電力北斗應(yīng)用系統(tǒng)及終端設(shè)備信息安全技術(shù)要求

T/CECXXXXX—XXXXT/CECXXXXX—XXXXIT/CECXXXXX—XXXICSFORMTEXT點擊此處添加ICS號FORMTEXT點擊此處添加中國標(biāo)準(zhǔn)文獻分類號FORMTEXT?????FORMTEXTT/CECT/CECXXXX—FORMTEXTXXXX電力北斗應(yīng)用系統(tǒng)及終端設(shè)備信息安全技術(shù)要求TechnicalrequirementsforinformationsecurityofBDSapplicationsystemandterminalequipmentFORMTEXT點擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識FORMDROPDOWNFORMTEXT?????FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施FORMTEXT中國電力企業(yè)聯(lián)合會???發(fā)布

T/CECXXXXX—XXXX電力北斗應(yīng)用系統(tǒng)及終端設(shè)備信息安全技術(shù)要求范圍本標(biāo)準(zhǔn)規(guī)定了電力北斗應(yīng)用系統(tǒng)及終端設(shè)備信息安全技術(shù)要求。本標(biāo)準(zhǔn)適用于電力北斗應(yīng)用系統(tǒng)及終端設(shè)備的信息安全檢測及驗收。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18336信息技術(shù)信息技術(shù)安全性評估準(zhǔn)則GB/T22081信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T25069信息安全技術(shù)術(shù)語GB/T33008.1-2016工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器(PLC)第1部分:系統(tǒng)要求術(shù)語和定義GB/T9387.2、GB/T18336、GB/T22081、GB/T25069、GB/T33008.1-2016中界定的以及下列術(shù)語和定義適用于本文件。電力北斗終端設(shè)備powerBDSterminalequipment電力行業(yè)應(yīng)用的基于北斗衛(wèi)星進行通信的終端設(shè)備，主要由電力北斗終端設(shè)備（以下簡稱“終端設(shè)備”）自身和終端設(shè)備配置軟件（以下簡稱“配置軟件”）組成。電力北斗應(yīng)用系統(tǒng)BDSelectricpowerapplicationsystem基于北斗衛(wèi)星通信的電力業(yè)務(wù)應(yīng)用系統(tǒng)，主要包含用于業(yè)務(wù)數(shù)據(jù)采集的電力北斗終端設(shè)備和用于數(shù)據(jù)匯總應(yīng)用的電力應(yīng)用系統(tǒng)軟件（以下簡稱“應(yīng)用系統(tǒng)”）。網(wǎng)絡(luò)邊界防護設(shè)備networkboundaryprotectionequipment部署與安全網(wǎng)絡(luò)與公共網(wǎng)絡(luò)間邊界位置的一套強邏輯隔離設(shè)備，主要實現(xiàn)安全網(wǎng)絡(luò)與公共網(wǎng)絡(luò)間的物理隔離，通過數(shù)據(jù)的轉(zhuǎn)發(fā)實現(xiàn)業(yè)務(wù)數(shù)據(jù)的跨不同安全區(qū)域網(wǎng)絡(luò)間的傳輸。安全接入模塊securityaccessmodule通常由軟件與硬件組成，被集成進終端設(shè)備中。通過模塊中寫入的加密算法與密鑰實現(xiàn)與網(wǎng)路邊界防護設(shè)備的接入認(rèn)證及傳輸通道的建立。保密性confidentiality使信息不泄露給未授權(quán)的個人、實體、進程，或不被其利用的特性。完整性integrality數(shù)據(jù)沒有遭受以未授權(quán)方式所作的更改或破壞的特性?？s略語下列縮略語適用于本文件：ARP：地址解析協(xié)議（AddressResolutionProtocol）CSRF：跨站請求偽造（Cross-SiteRequestForgery）IC卡：集成電路卡（IntegratedCircuitcard）ICMP：控制報文協(xié)議（InternetControlMessageProtocol）ID：身份（IDentity）IP：網(wǎng)絡(luò)之間互連的協(xié)議（InternetProtocol）MAC：媒體介入控制層地址（MediaAccessControl）MD5：消息摘要算法第五版（MessageDigestalgorithm-5）Nmap：網(wǎng)絡(luò)掃描和嗅探工具包（Networkmapper）PIN碼：SIM卡的個人識別密碼（PersonalIdentificationNumber）SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）SSH：安全外殼協(xié)議（SecureSHell）SSL：安全套接層（SecureSocketsLayer）SSRF：服務(wù)器端請求偽造（Server-SideRequestForgery）SYN：握手信號（SYNchronous）TCP：傳輸控制協(xié)議（TransmissionControlProtocol）UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）XSS：跨站腳本攻擊（CrossSiteScript）應(yīng)用系統(tǒng)安全要求身份鑒別身份鑒別滿足以下要求：應(yīng)對登錄用戶進行身份標(biāo)識和鑒別，確保用戶身份標(biāo)識的唯一性；應(yīng)提供基于口令、數(shù)字證書、指紋卡等鑒別技術(shù)的兩種或兩種以上組合的方式對用戶身份進行鑒別；應(yīng)對使用者在被授予敏感操作權(quán)限之前進行鑒別；應(yīng)限制用戶口令的有效期，并限制用戶在更改口令時使用重復(fù)口令；應(yīng)具備用戶登錄失敗檢測功能；應(yīng)具備遠方操作權(quán)限控制功能，支持遠方控制行為的權(quán)限校驗；應(yīng)具備用戶弱口令周期自動檢測告警功能．對于弱口令或重復(fù)口令用戶，限制其登錄系統(tǒng)，強制口令修改時間間隔，用戶口令應(yīng)在系統(tǒng)中加密存儲；應(yīng)依據(jù)IP地址、MAC地址等屬性對連接服務(wù)器的客戶端工作站進行限制。訪問控制訪問控制滿足以下要求：應(yīng)支持基于業(yè)務(wù)操作員、審計管理員、系統(tǒng)管理員等角色的訪問控制功能；應(yīng)支持角色與權(quán)限的綁定．不同角色人員應(yīng)按照工作范圍、職責(zé)分工分配相應(yīng)的訪問控制權(quán)限；應(yīng)支持角色互斥功能．禁止配置同時具有控制和維護修改權(quán)限的角色，系統(tǒng)中不得存在超級管理員角色；應(yīng)依據(jù)安全策略控制用戶對監(jiān)控信息等文件或數(shù)據(jù)庫表等客體的訪問；應(yīng)支持對重要信息資源設(shè)置安全標(biāo)記功能．并提供基于安全標(biāo)記的訪問控制。安全審計安全審計滿足以下要求：應(yīng)具備覆蓋每個用戶的安全審計功能；審計功能中應(yīng)對業(yè)務(wù)事件和新建用戶、授權(quán)等系統(tǒng)事件進行記錄；應(yīng)具備對審計數(shù)據(jù)進行搜索、查詢、分類、排序等功能；應(yīng)保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；應(yīng)具備審計數(shù)據(jù)的管理功能，并能夠?qū)徲嬍录捻椖窟M行選擇和設(shè)置；應(yīng)支持定義分級的系統(tǒng)異常事件類型，并且根據(jù)異常的嚴(yán)重程度分別采用日志記錄、警告提示、聲光報警等方式進行通知。數(shù)據(jù)完整性數(shù)據(jù)完整性滿足以下要求：應(yīng)具備對監(jiān)控信息等關(guān)鍵數(shù)據(jù)的存儲完整性保護功能；應(yīng)具備對監(jiān)控信息、信息點、控制命令等關(guān)鍵效據(jù)的傳輸完整性保護功能；應(yīng)在檢測到關(guān)鍵數(shù)據(jù)完整性錯誤時，提供必要的恢復(fù)手段。數(shù)據(jù)保密性數(shù)據(jù)保密性滿足以下要求：應(yīng)對通信過程中的關(guān)鍵報文進行加密；應(yīng)支持用戶口令等關(guān)鍵數(shù)據(jù)的加密存儲和傳輸；應(yīng)支持基于UKey等硬件設(shè)備對重要通信過程進行加解密運算和密鑰管理?？沟仲噾?yīng)用系統(tǒng)應(yīng)具備對測繪類關(guān)鍵操作的原發(fā)抗抵賴功能。系統(tǒng)容錯系統(tǒng)容錯滿足以下要求：應(yīng)對人工輸入數(shù)據(jù)有效性進行檢驗；應(yīng)具備自動保護功能；應(yīng)具備系統(tǒng)恢復(fù)功能。資源控制資源控制滿足以下要求：應(yīng)對登錄用戶的會話超時時間進行限制；應(yīng)對請求進程占用的系統(tǒng)資源分配最大限額、最小限額和資源水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；應(yīng)且備服務(wù)優(yōu)先級設(shè)置功能。信息探測應(yīng)用系統(tǒng)運行時應(yīng)關(guān)閉存在風(fēng)險的無關(guān)服務(wù)和端口。安全漏洞應(yīng)用系統(tǒng)應(yīng)具備安全機制，不存在明顯可利用安全漏洞。終端設(shè)備安全要求業(yè)務(wù)防護安全網(wǎng)絡(luò)邊界接入認(rèn)證業(yè)務(wù)數(shù)據(jù)需要在安全網(wǎng)絡(luò)與公共網(wǎng)絡(luò)間進行傳輸時，終端設(shè)備應(yīng)配置安全接入模塊，通過安全接入模塊與網(wǎng)絡(luò)邊界防護設(shè)備間進行身份認(rèn)證，網(wǎng)絡(luò)邊界防護設(shè)備確認(rèn)設(shè)備身份的合法性。接入訪問控制終端設(shè)備應(yīng)能夠依據(jù)網(wǎng)絡(luò)邊界防護設(shè)備的訪問控制策略訪問或無法訪問指定業(yè)務(wù)。接入通信保護終端設(shè)備通過網(wǎng)絡(luò)邊界防護設(shè)備進行業(yè)務(wù)數(shù)據(jù)傳輸時，應(yīng)能使用安全接入模塊提供的加密算法進行數(shù)據(jù)保護。接入兼容性終端設(shè)備宜兼容多種網(wǎng)絡(luò)邊界防護設(shè)備的接入認(rèn)證，以保障不同業(yè)務(wù)應(yīng)用場景的部署需求。設(shè)備自身安全接入控制主站或網(wǎng)絡(luò)應(yīng)在建立業(yè)務(wù)連接之前對設(shè)備進行接入控制，以支持業(yè)務(wù)通信功能和配置管理。訪問控制授權(quán)訪問控制終端設(shè)備應(yīng)只允許身份驗證正確的實體訪問被授權(quán)訪問的資源，或只有具有授權(quán)的實體才能發(fā)出訪問請求。管理員用戶角色終端設(shè)備的訪問控制功能應(yīng)支持管理員用戶角色，管理員具有創(chuàng)建用戶賬戶和管理其他用戶權(quán)限的能力。授權(quán)項終端設(shè)備應(yīng)支持根據(jù)用戶角色對設(shè)備功能進行授權(quán)，需要認(rèn)證授權(quán)的功能至少包括：查看數(shù)據(jù)：查看數(shù)據(jù)是指能夠查看設(shè)備的運行數(shù)據(jù)（經(jīng)度、緯度、高程、衛(wèi)星數(shù)等）；查看配置設(shè)置：查看配置設(shè)置指的是查看設(shè)備的配置，如地址、通信地址；強制修改：強制修改指的是手動輸入覆蓋真實數(shù)據(jù)，和/或手動控制輸出運行；配置變更：配置變更是指下載和上傳裝置的配置文件，和/或變更現(xiàn)有的配置定值；版本變更：新軟件版本加載；帳戶管理：創(chuàng)建、刪除或修改帳戶內(nèi)容；審計日志：審計日志指能夠查看和下載審計日志。配置權(quán)限配置軟件應(yīng)支持根據(jù)用戶角色的操作權(quán)限分配，授權(quán)應(yīng)遵循最小權(quán)限原則及權(quán)限互斥原則，可定義的權(quán)限至少包括：配置查看：普通用戶只能查看配置數(shù)據(jù)，不能對配置進行修改；配置修改：管理員可以修改并保存設(shè)備的配置數(shù)據(jù)，并對設(shè)備進行更新；日志查看：審計員只能查看和下載設(shè)備審計日志。配置軟件認(rèn)證終端設(shè)備應(yīng)能對正在使用的配置軟件進行認(rèn)證，保證是用戶授權(quán)的軟件。未授權(quán)的配置軟件禁止訪問終端設(shè)備的任何功能。用戶認(rèn)證身份認(rèn)證終端設(shè)備應(yīng)具備用戶身份認(rèn)證功能，應(yīng)至少支持用戶名和口令的用戶身份驗證方式。無論是本地的通過控制面板、帶測試功能通信/診斷接口或遠程的通過網(wǎng)絡(luò)，在使用用戶名和口令認(rèn)證時，所有對設(shè)備的訪問都應(yīng)當(dāng)確保用戶名和口令的唯一性?？诹顝姸瓤刂平K端設(shè)備用戶身份認(rèn)證功能應(yīng)對口令長度及組成進行控制，以保證口令強度，口令強度至少滿足:對于本地通過控制面板登錄，應(yīng)保證口令長度至少為4位；對于通過帶測試功能通信/診斷接口或遠程網(wǎng)絡(luò)的方式登錄，應(yīng)保證口令長度至少為8位，由大寫字母、小寫字母、數(shù)字、特殊字符中兩種或兩種以上組合組成。明文口令終端設(shè)備不應(yīng)在設(shè)備內(nèi)存儲或通過網(wǎng)絡(luò)發(fā)送明文口令。操作認(rèn)證終端設(shè)備的訪問控制功能應(yīng)提供支持操作驗證機制的能力，用戶執(zhí)行控制或修改重要的參數(shù)操作時，需要進行再次鑒別。鑒別失敗處理終端設(shè)備的用戶認(rèn)證功能應(yīng)提供支持用戶登錄失敗處理的能力，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。會話超時鎖定終端設(shè)備應(yīng)提供會話超時鎖定功能。當(dāng)會話在管理員定義的一段時間內(nèi)都不活動，設(shè)備鎖定會話，會話鎖定應(yīng)一直保持到重新登錄。安全審計審計記錄事件終端設(shè)備應(yīng)能產(chǎn)生和存儲安全性事件和重要業(yè)務(wù)事件的審計信息。審計記錄的事件類型至少包括：強制修改：已登錄用戶手動重寫真實數(shù)據(jù)和/或控制操作；訪問配置：將配置文件從設(shè)備下載到外部設(shè)備中（例如計算機）；配置更改：在設(shè)備中傳入新配置或者通過鍵盤輸入新配置參數(shù)，使設(shè)備的配置發(fā)生改變；創(chuàng)建用戶名/口令或更改：創(chuàng)建新的用戶名/口令或者修改帳戶權(quán)限；刪除用戶名/口令：刪除用戶名/口令；會話超時鎖定：當(dāng)會話在管理員定義的一段時間內(nèi)都不活動，設(shè)備鎖定會話；訪問審計記錄：用戶查看日志或?qū)⑷罩颈４嬖谕獠吭O(shè)備或存儲空間（計算機、U盤、光盤）；修改時間/日期：用戶修改時間和日期；警報事故：非授權(quán)行為警報，報警行為宜包括但不限于以下內(nèi)容：單次登陸中，連續(xù)多次輸錯口令；由于斷電、按下重啟按鈕、修改上電順序或配置修改導(dǎo)致的設(shè)備重啟；遭受網(wǎng)絡(luò)攻擊；企圖使用非法的配置軟件訪問設(shè)備。審計記錄內(nèi)容終端設(shè)備的審計記錄應(yīng)具備可用于事件追溯的基本信息，審計記錄內(nèi)容應(yīng)包括：事件的日期和時間（至少精確到秒級）；發(fā)生事件的組件（例如：文件、數(shù)據(jù)、定值）；用戶/主體的ID（ID號應(yīng)唯一）；操作內(nèi)容；該事件的結(jié)果（成功或失?。?。審計的時間戳終端設(shè)備應(yīng)在審計記錄產(chǎn)生時添加基于系統(tǒng)時間的時間戳。審計信息的保護終端設(shè)備應(yīng)保護審計信息和審計功能不被非授權(quán)用戶訪問，應(yīng)禁止任何用戶對審計記錄進行修改、刪除操作，并支持審計記錄容量的管理策略（例如覆蓋舊的審計記錄和停止生成審計記錄）。審計故障告警終端設(shè)備或從事審計功能的組件應(yīng)在審計失敗時向適當(dāng)?shù)呢?fù)責(zé)人員告警，如面板、聲、光、短信、網(wǎng)絡(luò)告警等方式。審計失敗包括：軟件/硬件錯誤，審計生成中的錯誤，審計存儲容量滿載或超容等。備份與恢復(fù)設(shè)備備份終端設(shè)備及其支持工具應(yīng)提供備份功能，以方便用戶進行設(shè)備中應(yīng)用級和系統(tǒng)級信息（包括系統(tǒng)安全狀態(tài)的信息）的備份，且導(dǎo)出的配置文件為非明文。設(shè)備恢復(fù)終端設(shè)備應(yīng)提供恢復(fù)功能，使用戶可以在業(yè)務(wù)中斷或設(shè)備故障恢復(fù)后重組以前保存的應(yīng)用級和系統(tǒng)級信息。數(shù)據(jù)安全數(shù)據(jù)存儲安全數(shù)據(jù)存儲完整性終端設(shè)備應(yīng)支持?jǐn)?shù)據(jù)存儲完整性保護機制，以保證安全認(rèn)證信息和重要業(yè)務(wù)數(shù)據(jù)、測繪數(shù)據(jù)、配置信息等敏感信息在存儲過程中的完整性。數(shù)據(jù)存儲機密性終端設(shè)備應(yīng)支持?jǐn)?shù)據(jù)存儲機密性保護機制，以保證安全認(rèn)證信息和重要業(yè)務(wù)數(shù)據(jù)、測繪數(shù)據(jù)、配置信息等敏感信息在傳輸過程中的機密性。宜采用國密算法（如SM1、SM2、SM4、SM7、SM9、祖沖之密碼算法等）保證數(shù)據(jù)在存儲過程中的機密性。數(shù)據(jù)存儲安全終端設(shè)備應(yīng)配置永久性或不宜被破壞的存儲介質(zhì)，用于存儲安全認(rèn)證信息和重要業(yè)務(wù)數(shù)據(jù)、測繪數(shù)據(jù)、配置信息等敏感信息，在異常斷電情況下，數(shù)據(jù)不被丟失。數(shù)據(jù)輸出安全終端設(shè)備應(yīng)提供記錄的測繪數(shù)據(jù)輸出到外部設(shè)備的功能，應(yīng)僅允許授權(quán)用戶通過此功能輸出測繪數(shù)據(jù)。數(shù)據(jù)傳輸安全數(shù)據(jù)傳輸完整性終端設(shè)備應(yīng)支持?jǐn)?shù)據(jù)傳輸完整性保護機制，以保證安全認(rèn)證信息和重要業(yè)務(wù)數(shù)據(jù)、測繪數(shù)據(jù)、配置信息等敏感信息在傳輸過程中的完整性。數(shù)據(jù)傳輸機密性終端設(shè)備應(yīng)支持?jǐn)?shù)據(jù)傳輸機密性保護機制，以保證安全認(rèn)證信息和重要業(yè)務(wù)數(shù)據(jù)、測繪數(shù)據(jù)、配置信息等敏感信息在傳輸過程中的機密性。宜采用國密算法（如SM1、SM2、SM4、SM7、SM9、祖沖之密碼算法等）保證數(shù)據(jù)在傳輸過程中的機密性。網(wǎng)絡(luò)傳輸安全信號強度監(jiān)測終端設(shè)備應(yīng)具有自主測量和計算功能，按照傳輸需要的信號強度自主選擇滿足服務(wù)要求的衛(wèi)星，并記錄相關(guān)審計日志。斷點續(xù)傳終端設(shè)備宜支持?jǐn)嚯娎m(xù)傳功能，當(dāng)網(wǎng)絡(luò)不可用時，設(shè)備內(nèi)部將緩存?zhèn)鬏敂?shù)據(jù)；當(dāng)網(wǎng)絡(luò)恢復(fù)后，再將數(shù)據(jù)進行傳輸。網(wǎng)絡(luò)傳輸抗干擾終端設(shè)備應(yīng)采用適當(dāng)?shù)臋C制來防止對數(shù)據(jù)發(fā)送、接受和轉(zhuǎn)發(fā)的無線干擾。網(wǎng)絡(luò)攻擊防御網(wǎng)絡(luò)報文防重放終端設(shè)備應(yīng)具備機制防止報文的重放，使用測試儀或軟件工具無法重放截取的報文。禁用不必要的服務(wù)與端口終端設(shè)備應(yīng)具備關(guān)閉不必要的或不在訪問控制范圍內(nèi)的通信服務(wù)與端口的功能，且物理端口應(yīng)可控制。輸入數(shù)據(jù)的語法驗證終端設(shè)備應(yīng)對應(yīng)用輸入和程序配置信息進行檢查，保證輸入值的合理性，語法的完整性、有效性和正確性。泛洪保護終端設(shè)備應(yīng)能夠抵御一定的數(shù)據(jù)泛洪攻擊，保證重要業(yè)務(wù)功能的通信，并能產(chǎn)生攻擊告警。協(xié)議保護終端設(shè)備應(yīng)能夠抵御針對通信協(xié)議的模糊攻擊。安全漏洞終端設(shè)備應(yīng)具備安全機制，支撐系統(tǒng)應(yīng)不存在明顯可利用安全漏洞。目次前言 IITOC\o"3-3"\h\z\u\t"標(biāo)題1,1,標(biāo)題2,2"1范圍 1