Q/GDW 11345.5-2020 电力通信网信息安全 第5部分:终端通信接入网.pdf
- 文档部分内容预览:
Q/GDW 11345.5-2020 电力通信网信息安全 第5部分:终端通信接入网
对可靠性需求较高的区域,工业以太网的网架结构应采取穴余配置
5.4中低压电力线载波
中低压电力线载波网络结构安全要求如下: a)中低压电力线载波宜采取主从分布式组网结构,参见附录B.1; b)对可靠性需求较高的区域,中低压电力线载波的网架结构应采取穴余配置。
电力无线专网网络结构安全要求如下: a)电力无线专网的总体架构图参见附录B.2,应采用无线电管理部门授权的无线频率组网; b)电力无线专网的核心网关键单元和回传通道穴余配置应符合Q/GDW11664一2017中7.3.4条和 7.5.2条相关要求; c)电力无线专网在同时承载生产控制大区和管理信息大区业务时应采取物理隔离措施电动汽车标准规范范本,并符合 Q/GDW11664一2017中7.8.2条相关要求:
无线公网网络结构安全要求如下: a)无线公网总体架构图参见附录B.3; b)在主站系统和公共网络之间的有线专线应采用1+1穴余保护。
终端通信接入网通信设备安全主要针对不同通信设备的重要部件、电气性能与工作环境的安全要 水。
EPON设备安全要求如下: a)重要板卡应满足1+1元余需求。0LT主控板1十1元余保护应符合Q/GDW1553.1一2014中第 7.11.1条相关要求;0LT上联口双归属保护应符合Q/GDW1553.1一2014中第7.11.2条相关要 求;电源元余保护应符合Q/GDW1553.1一2014中第7.11.4条相关要求; b)工作环境温、湿度要求、防尘要求、电源要求和电气安全与电磁兼容要求应满足Q/GDW1553. 一2014中第8.1~8.4条相关要求。
工业以太网交换机设备安全要求如下: a)宜采用穴余电源保护; b)应能够在高温、高湿的严酷环境下工作,应通过GB/T2423.9规定的恒定湿热试验: C)防尘、电源和电气安全与电磁兼容要求应符合YD/T1099一2005中第12、13条相关要求。
7.4中低压电力线载波设备
中低压电力线载波通信设备安全要求如下: a)宜采用穴余电源保护; b)工作环境温、湿度应符合Q/GDW1374.3一2013中第5.1条相关要求; c)电气安全与电磁兼容性应符合Q/GDW1374.3一2013中第5.5和5.6条相关规定。
7.5电力无线专网设备
电力无线专网通信设备安全要求如下:
Q/GDW 11345. 52020
无线公网通信设备应启用无线公网自身提供的安全措
终端通信接入网传输通道安全主要针对不同技术体制的网络系统在落实横向隔离、纵向认 本体安全要求的防护措施。
8.2.1EPON系统横向隔离措施
EPON系统横向隔离措施要求如下: a)应在220/110/66/35/22kV变电站的汇聚交换机上配置访问控制策略,阻断不同OLT下ONU之间 的互访; b)应在OLT上配置访问控制策略,阻断本OLT下不同ONU之间的互访; c)应具备基于端口或MAC地址的VLAN划分功能,并通过划分VLAN等方式配置访问控制策略; d)具备三重搅动功能保护下行数据,应具备针对每个逻辑链路连接标识的搅动功能,每个逻辑链 路连接标识应具有独立的密钥; e)应具备对所有数据顿、MAC控制顿和OAM顿的搅动功能
8.2.2EPON系统纵向认证措施
EPON系统纵向认证措施要求如下: a)OLT应支持对ONU的MAC地址或逻辑标识进行单向认证,应具备对非法ONU的识别和隔离功能; b)应支持MAC地址与端口、IP地址的绑定功能。
8.2.3EPON系统本体安全措施
EPON系统本体安全措施要求如下: a)应具备限定端口学习MAC地址数量的功能; b)业务端口和管理端口均应通过防御IGMP、TCP、UDP等攻击报文测试; c)管理端口应具备密码配置功能、支持SSH登录方式,应设置用户密码,密码长度不少于8位 且至少包含大写字母、小写字母、数字、特殊字符中的三类; d)应采用安全增强的SNMPv2及以上版本的网管协议; e)宜具备Qos功能。
8.3.1工业以太网横向隔离措施
B.3.2工业以太网纵向认证措施
工业以太网纵向认证措施要求如下: a)应支持MAC地址与端口、IP地址的绑定功能; b)应具备限定端口学习MAC地址数量的功能。
8.3.3工业以太网本体安全措施
工业以太网本体安全措施要求如下: a)业务端口和管理端口均应通过防御IGMP、TCP、UDP等攻击报文测试; b)管理端口应具备密码配置功能、支持SSH登录方式,应设置用户密码,密码长度不少于8位 且至少包含大写字母、小写字母、数字、特殊字符中的三类; c)应采用安全增强的SNMPv2及以上版本的网管协议; d)宜具备QoS功能。
中低压电力载波通信单元本体安全措施要求如下: a)应采用检错校验编码方式保护传输信息安全; b)应具备安全管理等网络管理功能。
5.1电力无线专网横向
电力无线专网横向隔离措施要求如下: a)核心网设备应支持多PLMN功能,支持多APN配置,支持APN与VPN的映射,可为多类业务配置 独立的APN以及VPN,并自动保障高优先级业务通信; b)在无线核心网边缘处应具备映射到专用物理端口或路由的功能; c)应为生产控制大区的精准负荷控制业务、配电自动化遥控等控制类业务提供独立的物理端口和 回传通道
8.5.2电力无线专网纵向认证措施
电力无线专网纵向认证措施要求如下: a)通信终端与基站及核心网之间应采取基于四元组鉴权向量的双向鉴权认证; b)应同时采用无线接入层(AS)、非无线接入层(NAS)两层安全机制,分别对通信终端与基站间、 通信终端与核心网间传送的信令进行加密和完整性保护,对用户面数据进行加密,具备对用户 面数据的机密性保护功能和信令的机密性保护和完整性保护功能; c)应采用临时身份标识和加密永久身份标识两种机制保护用户身份。无线通信终端仅在初次接入 网络时上报国际移动用户标识(IMSI)、国际移动设备标识(IMEI)等身份信息,之后协商临 时身份标识,并对永久身份标识加密处理:
d)应将SIM/USIM卡与无线通信终端绑定;终端应使用支持双向认证的用户身份识别卡,宜使用 USIM、eSIM等用户身份识别卡;无线通信终端(CPE/LCM等)的配置文件和软件应使用专用设 备和软件进行维护和诊断;正常工作时,无线通信终端的维护与诊断接口应处于关闭状态;限 制CPE/LCM访问权限,在核心网严格限制无线通信终端权限,对超出权限的操作不予响应。
8.5.3电力无线专网本体安全措施
电力无线专网本体安全措施要求如下: a)应具备传输优先级和传输带宽的设置功能; b)应支持无线通信终端监视功能。
■无线公网横向隔离措放
无线公网横向隔离措施要求如下: a)应采用APN和VPN(GRE/L2TP/MPLS)技术或VPDN技术提供无线虚拟专有通道,应采用VRF技 术对电力用户与其他行业客户进行路由隔离,禁止公共网络上的用户访问电力网络内部资源; b)应禁止不同APN业务互访;同一APN内业务终端不宜互访,特殊情况下应采取双向认证和数据 加密措施: c)宜以省电力公司为单位根据业务应用终端规模及安全级别规划APN,同等安全级别的业务应用 可划分至同一APN,否则不可划分至同一APN;用电信息采集等大型业务应用可根据需要规划独 立APN; d)在主站系统和公共网络之间应采用有线专线+GRE或L2TP加密隧道等手段; e)通信终端至基站间的数据传输应采用加密传输
8.6.2无线公网纵向认证措施
无线公网纵向认证措施要求如下: a)应关闭通信终端的免认证连接功能; b)通信终端SIM/USIM卡应采取双重绑定和认证措施;终端IP地址采用静态分配方式 C应基于鉴权向量实现无线网络与接入通信终端之间的合法性验证
8.6.3无线公网安全本体安全措施
应支持用户优先级管理。
应支持用户优先级管理
终端通信接入网设备网管系统应遵照GB/T22239一2019中第7.1.2~7.1.5条等级保护二级要求进 行防护。
终端通信接入网网络边界安全主要针对终端通信接入网在主站边界和终端边界的安全防护
主站边界安全要求如下: a)以任一通信方式接入生产控制大区和管理信息大区(信息内网),均应通过主站前置机接入; b)生产控制大区中,当个别系统的功能模块需使用公用通信网络、无线通信网络以及处于非可控 状态下的网络设备与终端等进行通信,其安全防护水平低于生产控制大区其他系统时,应设立 安全接入区;安全接入区内应部署前置机,负责与安全防护水平较低环境中的业务功能模块进 行通信;安全接入区应采用电力专用的正反向隔离装置与主站系统进行隔离; )生产控制大区中,前置机应配置具有认证加密功能的安全模块; d)当采用无线传输通道接入管理信息大区(信息内网)时应通过安全接入网关接入; e)当通过互联网接入互联网大区时,外网移动作业办公/协作终端、充电桩等业务应通过安全接入 网关接入: f)配置防火墙进行安全防护时,防火墙应制定严格的访问策略,应具备抗拒绝服务功能和防恶意 代码攻击功能: g)应配置安全审计设施,具备对通信设备运维、网管系统等进行安全审计的功能,对安全事件可 追溯。
终端边界安全要求如下: a)接入生产控制大区的业务终端、通过无线网络接入管理信息大区(信息内网)的业务终端应配 置安全模块实现与主站之间的认证和通信安全; b)通过有线专网接入管理信息大区(信息内网)和互联网大区的业务终端宜配置安全模块实现与 主站之间的认证和通信链路加密。
Q/GDW 11345. 52020
附录A (资料性附录) 主要承载业务系统的安全分区 终端通信接入网主要承载配电、用电及管理等业务系统,涉及面广、地区差异大,为减少防护成本 实施风险,应当简化安全区设置,重点防护具有直接控制功能的系统。各业务系统的安全分区如表A. 所示,承载各业务系统的终端通信接入网参照对应分区的安全防护要求执行
表A.1业务系统安全分区表
B.1中压电力线载波主从分布式组网结构
Q/GDW11345.5—2020
附录 B (资料性附录) 中压电力线载波、电力无线专网、无线公网总体架构图
中压电力线载波通信以中压配电网电力线为传输介质: 采用主从分布式组网结构,可以实现销 型、星型和树形组网结构,与实际配电网结构相匹配。中压电力线载波主从分布式组网结构参见图
图B.1中压电力线载波主从分布式组网结构图
Q/GDW11345.5—2020
B.2电力无线专网的总体架构
电力无线专网为业务终端与业务主 ,业务终端通过通信终端、基站、 核心网、业务承载网与业务主站连接 虚框内为电力无线专网的总
图B.2电力无线专网总体架构图
B.3无线公网总体架构
无线公网在为业务终端与业务主站之间的通信提供服务时,业务终端的无线通信终端通过APN/VPN 接入运营商网络,再分别接入生产控制大区、管理信息大区(信息内网)的业务主站;接入互联网大区 的业务终端只需通过公共网络接入。总体架构参见图B.3,图中虚框内为无线公网的总体架构。
图B.3无线公网总体架构图
Q/GDW 11345. 52020
电力通信网信息安全 第5部分:终端通信接入网
编制背景 编制主要原则· 与其他标准文件的关系 主要工作过程. 16 标准结构和内容··. 条文说明· 17
灌注桩标准规范范本月京 主要原则· 也标准文件的关系 工作过程·· 结构和内容 说明
本部分依据《国家电网公司关于下达2017年度国家电网公司第一批技术标准制修订计划的通知》(国 家电网科(2017)72号文)的要求编写。 本部分的编制背景是在终端通信接入网安全规范发布后,电力无线专网承载控制类业务的技术要求 通过了评审,信通部发布了《终端通信接入网建设指导意见(试行)》(信通通信[2018]117号),对终 瑞通信接入网的建设提出了更细致的要求,需要对内容进行修订。 本部分的编制目的是指导公司终端通信接入网的安全防护。
本部分主要根据以下原则修订: a)坚持先进性与实用性相结合、统一性与灵活性相结合、可靠性与经济性相结合的原则,以标准 化为指导终端通信网络的安全建设; b)分析终端通信网络的安全需求、性能特征,研究提出具有必要性、实用性和可实施性的安全机 制和实施措施: c)借鉴现行相关的国际标准、国家标准、行业标准、企业标准,使指导性技术文件具有科学性和 规范性。 d)本部分项目计划名称为《终端通信接入网信息通信安全防护技术规范》,因与原标准名称不 致,经编写组与专家商定 安全第5部分:终端通信接入网》
3与其他标准文件的关系
本部分与相关技术领域的国家现行法律、法规和政策保证一致。 本部分不涉及专利、软件著作权等知识产权问题。 本部分中需要公开的产品、服务的功能指标和产品的性能指标不包含专利,不涉密及公司的商业秘 密、技术秘密通信标准,涉及信息安全。 本部分的主要参考文件: 国家电网调(2011)168号中低压配电网自动化系统安全防护补充规定 国家电网信息(2011)1727号国家电网公司智能电网信息安全防护总体方案(试行) 国家电网安监(2011)2024国家电网公司安全事故调查规程 国家发展和改革委员会(2014】14号令电力监控系统安全防护规定 国能安全(2015)36号关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通 国家电网信通(2018)117号终端通信接入网建设指导意见(试行)
Q/GDW1134552020
本部分按照《国家电网公司技术标准管理办法》(国家电网企管(2018)222号文)的要求编写。 本部分的主要结构及内容如下: 本部分主题章分为9章:第5章“总则”,主要说明了所应遵循的安全防护原则、防护架构和防护对 第6章“网络结构安全”,主要说明了EPON、工业以太网、中低压电力线载波、电力无线专网、无 公网的网络结构的安全防护要求;第7章“通信设备安全”主要说明了对各种通信设备的安全防护要 第8章“传输通道安全”,主要从横向隔离、纵向认证和本体安全三个方面说明了不同技术体制传 通道的安全防护要求;第9章“网络边界安全”主要说明了终端通信接入网在主站边界和终端边界的 全防护要求。 本部分代替Q/GDW/Z11345.5一2015,与Q/GDW/Z11345.5一2015相比,本次修订做了如下重大调 修改了标准的适用范围,用终端通信接入网的整体概念替代了原有的表达方式 修改了“规范性引用文件”中部分引用标准; 修改了“术语和定义”中“终端通信接入网”、“电力无线专网”定义; 删除了“电力无线虚拟专网”; 增加了“安全接入网关”和“鉴权四元组”术语: 增加了部分缩略语: 修改了5.1防护原则; 修改了5.2防护架构; 一增加了5.3“防护对象”,进一步明确了终端通信接入网的安全范围; 修改了第6章“网络结构安全”和第7章“设备安全”,同时增加了对电网无线专网的安全要 求; 修改了第8章“传输通道安全”,从横向隔离、纵向认证和本体安全三个方面进行描述 删除了“主站边界安全”和“终端安全”,将内容纳入到第9章“网络边界安全”一章: 增加了附录B,为中压电力线载波主从分布式组网结构、电力无线专网总体架构、无线公网总 体架构提供了示意图。 原标准起草单位包括北京中电普华信息技术有限公司、中国电力科学研究院、国网江苏电力公司、 冈河北省电力公司、国网辽宁省电力有限公司;原标准主要起草人包括常宁、乔淑娟、林亮成、许勇 黄兴、李延、郑晓昆、刘国军、汪洋、黄天明、曾令康、张军、刘智威、韦磊、钟成、张艳萍、郭 民、吕卓、赵宏昊、孟凡博、屠正伟。
....- 电力标准 通信标准 安全标准
- 相关专题: