标准规范下载简介

Q／GDW 11345.5-2020 电力通信网信息安全 第5部分：终端通信接入网.pdf简介：

Q/GDW 11345.5-2020《电力通信网信息安全》第五部分：终端通信接入网简介，是中国电力企业协会为规范电力通信网络安全管理，针对终端通信接入网这一特定领域制定的行业标准。终端通信接入网通常指的是电力系统中的各类智能设备（如电表、采集器、监控设备等）与通信网络的连接部分，这些设备通过无线或有线方式接入通信网络，实现数据的采集、传输和控制。

该部分标准可能包括对终端通信接入网的安全要求，如终端设备的安全防护措施、接入控制、数据加密、身份认证、访问控制、网络安全监测与应急响应等方面的规定。目的是为了确保电力通信网的信息安全，防止数据泄露、篡改或被非法获取，保障电力系统的稳定运行和用户信息的隐私安全。

Q／GDW 11345.5-2020 电力通信网信息安全 第5部分：终端通信接入网.pdf部分内容预览：

安全接入网关securityaccessgateway 支持高并发、大规模的业务终端安全接入，实现身份认证、访问控制、高性能加解密、密 分发等安全功能，形成可支持集群化、高并发的安全接入装置。

安全接入网关securityaccessgateway 支持高并发、大规模的业务终端安全接入，实现身份认证、访问控制、高性能加解密、密钥协商与 分发等安全功能，形成可支持集群化、高并发的安全接入装置。 3.6 三重搅动triplechurning 在单重搅动基础上扩展而成，通过增加搅动后数据的时域关联性提高用户数据的安全性。 3.7

《增强氯化聚乙烯橡胶卷材防水工程技术规程 CECS63：1994》指电信运营商采用2G、3G和4G技术建设的无线通信网络。

为保障终端通信接入网的机密性、完整性和可用性，遵循安全分区、网络专用、横向隔离、级 等防护要求制订安全措施，对于本部分未明确提出的安全要求和技术措施，应按照GB/T22239一 /T1742中对应级别的等级保护相关要求执行。

终端通信接入网总体安全防护架构见图1，生产控制大区应在物理层面上实现与管理信息大区（信 息内网）和互联网大区安全隔离；生产控制大区的终端通信接入网禁止在上联接口与管理信息大区（信 息内网）及互联网大区互联

图1终端通信接入网总体安全防护架构

Q/GDW 11345. 52020

终端通信接入网在变电站接入骨十网，或直接通过主站边界接入业务系统服务端；业务终端则通过 通信终端连接入终端通信网。终端通信接入网信息安全范围见图2虚框所示，终端通信接入网主要承载 的业务系统与对应的安全分区参见附录A。

图2终端通信接入网信息安全范围示意图

终端通信接入网主要包括有线专网、电力无线专网和无线公网三种技术体制，其中有线专网包括 网公司基于EPON、工业以太网和电力线载波等通信技术建设的有线专用网络。终端通信接入网网 安全主要针对不同技术体制网络结构的安全防护

6. 2EPON 系统

对可靠性需求较高的区域，工业以太网的网架结构应采取穴余配置

5.4中低压电力线载波

中低压电力线载波网络结构安全要求如下： a）中低压电力线载波宜采取主从分布式组网结构，参见附录B.1； b）对可靠性需求较高的区域，中低压电力线载波的网架结构应采取穴余配置。

电力无线专网网络结构安全要求如下： a）电力无线专网的总体架构图参见附录B.2，应采用无线电管理部门授权的无线频率组网； b）电力无线专网的核心网关键单元和回传通道穴余配置应符合Q/GDW11664一2017中7.3.4条和 7.5.2条相关要求； c）电力无线专网在同时承载生产控制大区和管理信息大区业务时应采取物理隔离措施，并符合 Q/GDW11664一2017中7.8.2条相关要求：

无线公网网络结构安全要求如下： a）无线公网总体架构图参见附录B.3； b）在主站系统和公共网络之间的有线专线应采用1+1穴余保护。

终端通信接入网通信设备安全主要针对不同通信设备的重要部件、电气性能与工作环境的安全要 水。

EPON设备安全要求如下： a）重要板卡应满足1+1元余需求。0LT主控板1十1元余保护应符合Q/GDW1553.1一2014中第 7.11.1条相关要求；0LT上联口双归属保护应符合Q/GDW1553.1一2014中第7.11.2条相关要 求；电源元余保护应符合Q/GDW1553.1一2014中第7.11.4条相关要求； b）工作环境温、湿度要求、防尘要求、电源要求和电气安全与电磁兼容要求应满足Q/GDW1553. 一2014中第8.1~8.4条相关要求。

工业以太网交换机设备安全要求如下： a）宜采用穴余电源保护； b）应能够在高温、高湿的严酷环境下工作，应通过GB/T2423.9规定的恒定湿热试验： C）防尘、电源和电气安全与电磁兼容要求应符合YD/T1099一2005中第12、13条相关要求。

7.4中低压电力线载波设备

中低压电力线载波通信设备安全要求如下： a）宜采用穴余电源保护； b）工作环境温、湿度应符合Q/GDW1374.3一2013中第5.1条相关要求； c）电气安全与电磁兼容性应符合Q/GDW1374.3一2013中第5.5和5.6条相关规定。

7.5电力无线专网设备

电力无线专网通信设备安全要求如下：

Q/GDW 11345. 52020

无线公网通信设备应启用无线公网自身提供的安全措

终端通信接入网传输通道安全主要针对不同技术体制的网络系统在落实横向隔离、纵向认 本体安全要求的防护措施。

8.2.1EPON系统横向隔离措施

EPON系统横向隔离措施要求如下： a）应在220/110/66/35/22kV变电站的汇聚交换机上配置访问控制策略，阻断不同OLT下ONU之间 的互访； b）应在OLT上配置访问控制策略，阻断本OLT下不同ONU之间的互访； c）应具备基于端口或MAC地址的VLAN划分功能，并通过划分VLAN等方式配置访问控制策略； d）具备三重搅动功能保护下行数据，应具备针对每个逻辑链路连接标识的搅动功能，每个逻辑链 路连接标识应具有独立的密钥； e）应具备对所有数据顿、MAC控制顿和OAM顿的搅动功能

8.2.2EPON系统纵向认证措施

EPON系统纵向认证措施要求如下： a）OLT应支持对ONU的MAC地址或逻辑标识进行单向认证，应具备对非法ONU的识别和隔离功能； b）应支持MAC地址与端口、IP地址的绑定功能。

8.2.3EPON系统本体安全措施

EPON系统本体安全措施要求如下： a）应具备限定端口学习MAC地址数量的功能； b）业务端口和管理端口均应通过防御IGMP、TCP、UDP等攻击报文测试； c）管理端口应具备密码配置功能、支持SSH登录方式，应设置用户密码，密码长度不少于8位 且至少包含大写字母、小写字母、数字、特殊字符中的三类； d）应采用安全增强的SNMPv2及以上版本的网管协议； e）宜具备Qos功能。

8.3.1工业以太网横向隔离措施

B.3.2工业以太网纵向认证措施

工业以太网纵向认证措施要求如下： a）应支持MAC地址与端口、IP地址的绑定功能； b）应具备限定端口学习MAC地址数量的功能。

8.3.3工业以太网本体安全措施

工业以太网本体安全措施要求如下： a）业务端口和管理端口均应通过防御IGMP、TCP、UDP等攻击报文测试； b）管理端口应具备密码配置功能、支持SSH登录方式，应设置用户密码，密码长度不少于8位 且至少包含大写字母、小写字母、数字、特殊字符中的三类； c）应采用安全增强的SNMPv2及以上版本的网管协议； d)宜具备QoS功能。

中低压电力载波通信单元本体安全措施要求如下： a）应采用检错校验编码方式保护传输信息安全； b）应具备安全管理等网络管理功能。

5.1电力无线专网横向

电力无线专网横向隔离措施要求如下： a）核心网设备应支持多PLMN功能，支持多APN配置，支持APN与VPN的映射，可为多类业务配置 独立的APN以及VPN，并自动保障高优先级业务通信； b）在无线核心网边缘处应具备映射到专用物理端口或路由的功能； c）应为生产控制大区的精准负荷控制业务、配电自动化遥控等控制类业务提供独立的物理端口和 回传通道

8.5.2电力无线专网纵向认证措施

电力无线专网纵向认证措施要求如下： a）通信终端与基站及核心网之间应采取基于四元组鉴权向量的双向鉴权认证； b）应同时采用无线接入层（AS）、非无线接入层（NAS）两层安全机制，分别对通信终端与基站间、 通信终端与核心网间传送的信令进行加密和完整性保护，对用户面数据进行加密，具备对用户 面数据的机密性保护功能和信令的机密性保护和完整性保护功能； c）应采用临时身份标识和加密永久身份标识两种机制保护用户身份。无线通信终端仅在初次接入 网络时上报国际移动用户标识（IMSI）、国际移动设备标识（IMEI）等身份信息，之后协商临 时身份标识，并对永久身份标识加密处理：

d）应将SIM/USIM卡与无线通信终端绑定；终端应使用支持双向认证的用户身份识别卡，宜使用 USIM、eSIM等用户身份识别卡；无线通信终端（CPE/LCM等）的配置文件和软件应使用专用设 备和软件进行维护和诊断；正常工作时，无线通信终端的维护与诊断接口应处于关闭状态；限 制CPE/LCM访问权限，在核心网严格限制无线通信终端权限，对超出权限的操作不予响应。

8.5.3电力无线专网本体安全措施

电力无线专网本体安全措施要求如下： a）应具备传输优先级和传输带宽的设置功能； b）应支持无线通信终端监视功能。

■无线公网横向隔离措放

无线公网横向隔离措施要求如下： a）应采用APN和VPN（GRE/L2TP/MPLS）技术或VPDN技术提供无线虚拟专有通道，应采用VRF技 术对电力用户与其他行业客户进行路由隔离，禁止公共网络上的用户访问电力网络内部资源； b）应禁止不同APN业务互访；同一APN内业务终端不宜互访，特殊情况下应采取双向认证和数据 加密措施： c）宜以省电力公司为单位根据业务应用终端规模及安全级别规划APN，同等安全级别的业务应用 可划分至同一APN，否则不可划分至同一APN；用电信息采集等大型业务应用可根据需要规划独 立APN； d）在主站系统和公共网络之间应采用有线专线+GRE或L2TP加密隧道等手段； e）通信终端至基站间的数据传输应采用加密传输

《建筑安装工程施工技术操作规程（地下防水工程）》DB21@900.10-2005.pdf8.6.2无线公网纵向认证措施

无线公网纵向认证措施要求如下： a）应关闭通信终端的免认证连接功能； b）通信终端SIM/USIM卡应采取双重绑定和认证措施；终端IP地址采用静态分配方式 C应基于鉴权向量实现无线网络与接入通信终端之间的合法性验证

8.6.3无线公网安全本体安全措施

应支持用户优先级管理。

应支持用户优先级管理

终端通信接入网设备网管系统应遵照GB/T22239一2019中第7.1.2～7.1.5条等级保护二级要求进 行防护。

建筑面积383.9平米三层独栋别墅终端通信接入网网络边界安全主要针对终端通信接入网在主站边界和终端边界的安全防护