标准规范下载简介
Q/GDW 12108-2021 电力物联网全场景安全技术要求.pdf简介:
Q/GDW 12108-2021《电力物联网全场景安全技术要求》是由国家能源局发布的一份标准,它详细规定了电力物联网在设计、建设和运行过程中所需的安全技术要求。电力物联网是一种利用物联网技术,将电力设备、系统和用户连接起来,实现数据采集、传输、处理和分析的新型电力服务体系。
这份标准涵盖了多个方面的安全技术,包括但不限于:
1. 网络安全:要求对电力物联网网络进行安全防护,防止黑客攻击、数据泄露等,确保数据通信的安全性和完整性。
2. 设备安全:强调对电力物联网设备的安全管理,包括设备的身份认证、数据加密、防病毒等方面。
3. 数据安全:规定了数据的采集、存储、传输和处理过程中的安全措施,如数据加密、访问控制、备份恢复等。
4. 业务安全:确保电力业务的正常运行,防止因安全问题导致的服务中断或服务质量下降。
5. 安全管理体系:提出了健全的安全管理体系,包括安全策略、风险评估、应急响应等。
总的来说,这份标准旨在为电力物联网的建设和运营提供全面、系统的安全技术指导,保障电力系统的稳定运行和数据安全。
Q/GDW 12108-2021 电力物联网全场景安全技术要求.pdf部分内容预览:
GB/T22239、GB/T25069、GB/T35295、GB/T36572、GM/T0022、GM/T0024和Q/GDW12098 以及下列术语和定义适用于本文件
物联网终端loTterminal 一种能够对物联网对象或环境的状态进行测量、感知,并具有简单数据处理、通信、人机交互等全 部或部分功能的设备。属于感知层设备,包括智能传感器、智能业务终端、采集控制终端、智能设备、 移动终端等。
Q/GDW121082021
电力物联安全接入网关eloTsecurityaccessgateway 采用SSAL、国密SSL或国密IPsec等技术实现对物联网终端或边缘物联代理的身份认证、网络访问控 制和传输通道加密【保定市】《城乡规划管理技术规定》(2018年),保障电力物联网终端接入安全的防护设备。
物联网控制域controldomainofloT 在国家电网有限公司管理信息大区内划分出来的网络子区域,可用于部署除电力监控系 类业务。
数据共享负面清单negativelistofdatasharing 以清单的方式明确列出在公司内部各部门、各单位之间需审批后共享的数据,及配套的一系列管理 制度措施,旨在最大化数据共享范围,促进公司范围内的数据共享。
Q/GDW121082021
本标准在遵循GB/T22239的安全防护要求的基础上,将电力物联网网络分区划分为生产控制天区、 管理信息大区和互联网大区。生产控制大区严格遵循GB/T36572的要求进行安全防护,管理信息大区和 互联网大区坚持“出口统一、数据分级、装置集成、多措并举”的全场景网络安全防护策略。
5.2大区隔离总体防护要求
本项要求包括: 生产控制大区与管理信息大区通过电力专用横向单向安全隔离装置进行物理隔离; 6 管理信息大区与互联网大区通过信息安全网络隔离装置(逻辑型)进行逻辑强隔离; 互联网大区与互联网通过防火墙、IPS、WAF等常用安全防护设备进行逻辑隔离; 管理信息大区可按需建立物联网控制域,其与管理信息大区其他系统间应通过专用安全设备 进行隔离,如需与互联网大区通信,必须按照5.2b)的要求进行防护
5.3系统部署总体防护要求
本项要求包括: a 对于ERP、生产管理、营销管理应用、协同办公等已有业务,支撑公司内部多维精益等新增业 务以及涉及商密数据的业务模块,应部署在管理信息大区; 对于配电、营销、光伏云网、综合能源服务、分布式电源以及客户侧相关的控制类业务,应 部署在物联网控制域; C 对于外网网站、外网邮件、电力交易、电子商务等已有业务,以及车联网、互联网金融等互 联网新兴业务,应部署在互联网大区
5.4终端接入总体防护要求
本项要求包括: 在接入公司管理信息大区时,应经专线并采用加密认证措施,专线包括但不限于租用的虚拟 专用线路; b) 在接入公司互联网大区时,宜采用互联网通道; C 原则上不建议交叉混接不同安全大区
6感知层安全防护技术要求
6.1.1边缘物联代理防护要求
本项要求包括: a) 应按照GB/T22239中相应等级的安全物理环境的要求实现物理安全防护: 应基于公司统一的密码基础设施进行身份认证和加密保护,采用硬件密码模块或软件密码模 块等方式实现,其中涉控涉敏业务优先采用硬件密码模块的方式,硬件密码模块应采用通过国 家有关检测机构检测认证的安全芯片; C) 应具备对自身应用、漏洞补丁等重要程序代码,以及配置参数和控制指令等重要操作的数字 签名和验证能力 d)应支持本地及远程升级,并能校验升级包的合法性: e 应具备安全监测、审计和分析功能,应支持软件定义安全策略,并支持自动和联动处置: f 应具备对物联网终端安全接入的管理能力:
Q/GDW121082021
应关闭设备调试接口,防范软硬件逆向工程; 应通过系统加固、可信计算等技术,保障边缘物联代理本体安全。
g)应关闭设备调试接口,防范软硬件逆向工程;
.1.2物联网终端防护
本项要求包括: a)应关闭设备调试接口,包括但不限于USB/JTAG/SWD接口等,防范软硬件逆向工程; b)应支持本地及远程升级,并校验升级包的合法性; c)具有边缘计算能力的物联网终端,应遵循6.1.1的防护要求。
6.2本地通信安全技术要求
本地通信指物联网终端与边缘物联代理等设备,通过光纤、网线、WFi、载波通信、微功率无线通 信等通道,不经过安全大区,在现场互连通信。本项要求还应满足: a 任意两个直接接入公司安全大区的终端,如接入的大区不同,禁止双方在感知层跨大区直接 通信,如需本地通信,应采取等同大区间隔离强度的技术措施: 不直接接入公司各安全大区的终端,在与直接接入公司管理信息大区的终端本地通信时,应 在网络协议、数据格式、数值有效性上加强过滤和校验,并应实现身份认证; C 不直接接入公司各安全大区的终端,在与直接接入公司互联网大区的终端本地通信时,宜按 需实现身份认证和通信数据加密传输,防范通信数据被窃听或篡改; d 管理信息大区侧的本地通信应采用抗干扰性强的通信协议,并加强通道自身安全配置管控
7网络层安全防护技术要求
7.1网络通信安全技术要求
7.2网络边界接入安全技术要求
7.2.1管理信息大区的安全接入
量关键出口处加强安全审计和监控,及时发现安
本项要求包括: a)应使用公司自建光纤专网、电力无线专网、租用的APN和第三方专线作为网络接入通道; 边缘物联代理、物联网终端等设备,在采用无线方式接入管理信息大区时,应结合业务应用 需求采用公司电力物联安全接入网关、信息安全网络隔离装置(网闸型)实现双向认证和加密 传输; C 对于无法满足7.2.1b)接入要求的设备,应在管理信息大区外设置安全接入区,通过安全接 入区实现和管理信息大区的交互
7.2.2互联网大区的安全接入
本项要求包括: a)边缘物联代理、物联网终端等设备,在互联网大区直接访问公司对内业务,包括但不限于公 司外网移动办公、外网移动作业等面向公司员工的业务时,应采用公司电力物联安全接入网关 实现双向认证和加密传输: b) 无法满足7.2.2a)接入要求的设备,在直接访问互联网大区的公司对内业务时,应在互联网 大区外部署前置服务器,通过前置服务器进行协议转换和数据归集:
Q/GDW121082021
前置服务器访问公司互联网大区的公司对内业务时,应采用公司电力物联安全接入网关实现 双向认证和加密传输
8平台层安全防护技术要求
8.1云平台安全防护要求
本项要求包括: 应遵循GB/T22239中相应等级的安全通用要求和云安全扩展要求、GB/T31168的要求进行安 全防护; b 云平台和云租户的业务应用系统应作为不同的定级对象分别定级,且云平台不得承载高于其 安全保护等级的业务应用系统; C 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选 择第三方安全服务; d) 应提供安全管理中心,实现访问控制、多租户安全隔离、流量监测、身份认证、数据保护、 镜像加固校验、安全审计、安全态势感知等功能。
8.2物联管理平台安全防护要求
9应用层安全防护技术要求
传统应用系统安全防护要
应遵循GB/T22239、Q/GDW1594的要求进行
盾GB/T22239、Q/GDW1594的要求进行安全防护。
9.2云端应用安全防护要求
本项应符合下述要求: 根据应用自身定级和业务需求,遵循GB/T22239中安全计算环境的安全防护要求进行安全防 护; b)实现业务和用户行为的安全审计
9.3APP应用安全防护要求
Q/GDW121082021
本项要求包括: a 应确保APP应用发布符合公司要求,发布的渠道可信; b 发布前应进行统一加固、统一检测,并对APP应用运行状态进行安全监测; C 应支持本地及远程升级,并能校验升级包的合法性; d) 在收集用户信息前,应明示收集使用信息的目的、方式和范围,并获得用户授权; e)在进行金融支付、审核授权等重要操作时应进行二次认证,
本项要求包括: 应确保APP应用发布符合公司要求,发布的渠道可信; b 发布前应进行统一加固、统一检测,并对APP应用运行状态进行安全监测; C 应支持本地及远程升级,并能校验升级包的合法性: d)在收集用户信息前,应明示收集使用信息的目的、方式和范围,并获得用户授权; e)在进行金融支付、审核授权等重要操作时应进行二次认证,
10通用安全防护技术要求
10.1密码基础设施要求
本项要求包括: 管理信息大区和互联网大区新建的系统/设备,应用到密码技术的,应基于公司统一的密码基 础设施开展设计和建设; b) 业务系统如对电子签名、电子签章有法律效力要求的,应严格按照公司和国家商用密码管理 的有关规定执行; C 公司统一的密码基础设施应通过国家有关检测机构检测认证; d 密码基础设施运营单位应建立完备的规章制度和服务流程,为各业务、各单位提供快速便捷服 务。
10.2监测安全及态势感知要求
本项应符合下述要求: a)对电力物联网全场景的安全态势进行监测和审计分析,及时发现异常、攻击并快速处置: b)逐步建立网络安全监测分析模型MT/T 1128-2011标准下载,实现未知威胁检测预警和攻击溯源。
10.3.1数据安全合规要求
本项要求包括: a 应对数据进行分级,明确本专业商密数据、企业重要数据、一般数据的范围,并严格遵循数 据级别进行适度防护; b 商密数据应遵照Q/GDW11416进行防护; C 企业重要数据应进行全生命周期安全防护,数据在对外提供、公开发布、跨域传输等环节中 应采取数据内容加密、数据脱敏等技术措施; d 一般数据可根据各专业部门、各单位自身情况采取相对灵活的防护措施
10.3.3数据全生命周期管控
10.3.3.1数据采集
Q/GDW121082021
a)对采集数据进行有效性、合理性校验DB33∕T 904-2021 公路软土地基路堤设计规范,支持数据一次采集、多处使用; b)在对客户数据进行采集前明示采集和使用规则、且的、范围等,并取得客户授权同意。