标准规范下载简介
Q/GDW 12196-2021 电力自动化系统软件安全检测规范.pdf简介:
Q/GDW 12196-2021《电力自动化系统软件安全检测规范》是由中国电力企业联合会(GDW,Grid Data World)发布的一份技术标准。这份规范主要针对电力自动化系统的软件安全,它为电力系统中的软件开发、运行和维护过程中的安全性检测提供了详细的指导和要求。
该规范明确了电力自动化系统软件安全检测的范围,包括但不限于软件的源代码审查、安全功能测试、漏洞扫描、安全配置管理、数据保护、访问控制、身份验证等多方面的内容。其目的是确保电力自动化系统的软件在运行过程中能够抵御各种安全威胁,保护电力系统的稳定运行和数据安全。
它要求软件开发商和运行维护单位在软件全生命周期中实施严格的安全检测,以预防潜在的安全风险,降低因软件安全问题引发的电力系统故障或数据泄露的风险。此外,该规范还强调了定期的安全审计和更新,以适应不断变化的威胁环境。
总的来说,Q/GDW 12196-2021是电力行业为了提升软件安全管理水平,保障电力系统安全稳定运行的重要技术依据。
Q/GDW 12196-2021 电力自动化系统软件安全检测规范.pdf部分内容预览:
语和定义适用于本文件
下列术语和定义适用于本
电力自动化系统软件electricpowerautomationsystemsoftware 综合利用计算机、远动和远程通信技术,对电网一、二次设备进行运行监视、控制和管理的自动化 系统平台及应用软件,包括电力自动化系统主、厂站软件。 3.2 业务安全businesssecurity 从人机安全、通信安全、服务安全、应用安全、数据安全、进程安全、运行安全等方面,结合系统
电力自动化系统软件electricpowerautomationsystemsoftware 综合利用计算机、远动和远程通信技术《灯具性能 第1部分:一般要求 GB/T 31897.1-2015》,对电网一、二次设备进行运行监视、控制和管 系统平台及应用软件,包括电力自动化系统主、厂站软件
业务安全businesssecurity 从人机安全、通信安全、服务安全、应用安全、数据安全、进程安全、运行安全等方面,结合 件自身业务,保护电力自动化系统业务免受安全威胁的措施及手段
下列缩略语适用于本文件。
5.1电力自动化系统软件应遵循GB/T22239、GB/T36572、DL/T1455等技术标准的相关安全要求。 5.2电力自动化系统控制类软件应实现自主可控,包括业务软件本身、第三方组件、密码算法等。 5.3测试工具应具有追溯性,自行开发的测试工具应有详细的说明文档,并通过适用性验证。
代码安全检测应依照GB/T34943和GB/T34944等要求,具体要求如下: a)不应存在违背安全编码规则、输入处理、输出处理、文件操作等安全要求内容; b)不应存在口令硬编码、软件后门、访问控制、密码管理、明文存储、异常管理等安全特征内容; c)不应存在资源泄露、越界访问、缓冲区溢出、命令注入、设计缺陷/业务逻辑等安全漏洞
6. 2. 1人机安全
接入安全要求如下: a)人机客户端、配置管理软件等接入,应优先采用白名单方式,也可采用黑名单等其他方式,限 制非法接入,保证客户端、配置管理软件等接入的合法性; b)API接口等接入应进行身份认证,并限制对外开放接口的应用范围和同一时间内并发访问的接 口数; c)软件接入应记录审计日志
6.2.1.2用户管理及授权安全要求
用户管理及授权安全要求如下: a)身份标识应具有唯一性,保证不存在重复标识的用户; 应支持密码最小长度及复杂度要求,禁用弱口令及用户口令与用户名一致; 使用电力调度数字证书绑定用户时,应为每个用户分配唯一的证书,并保证证书链的有效性, 禁止使用不符合链式验证的数字证书; d 应设置管理员、审计员和、操作员三种角色,不允许存在超级用户,权限的设置应基于最小权 限原则;
Q/GDW 12196202
e)除画面查看等公共权限外,应保证不同角色间权限互斥,且不能将不同的角色授予同一用户; f)应及时删除或停用多余的、过期的账户,注销用户应任何情况下不可用,避免共享账户的存在; g)用户管理、权限分配等应记录审计日志。
6. 2. 1. 3登录认证安全要求
a 执行控制操作、参数配置、文件上传/下载等操作应进行权限控制: 一 应具备数据有效性检验功能,保证通过人机接口或通信接口输入的数据格式、类型、长度等应 符合软件设定要求; 对于重要控制类操作,应具备再次身份认证的机制; d 对于主站的控制操作,应具备控制点号预置确认功能,需对控制点编号再次输入确认,只有两 次编号校验一致方可进行预置操作; e 应能够识别逻辑异常操作,禁止异常操作且给予提示; f 应具备文件下载操作目录限制功能; g 应具备对上传文件的格式、内容等进行合法性校验及非法文件过滤功能; h 异常时,返回的提示信息应进行必要的封装,不应包含有关后台系统或其它敏感信息; 控制操作、参数配置、文件上传/下载行为应记录审计日志。
6. 2. 2通信安全
6. 2. 2. 1通信服务基本要求
6. 2. 2. 2通信安全要求
a)应通过各项标识(IP、MAC地址、APPID等)的一致性校验对通信对象接入进行控制; b)宜对通信对象进行身份认证,根据系统要求,采用单向或双向身份认证机制保证身份的合
使用电力调度数字证书认证的软件,应保证为每个应用分配唯一的证书,应验证证书和证书链 的有效性,禁止使用不符合链式结构、过期、撤销的数字证书; d 重要业务数据传输宜采用断点续传、数据校验等方式保证数据传输的完整性; e) 应保证通信数据保密性,对鉴别信息、密钥等敏感数据进行加密处理: f 能够过滤非法业务数据,校验通信数据合法性; g 应保证通信交互行为的安全性,具备防重放、篡改等安全防护能力; h 针对带随机数的通信报文,应具备生成随机数的不确定性,使随机数具备随机性、不可预测性 和不可重现性; 1 人机客户端、配置管理软件应使用私有安全协议,禁止使用不安全的传输协议; 应保证DL/T634.5104、DL/T860等通信协议的健壮性,正确处理各类畸形报文和攻击报文, 确保业务的正常交互; k 异常连接访问、通信认证异常应记录审计日志。
6.2.3.1服务注册认证安全要求
对于其备服务功能的软件,服务注册认证安全要求如下: a)在服务注册时服务管理者应进行合法性验证,防止非法服务注册; 应限制对服务注册信息进行非法删除或修改等操作; 应能够对非授权服务申请者私自连接的行为进行监测,并对其进行有效阻断; d)宜具备服务注册认证功能
6.2.3.2服务业务交互安全要求
对于具备服务功能的软件,服务业务交互安全要求如下: a)应具备安全机制限制业务超范围调用服务资源; b)应具备在同一时间段内对服务调用数量进行限制的功能; c)服务交互时应对关键业务数据或者敏感信息进行加密,保证服务交互信息的保密性: 应对通信服务提供者和服务消费者之间通信进行防护,对执行非法数据注入、恶意代码注入、 请求内容删除等操作进行限制: 服务提供者应具备访问控制策略,基于访问策略对服务消费者进行权限限制; 广域服务调用应具备身份认证机制,服务提供者需要检测服务请求来源,防止非法服务进行远 程调用。
6. 2. 3. 3服务安全管理要求
对于具备服务功能的软件,服务安全管理要求如下: a)应具备服务全生命周期管理、注册资产安全管理、命令管理等安全管理功能,自动清除已失效 的服务; b 应具备对服务注册对象占用资源的监视及告警功能,包括CPU、磁盘、内存、网络等资源的使 用情况; C 应具备服务行为审计机制,对服务的接入请求、接入后的操作轨迹、异常行为应记录审计日志: d 应限制使用未关闭的基础组件默认服务,包括删除默认界面、禁用默认管理用户、修改默认密 码。
6. 2. 4应用安全
6.2.4.1控制业务安全要求
Q/GDW 12196202
控制业务一般包括直控、选择性控制、闭锁控制、同期控制、校核控制、联动控制、一键顺控、运 维检修控制操作等,对于具备控制操作功能的软件,控制业务安全要求如下: 应对控制操作的人员加以限制,仅允许授权的人员执行控制操作; 6 应具备控制操作正确性校验,如校核、闭锁、同期等,应依据逻辑规则仅执行期望的动作,不 允许执行其他更多的动作; C 应具备联动控制、选择性控制等时效性检测,防范过期的控制操作; d 应支持对批量控制、协同控制的校核,正确校核多重、连锁故障状态,校验业务逻辑的正确性; e 应具备控制信号资源抢占的处理机制,禁止多个控制主体同一时刻对同一台设备进行控制操 作,禁止被控设备同时响应多个操作命令; f 应正确处理远程和本地控制操作权限,只能本地控制的操作禁止远程执行; 对于双席控制操作,应通过具备权限的监护员确认后方可执行控制操作; h 对于主站控制操作,应具备双重信息点表的校核机制,只有同时通过校核方可进行控制操作; 1 所有控制操作及行为应记录审计日志,至少包括操作人员、操作对象、操作内容、操作时间和 操作结果
6.2.4.2配置业务安全要求
配置业务安全要求如下: a)应支持对参数配置操作进行访问控制; b 应具备数据有效性检验功能,保证人工置数、定值修改、参数配置输入的数据格式、长度、数 值范围等应符合软件设定要求,能够识别并拒绝执行不合法的参数配置; 应具备多个主体对同一参数配置的安全处理机制,应具备互斥能力; d)配置变更应记录审计日志
(津)12J11 卫生、洗涤设施6.2.4.4监视业务安全要求
对于具备监视业务的软件,监视业务安全要求如下: a)应不可修改运行监视数据的真实值:
b)应只允许具备权限的用户访问相应的业务模块,无关的信息不应出现在当前监视界面: C)用户对监视数据的修改应记录审计日志。
6.2.4.5采集业务安全要求
采集业务安全要求如下: a)数据采集应仅向被授权的对象传输数据: b) 采集数据应可溯源,应确保采集数据真实可信; 应能识别非法采集数据,应能识别采集过程中的异常行为,并具备相应的安全策略; d)应具备处理批量数据输入、采集数据量超上限保护机制,防止数据丢失、覆盖
6. 2. 5数据安全
数据安全要求如下: a)应对重要业务数据、证书等进行访问控制,并限制输出的操作权限: 应对重要业务数据、证书、密钥等导入操作进行权限控制和校验: 应具备对业务数据全生命周期的保护策略,包括但不限于数据采集、存储、处理、应用、流动 销毁等过程; d 应具备对数据进行分级分类保护DB14∕T 1328-2016 普通国省干线公路桥梁预防性养护技术规程,不同类别级别的数据采取不同的安全防护策略,数据分级分 类数据表参见附录A; e) 应采用密码技术或其他保护措施保证重要业务数据、敏感数据保密性: f 应采用校验技术或密码技术等保证重要业务数据、敏感数据在存储时完整性: g 审计日志应至少保存6个月,应设置审计日志存储余量控制策略,当存储空间接近极限时,装 置应能采取必要的措施保护存储数据的安全; h 非授权用户禁止修改、删除审计日志; 1 在正常运行状态下及软、硬件异常情况下应对存储数据进行保护,数据不应丢失 j 应具备重要业务数据的备份与恢复功能; K 数据操作、数据备份、数据恢复、审计日志告警等应记录审计日志