變電站二次系統(tǒng)4目 次前言 II范圍 1規(guī)范性引用文件 1術(shù)語和定義 1總則 1總體目標(biāo) 2防護(hù)原則 2防護(hù)體系 2安全防護(hù) 2基礎(chǔ)設(shè)施安全 3結(jié)構(gòu)安全 3邊界安全 3本體安全 3作業(yè)安全 7可信安全免疫 7安全監(jiān)測 7基本要求 7采集 7存儲 7分析 8告警 8安全響應(yīng) 8安全評估 8安全核查 8安全評價 9附錄A 101234567——8——9——10變電站二次系統(tǒng)第4部分：網(wǎng)絡(luò)安全防護(hù)范圍本文件適用于35kV及以上電壓等級變電站（新建站、改擴(kuò)建站），發(fā)電廠、新能源場站參照使用。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T36572電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)安全cybersecurity通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。[來源：GB/T22239—2019，3.1，有修改]3.2可信安全免疫trustsecurityimmunology基于可信計算技術(shù)實現(xiàn)電力監(jiān)控系統(tǒng)的安全免疫,保障操作系統(tǒng)和電力監(jiān)控軟件安全可信,防范已知和未知的病毒、木馬及惡意代碼的侵害。[來源：GB/T36572—2018,3.10]縮略語下列縮略語適用于本文件。PMU：同步相量測量裝置（PhasorMeasurementUnit）GOOSE：通用面向?qū)ο蟮淖冸娬臼录℅enericObjectOrientedSubstationEvents）IP：網(wǎng)際互連協(xié)議（InternetProtocol）MAC：媒體存取控制位址（MediaAccessControlAddress）總則PAGEPAGE10PAGEPAGE5總體目標(biāo)提高變電站二次系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，防范黑客及惡意代碼等對變電站二次系統(tǒng)的攻擊及侵害，A。防護(hù)原則結(jié)合變電站二次系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅,網(wǎng)絡(luò)安全防護(hù)應(yīng)遵循以下基本原則：協(xié)同防御。變電站二次系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)作為電力監(jiān)控系統(tǒng)整體網(wǎng)絡(luò)安全防護(hù)體系的一部分，與所關(guān)聯(lián)的其他系統(tǒng)協(xié)同，相互配合，相互協(xié)作，構(gòu)建協(xié)同安全防護(hù)體系。防護(hù)體系1圖1變電站二次系統(tǒng)防護(hù)體系示意圖安全防護(hù)基礎(chǔ)設(shè)施安全變電站二次系統(tǒng)的基礎(chǔ)設(shè)施安全應(yīng)滿足以下要求：變電站二次系統(tǒng)所在的機(jī)房和生產(chǎn)場地滿足GB/T365726.1GB/T22239輔助監(jiān)控設(shè)備等部署在室外的設(shè)施采取防破壞措施、視頻監(jiān)控等技術(shù)手段加強(qiáng)物理空間防護(hù)；網(wǎng)絡(luò)結(jié)構(gòu)安全變電站二次系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)安全應(yīng)滿足以下要求：各安全區(qū)應(yīng)合理規(guī)劃網(wǎng)絡(luò)，宜采用不同網(wǎng)段；控制區(qū)設(shè)備可包括監(jiān)控主機(jī)、防誤主機(jī)、實時網(wǎng)關(guān)機(jī)、繼電保護(hù)及安全自動裝置、測控裝置、PMU網(wǎng)絡(luò)邊界安全變電站二次系統(tǒng)的網(wǎng)絡(luò)邊界安全滿足以下要求：變電站二次系統(tǒng)生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的單向數(shù)據(jù)傳輸宜在相應(yīng)調(diào)度機(jī)構(gòu)側(cè)進(jìn)行；變電站二次系統(tǒng)控制區(qū)與非控制區(qū)之間存在站內(nèi)跨安全區(qū)數(shù)據(jù)傳輸?shù)?，?yīng)采用邏輯隔離措施；設(shè)備本體安全通用要求基礎(chǔ)軟硬件變電站二次系統(tǒng)主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟硬件滿足以下基本要求：應(yīng)關(guān)閉操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟件中的無關(guān)服務(wù)和端口；應(yīng)通過國家有資質(zhì)機(jī)構(gòu)的安全檢測。業(yè)務(wù)系統(tǒng)變電站二次系統(tǒng)業(yè)務(wù)軟件和裝置滿足以下基本要求：應(yīng)對登錄用戶進(jìn)行身份標(biāo)識，用戶身份標(biāo)識具有唯一性；應(yīng)基于口令、數(shù)字證書或生物特征鑒別等技術(shù)對用戶身份進(jìn)行鑒別；應(yīng)按照最小化原則，僅開放業(yè)務(wù)功能相關(guān)的服務(wù)端口；業(yè)務(wù)功能運(yùn)行過程中應(yīng)關(guān)閉調(diào)試端口，防止植入或后門情況；應(yīng)采用不同的物理端口進(jìn)行系統(tǒng)調(diào)試和業(yè)務(wù)數(shù)據(jù)傳輸；應(yīng)采用簽名驗簽等技術(shù)措施進(jìn)行軟件版本管控，不應(yīng)運(yùn)行未經(jīng)認(rèn)證許可的業(yè)務(wù)程序；應(yīng)具備軟件容錯功能、自動保護(hù)功能、系統(tǒng)恢復(fù)功能；站控層主機(jī)宜部署惡意代碼防范措施，并定期升級和更新惡意代碼特征庫；承載重要業(yè)務(wù)系統(tǒng)的主機(jī)可部署可信安全免疫措施。通信交互變電站二次系統(tǒng)內(nèi)外部通信交互滿足以下基本要求：應(yīng)采用網(wǎng)絡(luò)通信地址白名單等方式，實現(xiàn)接入對象的合法性；應(yīng)采用數(shù)據(jù)校驗、密碼技術(shù)等方式實現(xiàn)用戶信息、密鑰信息等交互內(nèi)容的完整性和可用性；宜采取加密協(xié)議及身份認(rèn)證等措施，實現(xiàn)重要業(yè)務(wù)數(shù)據(jù)交互的安全性可采取安全認(rèn)證和加密技術(shù)防護(hù)間隔層與站控層之間的數(shù)據(jù)通信；GOOSEIEC104DL476數(shù)據(jù)安全變電站二次系統(tǒng)涉及的業(yè)務(wù)數(shù)據(jù)保護(hù)滿足以下基本要求：應(yīng)對系統(tǒng)模型信息、保護(hù)定值、裝置點表、策略配置等重要業(yè)務(wù)數(shù)據(jù)進(jìn)行備份；站控層設(shè)備身份鑒別站控層設(shè)備的控制類操作應(yīng)采用兩種或兩種以上的身份鑒別技術(shù)。訪問控制站控層設(shè)備訪問控制滿足以下要求：應(yīng)對登錄的用戶分配賬戶、權(quán)限；應(yīng)由授權(quán)主體配置訪問控制策略；應(yīng)能授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限；宜支持對重要信息資源設(shè)置安全標(biāo)記功能，并提供基于安全標(biāo)記的訪問控制。安全審計站控層設(shè)備安全審計滿足以下要求：GB/T22239應(yīng)具備對審計數(shù)據(jù)進(jìn)行查詢、分類、排序等功能；6會話管理站控層設(shè)備會話管理滿足以下要求：宜具備會話阻斷響應(yīng)功能。采集與處理業(yè)務(wù)安全站控層設(shè)備具備數(shù)據(jù)采集和處理業(yè)務(wù)功能時，滿足以下要求：只準(zhǔn)許接收被授權(quán)對象傳輸?shù)牟杉瘮?shù)據(jù)；只準(zhǔn)許向被授權(quán)的對象傳輸數(shù)據(jù)；應(yīng)對收集的數(shù)據(jù)進(jìn)行有效性校驗，保證采集數(shù)據(jù)符合業(yè)務(wù)設(shè)定要求。操作控制業(yè)務(wù)安全站控層設(shè)備具備操作、控制業(yè)務(wù)功能時，滿足以下要求：進(jìn)行手動遙控類操作時，應(yīng)對用戶再次進(jìn)行身份認(rèn)證和權(quán)限驗證；應(yīng)對操作控制業(yè)務(wù)相關(guān)的系統(tǒng)模型信息、保護(hù)定值、遙控點表等的完整性和合法性進(jìn)行校驗；c）應(yīng)對業(yè)務(wù)的操作控制行為進(jìn)行安全審計；宜具備對遙控等關(guān)鍵操作的原發(fā)抗抵賴功能。運(yùn)行監(jiān)視業(yè)務(wù)安全站控層設(shè)備具備運(yùn)行監(jiān)視業(yè)務(wù)功能時，滿足以下要求：a）只準(zhǔn)許具備權(quán)限的用戶訪問相應(yīng)的業(yè)務(wù)模塊，監(jiān)視界面不應(yīng)有無關(guān)信息；b）宜采用加密、校驗、簽名等措施，保證運(yùn)行監(jiān)視數(shù)據(jù)的真實性。間隔層與過程層設(shè)備訪問控制間隔層和過程層設(shè)備訪問控制滿足以下要求：應(yīng)對登錄的用戶分配賬戶、權(quán)限；應(yīng)由授權(quán)主體配置訪問控制策略；宜授予用戶所需的最小權(quán)限，實現(xiàn)用戶的權(quán)限分離；安全審計間隔層和過程層設(shè)備安全審計滿足以下要求：審計日志的事件應(yīng)包括安全性事件和重要業(yè)務(wù)事件；審計日志內(nèi)容應(yīng)至少包括以下內(nèi)容：事件發(fā)生的時間、用戶/主體、操作內(nèi)容、事件的結(jié)果；應(yīng)支持審計日志導(dǎo)出功能；應(yīng)具備審計記錄容量的管理功能；宜對審計進(jìn)程進(jìn)行保護(hù)，防止未授權(quán)的中斷。會話管理間隔層設(shè)備會話管理滿足以下要求：可具備會話阻斷響應(yīng)功能。采集與處理業(yè)務(wù)安全間隔層和過程層設(shè)備具備數(shù)據(jù)采集和處理業(yè)務(wù)功能時，滿足以下要求：a）b）應(yīng)只準(zhǔn)許向被授權(quán)的對象傳輸數(shù)據(jù)；c）應(yīng)對收集的數(shù)據(jù)進(jìn)行有效性校驗。間隔層設(shè)備操作控制業(yè)務(wù)安全間隔層設(shè)備具備操作、控制業(yè)務(wù)功能時，滿足以下要求：a）進(jìn)行手動遙控類操作時，應(yīng)對用戶再次進(jìn)行身份認(rèn)證和權(quán)限驗證；b）應(yīng)對相關(guān)的保護(hù)定值、控制指令等的完整性和合法性進(jìn)行校驗；c）應(yīng)對業(yè)務(wù)的操作控制行為進(jìn)行審計。過程層設(shè)備操作控制業(yè)務(wù)安全過程層設(shè)備具備操作、控制業(yè)務(wù)功能時，滿足以下要求：a）進(jìn)行業(yè)務(wù)功能操作時，應(yīng)對操作源進(jìn)行身份認(rèn)證；b）應(yīng)對控制指令等的完整性和重要標(biāo)識進(jìn)行校驗。輔助傳感設(shè)備輔助終端設(shè)備變電站中布置于室外的輔助終端設(shè)備滿足以下要求：應(yīng)關(guān)閉設(shè)備調(diào)試接口，防范軟硬件逆向工程攻擊；進(jìn)行本地及遠(yuǎn)程升級時，應(yīng)校驗升級包的合法性；數(shù)據(jù)傳輸宜采取端對端認(rèn)證、通道加密、數(shù)據(jù)完整性驗證等方式。有線傳感器變電站輔助監(jiān)控設(shè)備中的有線傳感器滿足以下要求：a）布置于室外的有線傳感器應(yīng)關(guān)閉設(shè)備調(diào)試接口，防范軟硬件逆向工程攻擊；b）宜采用總線方式通信，通過專用的識別碼或地址碼進(jìn)行驗證；c）基于IP地址進(jìn)行通信的有線傳感器宜按照輔助終端設(shè)備要求進(jìn)行安全防護(hù)，或通過綁定的IP地址、MAC地址和端口進(jìn)行身份驗證和數(shù)據(jù)傳輸。匯聚和接入設(shè)備變電站輔助監(jiān)控設(shè)備中的匯聚和接入設(shè)備滿足以下要求：a）匯聚節(jié)點與無線傳感器相互通信時，應(yīng)在網(wǎng)絡(luò)通信協(xié)議、數(shù)據(jù)格式、數(shù)值有效性上進(jìn)行校驗；b）匯聚節(jié)點與安全接入設(shè)備通過有線或無線相互通信時，應(yīng)采用國家密碼主管部門認(rèn)可的密碼技術(shù)實現(xiàn)雙向身份認(rèn)證和數(shù)據(jù)加密；c）應(yīng)支持對變電站二次系統(tǒng)特定的通信協(xié)議、端口等進(jìn)行安全過濾；d）應(yīng)具備白名單、訪問規(guī)則等安全策略功能。作業(yè)操作安全變電站二次系統(tǒng)的現(xiàn)場或者遠(yuǎn)程作業(yè)操作滿足以下要求：宜對變電站二次系統(tǒng)中基于網(wǎng)絡(luò)或存在數(shù)據(jù)交互的作業(yè)行為進(jìn)行安全審計；不準(zhǔn)許通過互聯(lián)網(wǎng)對變電站二次系統(tǒng)生產(chǎn)控制大區(qū)進(jìn)行遠(yuǎn)程作業(yè)?？尚虐踩庖呋疽笞冸娬径蜗到y(tǒng)可采用基于可信計算的安全免疫防護(hù)技術(shù)，實現(xiàn)計算環(huán)境和網(wǎng)絡(luò)環(huán)境的安全免疫，形成對病毒、木馬等未知程序的自動免疫，防范有組織的、高級別的惡意攻擊。可信驗證具備可信安全免疫功能的變電站二次系統(tǒng)，可信驗證滿足以下要求：GM/T0012，具備隔離保障、資源存儲、啟動度量、密碼運(yùn)算等功能。安全監(jiān)測基本要求變電站應(yīng)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)施，對變電站二次系統(tǒng)的網(wǎng)絡(luò)安全信息進(jìn)行采集、存儲、分析、告警等。采集變電站二次系統(tǒng)網(wǎng)絡(luò)安全信息的采集滿足以下要求：采集信息可包括網(wǎng)絡(luò)安全事件（如異常行為事件、違規(guī)操作事件等）、運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量、安全威脅行為、策略與配置等；采集的時標(biāo)應(yīng)與變電站二次系統(tǒng)標(biāo)準(zhǔn)時間源保持同步；應(yīng)支持實時采集、非實時采集、離線采集等采集模式；采集權(quán)限控制應(yīng)遵循最小授權(quán)原則；采集過程不應(yīng)干擾業(yè)務(wù)系統(tǒng)的正常運(yùn)行。存儲變電站二次系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)的存儲滿足以下要求：應(yīng)根據(jù)不同業(yè)務(wù)需要設(shè)定監(jiān)測數(shù)據(jù)存儲周期；應(yīng)具備數(shù)據(jù)備份與恢復(fù)能力，監(jiān)測數(shù)據(jù)備份周期可以根據(jù)需要設(shè)定；應(yīng)對存儲的數(shù)據(jù)設(shè)置訪問權(quán)限，并對訪問行為進(jìn)行審計；宜采取加密技術(shù)對重要監(jiān)測數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)，采取校驗機(jī)制進(jìn)行完整性保護(hù)。分析變電站二次系統(tǒng)網(wǎng)絡(luò)安全分析滿足以下要求：網(wǎng)絡(luò)安全分析應(yīng)包括網(wǎng)絡(luò)安全事件分析、運(yùn)行狀態(tài)分析、網(wǎng)絡(luò)流量分析、安全威脅行為分析、策略與配置分析；運(yùn)行狀態(tài)分析應(yīng)支持發(fā)現(xiàn)運(yùn)行狀態(tài)異常；策略與配置分析宜具備安全性校驗，以及變更分析、痕跡分析管理功能。告警變電站二次系統(tǒng)網(wǎng)絡(luò)安全告警滿足以下要求：應(yīng)支持告警信息按需上送至相應(yīng)的網(wǎng)絡(luò)安全管理中心；應(yīng)支持對告警信息進(jìn)行時間源管理。安全響應(yīng)變電站二次系統(tǒng)網(wǎng)絡(luò)安全響應(yīng)滿足以下要求：應(yīng)結(jié)合安全事件告警、系統(tǒng)運(yùn)行、業(yè)務(wù)信息等進(jìn)行告警處置措施的綜合研判和決策；時現(xiàn)場人員能夠正確開展網(wǎng)絡(luò)安全應(yīng)急處置，實現(xiàn)控制、延緩、阻斷網(wǎng)絡(luò)安全事件影響，最終消除安全風(fēng)險；網(wǎng)絡(luò)安全應(yīng)急預(yù)案應(yīng)確定安全事件相關(guān)保障措施，并明確預(yù)案管理相應(yīng)流程；安全評估安全核查變電站二次系統(tǒng)網(wǎng)絡(luò)安全核查滿足以下要求：應(yīng)采取現(xiàn)場測評、滲透測試等方式進(jìn)行變電站二次系統(tǒng)脆弱性識別；宜具備網(wǎng)絡(luò)安全基線核查功能。安全評價變電站二次系統(tǒng)網(wǎng)絡(luò)安全評價滿足以下要求：應(yīng)根據(jù)變電站二次系統(tǒng)不同等級采取相應(yīng)措施進(jìn)行網(wǎng)絡(luò)安全性評價；安全評價應(yīng)包括但不限于資產(chǎn)識別、威脅分析、脆弱性分析、風(fēng)險分析和安全建議等；應(yīng)對變電站二次系統(tǒng)的上線、運(yùn)