Q∕GDW 12196-2021 電力自動(dòng)化系統(tǒng)軟件安全檢測(cè)規(guī)范

1、ICS 29. 240Q/GDW國(guó)家電網(wǎng)有限公司企業(yè)標(biāo)準(zhǔn)Q/GDW 121962021電力自動(dòng)化系統(tǒng)軟件安全檢測(cè)規(guī)范Test specification for software security of electric powerautomation system2022 -01 -24 實(shí)施2022-01 -24 發(fā)布國(guó)家電網(wǎng)有限公司 發(fā)布Q/GDW 121962021目 次ttiWii1 翻l2 規(guī)范性引用文件13 術(shù)i吾雌5C14娜i吾15創(chuàng)本26錢魏26. 1代碼安全26. 2業(yè)務(wù)安全26.3版本管理77 翻旅77. 1代碼安全77. 2業(yè)務(wù)安全77. 3版本管理13附錄A （資料性

2、附錄） 數(shù)據(jù)分類分級(jí)參照表14綱測(cè)15IQ/GDW 121962021為規(guī)范電力自動(dòng)化系統(tǒng)軟件應(yīng)滿足的安全性要求，提升電力自動(dòng)化系統(tǒng)軟件的安全防護(hù)能力，指導(dǎo) 電力自動(dòng)化系統(tǒng)軟件的安全檢測(cè)，制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)由國(guó)家電網(wǎng)有限公司國(guó)家電力調(diào)度控制中心提出并解釋。本標(biāo)準(zhǔn)由國(guó)家電網(wǎng)有限公司科技部歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)電力科學(xué)研宄院有限公司、國(guó)家電網(wǎng)有限公司東北分部、國(guó)網(wǎng)山東省電力公 司、國(guó)網(wǎng)江蘇省電力有限公司、國(guó)網(wǎng)浙江省電力有限公司、國(guó)網(wǎng)湖南省電力有限公司、國(guó)網(wǎng)四川省電力 公司、國(guó)家電網(wǎng)有限公司西南分部、南瑞集團(tuán)有限公司。本標(biāo)準(zhǔn)主要起草人：張金虎、沈艷、周劼英、詹雄、張曉、李勁松、徐鑫、楊鵬、劉葦、

3、李宇佳、 紀(jì)欣、金學(xué)奇、周獻(xiàn)飛、邵立嵩、宮鈴琳、孟慶東、劉成江、高保成、劉勇、劉筱萍、喻顯茂、裴培、 陳乾、鄭澍、熊偉、王昊、彭暉。本標(biāo)準(zhǔn)首次發(fā)布。本標(biāo)準(zhǔn)在執(zhí)行過(guò)程中的意見(jiàn)或建議反饋至國(guó)家電網(wǎng)有限公司科技部。#Q/GDW 121962021電力自動(dòng)化系統(tǒng)軟件安全檢測(cè)規(guī)范1 范圍本標(biāo)準(zhǔn)規(guī)定了電力自動(dòng)化系統(tǒng)軟件的安全要求和檢測(cè)方法。本標(biāo)準(zhǔn)適用于調(diào)度自動(dòng)化系統(tǒng)、變電站監(jiān)控系統(tǒng)、集控站監(jiān)控系統(tǒng)、輔助設(shè)備監(jiān)控系統(tǒng)等主、廠站 軟件的設(shè)計(jì)、開(kāi)發(fā)、測(cè)評(píng)、建設(shè)、運(yùn)行和維護(hù)。抽水蓄能電廠、火電廠、水電廠、新能源等監(jiān)控系統(tǒng)可 參照本標(biāo)準(zhǔn)執(zhí)行。2 規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文

4、件，僅注日期的版本適用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 34943 C/C+語(yǔ)言源代碼漏洞測(cè)試規(guī)范GB/T 34944 Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范GB/T 36572電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則DL/T 634. 5104 遠(yuǎn)動(dòng)設(shè)備及系統(tǒng)第5-104部分：傳輸規(guī)約采用標(biāo)準(zhǔn)傳輸協(xié)議子集的 IEC60870-5-101 網(wǎng)絡(luò)訪問(wèn)DL/T 860 （所有部分）電力自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)DL/T 1455電力系統(tǒng)控制類軟件安全性及其測(cè)評(píng)技術(shù)要求3 術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.

5、 1電力自動(dòng)化系統(tǒng)軟件el ectr i c power automat i on system software綜合利用計(jì)算機(jī)、遠(yuǎn)動(dòng)和遠(yuǎn)程通信技術(shù)，對(duì)電網(wǎng)一、二次設(shè)備進(jìn)行運(yùn)行監(jiān)視、控制和管理的自動(dòng)化 系統(tǒng)平臺(tái)及應(yīng)用軟件，包括電力自動(dòng)化系統(tǒng)主、廠站軟件。3. 2業(yè)務(wù)安全 bus i ness secur i ty從人機(jī)安全、通信安全、服務(wù)安全、應(yīng)用安全、數(shù)據(jù)安全、進(jìn)程安全、運(yùn)行安全等方面，結(jié)合系統(tǒng) 軟件自身業(yè)務(wù)，保護(hù)電力自動(dòng)化系統(tǒng)業(yè)務(wù)免受安全威脅的措施及手段。4 縮略語(yǔ)下列縮略語(yǔ)適用于本文件。1Q/GDW 121962021APPID:應(yīng)用標(biāo)識(shí)符(Application Identity)CA

6、:證書(shū)認(rèn)證機(jī)構(gòu)(Certification Authority)CPU：中央處理器( central processing unit)ID：身份(Identity)IP:網(wǎng)絡(luò)之間連接的協(xié)議(Internet Protocol)MAC:多址接入信道(Multiple Access Channel)SQL：結(jié)構(gòu)化查詢語(yǔ)言(Structured Query Language)SYN:洪水攻擊(Synchronize)UDP：用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol)總體要求1電力自動(dòng)化系統(tǒng)軟件應(yīng)遵循GBA 22239、GB/T 36572、DL/T 1455等技術(shù)標(biāo)準(zhǔn)的相關(guān)安全要

7、求。 2電力自動(dòng)化系統(tǒng)控制類軟件應(yīng)實(shí)現(xiàn)自主可控，包括業(yè)務(wù)軟件本身、第三方組件、密碼算法等。 3測(cè)試工具應(yīng)具有追溯性，自行開(kāi)發(fā)的測(cè)試工具應(yīng)有詳細(xì)的說(shuō)明文檔，并通過(guò)適用性驗(yàn)證。安全要求1 代碼安全代碼安全檢測(cè)應(yīng)依照GB/T 34943和GB/T 34944等要求，具體要求如下：a）不應(yīng)存在違背安全編碼規(guī)則、輸入處理、輸出處理、文件操作等安全要求內(nèi)容；b）不應(yīng)存在口令硬編碼、軟件后門、訪問(wèn)控制、密碼管理、明文存儲(chǔ)、異常管理等安全特征內(nèi)容;c）不應(yīng)存在資源泄露、越界訪問(wèn)、緩沖區(qū)溢出、命令注入、設(shè)計(jì)缺陷/業(yè)務(wù)邏輯等安全漏洞。2 業(yè)務(wù)安全2. 1人機(jī)安全2. 1. 1接入安全要求接入安全要求如下：a）人機(jī)

8、客戶端、配置管理軟件等接入，應(yīng)優(yōu)先采用白名單方式，也可采用黑名單等其他方式，限 制非法接入，保證客戶端、配置管理軟件等接入的合法性；b）API接口等接入應(yīng)進(jìn)行身份認(rèn)證，并限制對(duì)外開(kāi)放接口的應(yīng)用范圍和同一時(shí)間內(nèi)并發(fā)訪問(wèn)的接 口數(shù)；c）軟件接入應(yīng)記錄審計(jì)日志。2.1.2 用戶管理及授權(quán)安全要求用戶管理及授權(quán)安全要求如下：a）身份標(biāo)識(shí)應(yīng)具有唯一性，保證不存在重復(fù)標(biāo)識(shí)的用戶；b）應(yīng)支持密碼最小長(zhǎng)度及復(fù)雜度要求，禁用弱口令及用戶口令與用戶名一致；c）使用電力調(diào)度數(shù)字證書(shū)綁定用戶時(shí)，應(yīng)為每個(gè)用戶分配唯一的證書(shū)，并保證證書(shū)鏈的有效性， 禁止使用不符合鏈?zhǔn)津?yàn)證的數(shù)字證書(shū)；d）應(yīng)設(shè)置管理員、審計(jì)員和、操作員三種

9、角色，不允許存在超級(jí)用戶，權(quán)限的設(shè)置應(yīng)基于最小權(quán) 限原則；Q/GDW 121962021e）除畫(huà)面查看等公共權(quán)限外，應(yīng)保證不同角色間權(quán)限互斥，且不能將不同的角色授予同一用戶;f）應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶，注銷用戶應(yīng)任何情況下不可用，避免共享賬戶的存在;g）用戶管理、權(quán)限分配等應(yīng)記錄審計(jì)日志。6. 2. 1.3登錄認(rèn)證安全要求登錄認(rèn)證安全要求如下：a）登錄身份認(rèn)證可采用數(shù)字證書(shū)、生物特征識(shí)別和口令認(rèn)證，根據(jù)軟件安全防護(hù)需求選用不同的 認(rèn)證方式或多種認(rèn)證方式的組合；b）使用電力調(diào)度數(shù)字證書(shū)作為登錄認(rèn)證憑證時(shí)，應(yīng)驗(yàn)證證書(shū)有效性，禁止使用過(guò)期、撤銷的數(shù)字 證書(shū)；c）應(yīng)具備連續(xù)登錄失敗鎖定功能

10、，支持特定時(shí)長(zhǎng)、失敗次數(shù)和鎖定時(shí)長(zhǎng)的配置功能，對(duì)設(shè)定時(shí)長(zhǎng) 內(nèi)連續(xù)登錄失敗次數(shù)（默認(rèn)5次）達(dá)到設(shè)定值后，應(yīng)鎖定賬號(hào)一定時(shí)長(zhǎng)（默認(rèn)10分鐘），并 且有相應(yīng)的提示告警信息；d）應(yīng)具備鎖定賬號(hào)恢復(fù)功能，支持鎖定時(shí)長(zhǎng)到期后自動(dòng)恢復(fù)或管理員手動(dòng)恢復(fù)；e）應(yīng)對(duì)同一用戶賬號(hào)同一時(shí)間內(nèi)多點(diǎn)登錄的行為進(jìn)行限制阻斷、提示并產(chǎn)生告警；f）應(yīng)具備會(huì)話管理機(jī)制，當(dāng)用戶處于非監(jiān)控會(huì)話界面并在一段時(shí)間內(nèi)未做任何操作時(shí)，應(yīng)退出當(dāng) 前界面，會(huì)話超時(shí)時(shí)間可配置（默認(rèn)10分鐘）；g）會(huì)話數(shù)據(jù)不應(yīng)存儲(chǔ)在人機(jī)客戶端、配置管理軟件內(nèi)；h）用戶登錄、用戶退出以及異常登錄訪問(wèn)事件等應(yīng)記錄審計(jì)日志。6. 2. 1.4 操作安全要求操作安全要求如

11、下：a）執(zhí)行控制操作、參數(shù)配置、文件上傳/下載等操作應(yīng)進(jìn)行權(quán)限控制；b）應(yīng)具備數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口或通信接口輸入的數(shù)據(jù)格式、類型、長(zhǎng)度等應(yīng) 符合軟件設(shè)定要求；c）對(duì)于重要控制類操作，應(yīng)具備再次身份認(rèn)證的機(jī)制；d）對(duì)于主站的控制操作，應(yīng)具備控制點(diǎn)號(hào)預(yù)置確認(rèn)功能，需對(duì)控制點(diǎn)編號(hào)再次輸入確認(rèn)，只有兩 次編號(hào)校驗(yàn)一致方可進(jìn)行預(yù)置操作；e）應(yīng)能夠識(shí)別邏輯異常操作，禁止異常操作且給予提示；f）應(yīng)具備文件下載操作目錄限制功能；g）應(yīng)具備對(duì)上傳文件的格式、內(nèi)容等進(jìn)行合法性校驗(yàn)及非法文件過(guò)濾功能；h）異常時(shí)，返回的提示信息應(yīng)進(jìn)行必要的封裝，不應(yīng)包含有關(guān)后臺(tái)系統(tǒng)或其它敏感信息；i）控制操作、參數(shù)配

12、置、文件上傳/下載行為應(yīng)記錄審計(jì)日志。6. 2. 2 通信安全6. 2. 2. 1 通信服務(wù)基本要求應(yīng)用于生產(chǎn)控制大區(qū)的軟件應(yīng)禁止使用E-mail服務(wù)，應(yīng)用于控制區(qū)軟件禁止使用通用WEB服務(wù)。 6. 2. 2. 2 通信安全要求通信安全要求如下：a）應(yīng)通過(guò)各項(xiàng)標(biāo)識(shí)（IP、MAC地址、APPID等）的一致性校驗(yàn)對(duì)通信對(duì)象接入進(jìn)行控制；b）宜對(duì)通信對(duì)象進(jìn)行身份認(rèn)證，根據(jù)系統(tǒng)要求，采用單向或雙向身份認(rèn)證機(jī)制保證身份的合法性;17C)/k)使用電力調(diào)度數(shù)字證書(shū)認(rèn)證的軟件，應(yīng)保證為每個(gè)應(yīng)用分配唯一的證書(shū)，應(yīng)驗(yàn)證證書(shū)和證書(shū)鏈 的有效性，禁止使用不符合鏈?zhǔn)浇Y(jié)構(gòu)、過(guò)期、撤銷的數(shù)字證書(shū)；重要業(yè)務(wù)數(shù)據(jù)傳輸宜采用斷

13、點(diǎn)續(xù)傳、數(shù)據(jù)校驗(yàn)等方式保證數(shù)據(jù)傳輸?shù)耐暾?；?yīng)保證通信數(shù)據(jù)保密性，對(duì)鑒別信息、密鑰等敏感數(shù)據(jù)進(jìn)行加密處理；能夠過(guò)濾非法業(yè)務(wù)數(shù)據(jù)，校驗(yàn)通信數(shù)據(jù)合法性；應(yīng)保證通信交互行為的安全性，具備防重放、篡改等安全防護(hù)能力；針對(duì)帶隨機(jī)數(shù)的通信報(bào)文，應(yīng)具備生成隨機(jī)數(shù)的不確定性，使隨機(jī)數(shù)具備隨機(jī)性、不可預(yù)測(cè)性 和不可重現(xiàn)性；人機(jī)客戶端、配置管理軟件應(yīng)使用私有安全協(xié)議，禁止使用不安全的傳輸協(xié)議； 應(yīng)保證DL/T 634.5104、DL/T 860等通信協(xié)議的健壯性，正確處理各類畸形報(bào)文和攻擊報(bào)文， 確保業(yè)務(wù)的正常交互；異常連接訪問(wèn)、通信認(rèn)證異常應(yīng)記錄審計(jì)日志。6.2.3 服務(wù)安全6. 2. 3. 1 服務(wù)注冊(cè)認(rèn)證安

14、全要求對(duì)于具備服務(wù)功能的軟件，服務(wù)注冊(cè)認(rèn)證安全要求如下：a）在服務(wù)注冊(cè)時(shí)服務(wù)管理者應(yīng)進(jìn)行合法性驗(yàn)證，防止非法服務(wù)注冊(cè)；b）應(yīng)限制對(duì)服務(wù)注冊(cè)信息進(jìn)行非法刪除或修改等操作；c）應(yīng)能夠?qū)Ψ鞘跈?quán)服務(wù)申請(qǐng)者私自連接的行為進(jìn)行監(jiān)測(cè)，并對(duì)其進(jìn)行有效阻斷；d）宜具備服務(wù)注冊(cè)認(rèn)證功能。6. 2. 3. 2 服務(wù)業(yè)務(wù)交互安全要求對(duì)于具備服務(wù)功能的軟件，服務(wù)業(yè)務(wù)交互安全要求如下：a）應(yīng)具備安全機(jī)制限制業(yè)務(wù)超范圍調(diào)用服務(wù)資源；b）應(yīng)具備在同一時(shí)間段內(nèi)對(duì)服務(wù)調(diào)用數(shù)量進(jìn)行限制的功能；c）服務(wù)交互時(shí)應(yīng)對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)或者敏感信息進(jìn)行加密，保證服務(wù)交互信息的保密性；d）應(yīng)對(duì)通信服務(wù)提供者和服務(wù)消費(fèi)者之間通信進(jìn)行防護(hù)，對(duì)執(zhí)行非法

15、數(shù)據(jù)注入、惡意代碼注入、 請(qǐng)求內(nèi)容刪除等操作進(jìn)行限制；e）服務(wù)提供者應(yīng)具備訪問(wèn)控制策略，基于訪問(wèn)策略對(duì)服務(wù)消費(fèi)者進(jìn)行權(quán)限限制；f）廣域服務(wù)調(diào)用應(yīng)具備身份認(rèn)證機(jī)制，服務(wù)提供者需要檢測(cè)服務(wù)請(qǐng)求來(lái)源，防止非法服務(wù)進(jìn)行遠(yuǎn) 程調(diào)用。6. 2. 3. 3 服務(wù)安全管理要求對(duì)于具備服務(wù)功能的軟件，服務(wù)安全管理要求如下：a）應(yīng)具備服務(wù)全生命周期管理、注冊(cè)資產(chǎn)安全管理、命令管理等安全管理功能，自動(dòng)清除已失效 的服務(wù)；b）應(yīng)具備對(duì)服務(wù)注冊(cè)對(duì)象占用資源的監(jiān)視及告警功能，包括CPU、磁盤、內(nèi)存、網(wǎng)絡(luò)等資源的使 用情況；c）應(yīng)具備服務(wù)行為審計(jì)機(jī)制，對(duì)服務(wù)的接入請(qǐng)求、接入后的操作軌跡、異常行為應(yīng)記錄審計(jì)日志;d）應(yīng)限制使

16、用未關(guān)閉的基礎(chǔ)組件默認(rèn)服務(wù)，包括刪除默認(rèn)界面、禁用默認(rèn)管理用戶、修改默認(rèn)密 碼。6.2.4 應(yīng)用安全6. 2. 4. 1 控制業(yè)務(wù)安全要求控制業(yè)務(wù)一般包括直控、選擇性控制、閉鎖控制、同期控制、校核控制、聯(lián)動(dòng)控制、一鍵順控、運(yùn) 維檢修控制操作等，對(duì)于具備控制操作功能的軟件，控制業(yè)務(wù)安全要求如下：a）應(yīng)對(duì)控制操作的人員加以限制，僅允許授權(quán)的人員執(zhí)行控制操作；b）應(yīng)具備控制操作正確性校驗(yàn)，如校核、閉鎖、同期等，應(yīng)依據(jù)邏輯規(guī)則僅執(zhí)行期望的動(dòng)作，不 允許執(zhí)行其他更多的動(dòng)作；c）應(yīng)具備聯(lián)動(dòng)控制、選擇性控制等時(shí)效性檢測(cè)，防范過(guò)期的控制操作；d）應(yīng)支持對(duì)批量控制、協(xié)同控制的校核，正確校核多重、連鎖故障狀態(tài)，校

17、驗(yàn)業(yè)務(wù)邏輯的正確性;e）應(yīng)具備控制信號(hào)資源搶占的處理機(jī)制，禁止多個(gè)控制主體同一時(shí)刻對(duì)同一臺(tái)設(shè)備進(jìn)行控制操 作，禁止被控設(shè)備同時(shí)響應(yīng)多個(gè)操作命令；f）應(yīng)正確處理遠(yuǎn)程和本地控制操作權(quán)限，只能本地控制的操作禁止遠(yuǎn)程執(zhí)行；g）對(duì)于雙席控制操作，應(yīng)通過(guò)具備權(quán)限的監(jiān)護(hù)員確認(rèn)后方可執(zhí)行控制操作；h）對(duì)于主站控制操作，應(yīng)具備雙重信息點(diǎn)表的校核機(jī)制，只有同時(shí)通過(guò)校核方可進(jìn)行控制操作；i）所有控制操作及行為應(yīng)記錄審計(jì)日志，至少包括操作人員、操作對(duì)象、操作內(nèi)容、操作時(shí)間和 操作結(jié)果。6. 2. 4. 2 配置業(yè)務(wù)安全要求配置業(yè)務(wù)安全要求如下：a）應(yīng)支持對(duì)參數(shù)配置操作進(jìn)行訪問(wèn)控制；b）應(yīng)具備數(shù)據(jù)有效性檢驗(yàn)功能，保證人

18、工置數(shù)、定值修改、參數(shù)配置輸入的數(shù)據(jù)格式、長(zhǎng)度、數(shù) 值范圍等應(yīng)符合軟件設(shè)定要求，能夠識(shí)別并拒絕執(zhí)行不合法的參數(shù)配置；c）應(yīng)具備多個(gè)主體對(duì)同一參數(shù)配置的安全處理機(jī)制，應(yīng)具備互斥能力；d）配置變更應(yīng)記錄審計(jì)日志。6. 2. 4. 3 分析處理業(yè)務(wù)安全要求分析處理業(yè)務(wù)安全要求如下：a）應(yīng)支持對(duì)數(shù)據(jù)合理性和安全性進(jìn)行檢查和過(guò)濾，能正確識(shí)別數(shù)據(jù)跳變、缺失、失真、格式不統(tǒng) 一等異常數(shù)據(jù)并丟棄；b）應(yīng)支持對(duì)數(shù)據(jù)質(zhì)量進(jìn)行檢查和過(guò)濾，并正確處理與設(shè)置數(shù)據(jù)質(zhì)量標(biāo)識(shí)，包括但不限于數(shù)據(jù)類型： 未初始化數(shù)據(jù)、不合理數(shù)據(jù)、計(jì)算數(shù)據(jù)、非實(shí)測(cè)數(shù)據(jù)、采集中斷數(shù)據(jù)、人工數(shù)據(jù)、壞數(shù)據(jù)、可 疑數(shù)據(jù)、采集閉鎖數(shù)據(jù)（量測(cè)值被封鎖，收到實(shí)

19、時(shí)數(shù)據(jù)后不會(huì)更新）、控制閉鎖數(shù)據(jù)（量測(cè)不 允許控制操作）、旁路代替數(shù)據(jù)、對(duì)端代替數(shù)據(jù)、不刷新數(shù)據(jù)（在定義的時(shí)間周期內(nèi)前置未收 到量測(cè)報(bào)文的數(shù)據(jù)）、越限數(shù)據(jù)等；c）應(yīng)具備點(diǎn)多源數(shù)據(jù)（如成對(duì)關(guān)聯(lián)數(shù)據(jù)）處理功能，同一測(cè)點(diǎn)的多源數(shù)據(jù)應(yīng)進(jìn)行合理性校驗(yàn)并經(jīng) 選優(yōu)判斷，具備防止因多數(shù)據(jù)源切換造成數(shù)據(jù)跳變的功能；d）應(yīng)具備對(duì)計(jì)算過(guò)程中產(chǎn)生的臨時(shí)數(shù)據(jù)的安全防護(hù)策略，臨時(shí)數(shù)據(jù)占用資源應(yīng)及時(shí)釋放；e）應(yīng)具備業(yè)務(wù)邏輯、業(yè)務(wù)流程的正確性校驗(yàn)和安全防護(hù)能力，不應(yīng)存在設(shè)計(jì)缺陷、邏輯漏洞；f）應(yīng)對(duì)重要數(shù)據(jù)接口、重要服務(wù)接口的調(diào)用進(jìn)行訪問(wèn)控制，并對(duì)調(diào)用數(shù)據(jù)進(jìn)行合法性校驗(yàn)；g）數(shù)據(jù)分析與處理過(guò)程中異常告警及安全事件應(yīng)記錄審計(jì)日志

20、。6. 2. 4. 4 監(jiān)視業(yè)務(wù)安全要求對(duì)于具備監(jiān)視業(yè)務(wù)的軟件，監(jiān)視業(yè)務(wù)安全要求如下:a）應(yīng)不可修改運(yùn)行監(jiān)視數(shù)據(jù)的真實(shí)值；b）應(yīng)只允許具備權(quán)限的用戶訪問(wèn)相應(yīng)的業(yè)務(wù)模塊，無(wú)關(guān)的信息不應(yīng)出現(xiàn)在當(dāng)前監(jiān)視界面;c）用戶對(duì)監(jiān)視數(shù)據(jù)的修改應(yīng)記錄審計(jì)日志。6. 2. 4. 5 采集業(yè)務(wù)安全要求采集業(yè)務(wù)安全要求如下：a）數(shù)據(jù)采集應(yīng)僅向被授權(quán)的對(duì)象傳輸數(shù)據(jù)；b）采集數(shù)據(jù)應(yīng)可溯源，應(yīng)確保采集數(shù)據(jù)真實(shí)可信；c）應(yīng)能識(shí)別非法采集數(shù)據(jù)，應(yīng)能識(shí)別采集過(guò)程中的異常行為，并具備相應(yīng)的安全策略；d）應(yīng)具備處理批量數(shù)據(jù)輸入、采集數(shù)據(jù)量超上限保護(hù)機(jī)制，防止數(shù)據(jù)丟失、覆蓋。6. 2. 5 數(shù)據(jù)安全數(shù)據(jù)安全要求如下：a）應(yīng)對(duì)重要業(yè)務(wù)數(shù)

21、據(jù)、證書(shū)等進(jìn)行訪問(wèn)控制，并限制輸出的操作權(quán)限；b）應(yīng)對(duì)重要業(yè)務(wù)數(shù)據(jù)、證書(shū)、密鑰等導(dǎo)入操作進(jìn)行權(quán)限控制和校驗(yàn)；c）應(yīng)具備對(duì)業(yè)務(wù)數(shù)據(jù)全生命周期的保護(hù)策略，包括但不限于數(shù)據(jù)采集、存儲(chǔ)、處理、應(yīng)用、流動(dòng)、 銷毀等過(guò)程；d）應(yīng)具備對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類保護(hù)，不同類別級(jí)別的數(shù)據(jù)采取不同的安全防護(hù)策略，數(shù)據(jù)分級(jí)分 類數(shù)據(jù)表參見(jiàn)附錄A;e）應(yīng)采用密碼技術(shù)或其他保護(hù)措施保證重要業(yè)務(wù)數(shù)據(jù)、敏感數(shù)據(jù)保密性；f）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)等保證重要業(yè)務(wù)數(shù)據(jù)、敏感數(shù)據(jù)在存儲(chǔ)時(shí)完整性；g）審計(jì)日志應(yīng)至少保存6個(gè)月，應(yīng)設(shè)置審計(jì)日志存儲(chǔ)余量控制策略，當(dāng)存儲(chǔ)空間接近極限時(shí)，裝 置應(yīng)能采取必要的措施保護(hù)存儲(chǔ)數(shù)據(jù)的安全；h）非授權(quán)用戶禁

22、止修改、刪除審計(jì)日志；i）在正常運(yùn)行狀態(tài)下及軟、硬件異常情況下應(yīng)對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行保護(hù)，數(shù)據(jù)不應(yīng)丟失；j）應(yīng)具備重要業(yè)務(wù)數(shù)據(jù)的備份與恢復(fù)功能；k）數(shù)據(jù)操作、數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)、審計(jì)日志告警等應(yīng)記錄審計(jì)日志。6. 2. 6 進(jìn)程安全對(duì)電力自動(dòng)化系統(tǒng)軟件進(jìn)程的安全要求如下：a）應(yīng)支持進(jìn)程創(chuàng)建、資源回收、進(jìn)程守護(hù)等進(jìn)程管理能力；b）應(yīng)對(duì)核心業(yè)務(wù)進(jìn)程異常、內(nèi)存耗盡等情況進(jìn)行監(jiān)視；c）應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，禁止中斷審計(jì)進(jìn)程；d）應(yīng)具備防注入、反調(diào)試、反逆向能力；e）宜采用基于可信計(jì)算的動(dòng)態(tài)安全防護(hù)機(jī)制，對(duì)軟件進(jìn)程、數(shù)據(jù)、代碼段進(jìn)行動(dòng)態(tài)度量，不同進(jìn) 程之間不應(yīng)存在未經(jīng)許可的相互調(diào)用，禁止向內(nèi)存代碼段與數(shù)據(jù)段直

23、接注入代碼的執(zhí)行；f）進(jìn)程異常、資源異常以及攻擊行為應(yīng)記錄審計(jì)日志。6. 2. 7 運(yùn)行安全運(yùn)行安全要求如下：a）應(yīng)具備對(duì)并發(fā)事務(wù)和并發(fā)用戶訪問(wèn)、大負(fù)載量、高吞吐量等極限情況的處理機(jī)制，保證業(yè)務(wù)的 連續(xù)性；b）應(yīng)具備自診斷、自恢復(fù)能力，當(dāng)發(fā)生軟件異常時(shí)，在一定時(shí)間內(nèi)恢復(fù)正常功能；c）主備機(jī)切換或網(wǎng)絡(luò)切換時(shí)，軟件應(yīng)正常工作，采集及傳送的信息不應(yīng)丟失或重復(fù)；d）應(yīng)具備抵御各種常見(jiàn)網(wǎng)絡(luò)攻擊的能力，面對(duì)網(wǎng)絡(luò)風(fēng)暴時(shí)，不應(yīng)出現(xiàn)誤動(dòng)、誤發(fā)報(bào)文、退出、通7Q/GDW 121962021Q/GDW 121962021 信不中斷等現(xiàn)象；面對(duì)拒絕服務(wù)攻擊時(shí)，不應(yīng)出現(xiàn)誤動(dòng)、誤發(fā)報(bào)文、退出等現(xiàn)象，且在中斷攻 擊后的一定

24、時(shí)間內(nèi)恢復(fù)正常功能；e）不應(yīng)存在安全漏洞，包括但不限于存在與業(yè)務(wù)無(wú)關(guān)的服務(wù)和端口、敏感信息泄露、越權(quán)訪問(wèn)漏 洞、注入漏洞、命令執(zhí)行漏洞等。6. 3 版本管理電力自動(dòng)化系統(tǒng)軟件應(yīng)支持版本信息采集和上送功能，關(guān)鍵業(yè)務(wù)軟件宜支持基于可信計(jì)算的強(qiáng)制版 本管理。版本管理檢測(cè)要求如下：a）應(yīng)具備軟件版本信息配置文件，至少包含：產(chǎn)品名稱、產(chǎn)品型號(hào)、軟件版本號(hào)、軟件校驗(yàn)碼、 程序文件路徑等信息；b）宜統(tǒng)一將程序文件部署于一個(gè)文件目錄中，便于管理；c）宜支持通過(guò)Agent的方式實(shí)現(xiàn)對(duì)軟件版本信息的動(dòng)態(tài)采集，應(yīng)支持通過(guò)現(xiàn)有通信協(xié)議上送軟件 版本信息；d）應(yīng)用于生產(chǎn)控制大區(qū)的關(guān)鍵控制軟件宜在可執(zhí)行程序啟動(dòng)前校驗(yàn)生產(chǎn)

25、廠商和檢測(cè)機(jī)構(gòu)的簽名， 保證軟件版本的合規(guī)性。7 檢測(cè)方法7. 1 代碼安全7.1.1 代碼安全掃描代碼安全掃描檢測(cè)方法如下：a）使用代碼安全掃描工具，通過(guò)代碼編譯、構(gòu)建配置文件獲取、規(guī)則匹配等檢測(cè)環(huán)節(jié)，發(fā)現(xiàn)源代 碼缺陷；b）人工對(duì)源代碼缺陷進(jìn)行篩查，進(jìn)行風(fēng)險(xiǎn)分析。7.1.2 代碼靜態(tài)分析代碼靜態(tài)分析檢測(cè)方法如下：a）使用代碼靜態(tài)分析和規(guī)則檢查掃描工具，通過(guò)代碼編譯、構(gòu)建配置文件獲取、規(guī)則匹配等檢測(cè) 環(huán)節(jié)，發(fā)現(xiàn)源代碼缺陷；b）人工對(duì)源代碼缺陷進(jìn)行篩查，確保缺陷準(zhǔn)確性。7.1.3 代碼靜態(tài)度量代碼靜態(tài)度量檢測(cè)方法如下：a）使用質(zhì)量度量工具，通過(guò)分析代碼度量計(jì)算，進(jìn)行源代碼靜態(tài)度量；b）人工對(duì)度量

26、結(jié)果進(jìn)行計(jì)算審核，確保度量結(jié)果準(zhǔn)確性。7. 1.4 代碼審計(jì)代碼審計(jì)檢測(cè)方法如下：a）使用代碼審計(jì)掃描工具對(duì)代碼進(jìn)行掃描，結(jié)合掃描結(jié)果對(duì)源代碼進(jìn)行人工審查，發(fā)現(xiàn)代碼中存 在的編碼安全漏洞和業(yè)務(wù)安全漏洞；b）利用發(fā)現(xiàn)的代碼漏洞進(jìn)行滲透，驗(yàn)證漏洞的危害性。7.2業(yè)務(wù)安全7. 2. 1 人機(jī)安全7. 2.1.1 接入安全檢測(cè)方法接入安全檢測(cè)方法如下：a）將人機(jī)客戶端、配置管理軟件等接入，檢測(cè)是否設(shè)定黑、白名單方式限制非法的客戶端、管理 軟件的接入；b）查看軟件開(kāi)放的接口，檢測(cè)是否只有通過(guò)身份認(rèn)證后的對(duì)象方可接入并進(jìn)行數(shù)據(jù)交互；c）查看接口說(shuō)明，并驗(yàn)證是否僅開(kāi)放了設(shè)定的應(yīng)用范圍，超出范圍的訪問(wèn)是否被拒

27、絕；d）檢測(cè)是否配置接口并發(fā)數(shù)量，同一時(shí)間接入多于允許的接口并發(fā)訪問(wèn)數(shù)量，檢測(cè)是否加以限制；e）檢測(cè)人機(jī)客戶端、配置管理軟件等接入以及配置操作是否記錄審計(jì)日志，并與實(shí)際相符。7. 2.1.2 用戶管理及授權(quán)檢測(cè)方法用戶管理及授權(quán)安全檢測(cè)方法如下：a）查看系統(tǒng)用戶的ID標(biāo)識(shí)是否唯一，是否不存在重復(fù)標(biāo)識(shí)的用戶；新建與庫(kù)用戶名相同的用戶， 檢測(cè)是否新建失?。籦）注冊(cè)新用戶初次登錄或修改用戶口令時(shí)，檢測(cè)是否要求密碼最小長(zhǎng)度及復(fù)雜度，嘗試配置 root、123等弱口令以及將用戶口令設(shè)置為與用戶名一致，檢測(cè)是否配置失?。籧）用戶綁定正確的電力調(diào)度數(shù)字證書(shū)時(shí)，檢測(cè)是否綁定成功，使用同一個(gè)數(shù)字證書(shū)綁定多個(gè)用戶

28、 是否失敗，檢測(cè)是否綁定失敗，更換錯(cuò)誤CA根證書(shū)，檢測(cè)是否能夠正確識(shí)別不符合鏈?zhǔn)津?yàn)證 的數(shù)字證書(shū)，并綁定失?。籨）檢測(cè)系統(tǒng)是否至少具備管理員、審計(jì)員和操作員三種角色，是否存在root以及具備其他所有 權(quán)限的用戶，檢測(cè)每個(gè)角色的權(quán)限是否滿足最小權(quán)限原則要求；e）檢測(cè)是否為每一個(gè)用戶分配訪問(wèn)權(quán)限，并限定訪問(wèn)模塊，不同角色間是否權(quán)限交叉，將不同角 色授予同一用戶，檢測(cè)是否失?。籪）檢測(cè)用戶管理列表，是否用戶管理列表與用戶數(shù)據(jù)表信息一致，是否自動(dòng)提示管理員刪除超過(guò) 設(shè)定閑置期限的廢棄多余賬號(hào)、過(guò)期賬戶，是否不存在共享賬戶用戶；g）檢測(cè)授權(quán)行為、用戶變更等是否均記錄審計(jì)日志。7. 2.1.3 登錄認(rèn)證檢

29、測(cè)方法登錄認(rèn)證檢測(cè)方法如下：a）分別使用不同角色的用戶登錄，檢測(cè)是否正確依據(jù)認(rèn)證方式對(duì)所有登錄用戶進(jìn)行身份認(rèn)證，是 否滿足數(shù)字證書(shū)、生物特征識(shí)別和口令認(rèn)證的一種或幾種組合認(rèn)證方式；b）使用電力調(diào)度數(shù)字證書(shū)登錄認(rèn)證時(shí)，分別使用過(guò)期、被撤銷的證書(shū)進(jìn)行登錄，檢測(cè)是否失敗；c）設(shè)置特定時(shí)長(zhǎng)、登錄失敗次數(shù)、鎖定時(shí)長(zhǎng)，檢測(cè)是否配置成功；檢測(cè)在默認(rèn)配置條件下，同一 賬戶連續(xù)登錄失敗5次以上，檢測(cè)賬號(hào)是否被鎖定，并產(chǎn)生提示告警信息，檢測(cè)鎖定時(shí)長(zhǎng)是否 為10分鐘；d）恢復(fù)策略若為自動(dòng)恢復(fù)，到達(dá)鎖定時(shí)長(zhǎng)后，登錄人員賬號(hào)，檢測(cè)是否登錄成功；e）恢復(fù)策略若為手動(dòng)恢復(fù)，登錄管理員賬號(hào)對(duì)被鎖定賬號(hào)進(jìn)行解鎖，解鎖后登錄人員

30、賬號(hào)，驗(yàn)證 是否登錄成功；f）使用同一賬號(hào)同一時(shí)間內(nèi)在多點(diǎn)登錄，檢測(cè)是否對(duì)該行為進(jìn)行限制阻斷并產(chǎn)生告警事件；g）設(shè)置會(huì)話超時(shí)時(shí)間為特定時(shí)長(zhǎng)，使用用戶成功登錄，進(jìn)入非運(yùn)行監(jiān)控會(huì)話界面，檢測(cè)當(dāng)用戶處 于會(huì)話界面在設(shè)定時(shí)長(zhǎng)（如10分鐘）未做任何操作時(shí)，是否自動(dòng)退出當(dāng)前會(huì)話界面；h）檢測(cè)本地客戶端、配置管理軟件等是否沒(méi)有存儲(chǔ)鑒別信息、運(yùn)行相關(guān)重要數(shù)據(jù)；i）檢測(cè)用戶登錄、用戶退出、連接超時(shí)以及異常登錄訪問(wèn)事件等是否均記錄審計(jì)日志。7. 2. 1.4操作安全檢測(cè)方法操作安全檢測(cè)方法如下：a）進(jìn)行操作控制、參數(shù)配置、模型文件修改、配置文件上傳/下載時(shí)，檢測(cè)是否僅允許設(shè)定范圍 內(nèi)的用戶操作；b）在數(shù)據(jù)輸入界面

31、輸入惡意或畸形數(shù)據(jù)，檢測(cè)是否檢測(cè)數(shù)據(jù)的有效性，限制非法數(shù)據(jù)的輸入；c）檢查數(shù)據(jù)允許的字節(jié)長(zhǎng)度、數(shù)據(jù)類型和上下限范圍，并輸入相應(yīng)的值檢測(cè)是否對(duì)所有輸入數(shù)據(jù) 進(jìn)行嚴(yán)格過(guò)濾；d）根據(jù)設(shè)定的輸入條件，錄入不符合運(yùn)行約束或業(yè)務(wù)邏輯的數(shù)據(jù)，檢測(cè)是否拒絕執(zhí)行該修改操作；e）對(duì)重要控制操作時(shí)，檢測(cè)是否需再次身份認(rèn)證后方可執(zhí)行操作；f）對(duì)于主站控制類操作，控制點(diǎn)編號(hào)預(yù)置時(shí)，是否需對(duì)控制點(diǎn)編號(hào)再次輸入驗(yàn)證，是否只有兩次 編號(hào)校驗(yàn)一致方可進(jìn)行預(yù)置操作，不一致時(shí)則中止操作；g）模擬邏輯錯(cuò)誤操作，檢測(cè)是否禁止該異常操作且給予提示；h）進(jìn)行文件下載時(shí)，檢測(cè)是否限制操作的目錄，是否不允許有“/”、“”等跳轉(zhuǎn)目錄;i）檢測(cè)文

32、件上傳時(shí)是否對(duì)文件格式、內(nèi)容進(jìn)行校驗(yàn)，上傳惡意文件時(shí)是否能夠識(shí)別并拒絕執(zhí)行；j）檢測(cè)在異常操作或系統(tǒng)故障時(shí)，返回的提示信息是否不包含程序代碼及敏感信息等；k）檢測(cè)控制操作、參數(shù)配置、文件上傳/下載行為是否記錄審計(jì)日志。7. 2. 2 通信安全7. 2. 2. 1通信服務(wù)基本要求檢測(cè)方法檢測(cè)應(yīng)用于生產(chǎn)控制大區(qū)的軟件應(yīng)是否使用E-mail服務(wù)，應(yīng)用于控制區(qū)軟件是否使用通用WEB服7. 2. 2. 2 通信安全檢測(cè)方法外部通信安全檢測(cè)方法如下：a）接入通信對(duì)象，檢測(cè)是否只允許白名單內(nèi)IP、MAC、APPID等方可成功建立連接；b）結(jié)合通信協(xié)議，對(duì)于支持單向或雙向身份認(rèn)證的通信機(jī)制，檢測(cè)身份認(rèn)證過(guò)程是

33、否正確；c）對(duì)于使用電力調(diào)度數(shù)字證書(shū)的認(rèn)證機(jī)制，檢測(cè)數(shù)字證書(shū)是否被多個(gè)應(yīng)用共用，檢測(cè)證書(shū)的有效 期、鏈?zhǔn)浇Y(jié)構(gòu)、狀態(tài)是否滿足要求，使用過(guò)期的數(shù)字證書(shū)、錯(cuò)誤的CA證書(shū)以及處于撤銷狀態(tài) 的數(shù)字證書(shū)，檢測(cè)認(rèn)證是否失??；d）傳輸較長(zhǎng)的業(yè)務(wù)報(bào)文時(shí)，傳輸過(guò)程中中斷，檢測(cè)是否具備斷點(diǎn)續(xù)傳功能，檢測(cè)重要的業(yè)務(wù)數(shù)據(jù) 是否有校驗(yàn)機(jī)制，保證數(shù)據(jù)的完整性；e）檢測(cè)通信報(bào)文中鑒別信息、密鑰等是否進(jìn)行加密處理；f）傳輸非法的業(yè)務(wù)數(shù)據(jù)，檢測(cè)是否能夠過(guò)濾非法業(yè)務(wù)數(shù)據(jù)，識(shí)別通信數(shù)據(jù)合法性；g）檢查通信協(xié)議是否有時(shí)間戳、校驗(yàn)等安全機(jī)制，使用檢測(cè)工具對(duì)重要控制報(bào)文進(jìn)行重放、篡改， 檢測(cè)是否控制失??；h）對(duì)于使用隨機(jī)數(shù)的通信協(xié)議，檢測(cè)

34、報(bào)文中隨機(jī)數(shù)是否不可被預(yù)測(cè)和重現(xiàn)；i）抓取并分析軟件與人機(jī)客戶端或配置管理軟件間的通信報(bào)文，檢測(cè)是否使用不安全的私有協(xié) 議；j)對(duì)DL/T 634. 5104、DL/T 860等通信協(xié)議，使用協(xié)議健壯性測(cè)試工具輸入隨機(jī)的數(shù)據(jù)和不合法 的數(shù)據(jù)，生成各類畸形報(bào)文和攻擊報(bào)文，檢測(cè)是否具備識(shí)別能力和保護(hù)策略，確保通信協(xié)議的 健壯性和業(yè)務(wù)的正常交互；k)檢測(cè)異常連接訪問(wèn)、通信認(rèn)證異常是否均記錄審計(jì)日志。7. 2. 3服務(wù)安全7. 2. 3. 1服務(wù)注冊(cè)認(rèn)證安全檢測(cè)方法服務(wù)注冊(cè)認(rèn)證安全檢測(cè)方法如下:a)檢測(cè)服務(wù)管理者是否配置白名單等機(jī)制保證服務(wù)注冊(cè)申請(qǐng)者的合法性，使用非授權(quán)服務(wù)訪問(wèn)軟 件提供的服務(wù)，檢測(cè)是

35、否拒絕訪問(wèn)；b)c)d)刪除或修改服務(wù)注冊(cè)文件，檢測(cè)是否限制被刪除或修改服務(wù)注冊(cè)文件的操作； 接入非授權(quán)的服務(wù)申請(qǐng)者，檢測(cè)是否能識(shí)別并阻斷；檢測(cè)是否具備服務(wù)注冊(cè)認(rèn)證功能。7. 2.3.2服務(wù)業(yè)務(wù)交互安全檢測(cè)方法服務(wù)業(yè)務(wù)交互安全檢測(cè)方法如下:a)b)c)d)對(duì)已授權(quán)服務(wù)嘗試調(diào)用超出范圍的服務(wù)資源，檢測(cè)調(diào)用資源范圍是否限制；模擬同一時(shí)間段內(nèi)多個(gè)業(yè)務(wù)調(diào)用同一服務(wù)，檢測(cè)是否對(duì)服務(wù)調(diào)用數(shù)量進(jìn)行限制； 查看服務(wù)接口請(qǐng)求內(nèi)容，對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)或者敏感信息進(jìn)行解密，檢測(cè)服務(wù)交互信息的保密性; 抓取服務(wù)提供者和服務(wù)使用者之間通信報(bào)文，執(zhí)行非法數(shù)據(jù)注入、惡意代碼注入、請(qǐng)求內(nèi)容刪 除等操作，檢測(cè)是否能禁止非法操作；e

36、)f)模擬非法服務(wù)遠(yuǎn)程調(diào)用操作，檢測(cè)服務(wù)提供者是否檢測(cè)服務(wù)請(qǐng)求身份；模擬服務(wù)消費(fèi)者發(fā)起調(diào)用請(qǐng)求，檢測(cè)局域服務(wù)提供者是否具備訪問(wèn)控制策略，對(duì)服務(wù)消費(fèi)者進(jìn) 行權(quán)限限制。7. 2.3.3服務(wù)業(yè)務(wù)管理安全檢測(cè)方法服務(wù)業(yè)務(wù)管理安全檢測(cè)方法如下:a)查看軟件是否具備服務(wù)全生命周期管理、注冊(cè)安全管理、命令管理等安全管理功能，檢測(cè)是否 可自動(dòng)清除已失效的服務(wù)；b)c)查看服務(wù)行為審計(jì)，檢測(cè)是否對(duì)服務(wù)接入請(qǐng)求、操作軌跡、異常攻擊行為等內(nèi)容進(jìn)行記錄； 檢測(cè)軟件是否對(duì)服務(wù)對(duì)象占用的CPU、磁盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況進(jìn)行監(jiān)視，檢測(cè)當(dāng) 資源占用率超過(guò)設(shè)定的告警閾值時(shí)是否產(chǎn)生告警，并具備資源異常占用的安全處理策略；

37、d)檢查軟件是否提供日志修改或刪除接口，通過(guò)SQL注入、日志偽造等修改或刪除日志，檢測(cè)是 否禁止審計(jì)日志被刪除、修改；e)檢測(cè)軟件是否不存在基礎(chǔ)組件的默認(rèn)界面，或禁用默認(rèn)管理用戶，初次登錄是否要求修改默認(rèn) 密碼。7. 2.4應(yīng)用安全7. 2.4. 1控制業(yè)務(wù)安全檢測(cè)方法控制業(yè)務(wù)安全檢測(cè)方法如下：a）檢測(cè)控制操作是否只有具備權(quán)限的人員方可執(zhí)行成功;b）分別對(duì)各類控制進(jìn)行正常、異常操作，如校核、閉鎖、同期等，檢測(cè)是否對(duì)控制操作正確性進(jìn) 行校驗(yàn)，是否僅執(zhí)行期望的動(dòng)作；c）對(duì)于有時(shí)效性的聯(lián)動(dòng)控制、選擇性控制等，分別進(jìn)行設(shè)定時(shí)效內(nèi)和時(shí)效外的操作，檢測(cè)控制操 作的時(shí)效性處理是否正確；d）對(duì)于批量控制、協(xié)同

38、控制，檢測(cè)對(duì)多個(gè)控制操作的邏輯校核是否正確，對(duì)多重、連鎖故障狀態(tài) 下控制動(dòng)作流程是否準(zhǔn)確；e）使用多個(gè)控制主體同時(shí)對(duì)同一臺(tái)設(shè)備進(jìn)行控制操作，檢測(cè)是否僅執(zhí)行一個(gè)控制操作，無(wú)誤動(dòng)現(xiàn) 象；f）嘗試對(duì)只配置為本地控制操作的控制對(duì)象進(jìn)行遠(yuǎn)程控制，檢測(cè)是否拒絕執(zhí)行；g）對(duì)于雙席操作控制，檢測(cè)操作員進(jìn)行控制時(shí)，是否只有通過(guò)監(jiān)護(hù)員確認(rèn)后方可執(zhí)行成功；h）在主站的控制操作，檢測(cè)是否具備雙重信息表校核機(jī)制，更換其中一個(gè)控制點(diǎn)信息表，檢測(cè)是 否控制失敗，且給予提示告警；i）檢測(cè)所有控制操作及行為是否記錄審計(jì)日志。7. 2. 4. 2 配置業(yè)務(wù)安全檢測(cè)方法配置業(yè)務(wù)安全檢測(cè)方法如下：a）分別使用具備配置權(quán)限的用戶和不具

39、備權(quán)限的用戶對(duì)具備配置功能的參數(shù)進(jìn)行修改操作，檢測(cè) 參數(shù)配置權(quán)限管理的有效性；b）檢查各參數(shù)的允許范圍，并進(jìn)行超范圍的配置，檢測(cè)是否對(duì)配置參數(shù)的正確性進(jìn)行校驗(yàn)；c）使用多個(gè)主體同時(shí)對(duì)同一參數(shù)進(jìn)行配置操作，檢測(cè)同一時(shí)間是否只允許執(zhí)行其中一個(gè)操作，不 出現(xiàn)跳變等異?，F(xiàn)象；d）檢測(cè)配置變更操作是否記錄審計(jì)日志。7. 2. 4. 3分析處理業(yè)務(wù)安全檢測(cè)方法分析處理業(yè)務(wù)安全檢測(cè)方法如下：a）檢測(cè)是否支持對(duì)數(shù)據(jù)合理性和安全性進(jìn)行檢查和過(guò)濾，能否正確識(shí)別數(shù)據(jù)跳變、缺失、失真、 格式不統(tǒng)一等異常數(shù)據(jù)并丟棄；b）檢測(cè)是否支持對(duì)數(shù)據(jù)質(zhì)量進(jìn)行檢查和過(guò)濾，是否正確設(shè)置數(shù)據(jù)質(zhì)量標(biāo)識(shí)，至少包含但不限于： 未初始化數(shù)據(jù)、不

40、合理數(shù)據(jù)、計(jì)算數(shù)據(jù)、非實(shí)測(cè)數(shù)據(jù)、采集中斷數(shù)據(jù)、人工數(shù)據(jù)、壞數(shù)據(jù)、可 疑數(shù)據(jù)、采集閉鎖數(shù)據(jù)、控制閉鎖數(shù)據(jù)、旁路代替數(shù)據(jù)、對(duì)端代替數(shù)據(jù)、不刷新數(shù)據(jù)、越限數(shù) 據(jù)等；c）檢測(cè)對(duì)同一測(cè)點(diǎn)的多源數(shù)據(jù)是否能夠進(jìn)行合理性辨識(shí)校驗(yàn)，在多數(shù)據(jù)源切換時(shí)是否存在數(shù)據(jù)跳 變的現(xiàn)象；d）檢測(cè)分析與處理過(guò)程中產(chǎn)生的臨時(shí)數(shù)據(jù)、臨時(shí)動(dòng)態(tài)數(shù)據(jù)集在生命周期結(jié)束后，是否及時(shí)釋放臨 時(shí)數(shù)據(jù)占用資源；e）對(duì)控制業(yè)務(wù)流程、業(yè)務(wù)邏輯等進(jìn)行繞過(guò)、篡改、利用等，檢測(cè)是否執(zhí)行失敗，并產(chǎn)生相應(yīng)的告 警事件；f）檢測(cè)對(duì)重要數(shù)據(jù)接口、重要服務(wù)接口的調(diào)用是否進(jìn)行訪問(wèn)控制，是否對(duì)調(diào)用數(shù)據(jù)進(jìn)行合法性校 驗(yàn)，只有合法的數(shù)據(jù)方可調(diào)用成功；g）檢測(cè)數(shù)據(jù)分析與處理過(guò)

41、程中異常告警及安全事件是否記錄審計(jì)日志。7. 2. 4. 4 監(jiān)視業(yè)務(wù)安全檢測(cè)方法對(duì)于具備監(jiān)視業(yè)務(wù)的軟件，監(jiān)視業(yè)務(wù)安全檢測(cè)方法如下：a）檢測(cè)運(yùn)行監(jiān)視數(shù)據(jù)真實(shí)值是否不可被修改；b）檢測(cè)用戶是否僅允許查看權(quán)限內(nèi)的業(yè)務(wù)模塊，無(wú)關(guān)的信息不出現(xiàn)在當(dāng)前監(jiān)視界面;c）檢測(cè)用戶對(duì)監(jiān)視數(shù)據(jù)的修改（如置數(shù)）是否記錄審計(jì)日志。7. 2. 4. 5 采集業(yè)務(wù)安全檢測(cè)方法采集業(yè)務(wù)安全檢測(cè)方法如下：a）檢測(cè)采集數(shù)據(jù)是否僅向被授權(quán)的對(duì)象傳輸數(shù)據(jù)；b）檢測(cè)采集數(shù)據(jù)來(lái)源是否可溯源，是否和實(shí)際值一致；c）檢測(cè)是否能夠識(shí)別并丟棄非法采集數(shù)據(jù)、采集中斷數(shù)據(jù)等；d）發(fā)送批量采集數(shù)據(jù)，檢測(cè)是否具備采集數(shù)據(jù)量超上限保護(hù)機(jī)制，采集數(shù)據(jù)是否不

42、丟失、不覆蓋。 7. 2. 5 數(shù)據(jù)安全數(shù)據(jù)安全檢測(cè)方法如下：a）檢測(cè)是否具備相應(yīng)權(quán)限的主體方可訪問(wèn)重要業(yè)務(wù)數(shù)據(jù)、重要配置數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、證書(shū)等， 進(jìn)行導(dǎo)出操作時(shí)，檢測(cè)是否只有具備輸出權(quán)限的用戶方可操作成功；b）檢測(cè)是否僅允許具備相應(yīng)權(quán)限的主體方可導(dǎo)入配置參數(shù)、證書(shū)、密鑰等，檢測(cè)是否對(duì)導(dǎo)入數(shù)據(jù) 格式、內(nèi)容等進(jìn)行校驗(yàn)，并丟棄校驗(yàn)不通過(guò)的導(dǎo)入數(shù)據(jù)；c）檢測(cè)是否具備對(duì)業(yè)務(wù)數(shù)據(jù)全生命周期的保護(hù)策略且有效，包括但不限于數(shù)據(jù)采集、存儲(chǔ)、處理、 應(yīng)用、流動(dòng)、銷毀等過(guò)程；d）檢測(cè)是否對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類保護(hù)，并驗(yàn)證重要業(yè)務(wù)數(shù)據(jù)、敏感數(shù)據(jù)在調(diào)用、流轉(zhuǎn)過(guò)程中安全 防護(hù)策略是否有效；e）檢測(cè)口令、密鑰、重要業(yè)務(wù)等

43、敏感數(shù)據(jù)在存儲(chǔ)時(shí)是否采用國(guó)密算法保證存儲(chǔ)的保密性，并驗(yàn)證 加密算法正確性；f）檢測(cè)是否采用校驗(yàn)技術(shù)或密碼技術(shù)等對(duì)重要業(yè)務(wù)數(shù)據(jù)、重要配置數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、敏感數(shù) 據(jù)在存儲(chǔ)時(shí)進(jìn)行完整性校驗(yàn)；g）通過(guò)生成6個(gè)月的審計(jì)日志文件或修改軟件系統(tǒng)時(shí)間，檢測(cè)是否至少保存6月的審計(jì)日志；h）設(shè)置存儲(chǔ)容量閾值，檢測(cè)是否具備存儲(chǔ)空間余量控制策略，并在存儲(chǔ)容量即將達(dá)到上限時(shí)應(yīng)進(jìn) 行告警；i）在正常運(yùn)行狀態(tài)下，以及觸發(fā)軟異常情況下，檢測(cè)是否對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行保護(hù)，保證存儲(chǔ)數(shù)據(jù)不 丟失；j）檢測(cè)非授權(quán)用戶是否禁止修改、刪除審計(jì)日志；k）檢測(cè)重要業(yè)務(wù)數(shù)據(jù)是否具備備份與恢復(fù)功能，且實(shí)現(xiàn)正確；l）檢測(cè)證書(shū)、密鑰操作及變更、數(shù)據(jù)備

44、份、數(shù)據(jù)恢復(fù)、審計(jì)日志存儲(chǔ)容量告警等是否記錄審計(jì)日 '士、。7. 2. 6 進(jìn)程安全進(jìn)程安全檢測(cè)方法如下：a）建立多個(gè)業(yè)務(wù)連接并停止，檢測(cè)資源占用是否隨著進(jìn)程的創(chuàng)建和停止而變化；b）嘗試終止軟件核心業(yè)務(wù)進(jìn)程，檢測(cè)進(jìn)程是否可自行恢復(fù)；c）模擬進(jìn)程大量占用軟件資源（CPU、內(nèi)存等）操作，檢測(cè)軟件是否具有監(jiān)視告警功能;d）嘗試刪除審計(jì)進(jìn)程，檢測(cè)是否執(zhí)行失?。籩）使用調(diào)試工具修改內(nèi)存中的進(jìn)程代碼，檢測(cè)進(jìn)程是否禁止被注入、被調(diào)試；f）嘗試使用反編譯工具對(duì)軟件進(jìn)行反編譯，檢查是否具備反調(diào)試能力；g）檢測(cè)軟件是否可配置啟動(dòng)進(jìn)程白名單，若可配置，檢測(cè)是否可成功啟動(dòng)白名單內(nèi)進(jìn)程；h）若軟件可配置啟動(dòng)進(jìn)程

45、白名單，檢測(cè)白名單外的進(jìn)程是否能夠啟動(dòng)；i）若軟件可配置啟動(dòng)進(jìn)程白名單，嘗試修改或替換白名單內(nèi)應(yīng)用程序，檢測(cè)是否阻止啟動(dòng)；j）檢測(cè)進(jìn)程異常、資源異常以及攻擊行為是否記錄審計(jì)日志。7. 2. 7 運(yùn)行安全a）模擬并發(fā)事務(wù)和并發(fā)用戶訪問(wèn)、大負(fù)載量、高吞吐量等極限情況，檢測(cè)軟件是否正常運(yùn)行且具 備極限處理機(jī)制；b）模擬服務(wù)端和客戶端設(shè)備電源故障，恢復(fù)供電并開(kāi)機(jī)后，檢測(cè)軟件功能是否正常，是否具備故 障診斷、故障報(bào)告、故障恢復(fù)的能力；c）中斷重要的應(yīng)用、服務(wù)、進(jìn)程，檢測(cè)軟件是否具備故障診斷、故障恢復(fù)的能力，且具備相應(yīng)的 提示與告警；d）在正常運(yùn)行時(shí)，使用檢測(cè)工具模擬發(fā)送網(wǎng)絡(luò)風(fēng)暴時(shí)，檢測(cè)是否不出現(xiàn)誤發(fā)、誤

46、動(dòng)、退出、業(yè)務(wù) 通信中斷等現(xiàn)象；e）使用檢測(cè)工具模擬SYN flood、UDP flood、Ping of death、Land等攻擊，檢測(cè)是否不出現(xiàn)誤 發(fā)、誤動(dòng)、退出、重啟等現(xiàn)象，在中斷攻擊后的一定時(shí)間內(nèi)是否恢復(fù)正常；f）使用漏洞掃描工具，對(duì)被測(cè)軟件進(jìn)行掃描，檢測(cè)是否存在已知安全漏洞；g）使用滲透測(cè)試手段，檢測(cè)軟件是否存在可被利用的漏洞。7. 3 x版本管理版本管理檢測(cè)方法如下：a）查看軟件版本信息文件是否至少包含：產(chǎn)品名稱、產(chǎn)品型號(hào)、軟件版本號(hào)、軟件校驗(yàn)碼、程序 文件路徑等信息；b）查看程序文件存放路徑，檢測(cè)程序文件是否放在一個(gè)文件目錄中；c）檢測(cè)是否支持通過(guò)Agent的方式實(shí)現(xiàn)對(duì)軟件版本信息的采集；d）應(yīng)用于生產(chǎn)控制大區(qū)的關(guān)鍵控制軟件，檢測(cè)在可執(zhí)行程序啟動(dòng)前是否校驗(yàn)生產(chǎn)廠商和檢測(cè)機(jī)構(gòu) 的簽名；啟動(dòng)沒(méi)有或部分簽名的可執(zhí)行程序，檢測(cè)是否啟動(dòng)失敗。附錄A（資料性附錄）數(shù)據(jù)分類分級(jí)參照表數(shù)據(jù)分級(jí)分類數(shù)據(jù)表參見(jiàn)表A. 1。表A. 1數(shù)據(jù)分級(jí)分類數(shù)據(jù)表保密等級(jí)名稱定義第I級(jí)完全公開(kāi)數(shù)據(jù)包括各種已經(jīng)公開(kāi)的各類報(bào)表、機(jī)構(gòu)公開(kāi)信息、停電通知等第II級(jí)一般數(shù)據(jù)本級(jí)數(shù)據(jù)不涉密、不敏感，主要用于支撐調(diào)度業(yè)務(wù)邏輯，維 持調(diào)控系統(tǒng)運(yùn)行。通過(guò)統(tǒng)計(jì)、分析或者加工這些數(shù)據(jù)，不能 獲得國(guó)