标准规范下载简介
Q/GDW 10594-2021 管理信息系统网络安全等级保护技术要求.pdf简介:
Q/GDW 10594-2021《电力监控系统网络安全等级保护技术要求》是由中国电力企业联合会制定的一份关于电力监控系统网络安全等级保护的技术标准。该标准根据《网络安全法》和《国家网络安全等级保护基本要求》,对电力监控系统的网络安全等级保护提出了具体的技术要求。
该标准将电力监控系统的网络安全分为五个等级,从低到高分别为:第一级到第四级,以及第五级(特别保护级)。每个等级都有相应的安全保护能力要求,包括物理安全、网络安全、应用安全、数据安全等方面。例如,第一级主要要求基本的安全防护措施,如防火墙、访问控制等;而第五级则要求最高等级的安全防护,包括高级加密、安全审计、灾难恢复等。
标准中还详细规定了各等级的信息安全策略、安全管理体系、安全技术和安全设施等,旨在保障电力监控系统的稳定运行,防止信息泄露、篡改、丢失或者被非法利用,确保电力系统的安全可靠。
总的来说,Q/GDW 10594-2021是电力监控系统网络安全的重要指导性文件,对于提升我国电力系统的网络安全防护能力具有重要意义。
Q/GDW 10594-2021 管理信息系统网络安全等级保护技术要求.pdf部分内容预览:
b)边缘物联代理应具备安全监测、审计和分析功能,应支持软件定义安全策略,并支持自动和联 动处置; 物联网终端、边缘物联代理设备应关闭设各调试接口,防范软硬件逆向工程; 物联网终端、边缘物联代理设备应支持本地及远程升级并校验升级包的合法性; 边缘物联代理应通过系统加固、可信计算等技术,保障边缘物联代理本体安全: 边缘物联代理应具备对自身应用、漏洞补丁等重要程序代码以及配置参数和控制指令等重要操 作的数字签名或验证能力。
8三级系统安全防护要求
某三层流水别墅建筑施工图(含效果图)8.1.1安全物理环境
8.1.1.1物理位置的选择
三级系统部署应选择符合以下要求的物理位置: a) 机房和办公场地选择在具有防震、防风和防雨等能力的建筑内; 机房场地避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁,如不可避免,采取有 效防水、防潮等措施。
8.1.1.2 物理访问控制
三级系统部署环境应满足以下要求: a)机房各出入口安排专人值守或配置电子门禁系统,控制、鉴别和记录进出的人员、进出时间、 操作活动等; b) 进入机房的来访人员经过申请和审批流程,并限制和监控其活动范围; c) 对机房划分区域进行管理,区域和区域之间用物理方式隔断,在重要区域前设置交付或安装等 过渡区域; d开发测试环境与实际运行环境分离。
8.1.1.3防盗窃和防破坏
三级系统部署环境应满足以下要求: a)主要设备放置在机房内; b)室外设备放置于室外机柜/机箱内,机柜/机箱的外壳门应安装防盗锁; 设备或主要部件进行固定,并在设备、线缆、机柜等上设置详细不易除去的标识; d)通信线缆铺设在隐蔽处,可铺设在地下或管道中; e)介质分类标识,存储在介质库或档案室中; 机房采取红外防盗报警等声光电报警技术设置机房防盗报警系统; g)机房设置有专人值守的视频监控系统,监控范围没有盲点
8. 1. 1. 4 防雷击
二级系统部署环境应满足以下要求: a)机房、办公场所等建筑安装、使用避雷装置,如避雷针; b)机房采取措施防止感应雷,如设置防雷安保器或过压保护装置等:
Q/GDW105942021
c)机房交流电源设置接地保护,各机柜、设施和设备等电位接地 d)室外设备存放机柜需要安装防雷设备,
8. 1. 1. 5 防火
三级系统部署环境应满足以下要求: a) 机房设置火灾自动消防系统,能够自动检测火情、自动报警,并具有自动灭火功能: b) 机房及相关的工作房间和辅助房采用具有耐火等级的建筑材料; C对机房划分区域进管理,区域和区域之间设置隔离防火措施,
8.1.1.6防水和防潮
三级系统部署环境应满足以下要求: a)与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道有可靠的防渗漏措 施; 机房采取措施防止雨水通过窗户、屋顶和墙壁渗透; ? 机房采取措施防止水蒸气结露和地下积水的转移与渗透; 机房内安装对水敏感的检测仪表或元件进行防水检测和报警
8. 1. 1.7 防静电
三级系统部署环境应满足以下要求: a)应采用防静电地板或地面并采用必要的接地防静电措施: )采取措施防止静电的产生 例如采用静电消除器、佩戴防静电手环等
8. 1. 1. 8 温湿度控制
8. 1. 1. 9 电力供应
三级系统电力供应满足以下要求: a)在机房供电线路上配置稳压器和过电压防护设备,将电力波动范围控制在10%以内; b)配备UPS等提供短期的备用电力供应,至少满足主要设备在断电后2小时内的正常运行要求; c)设置穴余或并行的电力电缆线路为计算机系统供电,输入电源采用双路自动切换供电方式; d)建立备用电源、发电车等备用供电系统
8. 1. 1. 10
三级系统电磁防护应满足以下要求: a)电源线和通信线缆隔离铺设,避免互相干扰; b)采用接地方式防止外界电磁干扰和设备寄生耦合干扰; c)对关键设备和磁介质实施电磁屏蔽。
8. 1.2安全通信网络
8. 1.2.1网络结构
三级系统网络结构应满足以下安全要求: a)管理信息系统部署在管理信息大区和互联网大区。有外网交互功能的应用系统应将前端部 互联网大区,禁止将存储公司商密数据的将数据库部署在互联网大区,通过管理信息大区
Q/GDW 105942021
联网大区边界的逻辑强隔离设备交换数据: b)避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间采取可靠的技术隔离手 段; c)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,将管理信息大区和互联网大 区分别划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; d)主要网络设备保证其业务处理能力具备穴余空间,满足业务高峰期需要; e)网络各部分带宽能够满足业务高峰期需要,并通过设置QoS保证重要业务应用获得充足的网络 带宽和流量; f)业务终端与业务服务器之间通过路由控制建立安全的访问路径; g)网络拓扑结构应采用亢余技术设计,提供主要网络设备、通信线路和数据处理系统的硬件穴余, 避免关键节点存在单点故障: h)绘制与当前运行情况相符的网络拓扑结构图,在图上标识设备名称、型号、IP地址等信息,并 提供网段划分、路由、安全策略等配置信息
8.1.2.2通道传输
三级系统网络通道应满足以下安全要求: 管理信息大区的网络接入通道应是公司自建光纤专网、电力无线专网、租用的APN和第三方专 线; b) 管理信息大区和互联网大区系统采用电力专用光纤进行长距离通信时,采用网络访问控制、入 侵检测等措施保证通信安全; C 互联网大区系统租用电信运营商专线或光缆进行长距离通信时,采用链路加密、VPN、网络访 问控制、入侵检测等措施保证通信安全: d 政府、银行等第三方机构网络接入管理信息大区时,采用网络专线接入,设置第三方网络接入 区,并采取网络防火墙或网络加密设备等防护措施; e 公司作业类、采集类等专用终端通过电信运营商专线/无线网络接入公司管理信息大区时,采 用安全接入网关接入,实现接入认证和数据传输加密: f)采用密码技术保证通信过程中数据的完整性,并使用国家主管部门认可的算法和安全的密钥: g)在通信双方建立连接之前,应用系统利用密码技术进行会话初始化验证; h彩用国家主管部门训 程中的整个报文或会话过程进行加密
8. 1. 2. 3 可信验证
三级系统可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序 可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行 将验证结果形成审计记录送至安全管理中心。
8. 1.3安全区域边界
8.1.3.1边界防护
二级系统边界应满足以下边界防护要求: a)对接入管理信息大区、互联网大区的设备,采用桌面终端安全管理系统、IP/MAC地址绑定等技 术手段进行接入认证和控制,并阻断非授权设备的接入; b) 在管理信息大区采用专用的防违规外联系统、桌面终端安全管理系统等对非法外联设备进行定 位和阻断:
Q/GDW105942021
)保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; d)限制无线网络的使用, 证无线网络通过受控的边界设备接入内部网络
8. 1. 3. 2 访问控制
三级系统边界应满足以下访问控制要求: a 根据信息系统访问需求,在与系统相关的边界处部署或利用现有的网络访问控制设备,配置必 需的网络访问控制策略,并启用访问控制功能,设置访问控制规则,默认情况下除允许通信外 受控接口拒绝所有通信; b 删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; 各边界处的网络访问控制设备对源地址、目的地址、源端口、目的端口和协议等进行检查,能 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; d 各边界处的网络访问控制设备按用户和系统之间的充许访问规则,决定充许或拒绝用户对受控 系统进行资源访问,控制粒度为单个用户。以拨号或VPN等方式接入网络的,采用两种或两种 以上的认证方式,并对用户访问权限进行严格限制; e) 限制具有拨号、VPN等访问权限的用户数量: 如系统涉及与互联网的边界,在互联网边界的访问控制设备上对信息内容进行过滤,实现对应 用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; 名 利用边界访问控制设备在会话处于非活跃一定时间或会话结束后终止网络连接; 如系统涉及与互联网的边界,在互联网出口处的边界访问控制设备上限制网络最大流量数及网 络连接数; i在边界访问控制设备上绑 MAC地址
8. 1. 3. 3 入侵防范
GB∕T 18567-2010 高速公路隧道监控系统模式8. 1. 3. 5 安全审计
Q/GDW 105942021
8. 1. 3. 6 可信验证
三级系统可基于可信根对边界防护的系统引导程序、系统程序、重要配置参数和边界防护应用程序 等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行 报警【辽阳市】《城市规划管理办法》(2008年),并将验证结果形成审计记录送至安全管理中心
8. 1.4 安全计算环境
8.1.4.1身份鉴别