DLT 1931-2018 电力LTE无线通信网络安全防护要求
- 文档部分内容预览:
DLT 1931-2018 电力LTE无线通信网络安全防护要求
端层由各类不同类型的终端组成,实现电力系统业务的数据交互,终端类型包括固定台、无线 、手持终端等。
5.2电力LTE无线通信网安全风险
力LTE无线通信网的安全风险可分为网络及 风险包括自然界不可抗的风险和其他物理风险。管理风险主要包括安全管理机构、安全管理制 员安全管理、建设管理和运维管理。主要风险参见附录A
电力LTE无线通信网安全防护应符合《电力监控系统安全防护规定》的规定。电力LTE无线通 全防护方案如图2所示。
6.2生产控制大区和信息管理大区的业务系统在与其终端的连接中使用电力LTE无线通信网络或公用 网络等进行通信的,应设立安全接入区。接入生产控制大区的安全接入区应包含物理隔离部件、前置 机和加密认证设备等。接入信息管理大区的安全接入区应包含安全接入平台和加密认证设备等。 6.3终端设备应采用认证加密机制、访问控制措施电缆标准规范范本,建立加密传输通道进行信息采集,保证业务数据 的保密性和完整性。 6.4电力LTE无线通信安全防护总体方案按照“分区、分级、分域”的防护原则,对核心层、回传 网、接入层和终端层分别采取防护措施。 6.5电力LTE无线通信网络安全防护主要类型及要求见表1。
电力LTE无线通信网络安全防护主要类型及要
7电力LTE无线通信网络安全防护要求
7.1网络结构安全防护要求
电力LTE无线通信网络应实现承载业务的逻辑隔离,不同电力业务终端接入无线网络时应根据不 同安全分区级别和业务类型,接入不同专用接入点(APN)和对应虚拟VPN,电力LTE无线专网安全 方案框图如图3所示。
7.2核心层安全防护要求
7.2.1访问通道安全
图3电力LTE无线专网安全方案框图
7.2.2操作系统安全
操作系统安全应满足如下要求: a)产品应使用业界主流漏洞扫描工具对产品进行漏洞扫描测试; b)正式发布的版本应包含默认的操作系统安全加固策略文件; c)产品补丁计划中应包含操作系统安全补丁发布计划,并在公开网站上提供下载。
7.2.3安全日志及审计
日志审计应满足如下要求: a)日志记录应涵盖管理平面上所有的用户活动和操作指令; b)用户活动、操作指令的日志应支持回溯审计; c)产品提供的日志模块/文件有相应的访问控制机制
数据库安全应满足如下要求: a)产品出厂使用的数据库口令禁止使用数据库厂商的缺省口令: b)产品缺省应启用数据库口令复杂度检查功能: c)使用单独的操作系统的非管理员权限账号来运行数据库; d)数据库系统本身的文件及用户的数据文件应严格控制访问权限; e)对数据库账户授予的权限应进行严格清晰的划分,
7.2.5穴余设备及系统要求
穴余设备及系统应满足如下要求: a)核心层主用节点出现故障,备用节点应接管主用节点服务,业务中断可快速恢复; b)核心层应提供记录、定位、排除主用节点故障的工具和手段; c)可根据业务需求配置穴余设备
7.3回传网安全防护要求
7.4接入层安全防护要求
7.4.1传输链路安全
传输链路安全应满足如下要求: a)应提供基站与周边网元、周边设备之间的操作维护传输链路、用户数据传输链路、信令传输链 路等的安全保护,建立以PKI证书机制为中心的安全传输链路; b)应采用IPSec等安全隧道方式接入。
应采用国家无线电管理部门授权的无线频率,
7.4.3无线接口安全
供基站与终端之间无线接口传输数据的机密性和
7.4.4基站设备安全
应提供基站设备本身的保护,包括物理安全和防火墙功能。物理安全应保证基站硬件和站 防火墙功能应保证基站输入的安全
7.4.5基站操作维护安全
基站操作维护安全应满足如下要求: a)应对接入基站设备的操作维护用户进行用户认证和访问控制,识别用户身份并对合法用户合理 授权,约束用户的操作和可以访问的资源; b)系统应提供安全日志,具备安全事件的上报告警功能; c)应提供端到端传输安全协议(SSL)认证功能; d)应保证软件版本完整性
7.5终端层安全防护要求
7.5.1终端硬件安全
终端硬件安全应满足如下要求: a)对外提供的近端业务、维护接口应具备安全认证功能; b)对外提供的近端无线接口应支持软件开启/关闭,应支持安全接入能力: c)应提供明确的物理(包括有线/无线)接口及其安全接入管控方式,不在未公开的外部硬件或 软件接口。
7.5.2终端接入安全
终端接入安全应满足如下要求: a)应能对接入的用户进行鉴权认证,验证用户的合法性,保证授权用户能够接入网络; b)应支持用户与无线通信网络之间的密钥协商机制,保证数据传输安全; c)应在系统边界部署访问控制设备,并启用访问控制功能; d)应对进出网络的信息内容进行过滤,实现对应用层协议命令级的控制; e)应采取技术手段防止地址欺骗: f)应按照访问规则,决定允许或拒绝管理用户对系统的资源访问; g)宜使用HTTPS/SSL等安全连接技术,防止敏感信息泄露。
8.1网管安全防护能力
8.1.1用户管理、认证与鉴权
用户管理、认证与鉴权应满足如下要求: a)应采用强密码策略,对密码长度、特殊字符组合要求、密码错误次数和解锁时间等进行限制, 保证系统用户密码的安全性; b)应支持系统用户安全管理功能,如操作时效性、超长时间自动锁定和自动注销等; c)应支持网管用户的集中管理功能,如账户管理、权限分配、用户鉴权等
8.1.2 安全日志与审计
安全日志与审计要求见7.2.3
8.1.3操作系统及数据库安全
操作系统及数据库安全应满足如下要求: a)操作系统应支持最小化安装,只安装和启用网管系统的组件及服务,并提供定期更新机制,同 时关闭所有无用网络连接端口; b)网管数据库安全要求见7.2.4。
8.1.4系统连接及文件传送安全
网管系统服务器与网元设备、客户端及其他外部系统的连接、文件传输需支持安全传输协议。
8.2网管数据备份与恢复
网管数据备份与恢复应满足如下要求: a)应建立对业务及应用关键数据和重要信息进行备份和恢复的管理和控制机制; b)相关业务及应用的关键数据(如业务数据、系统配置数据、管理员操作维护记录、用户信息 等)应有必要的容灾备份; C)系统应提供数据自动保护功能,当发生故障后应保证系统应能够恢复到故障前的业务状态。
9运行环境安全防护要求
9.1通信设备环境适应性要求
DL/T19312018
9.1.3湿热性能要求
满足GB/T14598.3中规定要求,绝缘性能试验
湿热性能应满足如下要求: a)室内设备应能承受GB/T2423.3规定的恒定湿热试验要求,温度(40土2)℃,湿度(93土3)%, 48h,试验过程中设备不通电,试验后各导电回路对外非带电导电部位及外壳之间、电气上无 联系的各回路之间的绝缘电阻不应小于1.5MQ2; b)室外设备应能承受GB/T2423.4规定的交变湿热试验要求,高温温度40℃,低温温度25℃, 48h,试验过程中设备通电,试验期间及试验结束后均应保持正常工作状太
9.1.4机械性能要求
通信设备机性能要求应符合GB/T15153.2要求,具体参数见表3,试验结束后设备应无损伤, 应能正常工作。
通信设备的抗电磁干扰能力应满足表4要求,试验期间及试验结束后设备应无损伤,均 工作。
的抗电磁十扰能力应满足表4要求,试验期间及试验结束后设备应无损伤,均应能正常
表4抗电磁干扰性能要求
外壳防护应满足如下要求: a)室外设备应满足GB/T4208标准中定义的IP65等级; b)室内设备应满足GB/T4208标准中定义的IP20等级
9.2室外设备场地物理环境
9.2.1室外安装位置选择
屋面标准规范范本室外设备场地应选择具有防震、防风和防雨等能力的建筑内;室外设备场地整体抗宸能刀应 GR.50011要求:室外天线防雷应满足GB50689要求。
9.2.2防盗窃和防破坏
外壳防护应满足如下要求: a)应将主要设备放置在物理受限的范围内; b)应对设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等。
设置灭火设备,并保持灭火设备的良好状态
宜设置温湿度自动调节设施,使室外无线接入设备所处环境的温、湿度的变化在改备 的范围之内。
应设置稳压器和过电压防护设备:应提供短期的备用电力供应(如UPS改备》
电气装置标准规范范本电力无线通信网络主要安全分析见表A.1
DL/T19312018
表A.1电力无线通信网络主要安全分析
....- 电力标准 通信标准
- 相关专题: