2024變電站二次系統(tǒng)第4部分：網(wǎng)絡安全防護

變電站二次系統(tǒng)4目 次前言 II范圍 1規(guī)范性引用文件 1術語和定義 1總則 1總體目標 2防護原則 2防護體系 2安全防護 2基礎設施安全 3結構安全 3邊界安全 3本體安全 3作業(yè)安全 7可信安全免疫 7安全監(jiān)測 7基本要求 7采集 7存儲 7分析 8告警 8安全響應 8安全評估 8安全核查 8安全評價 9附錄A 101234567——8——9——10變電站二次系統(tǒng)第4部分：網(wǎng)絡安全防護范圍本文件適用于35kV及以上電壓等級變電站（新建站、改擴建站），發(fā)電廠、新能源場站參照使用。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T22239信息安全技術網(wǎng)絡安全等級保護基本要求GB/T36572電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護導則術語和定義下列術語和定義適用于本文件。3.1網(wǎng)絡安全cybersecurity通過采取必要措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài),以及保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力。[來源：GB/T22239—2019，3.1，有修改]3.2可信安全免疫trustsecurityimmunology基于可信計算技術實現(xiàn)電力監(jiān)控系統(tǒng)的安全免疫,保障操作系統(tǒng)和電力監(jiān)控軟件安全可信,防范已知和未知的病毒、木馬及惡意代碼的侵害。[來源：GB/T36572—2018,3.10]縮略語下列縮略語適用于本文件。PMU：同步相量測量裝置（PhasorMeasurementUnit）GOOSE：通用面向對象的變電站事件（GenericObjectOrientedSubstationEvents）IP：網(wǎng)際互連協(xié)議（InternetProtocol）MAC：媒體存取控制位址（MediaAccessControlAddress）總則PAGEPAGE10PAGEPAGE5總體目標提高變電站二次系統(tǒng)網(wǎng)絡安全防護能力，防范黑客及惡意代碼等對變電站二次系統(tǒng)的攻擊及侵害，A。防護原則結合變電站二次系統(tǒng)面臨的網(wǎng)絡安全威脅,網(wǎng)絡安全防護應遵循以下基本原則：協(xié)同防御。變電站二次系統(tǒng)的網(wǎng)絡安全應作為電力監(jiān)控系統(tǒng)整體網(wǎng)絡安全防護體系的一部分，與所關聯(lián)的其他系統(tǒng)協(xié)同，相互配合，相互協(xié)作，構建協(xié)同安全防護體系。防護體系1圖1變電站二次系統(tǒng)防護體系示意圖安全防護基礎設施安全變電站二次系統(tǒng)的基礎設施安全應滿足以下要求：變電站二次系統(tǒng)所在的機房和生產(chǎn)場地滿足GB/T365726.1GB/T22239輔助監(jiān)控設備等部署在室外的設施采取防破壞措施、視頻監(jiān)控等技術手段加強物理空間防護；網(wǎng)絡結構安全變電站二次系統(tǒng)的網(wǎng)絡結構安全應滿足以下要求：各安全區(qū)應合理規(guī)劃網(wǎng)絡，宜采用不同網(wǎng)段；控制區(qū)設備可包括監(jiān)控主機、防誤主機、實時網(wǎng)關機、繼電保護及安全自動裝置、測控裝置、PMU網(wǎng)絡邊界安全變電站二次系統(tǒng)的網(wǎng)絡邊界安全滿足以下要求：變電站二次系統(tǒng)生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的單向數(shù)據(jù)傳輸宜在相應調度機構側進行；變電站二次系統(tǒng)控制區(qū)與非控制區(qū)之間存在站內跨安全區(qū)數(shù)據(jù)傳輸?shù)?，應采用邏輯隔離措施；設備本體安全通用要求基礎軟硬件變電站二次系統(tǒng)主機、操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎軟硬件滿足以下基本要求：應關閉操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎軟件中的無關服務和端口；應通過國家有資質機構的安全檢測。業(yè)務系統(tǒng)變電站二次系統(tǒng)業(yè)務軟件和裝置滿足以下基本要求：應對登錄用戶進行身份標識，用戶身份標識具有唯一性；應基于口令、數(shù)字證書或生物特征鑒別等技術對用戶身份進行鑒別；應按照最小化原則，僅開放業(yè)務功能相關的服務端口；業(yè)務功能運行過程中應關閉調試端口，防止植入或后門情況；應采用不同的物理端口進行系統(tǒng)調試和業(yè)務數(shù)據(jù)傳輸；應采用簽名驗簽等技術措施進行軟件版本管控，不應運行未經(jīng)認證許可的業(yè)務程序；應具備軟件容錯功能、自動保護功能、系統(tǒng)恢復功能；站控層主機宜部署惡意代碼防范措施，并定期升級和更新惡意代碼特征庫；承載重要業(yè)務系統(tǒng)的主機可部署可信安全免疫措施。通信交互變電站二次系統(tǒng)內外部通信交互滿足以下基本要求：應采用網(wǎng)絡通信地址白名單等方式，實現(xiàn)接入對象的合法性；應采用數(shù)據(jù)校驗、密碼技術等方式實現(xiàn)用戶信息、密鑰信息等交互內容的完整性和可用性；宜采取加密協(xié)議及身份認證等措施，實現(xiàn)重要業(yè)務數(shù)據(jù)交互的安全性可采取安全認證和加密技術防護間隔層與站控層之間的數(shù)據(jù)通信；GOOSEIEC104DL476數(shù)據(jù)安全變電站二次系統(tǒng)涉及的業(yè)務數(shù)據(jù)保護滿足以下基本要求：應對系統(tǒng)模型信息、保護定值、裝置點表、策略配置等重要業(yè)務數(shù)據(jù)進行備份；站控層設備身份鑒別站控層設備的控制類操作應采用兩種或兩種以上的身份鑒別技術。訪問控制站控層設備訪問控制滿足以下要求：應對登錄的用戶分配賬戶、權限；應由授權主體配置訪問控制策略；應能授予不同帳戶為完成各自承擔任務所需的最小權限；宜支持對重要信息資源設置安全標記功能，并提供基于安全標記的訪問控制。安全審計站控層設備安全審計滿足以下要求：GB/T22239應具備對審計數(shù)據(jù)進行查詢、分類、排序等功能；6會話管理站控層設備會話管理滿足以下要求：宜具備會話阻斷響應功能。采集與處理業(yè)務安全站控層設備具備數(shù)據(jù)采集和處理業(yè)務功能時，滿足以下要求：只準許接收被授權對象傳輸?shù)牟杉瘮?shù)據(jù)；只準許向被授權的對象傳輸數(shù)據(jù)；應對收集的數(shù)據(jù)進行有效性校驗，保證采集數(shù)據(jù)符合業(yè)務設定要求。操作控制業(yè)務安全站控層設備具備操作、控制業(yè)務功能時，滿足以下要求：進行手動遙控類操作時，應對用戶再次進行身份認證和權限驗證；應對操作控制業(yè)務相關的系統(tǒng)模型信息、保護定值、遙控點表等的完整性和合法性進行校驗；c）應對業(yè)務的操作控制行為進行安全審計；宜具備對遙控等關鍵操作的原發(fā)抗抵賴功能。運行監(jiān)視業(yè)務安全站控層設備具備運行監(jiān)視業(yè)務功能時，滿足以下要求：a）只準許具備權限的用戶訪問相應的業(yè)務模塊，監(jiān)視界面不應有無關信息；b）宜采用加密、校驗、簽名等措施，保證運行監(jiān)視數(shù)據(jù)的真實性。間隔層與過程層設備訪問控制間隔層和過程層設備訪問控制滿足以下要求：應對登錄的用戶分配賬戶、權限；應由授權主體配置訪問控制策略；宜授予用戶所需的最小權限，實現(xiàn)用戶的權限分離；安全審計間隔層和過程層設備安全審計滿足以下要求：審計日志的事件應包括安全性事件和重要業(yè)務事件；審計日志內容應至少包括以下內容：事件發(fā)生的時間、用戶/主體、操作內容、事件的結果；應支持審計日志導出功能；應具備審計記錄容量的管理功能；宜對審計進程進行保護，防止未授權的中斷。會話管理間隔層設備會話管理滿足以下要求：可具備會話阻斷響應功能。采集與處理業(yè)務安全間隔層和過程層設備具備數(shù)據(jù)采集和處理業(yè)務功能時，滿足以下要求：a）b）應只準許向被授權的對象傳輸數(shù)據(jù)；c）應對收集的數(shù)據(jù)進行有效性校驗。間隔層設備操作控制業(yè)務安全間隔層設備具備操作、控制業(yè)務功能時，滿足以下要求：a）進行手動遙控類操作時，應對用戶再次進行身份認證和權限驗證；b）應對相關的保護定值、控制指令等的完整性和合法性進行校驗；c）應對業(yè)務的操作控制行為進行審計。過程層設備操作控制業(yè)務安全過程層設備具備操作、控制業(yè)務功能時，滿足以下要求：a）進行業(yè)務功能操作時，應對操作源進行身份認證；b）應對控制指令等的完整性和重要標識進行校驗。輔助傳感設備輔助終端設備變電站中布置于室外的輔助終端設備滿足以下要求：應關閉設備調試接口，防范軟硬件逆向工程攻擊；進行本地及遠程升級時，應校驗升級包的合法性；數(shù)據(jù)傳輸宜采取端對端認證、通道加密、數(shù)據(jù)完整性驗證等方式。有線傳感器變電站輔助監(jiān)控設備中的有線傳感器滿足以下要求：a）布置于室外的有線傳感器應關閉設備調試接口，防范軟硬件逆向工程攻擊；b）宜采用總線方式通信，通過專用的識別碼或地址碼進行驗證；c）基于IP地址進行通信的有線傳感器宜按照輔助終端設備要求進行安全防護，或通過綁定的IP地址、MAC地址和端口進行身份驗證和數(shù)據(jù)傳輸。匯聚和接入設備變電站輔助監(jiān)控設備中的匯聚和接入設備滿足以下要求：a）匯聚節(jié)點與無線傳感器相互通信時，應在網(wǎng)絡通信協(xié)議、數(shù)據(jù)格式、數(shù)值有效性上進行校驗；b）匯聚節(jié)點與安全接入設備通過有線或無線相互通信時，應采用國家密碼主管部門認可的密碼技術實現(xiàn)雙向身份認證和數(shù)據(jù)加密；c）應支持對變電站二次系統(tǒng)特定的通信協(xié)議、端口等進行安全過濾；d）應具備白名單、訪問規(guī)則等安全策略功能。作業(yè)操作安全變電站二次系統(tǒng)的現(xiàn)場或者遠程作業(yè)操作滿足以下要求：宜對變電站二次系統(tǒng)中基于網(wǎng)絡或存在數(shù)據(jù)交互的作業(yè)行為進行安全審計；不準許通過互聯(lián)網(wǎng)對變電站二次系統(tǒng)生產(chǎn)控制大區(qū)進行遠程作業(yè)。可信安全免疫基本要求變電站二次系統(tǒng)可采用基于可信計算的安全免疫防護技術，實現(xiàn)計算環(huán)境和網(wǎng)絡環(huán)境的安全免疫，形成對病毒、木馬等未知程序的自動免疫，防范有組織的、高級別的惡意攻擊。可信驗證具備可信安全免疫功能的變電站二次系統(tǒng)，可信驗證滿足以下要求：GM/T0012，具備隔離保障、資源存儲、啟動度量、密碼運算等功能。安全監(jiān)測基本要求變電站應部署網(wǎng)絡安全監(jiān)測設施，對變電站二次系統(tǒng)的網(wǎng)絡安全信息進行采集、存儲、分析、告警等。采集變電站二次系統(tǒng)網(wǎng)絡安全信息的采集滿足以下要求：采集信息可包括網(wǎng)絡安全事件（如異常行為事件、違規(guī)操作事件等）、運行狀態(tài)、網(wǎng)絡流量、安全威脅行為、策略與配置等；采集的時標應與變電站二次系統(tǒng)標準時間源保持同步；應支持實時采集、非實時采集、離線采集等采集模式；采集權限控制應遵循最小授權原則；采集過程不應干擾業(yè)務系統(tǒng)的正常運行。存儲變電站二次系統(tǒng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)的存儲滿足以下要求：應根據(jù)不同業(yè)務需要設定監(jiān)測數(shù)據(jù)存儲周期；應具備數(shù)據(jù)備份與恢復能力，監(jiān)測數(shù)據(jù)備份周期可以根據(jù)需要設定；應對存儲的數(shù)據(jù)設置訪問權限，并對訪問行為進行審計；宜采取加密技術對重要監(jiān)測數(shù)據(jù)進行機密性保護，采取校驗機制進行完整性保護。分析變電站二次系統(tǒng)網(wǎng)絡安全分析滿足以下要求：網(wǎng)絡安全分析應包括網(wǎng)絡安全事件分析、運行狀態(tài)分析、網(wǎng)絡流量分析、安全威脅行為分析、策略與配置分析；運行狀態(tài)分析應支持發(fā)現(xiàn)運行狀態(tài)異常；策略與配置分析宜具備安全性校驗，以及變更分析、痕跡分析管理功能。告警變電站二次系統(tǒng)網(wǎng)絡安全告警滿足以下要求：應支持告警信息按需上送至相應的網(wǎng)絡安全管理中心；應支持對告警信息進行時間源管理。安全響應變電站二次系統(tǒng)網(wǎng)絡安全響應滿足以下要求：應結合安全事件告警、系統(tǒng)運行、業(yè)務信息等進行告警處置措施的綜合研判和決策；時現(xiàn)場人員能夠正確開展網(wǎng)絡安全應急處置，實現(xiàn)控制、延緩、阻斷網(wǎng)絡安全事件影響，最終消除安全風險；網(wǎng)絡安全應急預案應確定安全事件相關保障措施，并明確預案管理相應流程；安全評估安全核查變電站二次系統(tǒng)網(wǎng)絡安全核查滿足以下要求：應采取現(xiàn)場測評、滲透測試等方式進行變電站二次系統(tǒng)脆弱性識別；宜具備網(wǎng)絡安全基線核查功能。安全評價變電站二次系統(tǒng)網(wǎng)絡安全評價滿足以下要求：應根據(jù)變電站二次系統(tǒng)不同等級采取相應措施進行網(wǎng)絡安全性評價；安全評價應包括但不限于資產(chǎn)識別、威脅分析、脆弱性分析、風險分析和安全建議等；應對變電站二次系統(tǒng)的上線、運