密码机,在专变终端、集中器和用户电能表处部署安全模块,实现应用层数据完整性、机密性、可用性和可靠性保护。
1.25边界防护
1.25.1边界描述
电力用户用电信息采集系统部署在信息内网,由于本系统可执行对用户开关的直接控制,安全级别应予以提升,可在信息内网独立分区,
电力用户用电信息采集系统包含如下边界:
表2电力用户用电信息采集系统边界
边界类型
边界描述
信息内网与第三方边界
公共服务通道(专线、GPRS、CDMA等)
信息内外网边界
信息内外网间数据交换
信息内网横向域间安全边界
横向域间安全防护是针对各安全域间的通信数据流传输保护所制定的安全防护措施,各系统跨安全域进行数据交换时,应当采取适当的安全防护措施以保证所交换数据的安全,如与营销系统进行数据交换。
信息内网纵向安全边界
信息内网纵向安全边界包括地市级分布式主站与网省公司之间网络边界,集中式主站与地市公司之间网络边界。
在内外网隔离和访问控制措施中,主要采用基于防火墙和交换机的结合来实现内外网隔离及访问控制。
其中交换机上可通过ACL、VLAN、MAC与端口绑定来实现。
1.25.2防火墙
防火墙应具备如下功能:
1)动态过滤技术
提供实时连接状态监控功能,通过规则表与连接状态表共同配合,提高系统的性能和安全性;采用高效的动态过滤技术,根据实际应用需要,为合法的访问连接动态地打开所需的端口。
2)安全通道控制机制
利用基于接口到接口的安全策略建立安全通道,对数据流的走向进行灵活严格的控制。
3)IP地址盗用自动探测技术
应能自动监视内部IP地址资源的使用情况。
提供IP-MAC地址绑定功能,能够自动搜索局域网内所有IP地址对应的MAC地址,有效地防止IP地址欺骗。
4)网络地址转换(NAT)
提供任意网络接口的地址转换功能,对于任何一个网络接口,可以进行向外的源地址转换,向内的目的地址转换以及向内的源地址转换三种NAT。
实现了静态地址映射、动态地址映射、端口转换以及负载均衡等功能。
并且,无论防火墙工作在何种模式(路由,透明,混合)下,都能实现NAT功能。
5)入侵检测(IDS)功能
在内核上实现入侵检测功能,能够有效的防止DoS等各种攻击。
防火墙不但有内置的IDS,还可以和第三方IDS系统实现互动,保证防火墙的安全性和性能。
6)审计和告警功能
要求具有健全的审计和告警功能。
系统管理员在定制安全策略时可以根据需要,对网络行为、资源访问等情况有选择地进行审计。
要求当系统监测到有恶意的攻击性活动、异常行为等重大事件时,将自动进行审计,并通过声音、文本提示框,或者给系统管理员发送邮件等方法进行报警。
7)阻断多种攻击类型
防火墙可在系统内核上实现入侵检测功能,防火墙自身能够处理常见的一些攻击及探测。
8)防火墙的双机备份,支持高可用及负载均衡;
在常规运作的时候分为主服务器和备份服务器。
备份服务器处于实时监视主服务器的运行模式,防火墙工作由主服务器完成。
如果因网络或某些因素使主防火墙服务器不能正常运作时,备份服务器会自动接替主服务器的工作,负责保护网络安全,并发出警告通知网络管理员。
1.25.3入侵检测系统
可采用网络入侵检测系统作为防火墙的重要补充,与防火墙组成动态防御、预警系统。
用于监视10M/100M/1000M局域以太网上传输的所有网络数据信息,根据用户指定的保护目标及检测策略对网络上传输的数据进行深度分析,当可疑行为或攻击行为发生时立即产生报警,同时根据用户需要能采取多种响应措施。
1.25.4网闸系统
用户用电信息采集系统和国网公司生产区信息系统需要进行隔离,可在采集系统中心端安装一台双向信息安全隔离网闸,以防护采集系统内网的所有计算机。
1.26主站防护
1.26.1主站描述
主站网络主要包括服务器主网络、通信子网、工作站子网以及与营销内部系统和营销外部系统互联等四部分。
服务器主网络主要由数据库服务器、应用服务器、接口服务器以及主网络交换机等设备组成。
通信子网由前置服务器集群以及通信子网交换机等设备组成。
工作站子网包括各地市公司(供电局)远程工作站、省(直辖市)公司工作站以及相关网络设备。
与营销应用系统和其它应用系统互联主要由接口服务器、防火墙等设备组成。
网络设计应满足网络通信的带宽要求和访问安全性要求。
对用户用电信息采集系统范围内的计算机及网络设备进行安全加固,部署相应的安全策略,通过合理配置设备的安全属性以提高计算机及网络设备的安全性。
1.26.2服务器防护
采用安全控制、密码保护和可信计算等安全技术构建操作系统安全内核,针对应用定制安全策略,实施集中式、面向应用的安全管理,保证系统环境安全可信,防止病毒、黑客的入侵破坏,以及控制使用者非法操作的目的,全面封堵病毒、黑客和内部恶意用户对系统的攻击,保障整个信息系统的安全。
1.26.3桌面终端防护
桌面终端设备需要安装防病毒软件进行计算机病毒防护,还需要进行终端级的防火墙控制、入侵检测、补丁管理,以更好地保障桌面终端的安全。
有效地保障个人办公桌面终端的安全,降低整个系统所面临的安全风险。
1.26.4网络防护
1.26.4.1网络设备防护
网络设备安全防护包括电力用户用电信息采集系统中的网络基础互联设施的安全防护,如路由器、交换机及防火墙、入侵检测等网络安全设备。
对电力用户用电信息采集系统提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
表3电力用户用电采集系统网络安全控制措施
安全防护
技术要求
安全接入控制
对于电力用户用电信息采集系统中的网络设备及服务器进行安全接入控制:
本地或远程进行设备管理需进行身份认证;
应采用IP与MAC地址绑定等手段以防止网络地址欺骗;
应当制定相应的申请审批流程以配合实现主机接入控制。
入侵防范
在网络中部署入侵检测系统,检测外部对系统的入侵,应能监视所在网段内的各种数据包,对每一个数据包或可疑数据包进行分析,如果数据包与内置的规则吻合,入侵检测系统就会记录事件的各种信息,并发出警报。
恶意代码防范
部署网络防病毒产品,要求其能够在网络边界处防范恶意代码,并保持代码库的及时更新。
设备安全管理
实现设备安全管理,应对其进行以下安全控制:
本地或远程进行设备管理需进行身份认证;
制定设备管理策略,包括限定管理IP地址、制定登陆超时及帐号锁定策略;
采用较为安全的SSH、HTTPS方式对设备进行远程管理;
采用SNMP协议进行网络管理时,建议采用SNMPV3版本进行设备管理,设定较为复杂的community字串;
设备安全加固
对于网络及安全设备的加固主要包括两部分:
依据设备厂商或专业安全机构提供的安全配置列表进行网络设备安全加固;
及时升级设备系统或安装安全更新补丁。
安全弱点扫描
使用专用弱点扫描系统定期对网络及安全设备进行扫描,需注意:
进行扫描之前需将弱点扫描系统特征代码进行更新;
选择非业务高峰时段进行扫描,并制定系统回退计划;
对扫描出的弱点及时进行处理。
配置文件备份
应当定期或配置发生变更时进行配置备份;
对配置信息加密存储;
设备安全审计
应当建立集中日志服务器对电力用户用电信息采集系统中网络及安全设备日志进行集中收集存储;
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
定期对所收集的日志进行事件审计分析,也可采用自动审计系统或事件分析系统进行安全事件审计分析;
网络设备处理能力保证
应保证关键网络设备的业务处理能力具备冗余空间,保证网络带宽满足业务高峰期需要,应采用网管系统等方式对关键网络设备的处理能力、网络带宽进行监测;应按照业务服务的重要次序来指定带宽分配优先级别,采用QOS或专用流量控制设备等手段保证在网络发生拥堵的时候优先保护重要业务信息流传输畅通。
设备链路冗余
应当采用硬件双机等方式保证关键网络及安全设备、通信线路在发生故障或安全事件时的冗余可用。
数据库服务器采用双机热备。
1.26.4.2网络数据流防护
网络业务信息流主要指电力用户用电信息采集系统中从采集终端与主机之间传送的业务数据流,业务数据流在经由网络传输时可能被截获、篡改、删除,因此应当在网络层面采取安全措施以保证经由网络传输信息的完整性、机密性和可用性。
表4电力用户用电采集系统网络信息流防护措施
安全防护
技术要求
入侵检测
在网络中布署入侵检测系统对经网络传输的数据进行检测;
应当根据网络所传输的服务器及客户端IP地址、服务类型及端口号定制入侵检测系统规则;
应当对核心敏感事件或关于核心服务器的事件定制即时报警规则;
应当委派专人定期对入侵检测日志进行分析处理,或采用专用的安全事件分析系统对入侵检测事件进行关联分析并进行自动化处理。
数据传输加密
对于跨安全域业务数据传输采用应用开发控件等方式实现数据加密;
对于已实现加密功能的套装软件通过修改配置启用加密功能(加密方式和加密算法应符合需方要求);
无法采用定制开发、启用配置或增加相应模块实现数据加密时,可采用第三方VPN措施实现数据加密封装。
1.26.5认证方式
认证是证实实体身份的过程,是保证系统安全的重要措施。
当服务器提供服务时,需要确认来访者的身份。
公钥基础设施(PKI,PublicKeyInfrastructure)是一种普遍使用的网络安全基础设施,它从技术上解决了网络通信安全的种种障碍。
数字证书认证机构(CA,CertificateAuthority)从运营、管理、规范、法律、人员等多个角度来解决网络信任问题。
从总体架构来看,PKI/CA主要由最终用户、认证中心和注册机构来组成。
建设用电信息采集主站系统CA及应用安全项目,保证主站系统内部的安全,能够最大限度地确保用户用电信息采集系统的安全、可靠运行。
1.26.5.1人机认证
操作人员身份认证可采用基于口令的认证和USBKey数字证书认证相结合的方法。
USBKey采用USB接口与操作人员计算机终端连接,USBKey应内置单片机或智能卡芯片,可以存储用户的密钥或数字证书。
应用模式采用基于PKI体系的认证模式。
1.26.5.2设备认证
针对用电信息采集系统中一些安全级别要求较高的工作站,需要对工作站设备进行认证,可以在客户端安装专用客户端软件以实现数字签名、加密传输数据等功能,此外,客户端软件还负责在认证过程中,查询证书和相关证书的撤销信息,以及进行证书路径处理。
建议使用硬件PCI密码卡。
1.27无线公网信道防护
基于无线公网的用电采集信息的数据传输处在公共网络环境中,面临着采集数据被窃听、被篡改、传输错误等问题。
用电信息采集系统应采用VPN系统来保证数据远程传输的安全。
终端通过本地号码或免费号码拨入ISP,然后ISP的NAS(NetAccessServer)再发起一条隧道连接到电力网。
对于专用的APN,电力公司内部可建立一台Radius认证服务器,由电力公司为终端分配帐号和密码。
当终端接人企业内部网时,需要通过Radius认证,确认用户身份后,才分配IP地址。
1.28采集设备防护
对采集设备要有防窃、防破坏、用电安全措施,对采集设备自身的数据要确保存储安全和访问安全,采集设备对来源于网络的请求数据要有安全认证机制,采集设备对数据要有加解密处理措施,这些需求均可通过安全认证芯片强加密处理来实现,以防范外界对终端造成的安全威胁。
1.28.1设备认证与加密措施
在采集终端和电能表侧
升级会员 