NB／T 10680-2021  继电保护和安全自动装置信息安全技术导则

图1攻击对装置信息安全防护需求的威胁示意图

装置是电力系统的安全屏障，在电力系统实时工业自动化控制领域承担非常特殊的功能，其安全需 求主要有： a）可用性：指装置保护功能、控制功能和性能可满足使用需求的特性。在装置运行时正确处理所 需信息，当装置遭受意外攻击时，可满足使用需求，为电网提供服务保障。可用性是装置最重 要的安全需求，也是衡量装置最重要的安全特性。 b）完整性：指装置相关信息在传输、交换、存储和处理过程中，保持信息未经授权不能进行改变

装置是电力系统的安全屏障，在电力系统实时工业自动化控制领域承担非常特殊的功能设备标准，其安全需 求主要有： a）可用性：指装置保护功能、控制功能和性能可满足使用需求的特性。在装置运行时正确处理所 需信息，当装置遭受意外攻击时，可满足使用需求，为电网提供服务保障。可用性是装置最重 要的安全需求，也是衡量装置最重要的安全特性。 b）完整性：指装置相关信息在传输、交换、存储和处理过程中，保持信息未经授权不能进行改变

NB/T106802021

的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插 入等破坏和丢失。 机密性：指保证装置的配置、口令等信息不被泄露给非授权的用户、实体或过程，或其控制功 能不被利用的特性。防止信息泄露给非授权个人或实体，控制功能只为授权用户、实体或过程 使用。 d）不可抵赖性：指装置在进行操作时，确信参与者本身和所提供信息的真实同一性，所有参与者 不可否认或抵赖本人的真实身份，以及提供操作的原样性和完成的操作与承诺。 装置位于电力监控系统网络安全防护体系内，对于安全物理环境、安全通信网络、安全区域边界的 部分防护需求由电力监控系统网络安全防护体系实现。

本文件按照装置安全功能的强度对安全功能要求的级别进行划分，其安全等级可分为基本级和增强 级两种，安全功能强弱是等级划分的具体依据。其中，满足基本级安全措施要求的装置推荐使用在GB/T 22239一2019和GB/T22240一2020规定的安全保护等级为第一、二级的系统中；满足增强级安全措施要 求的装置推荐使用在GB/T22239一2019和GB/T22240一2020规定的安全保护等级为第三级及以上的系 统中。在本文件中，黑体字部分表示较高等级中增加或增强的要求。

装置应考虑采用DL/T478—2013中6.5规定的防火措

装置应考虑采用GB/T14598.26—2015和DL/T478—2013中规定的电磁防护措施

考虑对登录的用户进行鉴别，身份鉴别口令长度

装置应考虑选用以下访问控制措施： a）宜对登录的用户分配账户和权限； b）宜及时删除或停用多余的、过期的账户，避免存在共享账户。

6.2.3安全审计日志

装置应考虑选用以下安全审计策略： a）宜启用装置日志审计功能，对重要的用户行为进行审计。审计日志的范围可包括修改定值、切

NB/T106802021

换定值区、投退软压板、遥控/遥调操作等。 b） 装置的审计日志可包括事件的日期和时间、描述（如记录软压板投退前后的状态）及其他 件相关的信息。 c 宜能对装置的审计日志进行保护，避免受到未预期的删除、修改或覆盖等，

装置应考虑选用以下入侵防范措施： a）正常运行时关闭与业务无关的服务和端口（见附录A）。 6 宜提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合装置设定 要求。 C） 确保装置中不存在已知高危安全漏洞。 d） 应考虑具备对网络压力和网络攻击的承受能力，宜能满足GB/T32901一2016中4.10.15和GB/Z 34124—2017中4.6.9的规定。

6.2.5自检和自恢复

装置应考虑选用以下自检和自恢复措施： a） 装置在上电后可对保护程序、定值等进行正确性和完整性验证，在检测到异常后可进行告警， 告警方式宜包括告警指示灯、空接点输出、液晶面板显示等。 b） 装置在遭受意外断电后恢复供电，应能自动恢复正常运行

装置应考虑采用校验技术或密码技术保证装置软件程序的完整性。

考虑采用校验技术或密码技术保证装置软件程序

装置应考虑采用非明文方式存储口令等敏感数据。

6.2.8数据备份恢复

置应考虑通过调试工具实现配置文件、装置参数、定值等重要数据的数据备份与恢复。 强级安全进放

装置应考虑采用DL/T478一2013中6.5规定的图

装置应考虑选用以下身份鉴别措施： a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，口令与用户名不能完全相同并可 更改，更改前后不能完全相同。身份鉴别口令长度不宜小于4位，不使用重复性或连续性数字 或字符。 b 宜具有登录失败处理功能，可配置并启用结束会话、限制非法登录次数和当登录后无操作超时 自动退出等相关措施。 C 装置在本地界面进行重要操作时宜对用户进行二次身份鉴别，重要操作宜包括修改定值、切换 定值区、投退软压板、修改装置参数、修改通信参数、修改装置时间、传动、控制等。 对于采用DL/T860（所有部分）协议进行远程管理的装置可根据GB/Z25320（所有部分）的 要求实现装置与监控后台、远动机等系统和设备的身份鉴别功能。 可采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且 其中一种鉴别技术至少应使用密码技术来实现。

装置应考虑选用以下访问控制措施： a）宜对登录的用户分配账户和权限。 b）宜及时删除或停用多余的、过期的账户，避免存在共享账户。 c 宜内置系统管理员、安全管理员、审计管理员角色和默认账户，并能修改默认账户的默认口令。 可授予装置的管理用户所需的最小权限，实现管理用户的权限分离。系统管理员负责装置的日 常操作和管理，不进行用户管理和安全参数的配置；安全管理员仅负责用户管理和安全参数的 配置；审计管理员仅负责审计记录的管理。 e 装置宜能配置与监控后台、远动装置等通信的IP白名单，在白名单中的IP地址才能与装置进 行通信。 f）装置的访问控制的粒度宜达到主体为角色级，客体为菜单级。

7.2.3 安全审计日志

装置应考虑选用以下安全审计策略： a）宜启用装置日志审计功能，审计覆盖每个用户，对重要的用户行为和重要安全事件进行审计。 审计日志的范围可包括安全日志类（如用户登录和退出、增加或删除用户、修改用户口令等） 和操作日志类（如修改定值、切换定值区、投退软压板、遥控/遥调操作、修改装置参数、修改 通信参数、修改装置时间、文件下装等）。 b） 装置的审计日志可包括事件的日期和时间、主体（就地操作应标识用户名，远程操作应标识IP 地址）、客体（到菜单级）、描述（如记录软压板投退前后的状态、修改前后的定值区号等）、结 果（成功、失败）及其他与事件相关的信息。 c 宜能对装置的审计日志进行保护，避免受到未预期的删除、修改或覆盖等。 d） 装置的审计日志宜能形成独立类型并独立保存，每个类型审计记录信息保存条数不少于6个月 或2048条。 e） 装置的审计日志可采用SNMP、SYSLOG或DL/T860（所有部分）通信服务等方式上送集中 审计系统。

NB/T10680—2021

装置应考虑选用以下入侵防范措施： a）正常运行时关闭与业务无关的服务和端口（见附录A）。 b）宜提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合装置设定 要求。 C 确保装置中不存在已知高危安全漏洞。 d 应考虑具备对网络压力和网络攻击的承受能力，宜能满足GB/T32901—2016中4.10.15和GB/Z 34124—2017中4.6.9的规定。 e 宜支持关闭或禁用软盘驱动器、光盘驱动器、USB接口、串行口或多余网口等，确需保留的可 通过相关的技术措施实施严格的监控管理。 f 宜能检测到错误口令输入等行为，能够保存审计日志。

7.2.5自检和自恢复

装置应考虑选用以下自检和自恢复措施： a 装置在上电后可对保护程序、定值、CCD文件等进行正确性和完整性验证，在检测到异常 后进行告警，告警方式宜包括告警指示灯、空接点输出、液晶面板显示等，并在装置日志中 进行保存。 b） 装置在遭受意外断电后恢复供电，应能自动恢复正常运行。

水利工艺、技术交底装置应考虑采用校验技术或密码技术保证装置软件程序、CCD文件、定值文件等重要数据在存 中的完整性。

装置应考虑选用以下数据保密性措施： a）采用非明文方式存储口令等敏感数据。 b） 对于采用DL/T860（所有部分）协议通信的装置可根据GB/Z25320（所有部分）的要求采用 国密算法实现装置与监控后台、远动设备等系统和设备的数据加密传输功能，如鉴别数据、业 务数据、配置数据等

7.2.8数据备份恢复

7.2.9剩余信息保护

管道标准备措施保证鉴别信息所在的存储空间被释放或重

附录A （资料性） 服务和端口 建议关闭的服务和端口见表A.1。

附录A （资料性） 服务和端口