2021电力物联网全场景安全技术要求-solarbe文库

资源描述：

电力物联网全场景安全技术要求目次前言 II 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语2 5 总则2 5.1 总体防护原则 2 5.2 大区隔离总体防护要求 3 5.3 系统部署总体防护要求 3 5.4 终端接入总体防护要求 3 6 感知层安全防护技术要求3 6.1 终端本体安全 3 6.2 本地通信安全技术要求 4 7 网络层安全防护技术要求4 7.1 网络通信安全技术要求 4 7.2 网络边界接入安全技术要求 4 8 平台层安全防护技术要求5 8.1 云平台安全防护要求 5 8.2 物联管理平台安全防护要求 5 9 应用层安全防护技术要求5 9.1 传统应用系统安全防护要求 5 9.2 云端应用安全防护要求 5 9.3 APP 应用安全防护要求 .5 10 通用安全防护技术要求6 10.1 密码基础设施要求 6 10.2 监测安全及态势感知要求 6 10.3 数据安全要求 6 编制说明 .8 I 1 电力物联网全场景安全技术要求 1 范围本标准规定了国家电网有限公司（以下简称 “公司 ”）电力物联网全场景安全防护总则，以及感知层、网络层、平台层、应用层和通用安全防护技术要求。本标准适用于公司各分部、公司各单位的电力物联网规划、设计、采购、安全审查、开发测试、实施上线、运行管理等全过程管理。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22080 信息技术安全技术信息安全管理体系要求 GB/T 22239 信息安全技术网络安全等级保护基本要求 GB/T 25069 信息安全技术术语 GB/T 31168 信息安全技术云计算服务安全能力要求 GB/T 35273 信息安全技术个人信息安全规范 GB/T 35274 信息安全技术大数据服务安全能力要求 GB/T 35295 信息技术大数据术语 GB/T 36572 电力监控系统网络安全防护导则 GM/T 0022 IPSec VPN 技术规范 GM/T 0024 SSL VPN 技术规范 Q/GDW 1594 国家电网公司管理信息系统安全防护技术要求 Q/GDW 1937 国家电网公司非国家秘密电子数据销毁、清除和恢复技术要求 Q/GDW 11416 国家电网公司商业秘密安全保密技术规范 Q/GDW 12098 电力物联网术语 3 术语和定义 GB/T 22239、GB/T 25069、GB/T 35295、GB/T 36572、GM/T 0022、GM/T 0024和Q/GDW 12098界定的以及下列术语和定义适用于本文件。 3.1 物联网终端 IoT terminal 一种能够对物联网对象或环境的状态进行测量、感知，并具有简单数据处理、通信、人机交互等全部或部分功能的设备。属于感知层设备，包括智能传感器、智能业务终端、采集控制终端、智能设备、移动终端等。 3.2 2 电力物联安全接入网关 eIoT security access gateway 采用 SSAL、国密 SSL或国密 IPsec等技术实现对物联网终端或边缘物联代理的身份认证、网络访问控制和传输通道加密，保障电力物联网终端接入安全的防护设备。 3.3 信息安全网络隔离装置逻辑型 information security network isolation device（Logic）一种用于国家电网有限公司管理信息大区对外隔离的专用安全防护设备，可提供逻辑强隔离状态下的跨边界代理访问服务。 3.4 信息安全网络隔离装置网闸型 information security network isolation device（GAP）一种用于国家电网有限公司管理信息大区接入边界的专用安全防护设备，可提供基于双主机电路交换的网闸隔离功能。 3.5 物联网控制域 control domain of IoT 在国家电网有限公司管理信息大区内划分出来的网络子区域，可用于部署除电力监控系统外的控制类业务。 3.6 数据共享负面清单 negative list of data sharing 以清单的方式明确列出在公司内部各部门、各单位之间需审批后共享的数据，及配套的一系列管理制度措施，旨在最大化数据共享范围，促进公司范围内的数据共享。 4 缩略语下列缩略语适用于本文件。 APN接入点名称（Access Point Name） ERP企业资源计划（Enterprise Resource Planning） eIoT电力物联网（Electric Internet Of Things） IPS入侵防御系统（Intrusion Prevention System） IPsecInternet 协议安全性（Internet Protocol Security） JTAG联合测试工作组（Joint Test Action Group） SSAL国家电网公司安全应用层协议（StateGrid Secure Application Layer） SSL安全套接层（Secure Sockets Layer） SWD串行调试（Serial Wire Debug） USB通用串行总线（Universal Serial Bus） WiFi无线局域网（Wireless Fidelity） WAF应用层防火墙（Web Application Firewall） 5 总则 5.1 总体防护原则 3 本标准在遵循GB/T 22239的安全防护要求的基础上，将电力物联网网络分区划分为生产控制大区、管理信息大区和互联网大区。生产控制大区严格遵循 GB/T 36572的要求进行安全防护，管理信息大区和互联网大区坚持 “出口统一、数据分级、装置集成、多措并举 ”的全场景网络安全防护策略。 5.2 大区隔离总体防护要求本项要求包括 a 生产控制大区与管理信息大区通过电力专用横向单向安全隔离装置进行物理隔离； b 管理信息大区与互联网大区通过信息安全网络隔离装置（逻辑型）进行逻辑强隔离； c 互联网大区与互联网通过防火墙、IPS、WAF等常用安全防护设备进行逻辑隔离； d 管理信息大区可按需建立物联网控制域，其与管理信息大区其他系统间应通过专用安全设备进行隔离，如需与互联网大区通信，必须按照5.2 b）的要求进行防护。 5.3 系统部署总体防护要求本项要求包括 a 对于 ERP、生产管理、营销管理应用、协同办公等已有业务，支撑公司内部多维精益等新增业务以及涉及商密数据的业务模块，应部署在管理信息大区； b 对于配电、营销、光伏云网、综合能源服务、分布式电源以及客户侧相关的控制类业务，应部署在物联网控制域； c 对于外网网站、外网邮件、电力交易、电子商务等已有业务，以及车联网、互联网金融等互联网新兴业务，应部署在互联网大区。 5.4 终端接入总体防护要求本项要求包括 a 在接入公司管理信息大区时，应经专线并采用加密认证措施，专线包括但不限于租用的虚拟专用线路； b 在接入公司互联网大区时，宜采用互联网通道； c 原则上不建议交叉混接不同安全大区。 6 感知层安全防护技术要求 6.1 终端本体安全 6.1.1 边缘物联代理防护要求本项要求包括 a 应按照 GB/T 22239 中相应等级的安全物理环境的要求实现物理安全防护； b 应基于公司统一的密码基础设施进行身份认证和加密保护，采用硬件密码模块或软件密码模块等方式实现，其中涉控涉敏业务优先采用硬件密码模块的方式，硬件密码模块应采用通过国家有关检测机构检测认证的安全芯片； c 应具备对自身应用、漏洞补丁等重要程序代码，以及配置参数和控制指令等重要操作的数字签名和验证能力； d 应支持本地及远程升级，并能校验升级包的合法性； e 应具备安全监测、审计和分析功能，应支持软件定义安全策略，并支持自动和联动处置； f 应具备对物联网终端安全接入的管理能力； 4 g 应关闭设备调试接口，防范软硬件逆向工程； h 应通过系统加固、可信计算等技术，保障边缘物联代理本体安全。 6.1.2 物联网终端防护要求本项要求包括 a 应关闭设备调试接口，包括但不限于USB/JTAG/SWD接口等，防范软硬件逆向工程； b 应支持本地及远程升级，并校验升级包的合法性； c 具有边缘计算能力的物联网终端，应遵循6.1.1的防护要求。 6.2 本地通信安全技术要求本地通信指物联网终端与边缘物联代理等设备，通过光纤、网线、 WiFi、载波通信、微功率无线通信等通道，不经过安全大区，在现场互连通信。本项要求还应满足 a 任意两个直接接入公司安全大区的终端，如接入的大区不同，禁止双方在感知层跨大区直接通信，如需本地通信，应采取等同大区间隔离强度的技术措施； b 不直接接入公司各安全大区的终端，在与直接接入公司管理信息大区的终端本地通信时，应在网络协议、数据格式、数值有效性上加强过滤和校验，并应实现身份认证； c 不直接接入公司各安全大区的终端，在与直接接入公司互联网大区的终端本地通信时，宜按需实现身份认证和通信数据加密传输，防范通信数据被窃听或篡改； d 管理信息大区侧的本地通信应采用抗干扰性强的通信协议，并加强通道自身安全配置管控。 7 网络层安全防护技术要求 7.1 网络通信安全技术要求应在网络流量关键出口处加强安全审计和监控，及时发现安全异常情况。 7.2 网络边界接入安全技术要求 7.2.1 管理信息大区的安全接入本项要求包括 a 应使用公司自建光纤专网、电力无线专网、租用的APN和第三方专线作为网络接入通道； b 边缘物联代理、物联网终端等设备，在采用无线方式接入管理信息大区时，应结合业务应用需求采用公司电力物联安全接入网关、信息安全网络隔离装置（网闸型）实现双向认证和加密传输； c 对于无法满足7.2.1 b）接入要求的设备，应在管理信息大区外设置安全接入区，通过安全接入区实现和管理信息大区的交互。 7.2.2 互联网大区的安全接入本项要求包括 a 边缘物联代理、物联网终端等设备，在互联网大区直接访问公司对内业务，包括但不限于公司外网移动办公、外网移动作业等面向公司员工的业务时，应采用公司电力物联安全接入网关实现双向认证和加密传输； b 无法满足7.2.2 a）接入要求的设备，在直接访问互联网大区的公司对内业务时，应在互联网大区外部署前置服务器，通过前置服务器进行协议转换和数据归集； 5 c 前置服务器访问公司互联网大区的公司对内业务时，应采用公司电力物联安全接入网关实现双向认证和加密传输。 8 平台层安全防护技术要求 8.1 云平台安全防护要求本项要求包括 a 应遵循 GB/T 22239中相应等级的安全通用要求和云安全扩展要求、GB/T 31168的要求进行安全防护； b 云平台和云租户的业务应用系统应作为不同的定级对象分别定级，且云平台不得承载高于其安全保护等级的业务应用系统； c 应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务； d 应提供安全管理中心，实现访问控制、多租户安全隔离、流量监测、身份认证、数据保护、镜像加固校验、安全审计、安全态势感知等功能。 8.2 物联管理平台安全防护要求本项应符合下述要求 a 遵循GB/T 22239中相应等级的安全通用要求和物联网安全扩展要求进行安全防护； b 能够对直接接入的边缘物联代理、物联网终端进行认证，能够控制接入终端的访问； c 具备数据存储和传输保护功能，在传输鉴别信息、隐私数据和重要业务数据等敏感信息时应进行保密性和完整性保护，所使用密码算法应符合国家密码相关规定； d 具备对边缘物联代理、物联网终端集中管控的能力，重点对设备注册、在线和离线进行安全监测； e 能与边缘物联代理进行协同联动，实现安全策略的下发与更新； f 能对管辖范围内的边缘物联代理进行升级，升级内容包括但不限于漏洞补丁、配置参数和应用软件，升级内容正式部署前应进行功能和安全测试； g 能与平台系统接口对接，包括但不限于态势感知平台、资产管理平台等系统，实现对物联网终端安全事件全方位监测。 9 应用层安全防护技术要求 9.1 传统应用系统安全防护要求应遵循GB/T 22239、Q/GDW 1594的要求进行安全防护。 9.2 云端应用安全防护要求本项应符合下述要求 a 根据应用自身定级和业务需求，遵循GB/T 22239中安全计算环境的安全防护要求进行安全防护； b 实现业务和用户行为的安全审计。 9.3 APP 应用安全防护要求 6 本项要求包括 a 应确保APP应用发布符合公司要求，发布的渠道可信； b 发布前应进行统一加固、统一检测，并对APP应用运行状态进行安全监测； c 应支持本地及远程升级，并能校验升级包的合法性； d 在收集用户信息前，应明示收集使用信息的目的、方式和范围，并获得用户授权； e 在进行金融支付、审核授权等重要操作时应进行二次认证。 10 通用安全防护技术要求 10.1 密码基础设施要求本项要求包括 a 管理信息大区和互联网大区新建的系统 /设备，应用到密码技术的，应基于公司统一的密码基础设施开展设计和建设； b 业务系统如对电子签名、电子签章有法律效力要求的，应严格按照公司和国家商用密码管理的有关规定执行； c 公司统一的密码基础设施应通过国家有关检测机构检测认证； d 密码基础设施运营单位应建立完备的规章制度和服务流程，为各业务、各单位提供快速便捷服务。 10.2 监测安全及态势感知要求本项应符合下述要求 a 对电力物联网全场景的安全态势进行监测和审计分析，及时发现异常、攻击并快速处置； b 逐步建立网络安全监测分析模型，实现未知威胁检测预警和攻击溯源。 10.3 数据安全要求 10.3.1 数据安全合规要求数据安全应遵循GB/T 35273、GB/T 22080、GB/T 35274、Q/GDW 1594、Q/GDW 1937、Q/GDW 11416 等数据防护要求。 10.3.2 数据分级本项要求包括 a 应对数据进行分级，明确本专业商密数据、企业重要数据、一般数据的范围，并严格遵循数据级别进行适度防护； b 商密数据应遵照Q/GDW 11416进行防护； c 企业重要数据应进行全生命周期安全防护，数据在对外提供、公开发布、跨域传输等环节中应采取数据内容加密、数据脱敏等技术措施； d 一般数据可根据各专业部门、各单位自身情况采取相对灵活的防护措施。 10.3.3 数据全生命周期管控 10.3.3.1 数据采集本项应符合下述要求 7 a 对采集数据进行有效性、合理性校验，支持数据一次采集、多处使用； b 在对客户数据进行采集前明示采集和使用规则、目的、范围等，并取得客户授权同意。 10.3.3.2 数据传输与存储本项要求包括 a 新建系统应采用公司统一的密码基础设施发放的密钥或证书进行加密传输或存储； b 数据需要跨境、出境传输时，应征询法律部门意见后方可开展相关工作； c 在互联网大区部署应用数据库的业务系统，应进行备案并开展安全性检查。 10.3.3.3 数据访问与使用本项要求包括 a 应基于数据中台，进行数据在线查询和应用，并对不同的访问主体实施相应控制措施； b 属于数据共享负面清单的应按照数据使用审批程序进行授权办理。 8 电力物联网全场景安全技术要求编制说明 9 目次 1 编制背景 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10 2 编制主要原则 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10 3 与其他标准文件的关系 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10 4 主要工作过程 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10 5 标准结构和内容 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙11 6 条文说明 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙11 10 1 编制背景本标准依据国家电网有限公司关于下达2019年第二批技术标准制修订计划的通知（国家电网科〔2019〕807号文）的要求编写。本标准的编制背景是随着电力物联网的全面建设，亟需防范网络安全风险，形成灵活、精准、智能的安全服务和业务支撑能力，指导公司电力物联网安全建设，因此制定本标准。本标准编制的主要目的是规定了公司电力物联网全场景安全防护的总体原则和技术要求，作为 GB/T 22239 信息安全技术网络安全等级保护基本要求、国家发展和改革委员会令第 14号电力监控系统安全防护规定、 Q/GDW 1594 国家电网公司管理信息系统安全防护技术要求、国家电网信息〔 2011〕 1727号国家电网公司智能电网信息安全防护总体方案（试行）和国家电网互联〔2019〕806号电力物联网全场景网络安全防护方案等标准和规定的重要补充，指导公司各分部、公司各单位的电力物联网规划、设计、采购、安全审查、开发测试、实施上线、运行管理等全过程管理。 2 编制主要原则本标准主要根据以下原则编制 a 坚持先进性与实用性相结合、统一性与灵活性相结合、可靠性与经济性相结合的原则，以标准化为指导相关业务系统的安全建设； b 借鉴现行相关的国家标准、行业标准、企业标准，使指导性技术文件具有科学性和规范性； c 分析各业务系统的安全需求、性能特征，研究提出具有必要性、实用性和可实施性的安全机制和实施措施； d 严格按照公司统一信息安全防护策略，融合公司已有各种安全防护措施，制定安全设计框架技术要求； e 适度防范，分级防护，提出构建互联网大区，明确管理信息大区和互联网大区的感知层、网络层、平台层、应用层的安全防护要求，生产控制大区严格遵循 GB/T 36572 的要求进行安全防护。 3 与其他标准文件的关系本标准与相关技术领域的国家 /行业现行法律、法规、技术要求保持一致。本标准不涉及专利、软件著作权等知识产权问题。 4 主要工作过程 2019年8月，项目正式启动，成立项目编写组，确立分工与职责，制定工作计划。 2019年8月，编写组通过分析、验证，起草了本标准草案稿，并组织内部专家对初稿的内容、格式、章节等进行了认真讨论，对本标准的技术要求、规范性引用文件等提出修改意见，会后编写组根据专家意见进行了修改，形成标准初稿。 2019年9月，公司互联网技术标准专业工作组TC06在北京组织专家对标准初稿进行了评审，提出了修改意见，会后编写组对标准初稿进行完善，形成征求意见稿。 2019年10月，采用发函的方式，广泛、多次在国家电网有限公司范围内征求意见。 2019年11月，根据各单位专家反馈的意见，进一步对内容进行丰富和修改，形成送审稿。 1 1 2019年12月，公司互联网技术标准专业工作组 TC06 在北京组织召开了标准审查会，审查结论为审查组协商一致，同意修改后以技术标准形式报批。 2019年12月，修改形成报批稿。 5 标准结构和内容本标准按照国家电网公司技术标准管理办法（国家电网企管〔2018〕222 号文）的要求编写。本标准的主要结构和内容如下本标准主题章分为6章，由总则、感知层安全防护技术要求、网络层安全防护技术要求、平台层安全防护技术要求、应用层安全防护技术要求、通用安全防护技术要求组成。第5章总则章节给出了电力物联网全场景总体防护原则，以及大区隔离、系统部署、终端接入的总体防护要求；然后第6-9章分别阐述了感知层、网络层、平台层以及应用层的安全防护技术要求；最后第 10章提出了通用安全防护技术要求，包括密码基础设施要求、监测安全及态势感知要求、数据安全要求。 6 条文说明无。