Q/GDW 12189-2021 调控云平台安全防护技术规范.pdf
- 文档部分内容预览:
Q/GDW 12189-2021 调控云平台安全防护技术规范
6. 3. 1边界防护
边界防护要求如下: a)应通过部署边界防护设备,制定访问控制策略,保证物理和虚拟化网络边界的安全访问; b)无线业务终端和设备应统一按照公司安全要求接入调控云平台。
调控云平台通过资源同步网实现国分、省地的数据资源同步,国分与省地之间网络出口应 防火墙,制定安全访问控制策略。
调控云平台与生产控制大区进行跨安全区传输时生产标准,应部署经国家指定部门检测认证的电力 单向安全隔离装置。
6. 3. 5访问控制
调控云平台与管理信息大区其他平台或业务之间,应部署防火墙和WAF等访问控制措施。
6. 3. 6入侵检测
调控云平台应部署入侵检测系统,检测网络攻击行为并告警,及时阻断网络攻击连接,记 型、攻击时间等信息。
调控云平台宜结合电力调度数字证书系统,采用基于生物特征识别的多因子认证,实现云终端和调 控云平台之间的身份认证,身份鉴别的身份标识应具有唯一性,同时应定期审核、更换身份鉴别基础信 息(针对密码强度)。
6.4.2恶意代码防护
周控云平台应部署恶意代码防护软件,出现告警上报至网络安全管理平台,并定期维护恶意代码 能的升级和更新。
6. 4. 3 操作系统
操作系统要求如下: a)宿主机操作系统应按公司要求进行安全加固,虚拟机操作系统应采用国家指定部门检测认证的 安全操作系统: b)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,关闭不必要的系统服务、网 络服务和高危端口。
入侵防范要求如下: a) 应检测虚拟机发起的网络攻击行为并告警,及时阻断网络攻击连接,记录攻击类型、攻击时间 等信息; b 应对网络流量进行异常检测,出现告警上报至网络安全管理平台。
Q/GDW12189202
镜像和快照要求如下: a)应对虚拟机、容器等的镜像、快照进行完整性校验,防止镜像被恶意篡改; b)应采取密码技术手段防止镜像、快照中的敏感资源被非法访问。
虚拟化安全要求如下: a 应对虚拟机用户登录、操作信息、运行状态、异常网络访问等事件信息进行监视: b 应具备虚拟化安全基线核查功能,确定安全性的常态化状态标准; C 应具备虚拟资源管理的日志记录功能,包括登录日志、操作日志、系统日志等; d 应保证虚拟机迁移后虚拟机上的安全策略保持不变; e 可采用软件进程空间保护技术措施,确保软件运行空间最小化,
6. 4. 7业务安全
应部署最小运行权域控制软件,控制应用对操作系统的访问权限,防止越权访问; 应部署DNS防御、反向代理、WAF防护技术手段,防止XSS跨站脚本攻击、SQL注入攻击 网页篡改等常见WEB攻击: 应能够对重要业务事件、重要流程节点、关键模块安全信息、业务软件版本进行采集和管理控 制; 业务系统应具有应用级访问控制、软件容错、数据有效性检验功能; 业务系统应采用IPsec、SSL等安全通信协议,对传输两端的主体身份进行鉴别和认证,避免 遭受基于通用通信协议的攻击
数据安全要求如下: a)调控云平台存储敏感信息时,应采取加密安全措施,将个人生物识别信息和个人身份信息分开 存储; b 应采用校验码技术、密码技术保证重要数据在传输和存储过程中的完整性和保密性; 应采用访问控制技术对数据的访问权限进行控制; d 业务系统核心数据和敏感数据宜采取数据脱敏、水印溯源、数据加密等安全技术降低数据共享 风险,
6.4.9剩余信息保护
剩余信息保护要求如下 a)应保证虚拟机所使用的内存和存储空间在回收时得到完全清除; b)应保证删除业务应用数据时,云存储中的所有备份同步删除。
6.4.10数据备份恢复
效据备份恢复要求如下: 调控云平台数据库应支持全备份、事务日志备份、冷备份及增量备份等方式,保证电网数据的 数据库备份、恢复功能; 调控云平台应能根据用户业务需求和应用数据的重要等级提供本地或异地的备份功能。
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数等进行可信验证,并在应用程 予的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计 记录上报至网络安全管理平台。
[6. 5. 1安全审计
安全审计要求如下: ,应具备安全审计功能,对重要的用户行为和安全事件进行审计: b 应对分散在各个设备上的审计数据进行收集汇总和集中分析,确保审计数据隔离的有效性,并 保证审计记录的留存时间符合法律法规要求; C 应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审计; d) 应对执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启、资源变更等。
6. 5. 2 安全监控
女全监控要求如 应对服务器、网络设备、安全设备、存储设备、云平台管理软件、虚拟化网络、虚拟机、容器、 虚拟化安全设备等进行安全监视,对各类安全事件进行识别、告警、分析和事件溯源,并将结 果上报至网络安全管理平台: 6 应对安全策略、恶意代码防护、补丁升级等进行集中管理: 应对非授权设备接入内部网络和内部用户非授权访问外部网络的行为进行监测和限制,并对非 法连接进行有效阻断。
安全建设管理要求如下: 调控云平台提供商应保障提供安全的基础平台,指定或授权专门的部门或人员负责工程实施的 管理; b)调控云平台宜采用自主可控的硬件、软件和操作系统。
安全运维管理要求如下: 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员 的责任、维护和服务的审批、维护过程的监督控制等; 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全 事件的现场处理、事件报告和后期恢复的管理职责等 应根据事件的等级制定相应的应急预案,定期对重要数据进行备份; 应部署运维管控和审计措施,保证调控云平台的运维安全,
安全检测管理要求如下: a)调控云平台及应用软件应开展入网安全检测,检测合格后方可现场部署; b)调控云平台及应用部署前,应进行上线前安全评估,并定期进行安全防护评估
管控功能,对运行软件版本信息进行版本核查,
Q/GDW12189202
调控云平台安全防护技术规范
邮政标准编制主要原则. 3与其他标准文件的关系. 1主要工作过程. 标准结构和内容.. 条文说明.
制主要原则. 其他标准文件的关系. 要工作过程 准结构和内容.. 文说明.
本标准主要根据以下原则编制: a)以电力监控系统安全防护总体方案和电力行业信息安全等级保护等相关法律法规和技术标准 为基础; b 结合国家电网有限公司电力监控系统网络安全管理建设的需求,规范国家电网有限公司调控云 平台安全防护技术要求。
3与其他标准文件的关系
与相关技术领域的国家现行法律、法规和政策 不涉及专利、软件著作权等知识产
2020年3月,开展编写工作的组织规划、工作分工和计划安排等工作,项目启动。 2020年4月,成立标准编写组,以网络会议形式组织召开了编制工作启动会,对公司下达的编制任 务书进行了细化,编制了标准大纲及工作计划。 2020年5月至6月,编写组多次组织内部讨论会,形成标准草案。 2020年7月至8月,采取分头编写、集中修订,交叉审核、集中讨论的方式,收集组内专家的意见与 建议,对标准草案进行多次完善形成标准征求意见稿。 2020年9至10月,以邮件方式广泛征求公司系统内各分中心、省市调和部分直属单位的意见,根据 返回的意见对征求意见稿进行了修订和完善,形成标准送审稿。 2020年11月,国家电网有限公司运行与控制标准专业工作组组织召开了标准审查会,审查结论为: 审查组经过协商一致,同意修改后报批。 2020年12月,修改形成标准报批稿
本标准按照《国家电网公司技术标准管理办法》(国家电网企管(2018)222号文)的要求编写。 本标准主要结构和内容如下: 主题章共3章,由总体安全架构、安全防护要求、安全运营管理组成。第5章主要介绍调控云平台防 护原则和架构。第6章规定了调控云平台的安全防护要求,包括物理环境安全、通信网络安全、区域达
Q/GDW121892021
界安全、计算环境安全、安全集中管控等。第7章规定了调控云平台安全运营管理要求外墙外保温标准规范范本,包括安全建设 管理、安全运维管理、安全检测管理、软件版本管理等,
....- 技术标准 安全标准
- 相关专题: