电力能效监测系统技术规范第8部分：安全防护要求.doc

ICS 点击此处添加 ICS 号点击此处添加中国标准文献分类号中华人民共和国国家标准电力能效监测系统技术规范第 8 部分 : 安全防护要求 Technical specification of Power energy efficiency monitoring system Part 8: Requirements of security protection ( 征求意见稿 ) XXXX - XX - XX 发布中华人民共和国国家质量监督检验检疫总局中国国家标准管理委员会 XXXX - XX - XX 实施发布

目次目次... I 前言... II 引言... III 1 范围... 1 2 规范性引用文件... 1 3 术语和定义... 1 4 安全防护范围... 1 5 国家级主站安全防护要求... 2 6 省 ( 市 ) 级主站安全防护要求... 4 7 子站安全防护要求... 5 8 采集子系统安全防护要求... 6 参考文献... 6 I

前言建设电能服务管理平台和电力用户能效监测系统是开展电力需求侧管理工作的重要技术支撑为规范电能服务管理平台和电力用户能效监测系统建设, 指导电力能效测评工作, 特制定电力能效监测系统技术规范系列标准本系列标准包括 : 第 1 部分 : 总则 ; 第 2 部分 : 主站功能规范 ; 第 3 部分 : 通信协议, 包括主 ( 子 ) 站与电力能效信息集中与交互终端电力能效信息集中与交互终端和电力能效监测终端间的通信协议 ; 第 4 部分 : 子站功能设计规范 ; 第 5 部分 : 主站设计导则 ; 第 6 部分 : 电力能效信息集中与交互终端技术条件 ; 第 7 部分 : 电力能效监测终端技术条件 ; 第 8 部分 : 安全防护要求 ; 第 9 部分 : 系统检验规范 ; 第 10 部分 : 电力能效监测终端检验规范 ; 第 11 部分 : 电力能效信息集中与交互终端检验规范本部分为电力能效监测系统技术规范的第 8 部分本部分由中国电力企业联合会提出并归口本部分主要起草单位 : 本部分主要起草人 : II

引言本部分根据 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 ( 参考文献 [1]), 结合电力行业信息系统安全等级保护相关要求 ( 参考文献 [2] [3]) 制定电力能效监测系统分为国家级主站省 ( 市 ) 级主站企业 / 园区 / 电能服务机构子站采集子系统 ( 包括电力能效信息集中与交互终端电力能效监测终端 ) 按照国家信息安全等级保护政策要求, 国家级主站省 ( 市 ) 级主站由国家级主站管理部门根据 GB/T 22240 确定其安全保护等级, 由各主站运营单位进行安全防护建设 ; 各工商企业用户园区用户电能服务机构部署的电力能效监测系统子站由相关企业园区电能服务机构根据 GB/T 22240 或国家行业监管部门的要求自主进行定级, 并按照 GB/T 22239 或行业监管部门要求进行安全防护 ; 采集子系统不需单独定级依据 GB/T 22240, 国家级主站安全保护等级至少为三级, 省 ( 市 ) 级主站安全保护等级至少为二级, 企业 / 园区 / 电能服务机构子站安全保护等级建议至少为二级本部分提出了对电力能效监测系统的基本防护要求和防护重点, 其中基本防护要求为 GB/T 22239 相应安全保护等级信息系统的防护要求, 防护重点为基本防护要求的增强或细化要求 III

电力能效监测系统技术规范第 8 部分 : 安全防护要求 1 范围本部分规定了电力能效监测系统的安全防护要求本部分适用于指导电力能效监测系统的安全防护建设, 也可以作为其安全测评的依据 2 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件, 仅注日期的版本适用于本文件凡是不注日期的引用文件, 其最新版本 ( 包括所有的修改单 ) 适用于本文件 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 25069 信息安全技术术语 GB/T 50719 电磁屏蔽室工程技术规范 GB/T XXXXX.1 电力能效监测系统技术规范第 1 部分 : 总则 3 术语和定义 GB/T 25069 和 GB/T XXXXX.1 确立的术语和定义适用于本部分 4 安全防护范围电力能效监测系统安全防护范围包括国家级主站省 ( 市 ) 级主站子站采集子系统及各部分间的网络通信, 见图 1 其中国家级主站省( 市 ) 级主站由其运营使用单位按照本标准要求, 从物理网络主机应用和数据五个层面进行安全防护 ; 企业 / 园区 / 电能服务机构部署的子站采集子系统由各企业 / 园区 / 电能服务机构参照本标准要求, 从物理网络主机应用和数据五个层面自主进行安全防护 ; 省 ( 市 ) 级主站到国家级主站的网络通信按照国家级主站安全防护要求进行防护 ; 子站采集子系统到省 ( 市 ) 级主站的网络通信按照省 ( 市 ) 级主站安全防护要求进行防护 ; 采集子系统到子站的网络通信按照子站安全防护要求进行防护 1

图 1 安全防护范围 5 国家级主站安全防护要求 5.1 基本防护要求国家级主站安全防护应符合以下基本要求 : a) 机房物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护应符合 GB/T 22239-2008 第 7.1.1 节要求 ; b) 网络结构网络访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护应符合 GB/T 22239-2008 第 7.1.2 节要求 ; c) 主机身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制应符合 GB/T 22239-2008 第 7.1.3 节要求 ; d) 应用身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制应符合 GB/T 22239-2008 第 7.1.4 节要求 ; e) 数据完整性保密性备份和恢复应符合 GB/T 22239-2008 第 7.1.5 节要求 5.2 防护重点 5.2.1 物理安全国家级主站物理安全防护重点包括 : a) 应将国家级主站的服务器主机网络设备和安全防护设备部署在机房的三级系统区域 ; b) 应将国家级主站的数据库服务器应用服务器安装在具有电磁屏蔽功能的机柜或符合 GB/T 2

50719 要求的电磁屏蔽机房内 5.2.2 网络安全国家级主站网络安全防护重点包括 : a) 应将国家级主站部署在一个独立网段内, 与局域网内其它信息系统之间部署硬件防火墙设备, 配置访问控制策略并启用访问控制功能 ; b) 应将国家级主站的应用服务器数据库服务器分别部署在不同子网, 部署访问控制设备进行隔离, 禁止从互联网访问数据库 ; c) 应在国家级主站接入互联网的边界处部署硬件防火墙设备和网络入侵检测 / 防御设备 (IDS/ IPS), 配置安全策略并启用安全功能 ; d) 应为国家级主站的网站服务器部署具有网页防篡改和 WEB 应用攻击检测功能的安全防护设备, 配置安全策略并启用安全功能 ; e) 应采用能效监测系统专用硬件加密设备作为省 ( 市 ) 级主站接入设备, 实现国家级主站与省 ( 市 ) 级主站之间的双向认证和通信信道加密功能 ; f) 国家级主站与第三方信息系统通过无安全保护的公共网络互联时, 应采用双方认可的硬件加密设备进行互联, 实现系统间的双向认证和通信信道加密功能 ; g) 应将国家级主站的各服务器 IP 地址 MAC 地址与网络交换机端口绑定, 并禁用未使用的交换机端口 ; h) 应绘制与国家级主站运行情况相符的网络拓扑结构图, 并在图上标注清楚设备型号 IP 地址网段路由与访问控制策略等信息 5.2.3 主机安全国家级主站主机安全防护重点包括 : a) 服务器操作系统数据库系统和应用服务器应遵循最小安装的原则, 仅安装必要的组件和应用程序, 仅开启必需的服务和端口, 及时更新系统补丁, 补丁安装前应进行安全性和兼容性测试 ; b) 应对服务器操作系统数据库系统和应用服务器的用户账户口令策略操作权限日志记录资源管理策略进行配置加固 ; c) 应部署安全审计设备对数据库系统运行状况和用户访问进行日志记录与审计分析审计设备应与数据库系统旁路运行, 由独立于数据库管理员的审计人员维护 5.2.4 应用安全国家级主站应用安全防护重点包括 : a) 具有系统管理或信息审核发布权限的系统用户应采用两种或两种以上组合的鉴别技术实现身份鉴别普通权限用户在执行重要业务操作前, 应采用两种或两种以上组合的鉴别技术进行鉴别 ; b) 应至少设置系统管理信息审核信息发布与安全审计角色, 按照最小授权原则授予不同的账户, 形成互相制约关系 ; c) 应按照最小授权原则授予用户必需的应用和数据访问权限 ; d) 应通过独立的应用安全审计模块实现对用户账户维护登录与退出用户权限维护违背授权的访问等重要安全事件的日志记录和审计 ; e) 国家级主站与省 ( 市 ) 级主站之间建立连接之前, 应利用密码技术进行会话初始化验证, 并利用能效监测系统专用硬件加密设备对整个会话过程进行加密 ; f) 国家级主站与第三方信息系统之间通过无安全防护的公共网络建立连接之前, 应利用密码技术 3

进行会话初始化验证, 并利用双方认可的硬件加密设备对整个会话过程进行加密 ; g) 应根据网络出口带宽和服务器性能设置最大并发会话连接数单个账户的多重并发会话数一个时间段内的并发会话连接数一个访问账户或一个请求进程占用的资源分配最大限额和最小限额 5.2.5 数据安全国家级主站数据安全防护重点包括 : a) 对用户身份鉴别信息重要业务数据应采用密码算法进行加密处理后传输或存储 ; b) 应通过安全审计设备对访问重要数据库表的行为进行记录和审计 6 省 ( 市 ) 级主站安全防护要求 6.1 基本防护要求 4 省 ( 市 ) 级主站安全防护应符合以下基本要求 : a) 机房物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护应符合 GB/T 22239-2008 中 6.1.1 要求 ; b) 网络结构网络访问控制安全审计边界完整性检查入侵防范网络设备防护应符合 GB/T 22239-2008 中 6.1.2 要求 ; c) 主机身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制应符合 GB/T 22239-2008 中 6.1.3 要求 ; d) 应用身份鉴别访问控制安全审计通信完整性通信保密性软件容错资源控制应符合 GB/T 22239-2008 中 6.1.4 要求 ; e) 数据完整性保密性备份和恢复应符合 GB/T 22239-2008 中 6.1.5 要求 6.2 防护重点 6.2.1 网络安全省 ( 市 ) 级主站网络安全防护重点包括 : a) 应将省 ( 市 ) 级主站部署在一个独立网段内, 与局域网内其它信息系统之间部署硬件防火墙设备, 配置访问控制策略并启用访问控制功能 ; b) 应将省 ( 市 ) 级主站的应用服务器数据库服务器分别部署在不同子网, 部署访问控制设备进行隔离, 禁止从互联网访问数据库 ; c) 应在省 ( 市 ) 级主站接入互联网的边界处部署硬件防火墙设备和网络入侵检测 / 防御设备 (IDS/ IPS), 配置安全策略并启用安全功能 ; d) 应为省 ( 市 ) 级主站的网站服务器部署具有网页防篡改和 WEB 应用攻击检测功能的安全防护设备, 配置安全策略并启用安全功能 ; e) 应采用能效监测系统专用硬件加密设备接入国家级主站, 实现与国家级主站之间的双向身份认证和通信信道加密功能 ; f) 应采用能效监测系统专用硬件加密设备作为下级子站信息集中与交互终端接入设备, 实现与下级子站及信息集中与交互终端之间的双向身份认证和通信信道加密功能 ; g) 省 ( 市 ) 级主站与第三方信息系统通过无安全保护的公共网络互联时, 应采用双方认可的硬件加密设备进行互联, 实现系统间的双向认证和通信信道加密功能 ; h) 应绘制与省 ( 市 ) 级主站运行情况相符的网络拓扑结构图, 并在图上标注清楚设备型号 IP 地址网段路由与安全策略等信息

6.2.2 主机安全省 ( 市 ) 级主站主机安全防护重点包括 : a) 服务器操作系统数据库系统和应用服务器应遵循最小安装的原则, 仅安装必要的组件和应用程序, 仅开启必需的服务和端口, 及时更新系统补丁, 补丁安装前应进行安全性和兼容性测试 ; b) 应对服务器操作系统数据库系统和应用服务器的用户账户口令策略操作权限日志记录资源管理策略进行配置加固 ; c) 应部署安全审计设备对数据库系统运行状况和用户访问进行日志记录与审计分析审计设备应 6.2.3 应用安全与数据库系统旁路运行, 由独立于数据库管理员的审计人员维护省 ( 市 ) 级主站应用安全防护重点包括 : a) 应至少设置系统管理信息审核信息发布与安全审计角色, 按照最小授权原则授予不同的账户, 形成互相制约关系 ; b) 应按照最小授权原则授予用户必需的应用和数据访问权限 ; c) 应通过独立的应用安全审计模块实现对用户账户维护登录与退出用户权限维护违背授权的访问等重要安全事件的日志记录和审计 ; d) 省 ( 市 ) 级主站与国家级主站企业 / 园区 / 电能服务机构子站信息集中与交互终端之间建立连接之前, 应利用密码技术进行会话初始化验证, 并利用能效监测系统专用硬件加密设备对整个会话过程进行加密 ; e) 省 ( 市 ) 级主站与第三方信息系统之间通过无安全防护的公共网络建立连接之前, 应利用密码技术进行会话初始化验证, 并利用双方认可的硬件加密设备对整个会话过程进行加密 ; f) 应根据网络出口带宽和服务器性能设置最大并发会话连接数和单个账户的多重并发会话数 6.2.4 数据安全省 ( 市 ) 级主站数据安全防护重点包括 : a) 对用户身份鉴别信息重要业务数据应采用密码算法进行加密处理后传输或存储 ; b) 应通过安全审计设备对访问重要数据库表的行为进行记录和审计 7 子站安全防护要求子站安全防护要求包括 : a) 应根据子站安全保护等级采取满足 GB/T 22239-2008 对相应等级要求的安全防护措施 ; b) 子站接入上级主站或子站, 应按照上级主站或子站安全防护要求要求采取相应的认证和通信保护措施 ; c) 子站接收上级主站或子站下发的控制指令前, 应对上级主站或子站的身份进行确认 ; d) 子站与信息集中与交互终端通过无安全防护的公共网络建立连接之前, 宜采用能效监测系统专用加密硬件作为信息集中与交互终端接入设备, 实现子站与信息集中与交互终端之间的接入认证和通信信道加密功能 ; e) 如果子站接入互联网, 宜在互联网出口部署网络访问控制设备入侵检测 / 防御设备如果有对外的 WEB 服务, 宜部署具有网页防篡改 WEB 应用攻击检测功能的网站安全防护设备并启用安全功能 5

8 采集子系统安全防护要求 8.1 信息集中与交互终端安全防护要求信息集中与交互终端安全防护要求包括 : a) 信息集中与交互终端应部署在安全可控的物理区域内并进行标识 ; b) 信息集中与交互终端接入上级主站或子站, 应按照上级主站或子站安全防护要求采取相应的接入认证和通信保护措施 ; c) 信息集中与交互终端与监测终端建立连接之前, 应通过设备通信地址对监测终端进行验证, 对下发给监测终端的控制指令宜采用密码算法加密后传输 ; d) 对信息集中与交互终端的远程维护宜采用能效监测系统专用加密硬件作为接入设备, 实现接入认证和通信信道加密功能 ; e) 如果信息集中与交互终端采用 Linux 等操作系统, 应遵循最小安装的原则, 仅安装必需的操作系统组件和应用软件, 关闭不需要的服务, 及时更新补丁, 并对操作系统进行安全配置加固, 防止非授权用户登录 8.2 监测终端安全防护要求监测终端安全防护要求包括 : a) 监测终端应部署在安全可控的物理区域内并进行标识 ; b) 监测终端应遵循最小安装的原则, 仅安装必需的软件程序参考文献 [1]GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 [2] 电监信息 [2007]44 号电力行业信息系统等级保护定级工作指导意见 [3] 电监信息 [2012]62 号电力行业信息系统安全等级保护基本要求 6

电力能效监测系统技术规范 第8部分：安全防护要求.doc

电力能效监测系统技术规范第8部分：安全防护要求.doc