Q/GDW 12108-2021 电力物联网全场景安全技术要求.pdf

  • Q/GDW 12108-2021  电力物联网全场景安全技术要求.pdf为pdf格式
  • 文件大小:4.3 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2022-03-31
  • 发 布 人: 13648167612
  • 原始文件下载:
  • 立即下载

  • 文档部分内容预览:
  • Q/GDW 12108-2021  电力物联网全场景安全技术要求

    Q/GDW121082021

    本标准在遵循GB/T22239的安全防护要求的基础上,将电力物联网网络分区划分为生产控制天区、 管理信息大区和互联网大区。生产控制大区严格遵循GB/T36572的要求进行安全防护,管理信息大区和 互联网大区坚持“出口统一、数据分级、装置集成、多措并举”的全场景网络安全防护策略。

    5.2大区隔离总体防护要求

    本项要求包括: 生产控制大区与管理信息大区通过电力专用横向单向安全隔离装置进行物理隔离; 6 管理信息大区与互联网大区通过信息安全网络隔离装置(逻辑型)进行逻辑强隔离; 互联网大区与互联网通过防火墙、IPS、WAF等常用安全防护设备进行逻辑隔离; 管理信息大区可按需建立物联网控制域,其与管理信息大区其他系统间应通过专用安全设备 进行隔离,如需与互联网大区通信,必须按照5.2b)的要求进行防护

    商业标准5.3系统部署总体防护要求

    本项要求包括: a 对于ERP、生产管理、营销管理应用、协同办公等已有业务,支撑公司内部多维精益等新增业 务以及涉及商密数据的业务模块,应部署在管理信息大区; 对于配电、营销、光伏云网、综合能源服务、分布式电源以及客户侧相关的控制类业务,应 部署在物联网控制域; C 对于外网网站、外网邮件、电力交易、电子商务等已有业务,以及车联网、互联网金融等互 联网新兴业务,应部署在互联网大区

    5.4终端接入总体防护要求

    本项要求包括: 在接入公司管理信息大区时,应经专线并采用加密认证措施,专线包括但不限于租用的虚拟 专用线路; b) 在接入公司互联网大区时,宜采用互联网通道; C 原则上不建议交叉混接不同安全大区

    6感知层安全防护技术要求

    6.1.1边缘物联代理防护要求

    本项要求包括: a) 应按照GB/T22239中相应等级的安全物理环境的要求实现物理安全防护: 应基于公司统一的密码基础设施进行身份认证和加密保护,采用硬件密码模块或软件密码模 块等方式实现,其中涉控涉敏业务优先采用硬件密码模块的方式,硬件密码模块应采用通过国 家有关检测机构检测认证的安全芯片; C) 应具备对自身应用、漏洞补丁等重要程序代码,以及配置参数和控制指令等重要操作的数字 签名和验证能力 d)应支持本地及远程升级,并能校验升级包的合法性: e 应具备安全监测、审计和分析功能,应支持软件定义安全策略,并支持自动和联动处置: f 应具备对物联网终端安全接入的管理能力:

    Q/GDW121082021

    应关闭设备调试接口,防范软硬件逆向工程; 应通过系统加固、可信计算等技术,保障边缘物联代理本体安全。

    g)应关闭设备调试接口,防范软硬件逆向工程;

    .1.2物联网终端防护

    本项要求包括: a)应关闭设备调试接口,包括但不限于USB/JTAG/SWD接口等,防范软硬件逆向工程; b)应支持本地及远程升级,并校验升级包的合法性; c)具有边缘计算能力的物联网终端,应遵循6.1.1的防护要求。

    6.2本地通信安全技术要求

    本地通信指物联网终端与边缘物联代理等设备,通过光纤、网线、WFi、载波通信、微功率无线通 信等通道,不经过安全大区,在现场互连通信。本项要求还应满足: a 任意两个直接接入公司安全大区的终端,如接入的大区不同,禁止双方在感知层跨大区直接 通信,如需本地通信,应采取等同大区间隔离强度的技术措施: 不直接接入公司各安全大区的终端,在与直接接入公司管理信息大区的终端本地通信时,应 在网络协议、数据格式、数值有效性上加强过滤和校验,并应实现身份认证; C 不直接接入公司各安全大区的终端,在与直接接入公司互联网大区的终端本地通信时,宜按 需实现身份认证和通信数据加密传输,防范通信数据被窃听或篡改; d 管理信息大区侧的本地通信应采用抗干扰性强的通信协议,并加强通道自身安全配置管控

    7网络层安全防护技术要求

    7.1网络通信安全技术要求

    7.2网络边界接入安全技术要求

    7.2.1管理信息大区的安全接入

    量关键出口处加强安全审计和监控,及时发现安

    本项要求包括: a)应使用公司自建光纤专网、电力无线专网、租用的APN和第三方专线作为网络接入通道; 边缘物联代理、物联网终端等设备,在采用无线方式接入管理信息大区时,应结合业务应用 需求采用公司电力物联安全接入网关、信息安全网络隔离装置(网闸型)实现双向认证和加密 传输; C 对于无法满足7.2.1b)接入要求的设备,应在管理信息大区外设置安全接入区,通过安全接 入区实现和管理信息大区的交互

    7.2.2互联网大区的安全接入

    本项要求包括: a)边缘物联代理、物联网终端等设备,在互联网大区直接访问公司对内业务,包括但不限于公 司外网移动办公、外网移动作业等面向公司员工的业务时,应采用公司电力物联安全接入网关 实现双向认证和加密传输: b) 无法满足7.2.2a)接入要求的设备,在直接访问互联网大区的公司对内业务时,应在互联网 大区外部署前置服务器,通过前置服务器进行协议转换和数据归集:

    Q/GDW121082021

    前置服务器访问公司互联网大区的公司对内业务时,应采用公司电力物联安全接入网关实现 双向认证和加密传输

    8平台层安全防护技术要求

    8.1云平台安全防护要求

    本项要求包括: 应遵循GB/T22239中相应等级的安全通用要求和云安全扩展要求、GB/T31168的要求进行安 全防护; b 云平台和云租户的业务应用系统应作为不同的定级对象分别定级,且云平台不得承载高于其 安全保护等级的业务应用系统; C 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选 择第三方安全服务; d) 应提供安全管理中心,实现访问控制、多租户安全隔离、流量监测、身份认证、数据保护、 镜像加固校验、安全审计、安全态势感知等功能。

    8.2物联管理平台安全防护要求

    本项应符合下述要求: a 遵循GB/T22239中相应等级的安全通用要求和物联网安全扩展要求进行安全防护; 能够对直接接入的边缘物联代理、物联网终端进行认证,能够控制接入终端的访问: C 具备数据存储和传输保护功能,在传输鉴别信息、隐私数据和重要业务数据等敏感信息时应 进行保密性和完整性保护,所使用密码算法应符合国家密码相关规定: d 具备对边缘物联代理、物联网终端集中管控的能力,重点对设备注册、在线和离线进行安全 监测; e 能与边缘物联代理进行协同联动,实现安全策略的下发与更新; 能对管辖范围内的边缘物联代理进行升级,升级内容包括但不限于漏洞补丁、配置参数和应 用软件,升级内容正式部署前应进行功能和安全测试: 名 能与平台系统接口对接,包括但不限于态势感知平台、资产管理平台等系统,实现对物联网 终端安全事件全方位监测。

    9应用层安全防护技术要求

    传统应用系统安全防护要

    应遵循GB/T22239、Q/GDW1594的要求进行

    盾GB/T22239、Q/GDW1594的要求进行安全防护。

    9.2云端应用安全防护要求

    本项应符合下述要求: 根据应用自身定级和业务需求,遵循GB/T22239中安全计算环境的安全防护要求进行安全防 护; b)实现业务和用户行为的安全审计

    9.3APP应用安全防护要求

    Q/GDW121082021

    本项要求包括: a 应确保APP应用发布符合公司要求,发布的渠道可信; b 发布前应进行统一加固、统一检测,并对APP应用运行状态进行安全监测; C 应支持本地及远程升级,并能校验升级包的合法性; d) 在收集用户信息前,应明示收集使用信息的目的、方式和范围,并获得用户授权; e)在进行金融支付、审核授权等重要操作时应进行二次认证,

    本项要求包括: 应确保APP应用发布符合公司要求,发布的渠道可信; b 发布前应进行统一加固、统一检测,并对APP应用运行状态进行安全监测; C 应支持本地及远程升级,并能校验升级包的合法性: d)在收集用户信息前,应明示收集使用信息的目的、方式和范围,并获得用户授权; e)在进行金融支付、审核授权等重要操作时应进行二次认证,

    10通用安全防护技术要求

    10.1密码基础设施要求

    本项要求包括: 管理信息大区和互联网大区新建的系统/设备,应用到密码技术的,应基于公司统一的密码基 础设施开展设计和建设; b) 业务系统如对电子签名、电子签章有法律效力要求的,应严格按照公司和国家商用密码管理 的有关规定执行; C 公司统一的密码基础设施应通过国家有关检测机构检测认证; d 密码基础设施运营单位应建立完备的规章制度和服务流程,为各业务、各单位提供快速便捷服 务。

    10.2监测安全及态势感知要求

    本项应符合下述要求: a)对电力物联网全场景的安全态势进行监测和审计分析,及时发现异常、攻击并快速处置: b)逐步建立网络安全监测分析模型,实现未知威胁检测预警和攻击溯源。

    10.3.1数据安全合规要求

    本项要求包括: a 应对数据进行分级,明确本专业商密数据、企业重要数据、一般数据的范围,并严格遵循数 据级别进行适度防护; b 商密数据应遵照Q/GDW11416进行防护; C 企业重要数据应进行全生命周期安全防护,数据在对外提供、公开发布、跨域传输等环节中 应采取数据内容加密、数据脱敏等技术措施; d 一般数据可根据各专业部门、各单位自身情况采取相对灵活的防护措施

    10.3.3数据全生命周期管控

    10.3.3.1数据采集

    Q/GDW121082021

    a)对采集数据进行有效性、合理性校验,支持数据一次采集、多处使用; b)在对客户数据进行采集前明示采集和使用规则、且的、范围等,并取得客户授权同意。

    a)对采集数据进行有效性、合理性校验,支持数据一次采集、多处使用; b)在对客户数据进行采集前明示采集和使用规则、目的、范围等,并取得客户授权同意。

    0.3.3.2数据传输与存

    本项要求包括: a)新建系统应采用公司统一的密码基础设施发放的密钥或证书进行加密传输或存储; b)数据需要跨境、出境传输时,应征询法律部门意见后方可开展相关工作;

    本项要求包括: a)新建系统应采用公司统一的密码基础设施发放的密钥或证书进行加密传输或存储; b)数据需要跨境、出境传输时,应征询法律部门意见后方可开展相关工作;

    10.3.3.3数据访问与使用

    本项要求包括: a)应基于数据中台,进行数据在线查询和应用,并对不同的访问主体实施相应控制措施; b)属于数据共享负面清 序进行授权办理

    Q/GDW121082021

    电力物联网全场景安全技术要求

    Q/GDW121082021

    编制背景 ..10 编制主要原则 与其他标准文件的关系 10 主要工作过程· 10 标准结构和内容· 条文说明

    主要原则 也标准文件的关系 0 工作过程? 10 结构和内容.. 11 兑明·

    Q/GDW121082021

    本标准依据《国家电网有限公司关于下达2019年第二批技术标准制修订计划的通知》(国家电网科 (2019)807号文)的要求编写。 本标准的编制背景是随着电力物联网的全面建设,驱需防范网络安全风险,形成灵活、精准、智能 的安全服务和业务支撑能力,指导公司电力物联网安全建设,因此制定本标准。 本标准编制的主要目的是规定了公司电力物联网全场景安全防护的总体原则和技术要求,作为GB/T 22239《信息安全技术网络安全等级保护基本要求》、国家发展和改革委员会令第14号《电力监控系统 安全防护规定》、Q/GDW1594《国家电网公司管理信息系统安全防护技术要求》、国家电网信息(2011) 727号《国家电网公司智能电网信息安全防护总体方案(试行)》和国家电网互联(2019)806号《电 力物联网全场景网络安全防护方案》等标准和规定的重要补充检测标准,指导公司各分部、公司各单位的电力物 联网规划、设计、采购、安全审查、开发测试、实施上线、运行管理等全过程管理。

    本标准主要根据以下原则编制: a)坚持先进性与实用性相结合、统一性与灵活性相结合、可靠性与经济性相结合的原则,以标准 化为指导相关业务系统的安全建设; 6 借鉴现行相关的国家标准、行业标准、企业标准,使指导性技术文件具有科学性和规范性; C 分析各业务系统的安全需求、性能特征,研究提出具有必要性、实用性和可实施性的安全机制 和实施措施: d 严格按照公司统一信息安全防护策略,融合公司已有各种安全防护措施,制定安全设计框架技 术要求; 适度防范,分级防护,提出构建互联网大区,明确管理信息大区和互联网大区的感知层、网络 层、平台层、应用层的安全防护要求,生产控制大区严格遵循GB/T36572的要求进行安全防 护

    本标准与相天技不领域的国 本标准不涉及专利、软件著作权等知识产权问题

    2019年8月,项目正式启动,成立项目编写组,确立分工与职责,制定工作计划。 2019年8月,编写组通过分析、验证,起草了本标准草案稿,并组织内部专家对初稿的内容、格式、 章节等进行了认真讨论,对本标准的技术要求、规范性引用文件等提出修改意见,会后编写组根据专家 意见进行了修改,形成标准初稿。 2019年9月,公司互联网技术标准专业工作组(TC06)在北京组织专家对标准初稿进行了评审,提出 了修改意见,会后编写组对标准初稿进行完善,形成征求意见稿 2019年10月,采用发函的方式,广泛、多次在国家电网有限公司范围内征求意见。 2019年11月,根据各单位专家反馈的意见,进一步对内容进行丰富和修改,形成送审稿。

    屋面标准规范范本Q/GDW 121082021

    2019年12月,公司互联网技术标准专业工作组(TC06)在北京组织召开了标准审查会,审查结论为: 审查组协商一致,同意修改后以技术标准形式报批, 2019年12月,修改形成报批稿

    ....
  • 电力标准 技术标准 安全标准
  • 相关专题:

相关下载

常用软件