复制成功
  • 图案背景
  • 纯色背景
彳亍有益

上传于:2015-06-17

粉丝量:426

资料来自于互联网,版权归相关厂商所有,仅限于学习使用,不得从事商业活动,如有侵权,及时告知并做删除处理。



Q GDW 1938-2013 嵌入式电力测控终端设备的信息安全测评技术指标框架

下载积分:600

内容提示: 国家电网公司指导性技术文件Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1938 — 2013嵌入式电力测控终端设备的信息安全测评技术指标框架InformationInformationInformationInformation SecurityFrameworkFrameworkFrameworkFramework forSecuritySecuritySecurity Testforforfor EmbeddedEmbeddedEmbeddedEmbedded ElectricAcquisitionAcquisitionAcquisitionAcquisition DevicesTestTestTest andandandand EvaluationEvaluationEvaluationEvaluationTechnicalElectricElectricElectric PowerPowerPowerPower ControlDevicesDevicesDevicesTechnicalT...

文档格式:PDF| 浏览次数:228| 上传日期:2015-06-17 09:31:41| 文档星级:
国家电网公司指导性技术文件Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1938 — 2013嵌入式电力测控终端设备的信息安全测评技术指标框架InformationInformationInformationInformation SecurityFrameworkFrameworkFrameworkFramework forSecuritySecuritySecurity Testforforfor EmbeddedEmbeddedEmbeddedEmbedded ElectricAcquisitionAcquisitionAcquisitionAcquisition DevicesTestTestTest andandandand EvaluationEvaluationEvaluationEvaluationTechnicalElectricElectricElectric PowerPowerPowerPower ControlDevicesDevicesDevicesTechnicalTechnicalTechnical SpecificationsSpecificationsSpecificationsSpecificationsControlControlControl andandandand DataDataDataData2014-01-15发布2014-01-15 实施国家电网公司发 布Q/GDWICSICSICSICS 29.2409.240备案号:CECCECCECCEC 668-2012 目次前言··········································································································································································II1范围···································································································································································· 12规范性引用文件················································································································································13术语与定义························································································································································14信息安全测评技术指标····································································································································1信息安全测评技术指标说明·····························································································································1入网控制························································································································································ 2访问授权与认证··············································································································································2审计······························································································································································· 3数据完整性·····················································································································································3数据机密性·····················································································································································4业务连续性·····················································································································································4网络攻击防御··················································································································································4物理标识························································································································································ 4附录 A(资料性附录) 嵌入式测控终端设备安全性分析················································································5附录 B(规范性附录) 设备分类与应满足的设备信息安全技术要求指南····················································6编制说明·································································································································································· 94.14.24.34.44.54.64.74.84.9 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 2013II前言智能电网中实现测量与控制功能的信息系统是智能电网运行的基础和支撑,现场测控设备是这些系统的执行设备,直接对电力生产过程进行监视与控制,对于电网的稳定运行至关重要。根据国家电网公司智能电网信息安全的设计与规划,为提高现场测控设备的信息安全能力,规范设备的信息安全测评,并指导设备的信息安全设计与应用,特制定本指导性技术文件。本指导性技术文件编写格式和规则遵照 GB/T 1.1—2000《标准化工作导则 第 1 部分:标准的结构和编写规则》的要求。本指导性技术文件由国家电网公司信息通信部提出并解释。本指导性技术文件由国家电网公司科技部归口。本指导性技术文件主要起草单位:中国电力科学研究院。本指导性技术文件主要起草人:梁潇、高昆仑、郑晓崑、赵婷、张涛、时坚、李焕、李怡康、徐兴坤、白云、王志浩、王宇飞 。本指导性技术文件首次发布。 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 20131嵌入式电力测控终端设备的信息安全测评技术指标框架1范围本指导性技术文件确立了电力系统中嵌入式测控终端设备的信息安全技术指标。本指导性技术文件适用于指导本地或远程嵌入式测控设备的信息安全测评。典型的电力测控终端设备有远程传输单元(RTU) 、测控智能电子装置、保护智能电子装置、可编程逻辑控制器(PLC) 、配网自动化终端(DTU) 、 集中器、综合监测单元、状态监测代理(CMA) 。2规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅注日期的版本适用于本文件 。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22081信息技术 安全技术 信息安全管理实用规则GB/T 22239信息安全技术 信息系统安全等级保护基本要求GB/T 9387.2信息处理系统 开放系统互连 基本参考模型 第 2 部分:安全体系结构》GB/T 18336信息技术 信息技术安全性评估准则Q/GDW 383智能变电站技术导则Q/GDW 561输变电设备状态监测系统技术导则Q/GDW 564变电设备在线监测系统技术导则3术语与定义GB/T 22081、GB/T 22239、GB/T 9387.2、GB/T 18336、Q/GDW383、Q/GDW 561 和 Q/GDW 564中确立的以及下列术语和定义适用于本文件。3.1嵌入式电力测控终端设备e e e embeddedmbeddedmbeddedmbedded e e e electriclectriclectriclectric p p p power一种带有处理器, 运行嵌入式软件, 并具有以下电力生产相关全部或部分功能的一种电子设备: (1)采集或处理数据; (2)接收或发送数据; (3)接收或发送控制指令; (4)执行控制指令。3.2泛洪floodingfloodingfloodingflooding通过向计算系统或其他数据处理实体提供大于其处理能力的输入,企图引起其在信息安全方面的故障的攻击。owerowerower c c c controlontrolontrolontrolandandandand d d d dataataataata a a a acquisitioncquisitioncquisitioncquisition d d d deviceeviceeviceevice4信息安全测评技术指标4.1信息安全测评技术指标说明电网中的信息系统的安全防护应符合 GB/T 22239—2008 《信息安全技术—信息系统安全等级保护基本要求》 、电监安全〔2006〕34 号《电力二次系统安全防护总体方案》和国家电网信息〔2011〕1727 号《国家电网公司智能电网信息安全防护总体方案(试行) 》等相关规定。作为信息系统功能实现一部分的嵌入式电力测控终端设备应具备访问控制、数据完整性保护和审计等信息安全机制,防止恶意者访问设备内数据、控制并利用设备接入系统网络乃至广域数据网中的其他系统。信息安全测评工作应覆盖对应技术指标点。 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 20134.2入网控制4.2.1设备接入控制主站或网络应在建立业务连接之前对设备进行接入控制,以支持业务通信功能和配置管理。4.2.2数据源认证访问控制功能基于请求访问的人/系统的身份, 设备与其他设备或后台系统之间的通信应能够识别进行了行为或动作的一方的身份。4.3访问授权与认证4.3.1访问控制授权设备应只允许身份验证正确的实体访问被授权访问的资源, 或只有具有授权的实体才能发出访问请求。权限的设置应基于最小权限原则。4.3.1.1管理员用户角色设备的访问控制功能应支持管理员用户角色,管理员具有创建用户账户和管理其他用户权限的能力。4.3.1.2授权项设备应支持根据用户角色对设备功能进行授权,需要认证授权的功能至少包括:a) 查看数据:查看数据是指能够查看设备的运行数据(电压,电流,功率,状态,报警等) ;b) 查看配置设置:查看配置设置指的是查看设备的配置,如地址,通信地址,可编程的逻辑程序;c) 强制修改:强制修改指的是手动输入覆盖真实数据,和/或手动控制输出运行;d) 配置变更:配置变更是指下载和上传装置的配置文件,和/或变更现有的配置定值;e) 版本变更:新软件版本加载;f) 帐户管理:创建、删除或修改帐户内容;g) 审计日志:审计日志指能够查看和下载审计日志。4.3.1.3配置权限配置软件应支持根据用户角色的操作权限分配,可定义的权限至少包括:a) 配置查看:用户只能查看配置数据,不能对配置进行修改;b) 配置修改:管理员可以修改并保存设备的配置数据,并对设备进行更新;c) 日志查看:审计员只能查看设备审计日志信息。4.3.2配置软件认证设备应能对正在使用的配置软件进行认证,保证是用户授权的软件。未授权的配置软件禁止访问设备的任何功能。4.3.3用户认证设备应具备用户身份验证方法,以支持设备提供的所有服务的访问管理和使用控制功能。4.3.3.1用户名、口令认证设备应支持用户名和口令的用户验证方式。 无论是本地的通过控制面板、 带测试功能通信/诊断接口或远程的通过网络,所有对设备的访问都应当使用唯一的用户名和口令组合进行认证。4.3.3.2口令强度控制设备用户认证功能应对口令的最小长度进行控制,保证口令强度。对于配置软件登录等网络登录,口令应使用最少 6 位字符。4.3.3.3明文口令设备不应在设备内储存或通过共享网络发送明文口令。4.3.3.4操作认证设备的访问控制功能应提供支持操作验证机制的能力。2 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 201334.3.4会话超时锁定当设备会话在管理员定义的一段时间内都不活动,设备应锁定会话。会话锁定应一直保持到重新登录。4.44.4.1审计审计记录事件设备应能产生和存储安全性事件和重要业务事件的审计信息。审计记录的事件类型至少包括以下类型事件:a) 强制修改:已登录用户手动重写真实数据和/或控制操作;b) 访问配置:将配置文件从设备下载到外部设备中(例如计算机) ;c) 配置更改:在设备中传入新配置或者通过键盘输入新配置参数,使设备的配置发生改变;d) 创建用户名/口令或更改:创建新的用户名/口令或者修改帐户权限;e) 删除用户名/口令:删除用户名/口令;f) 访问审计记录:用户查看日志或将日志保存在外部设备或存储空间(计算机、U 盘、光盘) ;g) 修改时间/日期:用户修改时间和日期;h) 警报事故:非授权行为警报,报警行为宜包括但不限于以下内容:单次登陆中,连续多次输错口令;由于断电、按下重启按钮、修改上电顺序或配置修改导致的设备重启;企图使用非法的配置软件访问设备。4.4.2审计记录的内容设备的审计记录应具备可用于事件追溯的基本信息。审计记录内容应包括以下内容:a) 事件的日期和时间;b) 发生事件的组件(例如:文件、数据、定值) ;c) 用户/主体的 ID;d) 操作内容;5) 该事件的结果(成功或失败) 。4.4.3审计的时间戳设备应在审计记录产生时添加基于系统时间的时间戳。4.4.4审计信息的保护设备应保护审计信息和审计功能不被非授权访问、 修改和删除, 并支持审计记录容量的管理策略 (例如覆盖旧的审计记录和停止生成审计记录) 。4.4.5审计故障告警设备或从事审计功能的组件应在审计失败时向适当的负责人员告警。 审计失败包括: 软件/硬件错误 ,审计生成中的错误,审计存储容量满载或超容等。4.5数据完整性4.5.1密码基础设备应具备所使用的加密机制的说明文档,用户可以通过这些文档判断所采购的设备是否符合国家密码主管部门的要求。4.5.2网络报文的重放设备应具备机制防止报文的重放。4.5.3传输数据防篡改设备应具备机制来识别对通信信息的篡改。4.5.4禁用不使用端口设备应具备关闭不使用的或不在访问控制范围内的通信服务端口及物理端口的功能。 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 20134.5.5存储数据防篡改设备应具备存储数据的完整性保护机制。可执行代码、应用配置和操作系统配置可以在升级、调试等过程中被修改,在常规业务操作中不能被修改。4.5.6数据的非可执行性设备应将数据和可执行代码存储在不同的存储空间,并能够阻止数据空间内的代码执行。4.5.7输入数据的语法验证设备应对应用输入和程序配置信息进行检查,保证输入值的合理性,语法的完整性、有效性和正确性。4.6数据机密性4.6.1数据传输的机密性设备应采用非明文方式传输口令等敏感数据。4.6.2存储数据的机密性设备中的敏感数据应以非明文方式存储。4.7业务连续性4.7.1事件报警设备应具备可配置的故障或事件通知功能。4.7.2设备容错设备应提供自动保护功能,当故障发生时自动保护当前重要状态信息与进程,保证设备能够进行恢复。4.8网络攻击防御4.8.1泛洪保护设备应能够抵御一定的数据泛洪攻击,保证重要业务功能的通信。4.8.2协议保护设备应能够容忍针对通信协议的模糊攻击。4.8.3攻击预警当设备通信请求增加到可以认为是拒绝服务攻击时,宜能够发出警报。4.8.4设备备份设备及其支持工具应提供备份功能,以方便用户进行设备中应用级和系统级信息(包括系统安全状态的信息)的备份。4.8.5设备恢复设备应提供恢复功能, 使用户可以在业务中断或设备故障后恢复并重组以前保存的应用级和系统级信息的备份文件。4.9物理标识4.9.1设备标记设备应在显著位置提供标记(如型号、编号等) 。4.9.2组件标记设备的关键组件(如主板、可更换芯片、网络模块等)应设置标记(如型号、编号等) 。4 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 20135附录A A A A(资料性附录)嵌入式测控终端设备安全性分析A A A A.1典型攻击终端可能遭受的攻击包括已知服务漏洞攻击、Fuzz 测试攻击和非法访问等。已知服务漏洞攻击:攻击者可以通过连接网络或外置网口对设备开启的服务进行扫描,利用已知的服务漏洞对设备进行攻击,获取设备的控制权限或读取配置,进而直接控制下层开关设备或向监控后台发送错误报告,导致误动。Fuzz 测试攻击:攻击者也可以对设备启用的端口进行监听,利用工具构造报文对设备进行 Fuzz 攻击,可能发现溢出漏洞或直接导致设备异常运行,或在对配置通信协议分析的基础上,构造恶意报文发送至配置端口,实现对设备配置的修改或直接导致设备异常。非法访问:对于有显示屏可以直接配置的设备,攻击者暴力猜测设备管理员口令,一旦成功将直接获取设备的控制权限。A A A A.2安全需求为防止对设备的攻击,应保证设备本身具有必要的安全功能,如访问控制、授权与认证、安全审计 、存储数据的机密性和完整性保护等。另一方面,管理上要保证设备在设计与实现过程中应符合相关的安全开发要求,并经过必要安全测试。 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 20136附录B B B B((规范性附录))设备分类与应满足的设备信息安全技术要求指南B B B B.1设备分类B B B B.1.1设备分类说明根据国家电力监管委员会第 5 号令《电力二次系统安全防护规定》和电监安全〔2006〕34 号《电力二次系统安全防护总体方案》的安全分区和横向隔离原则,不同系统的嵌入式电力测控终端设备所处物理环境和网络分区不同,设备已经具备的物理和网络安全控制措施也不同,在综合考虑设备信息安全纵深防护水平的基础上,为实现设备的有效防护控制最小,对嵌入式电力测控终端设备进行分类,并分别提出适用的安全技术要求。B B B B.1.2远程开放测控设备远程开放测控设备指位于开放环境的、实现远程测控的、嵌入式的现场终端设备。典型设备包括配网自动化终端(DTU)和状态监测代理装置(CMA) 。B B B B.1.3本地封闭测控设备本地封闭测控设备指位于封闭物理环境的、接入本地局域网实施本地监测与控制的、嵌入式的现场终端设备。典型设备包括电厂中的可编程逻辑控制器(PLC) 、变电站中的测控装置和变电站中的综合监测单元。B B B B.2设备分类与要求对应关系设备分类与要求对应关系见表 B.1。表 B B B B.1设备分类与要求对应表安全技术要求对应设备远程开放测控设备本地封闭测控设备4.2 入网控制4.2.1 设备接入控制√ √ √ √√ √ √ √4.2.2 数据源认证√ √ √ √4.3 访问授权与认证4.3.1 访问控制授权√ √ √ √√ √ √ √4.3.1.1 管理员用户角色√ √ √ √√ √ √ √4.3.1.2 授权项√ √ √ √√ √ √ √4.3.1.3 配置权限√ √ √ √√ √ √ √4.3.2 配置软件认证√ √ √ √√ √ √ √4.3.3 用户认证√ √ √ √√ √ √ √4.3.3.1 用户名、口令认证√ √ √ √√ √ √ √4.3.3.2 口令强度控制√ √ √ √√ √ √ √4.3.3.3 明文口令√ √ √ √√ √ √ √4.3.3.4 操作认证√ √ √ √√ √ √ √4.3.4 会话超时锁定√ √ √ √√ √ √ √ Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 20137表 B B B B.1(续)安全技术要求对应设备远程开放测控设备本地封闭测控设备4.2 入网控制4.2.1 设备接入控制√ √ √ √√ √ √ √4.2.2 数据源认证√ √ √ √4.3 访问授权与认证4.3.1 访问控制授权√ √ √ √√ √ √ √4.3.1.1 管理员用户角色√ √ √ √√ √ √ √4.3.1.2 授权项√ √ √ √√ √ √ √4.3.1.3 配置权限√ √ √ √√ √ √ √4.3.2 配置软件认证√ √ √ √√ √ √ √4.3.3 用户认证√ √ √ √√ √ √ √4.3.3.1 用户名、口令认证√ √ √ √√ √ √ √4.3.3.2 口令强度控制√ √ √ √√ √ √ √4.3.3.3 明文口令√ √ √ √√ √ √ √4.3.3.4 操作认证√ √ √ √√ √ √ √4.3.4 会话超时锁定√ √ √ √√ √ √ √4.4 审计4.4.1 审计记录事件√ √ √ √√ √ √ √4.4.2 审计记录的内容√ √ √ √√ √ √ √4.4.3 审计的时间戳√ √ √ √√ √ √ √4.4.4 审计信息的保护√ √ √ √√ √ √ √4.4.5 审计故障告警√ √ √ √√ √ √ √4.4.6 系统范围审计√ √ √ √√ √ √ √4.5 数据完整性4.5.1 密码基础√ √ √ √√ √ √ √4.5.2 网络报文的重放√ √ √ √4.5.3 传输数据防篡改√ √ √ √4.5.4 禁用不使用端口√ √ √ √4.5.5 存储数据防篡改√ √ √ √√ √ √ √4.5.6 应用程序分区√ √ √ √√ √ √ √4.5.7 数据的非可执行性√ √ √ √√ √ √ √4.5.8 输入数据的语法验证√ √ √ √√ √ √ √4.6 数据机密性4.6.1 数据传输的机密性√ √ √ √4.6.2 存储数据的机密性√ √ √ √√ √ √ √ Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 20138表 B B B B.1(续)安全技术要求对应设备远程开放测控设备本地封闭测控设备4.7 业务连续性4.7.1 事件报警√ √ √ √√ √ √ √4.7.2 设备容错√ √ √ √√ √ √ √4.8 网络攻击防御4.8.1 泛洪保护√ √ √ √√ √ √ √4.8.2 协议保护√ √ √ √√ √ √ √4.8.3 攻击预警√ √ √ √√ √ √ √4.8.4 设备备份√ √ √ √√ √ √ √4.8.5 设备恢复√ √ √ √√ √ √ √ Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 20139嵌入式电力测控终端设备的信息安全测评技术指标框架编制说明 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 201310目次一、编制背景························································································································································ 11二、编制主要原则················································································································································ 11三、与其它标准文件的关系································································································································11四、主要工作过程················································································································································12五、标准结构和内容············································································································································12六、条文说明························································································································································12 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 201311一、编制背景a) 随着智能电网的全面建设,现场设备网络化和处理能力增加所引入的信息安全问题已经成为了关注的焦点。 受国家电网公司信息通信部的委托 (国家电网科 〔2012〕66 号,国家电网科〔2011〕190 号) ,编写《嵌入式电力测控终端设备的信息安全测试技术指标框架》 (原《变电站智能电子装置 IED 的信息安全功能要求》和《一次设备智能化嵌入式安全操作系统技术规范》 ) 。b) 尽管国家、行业以及公司层面发布了 GB/T22239—2008《信息安全技术 信息系统安全等级保护基本要求》 、 《变电站二次系统安全防护方案》 、Q/GDW594—2011《国家电网公司信息化“SG186”工程安全防护总体方案》和《国家电网公司智能电网信息安全防护总体方案(征求意见稿) 》等标准和规定,但这些标准和规定都是针对信息系统的,并没有对嵌入式终端设备的安全要求。c) GB/T18336—2001《信息技术 信息技术安全性评估准则》规定了信息系统的安全功能要求和安全保证要求,其中安全功能要求部分言简意赅,是制定嵌入式电力智能设备信息安全功能要求的基础。二、编制主要原则a) 认真研究现行相关的 IEC 标准、ISA 标准、国家标准和企业标准,体现嵌入式测控终端设备的信息安全特性。b) 落实国家、电力行业和公司的信息安全相关要求,并结合嵌入式测控设备的特征,提出信息安全技术要求,指导设备的设计、开发、测试和验收。c) 按照《标准化工作导则 第 1 部分:标准的结构和编写规则》 (GB/T 1.1—2000) 、 《关于印发〈国家电网公司技术标准管理办法〉的通知》 (国家电网科〔2007〕211 号)和《电力企业标准编制规则》 (DL/T 800—2001)的有关要求,开展本指导性技术文件制定工作。三、与其它标准文件的关系a) 本指导性技术文件参考并引用了 GB/T 22081《信息技术 安全技术 信息安全管理实用规则》 、GB/T 22239《信息安全技术 信息系统安全等级保护基本要求》 、GB/T 2900.50《电工术语 发电、输电及配电 通用术语》 、GB/T 9387.2—1995《信息处理系统 开放系统互连 基本参考模型 第 2 部分:安全体系结构》 、GB/T 5271.8—2001《信息技术 词汇 第 8 部分:安全》 、GB/T18336—2001《信息技术 信息技术安全性评估准则》 、Q/GDW 383—2009《智能变电站技术导则 》 、Q/GDW 561—2010《输变电设备状态监测系统技术导则》和 Q/GDW 564—2010《变电设备在线监测系统技术导则》标准中的相关条文的规定。b) 本指导性技术文件参考了 DL/T 860.5《变电站通信网络和系统 第 5 部分:功能的通信要求和装置模型》 、DL/T 1075—2007《数字式保护测控装置通用技术条件》 、Q/GDW 393—2009《110(66)kV~220kV 智能变电站设计规范》 、Q/GDW Z 410—2010《高压设备智能化技术导则》 、Q/GDW Z 414—2010《变电站智能化改造技术规范》 、Q/GDW 441—2010《智能变电站继电保护技术规范》 、电监安全〔2006〕34 号《电力二次系统安全防护总体方案》 、 国家电网信息〔2011〕1727 号《国家电网公司智能电网信息安全防护总体方案(试行) 》 、 《油浸式电力变压器智能化技术条件(试行) 》 、 《智能变电站改造工程验收规范(试行) 》 、NIST SP 800—53 Revision 3Recommended Security Controls for Federal Information Systems 、 RFC2828 Internet SecurityGlossary、IEEE Std 1686—2007 IEEE Standard for Substation IntelligentElectronic Devices (IEDs)Cyber Security Capabilities 和 ISA Security Compliance Institute — Embedded Device SecurityAssurance—Functional SecurityAsssessment(FSA)等标准、行业文件、公司文件和技术报告中的相关条文的规定。c) 嵌入式测控终端设备的信息安全防护除了应参照本指导性技术文件外,还应严格执行其他相关强制性国家标准和行业标准,应符合现行的国家标准、行业和企业相关标准的规定。 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 2013四、主要工作过程12a) 2012 年 2 月,国家电网公司信息通信部提出编制需求,并确定标准题目,成立了国家电网公司信息通信部牵头,以中国电力科学研究院为主要起草单位的工作组;b) 2012 年 3 月,工作组针对标准中的概念进行讨论,确定标准的编制大纲和工作计划;c) 2012 年 4 月-5 月,按照编制大纲和工作计划,编制标准初稿;d) 2012 年 6 月,编写组内部讨论后形成修改意见,对标准修改完善形成初稿;e) 2012 年 7 月-10 月,组织专家对标准进行初审,根据专家意见与原《一次设备智能化嵌入式安全操作系统技术规范》 (国家电网科〔2011〕190 号)进行了合并,更名为《嵌入式电力测控终端设备的信息安全测试技术指标》 ,并对内容进行了修改,形成征求意见稿;f) 2012 年 11 月,标准在公司范围内征求意见,汇总梳理征求意见稿反馈意见,认真讨论,修改完善形成送审稿;g) 2012 年 12 月 21 日,召开评审会议,对送审稿进行评审,根据专家意见进行了修改,并更名为《嵌入式电力测控终端设备的信息安全测试技术指标框架》 ,形成报批稿。五、标准结构和内容本指导性技术文件针对嵌入式测控终端设备的特点,规定了信息安全技术要求和指南。本指导性技术文件的主要结构和内容如下:a) 目次;b) 前言;c) 正文,共设四章:范围、规范性引用文件、术语和定义和信息安全测评技术指标;d) 附录 A;e) 附录 B。六、条文说明1范围本章规定了本指导性技术文件的适用范围。实际应用中不同时期测控终端设备的实现机制不同、处理能力不同,而嵌入式现场设备目前面临的信息安全风险最多,因此本技术文件仅对采用嵌入式软件的设备提出安全技术要求。考虑到未来技术发展,将有更多的现场设备采用嵌入式和网络通信技术。2引用标准本章列出了与本指导性技术文件内容相关的标准和文件。引用的原则为:对与本指导性技术文件内容有关的主要 GB、Q 标准,均逐条列出。4.1信息安全测评技术指标说明现场设备的安全防护要从实际设备及设备所在系统的网络与物理环境的信息安全风险评估分析结论出发,采用或部分采用本指导性技术文件提出的安全要求作为设备信息安全设计的基本内容,根据情况增加自定义要求,并在现场调试过程中对安全功能参数进行调整。4.2.1设备接入控制在设备接入系统网络之前,主站或网络应对设备进行身份识别,防止恶意设备接入后台系统或冒充合法设备。接入控制可以在网络层面实现,如绑定设备的 IP 和 MAC 地址、在交换机中建立白名单、在主站系统中建立白名单。4.2.2数据源认证身份的识别与认证可以采用密码学技术,如预置共享密钥、数字证书等。如果设备与系统位于安全可信的有线网络中,可以不具备通信数据源认证机制。 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 2013134.3.1访问控制授权人机接口应支持基于角色的访问授权,应至少具备管理员和厂商维护权限,成功认证后用户马上会被分配角色,被授予与分配的角色相关的权限。4.3.1.1管理员用户角色只有管理员角色权限允许管理其他账号。如在厂商进行维护时,管理员应为厂商维护人员建立符合维护需求的权限帐号。4.3.3.1用户名、口令认证若没有正确的用户名/口令组合,不应获得对设备的访问权限。4.3.3.2口令强度控制用户创建的口令应当遵循一个口令创建规则集,在每个口令创建时都必须遵守。用户无法创建不符合规定的口令。4.3.3.3明文口令只有用户标识可以显示在屏幕上、审计日志中、其他记录中和配置文件中。设备口令不应以任何方式明文显示,包括本地显示面板、配置软件(本地或远程,脱机或联机) 、访问终端。对于重要的设备,即使是完全受控的网络上,也不允许传输明文口令,如采用 SSH 协议取代 Telnet。4.3.3.4操作认证用于用户修改或控制重要的参数或操作时,需要再次输入口令。4.3.4会话超时锁定设备应具有超时功能,可以自动使一段时间不活动的登录用户离线。不活动应定义为没有来自本地(面板)的输入和/或连接到设备接口的计算机键盘活动。4.4审计设备宜具备功能,能够将自身的审计记录发送给其它设备进行更大范围的审计。大多数设备的审计信息存储容量是有限的,最好是能从系统层面来使用工具对系统范围内所有重要设备和主机的关键审计记录进行过滤和分析,并归纳生成审计报告。4.4.2审计记录的内容用户应该能够确定有哪些事件发生,事件发生的时间,事件来源和事件的结果。4.4.3审计的时间戳系统时间是指通过站内时间同步系统同步时间,以便各种来源的事件可以准确地用于判断事故。4.4.4审计信息的保护保障审计信息的安全很重要,因为这些记录对于修正错误、事故恢复、调查和相关工作很重要。审计记录应存储一定数量的信息,而且当审计记录超出存储空间时,新的记录可以覆盖旧的记录。4.5.1网络报文的重放使用序列码或时间标签可以实现这一要求。4.5.2传输数据防篡改可利用数据校验码实现数据的完整性,也可采用密码学方式。4.5.3禁用不使用端口通信服务和端口不使用时,应关闭软件升级(调试与配置修改)端口,如 wind debug 端口等。除了诊断端口外的所有通信端口都应可以通过修改配置进行开启和禁用,一旦端口被禁用,任何通信都禁止通过。4.5.4存储数据防篡改可使用校验码、FLASH 的写保护和调试锁等机制防止对配置文件、系统文件的篡改。4.5.5数据的非可执行性在 FLASH 中划分程序区和数据区,数据区的可执行代码不会被扫描执行。 Q Q Q Q/GDW/Z/GDW/Z/GDW/Z/GDW/Z 1938 — 20134.5.6输入数据的语法验证输入信息应可见,防止输入数据被设备错误的理解为命令。4.6.1数据传输的机密性非明文传输可以在应用层实现,也可以在网络层实现。可以采用基于密码学的加密方式传输数据。4.6.2存储数据的机密性可以采用基于密码学的加密方式存储口令等数据。4.7.1事件报警设备应能够发送警报声或故障灯提示。4.7.2设备容错设备应在出现故障时(软件错误、缓冲区溢出等) ,具有进行自我恢复的能力。4.8.1泛洪保护在实际防护中还要综合考虑网络上的隔离手段,例如在网络边界设备上降低 DoS 攻击成功的可能性。设备即使发生故障也能保证重要业务数据的传输。4.8.2协议保护在实际防护中还要综合考虑网络上的隔离手段,例如在网络边界设备上或者协议转换设备上降低fuzz 攻击成功的可能性。4.8.4设备备份备份的功能和方法应在用户手册中说明。14

关注我们

关注微信公众号