标准规范下载简介

DL／T 1931-2018 电力LTE无线通信网络安全防护要求简介：

DL/T 1931-2018《电力无线专网通信技术规范》中关于网络安全防护的要求主要包括以下几个方面：

1. 身份认证：所有网络用户和设备必须进行身份认证，确保只有授权的用户和设备可以访问网络资源。这通常包括强密码策略、双因素认证、数字证书等。

2. 访问控制：对网络资源的访问需要进行严格的控制，根据用户的角色和权限进行访问级别划分，防止未经授权的操作。

3. 数据加密：所有的通信数据在传输过程中必须进行加密，以防止数据被窃取或篡改。这包括对无线通信链路的加密，以及对存储在系统中的数据的加密。

4. 安全审计：建立安全审计机制，记录和监控网络的访问行为，以便在发生安全事件时进行追溯和分析。

5. 安全防护设备：在关键网络节点部署防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）等安全设备，保护网络不受恶意攻击。

6. 定期安全检查和更新：定期进行网络安全检查，及时修复安全漏洞，更新安全策略和措施，以应对新的安全威胁。

7. 安全培训：对网络用户进行安全培训，提升他们对网络安全的认识，防止因人为因素导致的安全风险。

总的来说，DL/T 1931-2018要求电力系统的无线通信网络在设计和运行过程中，充分考虑网络安全，确保通信系统的稳定、可靠和保密。

DL／T 1931-2018 电力LTE无线通信网络安全防护要求部分内容预览：

物理隔离physicalisolation 不同通信网络之间不能直接通信，并且各自使用的不同通信网络的物理介质和通信设备的信息存 储空间等资源独立专用。 利用不同时隙隔离或频率（波长）隔离可达到或接近物理隔离的强度。 3.4 逻辑隔离logicalisolation 不同通信网络之间不能直接通信，但各自使用的通信网络的物理介质、时隙、频率（波长）和通 信设备的信息存储空间等资源可共享，通过技术手段（如：VPN、VLAN等）保证在逻辑上是隔离的。 3.5 安全接入区secureaccessarea 专用通信网络、公共网络或其他通信网络接入生产控制大区和信息管理大区的安全防护和监管区域。 3.6 安全接入平台 unionsecurityaccessplatform 对非信息管理大区区域终端提供以安全专网方式接入信息管理大区入并采用终端接入认证、数据 隔离、实时监测审计等防护措施对接入边界进行防护。

物理隔离physicalisolation 不同通信网络之间不能直接通信，并且各自使用的不同通信网络的物理介质和通信设备的信息存 储空间等资源独立专用。 利用不同时隙隔离或频率（波长）隔离可达到或接近物理隔离的强度。 3.4 逻辑隔离logicalisolation 不同通信网络之间不能直接通信，但各自使用的通信网络的物理介质、时隙、频率（波长）和通 信设备的信息存储空间等资源可共享，通过技术手段（如：VPN、VLAN等）保证在逻辑上是隔离的。 3.5 安全接入区secureaccessarea 专用通信网络、公共网络或其他通信网络接入生产控制大区和信息管理大区的安全防护和监管区域。 3.6 安全接入平台 unionsecurityaccessplatform 对非信息管理大区区域终端提供以安全专网方式接入信息管理大区入并采用终端接入认证、数据 隔离、实时监测审计等防护措施对接入边界进行防护。

5电力LTE无线通信网络基本构成与安全风险

DB34／ 3527-2019标准下载5.1电力LTE无线通信网络基本构成

电力LTE无线通信网可分为核心层、回传网、接入层和终端层，电力LTE无线通信网络架 所示。

图1电力LTE无线通信网络架构

核心层主要包括移动性管理实体、服务网关PDN网关、归属用户服务器等网元，提供用户接入 控制和安全管理、网络连接和会话管理、移动性管理、计费管理以及服务质量（QoS）管理等功能。整 个核心层通过统一的网络管理系统进行集中的维护。

回传网主要包括光传送网络（SDH/MSTP和OTN等）、微波接力传送网络和卫星传送网络等，用 于实现核心层和接入层的数据互通。

入层包括无线基站及其配套设备，主要为用户终端提供无线接入信号，负责无线资源的管理。

端层由各类不同类型的终端组成，实现电力系统业务的数据交互，终端类型包括固定台、无线 、手持终端等。

5.2电力LTE无线通信网安全风险

力LTE无线通信网的安全风险可分为网络及 风险包括自然界不可抗的风险和其他物理风险。管理风险主要包括安全管理机构、安全管理制 员安全管理、建设管理和运维管理。主要风险参见附录A

电力LTE无线通信网安全防护应符合《电力监控系统安全防护规定》的规定。电力LTE无线通 全防护方案如图2所示。

电力LTE无线通信网络安全防护方案

6.2生产控制大区和信息管理大区的业务系统在与其终端的连接中使用电力LTE无线通信网络或公用 网络等进行通信的，应设立安全接入区。接入生产控制大区的安全接入区应包含物理隔离部件、前置 机和加密认证设备等。接入信息管理大区的安全接入区应包含安全接入平台和加密认证设备等。 6.3终端设备应采用认证加密机制、访问控制措施，建立加密传输通道进行信息采集，保证业务数据 的保密性和完整性。 6.4电力LTE无线通信安全防护总体方案按照“分区、分级、分域”的防护原则，对核心层、回传 网、接入层和终端层分别采取防护措施。 6.5电力LTE无线通信网络安全防护主要类型及要求见表1。

电力LTE无线通信网络安全防护主要类型及要

7电力LTE无线通信网络安全防护要求

7.1网络结构安全防护要求

电力LTE无线通信网络应实现承载业务的逻辑隔离，不同电力业务终端接入无线网络时应根据不 同安全分区级别和业务类型，接入不同专用接入点（APN）和对应虚拟VPN，电力LTE无线专网安全 方案框图如图3所示。

7.2核心层安全防护要求

7.2.1访问通道安全

图3电力LTE无线专网安全方案框图

7.2.2操作系统安全

操作系统安全应满足如下要求： a）产品应使用业界主流漏洞扫描工具对产品进行漏洞扫描测试： b）正式发布的版本应包含默认的操作系统安全加固策略文件； c）产品补丁计划中应包含操作系统安全补丁发布计划，并在公开网站上提供下载。

7.2.3安全日志及审计

日志审计应满足如下要求： a）日志记录应涵盖管理平面上所有的用户活动和操作指令； b）用户活动、操作指令的日志应支持回溯审计； c）产品提供的日志模块/文件有相应的访问控制机制

数据库安全应满足如下要求： a）产品出厂使用的数据库口令禁止使用数据库厂商的缺省口令； b）产品缺省应启用数据库口令复杂度检查功能； c）使用单独的操作系统的非管理员权限账号来运行数据库： d）数据库系统本身的文件及用户的数据文件应严格控制访问权限； e）对数据库账户授予的权限应进行严格清晰的划分。N

7.2.5穴余设备及系统要求

7.3回传网安全防护要求

7.4接入层安全防护要求

7.4.1传输链路安全

传输链路安全应满足如下要求： a）应提供基站与周边网元、周边设备之间的操作维护传输链路、用户数据传输链路、信令传输链 路等的安全保护，建立以PKI证书机制为中心的安全传输链路； b）应采用IPSec等安全隧道方式接入。

应采用国家无线电管理部门授权的无线频率。

7.4.3无线接口安全

供基站与终端之间无线接口传输数据的机密性和

7.4.4基站设备安全

应提供基站设备本身的保护，包括物理安全和防火墙功能。物理安全应保证基站硬件和站 防火墙功能应保证基站输入的安全

7.4.5基站操作维护安全

7.5终端层安全防护要求

7.5.1终端硬件安全

7.5.2终端接入安全

终端接入安全应满足如下要求： a）应能对接入的用户进行鉴权认证，验证用户的合法性，保证授权用户能够接入网络； b）应支持用户与无线通信网络之间的密钥协商机制，保证数据传输安全； c）应在系统边界部署访向控制设备，并启用访问控制功能； d）应对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制； e）应采取技术手段防止地址欺骗： f）应按照访问规则，决定允许或拒绝管理用户对系统的资源访问； g）宜使用HTTPS/SSL等安全连接技术，防止敏感信息泄露。

8.1网管安全防护能力

8.1.1用户管理、认证与鉴权

用户管理、认证与鉴权应满足如下要求： a）应采用强密码策略，对密码长度、特殊字符组合要求、密码错误次数和解锁时间等进行限制， 保证系统用户密码的安全性； b）应支持系统用户安全管理功能，如操作时效性、超长时间自动锁定和自动注销等； c）应支持网管用户的集中管理功能，如账户管理、权限分配、用户鉴权等

8.1.2 安全日志与审计

安全日志与审计要求见7.2.3

3.1.3操作系统及数据库安全

操作系统及数据库安全应满足如下要求： a）操作系统应支持最小化安装，只安装和启用网管系统的组件及服务，并提供定期更新机制，同 时关闭所有无用网络连接端口； h）网管数据库安全要求见7.2.4

8.1.4系统连接及文件传送安全

8.2网管数据备份与恢复

网管数据备份与恢复应满足如下要求： a）应建立对业务及应用关键数据和重要信息进行备份和恢复的管理和控制机制； b）相关业务及应用的关键数据（如业务数据、系统配置数据、管理员操作维护记录、用户信息 等）应有必要的容灾备份； O C）系统应提供数据自动保护功能，当发生故障后应保证系统应能够恢复到故障前的业务状态。

9运行环境安全防护要求

3965平米，三层框架教学楼毕业设计（计算书、施组、工程量计算、建筑、结构图）9.1通信设备环境适应性要求

设备环境适应性应满足GB15153.2要求，具体环境参数见表2。通信设备在规定的气候条件下 应能正常工作。

9.1.3湿热性能要求

湿热性能应满足如下要求： a）室内设备应能承受GB/T2423.3规定的恒定湿热试验要求，温度（40+2)℃，湿度（93±3）%， 48h，试验过程中设备不通电，试验后各导电回路对外非带电导电部位及外壳之间、电气上无 联系的各回路之间的绝缘电阻不应小于1.5MQ2； b）室外设备应能承受GB/T2423.4规定的交变湿热试验要求，高温温度40℃，低温温度25℃， 48h，试验过程中设备通电，试验期间及试验结束后均应保持正常工作状太

9.1.4机械性能要求

通信设备机械性能要求应符合GB/T15153.2要求，具体参数见表3，试验结束后设备应无损伤， 应能正常工作。

通信设备的抗电磁干扰能力应满足表4要求，试验期间及试验结束后设备应无损伤，均 工作。

的抗电磁干扰能力应满足表4要求《旋转电机 热保护 GB/T13002-2008》，试验期间及试验结束后设备应无损伤，均应能正常