标准规范下载简介
DL/T 2338-2021 电力监控系统网络安全并网验收要求.pdfICS29.240.01 CCSF21
中华人民共和国电力行业标
剧院机电工程施工方案.doc电力监控系统网络安全并网验收要求
Acceptancerequirementsfor cybersecurityspecification of launching electricpowersystemsupervision andcontrol
前言 引言 m 范围. 规范性引用文件 术语和定义 缩略语.. 总体原则.. 基础设施安全 体系结构安全 K 系统本体安全
前言 引言 E 范围 规范性引用文件 术语和定义 4 缩略语.…. 总体原则.. 6 基础设施安全 体系结构安全 8 系统本体安全
DL/T2338—2021
DL/T2338—2021
为提高电力监控系统网络安全防护水平,规范和指导调度机构、变电站、电厂电力监控系统在建 设实施阶段开展网络安全并网验收工作,制定本文件。 本文件在GB/T22239《信息安全技术网络安全等级保护基本要求》、GB/T36572《电力监控系统 网络安全防护导则》、GB/T38318《电力监控系统网络安全评估指南》和GM/T0054《信息系统密码应 用基本要求》等标准的基础上,根据电力监控系统现有技术的发展水平和网络安全防护要求,提出和 规定电力监控系统在建设实施阶段网络安全并网验收要求。
DL/T2338—2021
电力监控系统网络安全并网验收要求
本文件确立了电力监控系统网络安全并网验收要求的总体原则,规定了基础设施、体系结构、 家 统本体的安全要求。 本文件适用于调度机构、变电站、电厂电力监控系统建设实施阶段的网络安全并网验收工作
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适 用于本文件。 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T36572一2018电力监控系统网络安全防护导则 GB/T38318一2019电力监控系统网络安全评估指南 DL/T2337电力监控系统设备及软件网络安全技术要求 GM/T0054信息系统密码应用基本要求
电力监控系统开展网络安全并网验收,应遵循以下总体原则: a) )当电力监控系统投运前或发生重大变更时,应根据本文件开展网络安全并网验收:
DL/T2338 2021
b)评估流程和方法应依据GB/T38318一2019的要求执行; c)电力监控系统应在系统内部调试完成后开展网络安全并网验收; d)新建电力监控系统应在接入正式运行网络和系统前完成网络安全并网验收: e)网络安全并网验收要求可作为电力监控系统上线安全评估的依据。
新建机房或控制间应满足GB/T38318一2019中8
应查看电力监控系统网络拓扑、安全防护方案与现场部署连接情况等,评估系统分区情况。验收 要求应包括但不限于: a)应满足GB/T38318一2019中8.3.1.2的评估要求; b)不应存在将高安全区的系统或功能模块部署至低安全区
检查电力监控系统网络拓扑图、设计或部署方案、现场部署连接情况等,评估系统纵向认证情 验收要求应包括但不限于: a)生产控制大区与广域网的纵向交接处应部署电力专用纵向加密认证装置或者加密认证网关及相 应设施; b)纵向加密认证装置的隧道应处于密通状态; c)纵向加密认证装置的安全策略应按照实际业务细化到相关业务系统具体的IP地址(段)、业务 端口号和连接方向; d)纵向加密认证装置应仅开放所需业务端口,其他端口均关闭。
应查看电力监控系统网络拓扑图、资产列表和安全监测装置等,评估安全监测情况。验收要求应 包括但不限于: a)生 生产控制大区应配置独立的安全监测装置,负责设备网络安全信息的采集、上送与本地监视: b)对比被监测的对象列表和系统资产列表,电力监控系统所有资产应全部接入安全监测装置
检查应用软件、操作系统和基础软件、计算机和网络及监控设备相关材料,评估是否符合相关法 规要求。验收要求应包括但不限于: a)选用的系统和设备不应存在被国家有关部门通报的漏洞和风险; b)选用的网络产品和网络安全产品应能提供国家指定机构的安全检测证明; c)选用的密码产品应能提供国家商用密码产品认证证书,密码产品应用应符合GM/T0054的 要求; d)选用的设备应满足DL/T2337的要求。
DL/T2338—2021
检查网络设备、安全设备的配置情况等,评估设备访问控制情况。验收要求应包括但不限于: a) 应为不同的用户分配账户并设置权限; D) 1 应重命名默认账户或删除默认账户; C) 2 应修改默认口令; H) 应删除或停用多余账户、测试账户; e) 设备应配置访问控制功能,根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控 制粒度为端口级。
检查网络设备、安全设备的配置情况等,评估设备入侵防范情况。验收要求应包括但不限于: a)应限制远程登录地址; b)应关闭不需要的网络端口或服务; c)应封闭计算机和网络设备的空闲网络接口和不必要的移动存储设备接口; d) 设备应采用SNMPv2c及以上版本; e)应修改设备SNMP协议的默认通信字符串,字符串应符合密码强度要求,并密文存储; f) 应采用MAC地址与端口绑定、802.1X接入认证等技术措施,防止非法接入; g)网络设备应关闭默认路由,网络边界设备应关闭OSPF路由功能; h)应禁用IP源路由功能,防止网络拓扑信息的外泄; i)应配置OSPF、BGP等路由协议的路由引入和转发的控制功能,防止非法设备获取网络路由信 息或注入非法路由信息; j)网络设备应启用生成树协议,防止环路引起广播风暴; k)设备不应存在中、高危漏洞。
检查操作系统、数据库、中间件等基础软件配置,评估身份鉴别情况。验收要求应包括但不 限于: a)应对用户登录采用身份鉴别措施; b)用户身份标识应具有唯一性; c) 配置用户口令复杂度功能,口令长度不应低于8位,且至少由数字、字母、特殊符号中两种 组合;
检查操作系统、数据库、中间件等基础软件配置,评估访问控制情况。验收要求应包括但不 a)通过规则对用户和资源的访问控制属性进行配置,包括: 1)系统中每一个资源应通过其创建者配置其他用户对该资源的访问权限。 2)用户的访问权限属性应包括读、写、执行等;资源的访问控制属性应包含可分配给用户 读、写和执行等权限。 3)每个资源的访问权限不应超出业务实际需要。 b)应限制或删除匿名、默认账户的访问权限。 c)应修改默认口令。 d)应删除或停用多余账户、测试账户。
检查操作系统、数据库、中间件等基础软件配置,评估入侵防范情况。验收要求应包括但不 限于: a)应限制远程登录地址; b) 应关闭高危端口或不需要的服务; c) 不应使用停止服务的操作系统,操作系统补丁应为最新,并经过系统运行验证; d)不应存在中、高危漏洞。
8.3.5恶意代码防范
检查操作系统的配置情况等,评估操作系统恶意代码防范情况。验收要求应包括但不限于: a) 应安装防恶意代码软件或相应功能的软件TCECS 884-2021 自然排烟窗技术规程.pdf,采用离线方式或通过恶意代码管理中心升级 库,防恶意代码软件特征库应为最新版本:
DL/T2338—2021
DL/T2338—2021
0)操作系统不应存在恶意代码。
检查操作系统或安全监测装置的配置情况等,评估资源监控情况。验收要求应包括但不限于: A) )应对系统中重要资源进行限额分配并设置阈值,确保用户和进程不会独占某种受控的资源; 应监视系统CPU、硬盘、内存、网络等资源的使用情况,当系统资源的服务水平降低到预先 规定的闯值时发出告警
检查应用软件配置等,评估应用软件身份鉴别情况。验收要求应包括但不限于: a)应对用户登录采用身份鉴别措施; b)用户身份标识应具有唯一性; c)配置用户口令复杂度功能,口令长度不应低于8位,且至少由数字、字母、特殊符号中两种 组合; d)配置并启用登录失败处理功能,登录失败达到一定次数后应采取特定动作,如账户锁定、IP 锁定等: e)安全保护等级第三级系统应符合GB/T22239一2019中8.1.4.1的要求,已配置启用两种或两种 以上组合的鉴别技术对用户进行身份鉴别,其中一种鉴别技术为密码技术; f)配置身份鉴别信息有效时间期的功能,应强制用户在口令到期后进行口令修改; g)不应存在空口令或弱口令用户。
检查应用软件的配置情况等,评估应用软件访问控制情况。验收要求应包括但不限于: a)应为不同的用户分配账户和权限SL 310-2019标准下载,包括: 1)应设置用户角色、用户组、具体用户等角色,并对系统管理员、调度员、监控员、运维人 员等用户角色进行分别定义; 2)不应存在允许定义同时具有控制和维护修改权限的用户角色; 3)应删除未授权的用户、硬件设备、应用功能的所有权限。 b)应重命名或删除默认账户。 C) 2 应修改默认口令。 d)应删除或停用多余账户、测试账户。
检查应用软件的配置情况等,评估应用软件入侵防范情况。验收要求应包括但不限于: 3) 应配置数据有效性校验功能,保证通过人机接口输入或通信接口输入的内容符合系统设定 要求; b)软件版本号应具有唯一性,应用软件不应存在中、高危漏洞。
检查应用软件系统等,评估数据保密性情况。验收要求应包括但不限于: 应以密文方式存储应用软件系统鉴别数据等敏感数据; 司 b) 应使用满足符合国家密码管理部门要求的加密算法。