标准规范下载简介
Q/GDW 12108-2021 电力物联网全场景安全技术要求.pdfICS 35. 240
Q/GDW121082
电力物联网全场景安全技术要求
FullscenesecuritytechnicalrequirementsofeloT
辽2001J109 LM轻质隔墙板.pdf国家电网有限公司 发布
Q/GDW 12108202
前言. 范围 规范性引用文件, 术语和定义 4缩略语.. 5总则... 5.1总体防护原则. 5.2大区隔离总体防护要求. 5.3系统部署总体防护要求. 5.4终端接入总体防护要求. 6感知层安全防护技术要求... 6.1终端本体安全... 6.2本地通信安全技术要求. 7网络层安全防护技术要求.. 7.1网络通信安全技术要求... 7.2网络边界接入安全技术要求. 8平台层安全防护技术要求.... 8.1云平台安全防护要求.. 8.2物联管理平台安全防护要求... 9应用层安全防护技术要求... 9.1传统应用系统安全防护要求. 9.2云端应用安全防护要求. 9.3APP应用安全防护要求 10通用安全防护技术要求. 10.1 密码基础设施要求.. 10.2监测安全及态势感知要求 10.3 数据安全要求.. 编制说明
Q/GDW121082021
为规范国家电网有限公司电力物联网设计、建设、发展和运行的安全,制定本标准。 本标准由国家电网有限公司互联网部提出并解释。 本标准由国家电网有限公司科技部归口。 本标准起草单位:全球能源互联网研究院有限公司、国网天津市电力公司、国网河北省电力有限公 司、国网山东省电力公司、国网江苏省电力有限公司、国网浙江省电力有限公司、国网辽宁省电力有限 公司、国网宁夏电力有限公司、国网新疆电力有限公司、国网福建省电力有限公司、中国电力科学研究 院有限公司、南瑞集团有限公司、国网信息通信产业集团有限公司、平高集团有限公司、国家电网公司 信息通信分公司、国网山东省电力公司莱芜供电公司。 本标准主要起草人:邵志鹏、陈刚、马媛媛、刘莹、孙炜、李尼格、陈璐、罗大勇、梁文、冯亮星 王迪、靳敏、韦小刚、乔淑娟、张颜、刘圣龙、刘泽辉、程杰、王婵、胡紫巍、赵柳、主志皓、赵保华、 崔雪璐、常英贤、陈剑飞、崔豪驿、白涛、刘欣、陈泽、冒佳明、赵然、崔洁、李洁、孙歆、李沁园、 任帅、周小明、刘俊、朱东歌、陈涛、杨慧婷、罗富财、吴飞、何金栋、翟峰、徐萌、王利斌、杨阳、 尹琴、吴观斌、曾荣、陈牧、张波、周诚、李勇、李伟伟、汪晨、戴造建、管小娟、曹宛恬、席泽生、 占子昂、华晔、朱胜、方文高、卜宪德、刘世栋、喻强、孙晓艳、王睿、张友鹏、孙帅、袁国泉、杨会 涛、陈亮、周晨曦、郭邯、李海锋、周治国、唐建雄、李浩升、张桉童、马帅、黄星杰、尚智婕。 本标准首次发布。 本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。
Q/GDW121082021
电力物联网全场景安全技术要求
本标准规定了国家电网有限公司(以下简称“公司”)电力物联网全场景安全防护总则,以及感知层 网络层、平台层、应用层和通用安全防护技术要求。 本标准适用于公司各分部、公司各单位的电力物联网规划、设计、采购、安全审查、开发测试、实 施上线、运行管理等全过程管理。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22080 信息技术安全技术信息安全管理体系要求 GB/T22239 信息安全技术网络安全等级保护基本要求 GB/T25069 信息安全技术术语 GB/T31168 信息安全技术云计算服务安全能力要求 GB/T35273 信息安全技术个人信息安全规范 GB/T35274 信息安全技术大数据服务安全能力要求 GB/T35295 信息技术大数据术语 GB/T36572 电力监控系统网络安全防护导则 GM/T0022 IPSecVPN技术规范 GM/T0024 SSLVPN技术规范 Q/GDW1594 国家电网公司管理信息系统安全防护技术要求 Q/GDW1937 国家电网公司非国家秘密电子数据销毁、清除和恢复技术要求 Q/GDW11416 国家电网公司商业秘密安全保密技术规范 Q/GDW12098 电力物联网术语
GB/T22239、GB/T25069、GB/T35295、GB/T36572、GM/T0022、GM/T0024和Q/GDW12098 以及下列术语和定义适用于本文件
物联网终端loTterminal 一种能够对物联网对象或环境的状态进行测量、感知,并具有简单数据处理、通信、人机交互等全 部或部分功能的设备。属于感知层设备,包括智能传感器、智能业务终端、采集控制终端、智能设备、 移动终端等。
Q/GDW121082021
电力物联安全接入网关eloTsecurityaccessgateway 采用SSAL、国密SSL或国密IPsec等技术实现对物联网终端或边缘物联代理的身份认证、网络访问控 制和传输通道加密,保障电力物联网终端接入安全的防护设备。
物联网控制域controldomainofloT 在国家电网有限公司管理信息大区内划分出来的网络子区域,可用于部署除电力监控系 类业务。
数据共享负面清单negativelistofdatasharing 以清单的方式明确列出在公司内部各部门、各单位之间需审批后共享的数据,及配套的一系列管理 制度措施,旨在最大化数据共享范围,促进公司范围内的数据共享。
Q/GDW121082021
本标准在遵循GB/T22239的安全防护要求的基础上,将电力物联网网络分区划分为生产控制天区、 管理信息大区和互联网大区。生产控制大区严格遵循GB/T36572的要求进行安全防护,管理信息大区和 互联网大区坚持“出口统一、数据分级、装置集成、多措并举”的全场景网络安全防护策略。
5.2大区隔离总体防护要求
本项要求包括: 生产控制大区与管理信息大区通过电力专用横向单向安全隔离装置进行物理隔离; 6 管理信息大区与互联网大区通过信息安全网络隔离装置(逻辑型)进行逻辑强隔离; 互联网大区与互联网通过防火墙、IPS、WAF等常用安全防护设备进行逻辑隔离; 管理信息大区可按需建立物联网控制域,其与管理信息大区其他系统间应通过专用安全设备 进行隔离,如需与互联网大区通信,必须按照5.2b)的要求进行防护
5.3系统部署总体防护要求
本项要求包括: a 对于ERP、生产管理、营销管理应用、协同办公等已有业务,支撑公司内部多维精益等新增业 务以及涉及商密数据的业务模块,应部署在管理信息大区; 对于配电、营销、光伏云网、综合能源服务、分布式电源以及客户侧相关的控制类业务,应 部署在物联网控制域; C 对于外网网站、外网邮件、电力交易、电子商务等已有业务,以及车联网、互联网金融等互 联网新兴业务,应部署在互联网大区
5.4终端接入总体防护要求
本项要求包括: 在接入公司管理信息大区时,应经专线并采用加密认证措施,专线包括但不限于租用的虚拟 专用线路; b) 在接入公司互联网大区时,宜采用互联网通道; C 原则上不建议交叉混接不同安全大区
6感知层安全防护技术要求
6.1.1边缘物联代理防护要求
本项要求包括: a) 应按照GB/T22239中相应等级的安全物理环境的要求实现物理安全防护: 应基于公司统一的密码基础设施进行身份认证和加密保护,采用硬件密码模块或软件密码模 块等方式实现,其中涉控涉敏业务优先采用硬件密码模块的方式,硬件密码模块应采用通过国 家有关检测机构检测认证的安全芯片; C) 应具备对自身应用、漏洞补丁等重要程序代码,以及配置参数和控制指令等重要操作的数字 签名和验证能力 d)应支持本地及远程升级,并能校验升级包的合法性: e 应具备安全监测、审计和分析功能,应支持软件定义安全策略,并支持自动和联动处置: f 应具备对物联网终端安全接入的管理能力:
Q/GDW121082021
应关闭设备调试接口,防范软硬件逆向工程; 应通过系统加固、可信计算等技术,保障边缘物联代理本体安全。
g)应关闭设备调试接口,防范软硬件逆向工程;
.1.2物联网终端防护
本项要求包括: a)应关闭设备调试接口,包括但不限于USB/JTAG/SWD接口等,防范软硬件逆向工程; b)应支持本地及远程升级,并校验升级包的合法性; c)具有边缘计算能力的物联网终端,应遵循6.1.1的防护要求。
6.2本地通信安全技术要求
本地通信指物联网终端与边缘物联代理等设备,通过光纤、网线、WFi、载波通信、微功率无线通 信等通道,不经过安全大区,在现场互连通信。本项要求还应满足: a 任意两个直接接入公司安全大区的终端,如接入的大区不同,禁止双方在感知层跨大区直接 通信,如需本地通信,应采取等同大区间隔离强度的技术措施: 不直接接入公司各安全大区的终端,在与直接接入公司管理信息大区的终端本地通信时,应 在网络协议、数据格式、数值有效性上加强过滤和校验,并应实现身份认证; C 不直接接入公司各安全大区的终端,在与直接接入公司互联网大区的终端本地通信时,宜按 需实现身份认证和通信数据加密传输,防范通信数据被窃听或篡改; d 管理信息大区侧的本地通信应采用抗干扰性强的通信协议,并加强通道自身安全配置管控
7网络层安全防护技术要求
7.1网络通信安全技术要求
7.2网络边界接入安全技术要求
7.2.1管理信息大区的安全接入
量关键出口处加强安全审计和监控,及时发现安
本项要求包括: a)应使用公司自建光纤专网、电力无线专网、租用的APN和第三方专线作为网络接入通道; 边缘物联代理、物联网终端等设备,在采用无线方式接入管理信息大区时,应结合业务应用 需求采用公司电力物联安全接入网关、信息安全网络隔离装置(网闸型)实现双向认证和加密 传输; C 对于无法满足7.2.1b)接入要求的设备,应在管理信息大区外设置安全接入区,通过安全接 入区实现和管理信息大区的交互
7.2.2互联网大区的安全接入
本项要求包括: a)边缘物联代理、物联网终端等设备,在互联网大区直接访问公司对内业务,包括但不限于公 司外网移动办公、外网移动作业等面向公司员工的业务时,应采用公司电力物联安全接入网关 实现双向认证和加密传输: b) 无法满足7.2.2a)接入要求的设备,在直接访问互联网大区的公司对内业务时,应在互联网 大区外部署前置服务器,通过前置服务器进行协议转换和数据归集:
Q/GDW121082021
前置服务器访问公司互联网大区的公司对内业务时,应采用公司电力物联安全接入网关实现 双向认证和加密传输
8平台层安全防护技术要求
8.1云平台安全防护要求
本项要求包括: 应遵循GB/T22239中相应等级的安全通用要求和云安全扩展要求、GB/T31168的要求进行安 全防护; b 云平台和云租户的业务应用系统应作为不同的定级对象分别定级,且云平台不得承载高于其 安全保护等级的业务应用系统; C 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选 择第三方安全服务; d) 应提供安全管理中心,实现访问控制、多租户安全隔离、流量监测、身份认证、数据保护、 镜像加固校验、安全审计、安全态势感知等功能。
8.2物联管理平台安全防护要求
9应用层安全防护技术要求
传统应用系统安全防护要
应遵循GB/T22239、Q/GDW1594的要求进行
盾GB/T22239、Q/GDW1594的要求进行安全防护。
9.2云端应用安全防护要求
本项应符合下述要求: 根据应用自身定级和业务需求,遵循GB/T22239中安全计算环境的安全防护要求进行安全防 护; b)实现业务和用户行为的安全审计
9.3APP应用安全防护要求
Q/GDW121082021
本项要求包括: a 应确保APP应用发布符合公司要求,发布的渠道可信; b 发布前应进行统一加固、统一检测,并对APP应用运行状态进行安全监测; C 应支持本地及远程升级,并能校验升级包的合法性; d) 在收集用户信息前,应明示收集使用信息的目的、方式和范围,并获得用户授权; e)在进行金融支付、审核授权等重要操作时应进行二次认证,
本项要求包括: 应确保APP应用发布符合公司要求,发布的渠道可信; b 发布前应进行统一加固、统一检测,并对APP应用运行状态进行安全监测; C 应支持本地及远程升级,并能校验升级包的合法性: d)在收集用户信息前,应明示收集使用信息的目的、方式和范围,并获得用户授权; e)在进行金融支付、审核授权等重要操作时应进行二次认证,
10通用安全防护技术要求
10.1密码基础设施要求
本项要求包括: 管理信息大区和互联网大区新建的系统/设备,应用到密码技术的,应基于公司统一的密码基 础设施开展设计和建设; b) 业务系统如对电子签名、电子签章有法律效力要求的,应严格按照公司和国家商用密码管理 的有关规定执行; C 公司统一的密码基础设施应通过国家有关检测机构检测认证; d 密码基础设施运营单位应建立完备的规章制度和服务流程,为各业务、各单位提供快速便捷服 务。
10.2监测安全及态势感知要求
本项应符合下述要求: a)对电力物联网全场景的安全态势进行监测和审计分析,及时发现异常、攻击并快速处置: b)逐步建立网络安全监测分析模型,实现未知威胁检测预警和攻击溯源。
10.3.1数据安全合规要求
本项要求包括: a 应对数据进行分级,明确本专业商密数据、企业重要数据、一般数据的范围,并严格遵循数 据级别进行适度防护; b 商密数据应遵照Q/GDW11416进行防护; C 企业重要数据应进行全生命周期安全防护,数据在对外提供、公开发布、跨域传输等环节中 应采取数据内容加密、数据脱敏等技术措施; d 一般数据可根据各专业部门、各单位自身情况采取相对灵活的防护措施
GBT36494-2018 玻璃纤维无捻粗纱静电性的测定10.3.3数据全生命周期管控
10.3.3.1数据采集
Q/GDW121082021
a)对采集数据进行有效性、合理性校验,支持数据一次采集、多处使用; b)在对客户数据进行采集前明示采集和使用规则、且的、范围等,并取得客户授权同意。
a)对采集数据进行有效性、合理性校验,支持数据一次采集、多处使用; b)在对客户数据进行采集前明示采集和使用规则、目的、范围等,并取得客户授权同意。
林荫大道2号线路灯市政工程安全施工方案0.3.3.2数据传输与存
本项要求包括: a)新建系统应采用公司统一的密码基础设施发放的密钥或证书进行加密传输或存储; b)数据需要跨境、出境传输时,应征询法律部门意见后方可开展相关工作;