GB Z 25320.1-2010 电力系统管理及其信息交换 数据和通信安全 第1部分：通信网络和系统安全 安全问题介绍.pdf

《GB Z 25320.1-2010 电力系统管理及其信息交换 数据和通信安全 第1部分：通信网络和系统安全 安全问题介绍.pdf》由会员分享，可在线阅读，更多相关《GB Z 25320.1-2010 电力系统管理及其信息交换 数据和通信安全 第1部分：通信网络和系统安全 安全问题介绍.pdf（32页珍藏版）》请在麦多课文档分享上搜索。

1、G雪ICS 29.240.30 F 21 中华人民共和国国家标准化指导性技术文件GB/Z 25320.1-2010/IEC TS 62351-1 :2007 电力系统管理及其信息交换数据和通信安全部分:通信网络和系统安全安全问题介绍Power systems management and associated information exchange Data and communications security一-Part 1 : Communication network and system security一Introduction to security issues 第2011-

2、05-01实施CIEC TS 62351-1: 2007 , IDT) 2010-11-10发布发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会数E马防伪GB/Z 25320.1-2010/IEC TS 62351-1 :2007 目次前言.皿引言.凹1 范围和目的12 规范性引用文件23 术语、定义和缩略语24 信息安全标准的背景24. 1 电力系统运行的信息安全所涉及的论据.2 4.2 IEC TC 57数据通信协议34.3 制定这些安全标准的历史.3 5 GB/Z 25320涉及的安全问题. 4 5.1 安全的一般信息45.2 安全威胁的类型45.3 安全的需求、威胁、

3、脆弱性、攻击和应对措施65.4 安全对策的重要性.115.5 安全风险评估115.6 认识安全需求以及安全措施对电力系统运行的影响125. 7 五步安全过程135.8 应用安全防护于电力系统运行146 GB/Z 25320概述156. 1 GB/Z 25320的范围156.2 认证作为关键安全需求156. 3 GB/Z 25320的目标156. 4 GB/Z 25320各部分和IEC协议间的关系156. 5 GB/Z 25320. 1 安全问题介绍166. 6 GB/Z 25320.2 术语四6. 7 GB/Z 25320. 3 包含TCP/IP的协议集.17 6. 8 GB/Z 25320.

4、4 包含MMS的协议集 17 6. 9 GB/Z 25320.5 IEC 60870号及其衍生标准的安全四6. 10 GB/Z 25320. 6 DL/T 860的安全196. 11 GB/Z 25320. 7 网络和系统管理的数据对象模型207 结论.23附录NA(资料性附录)IEC 60870-5的各部分与对应的我国标准以及一致性程度24参考文献. . . . . . . . . . 25 I GB/Z 25320.1-201 O/IEC TS 6235 1-1 : 2007 目IJ 国际电工委员会57技术委员会(lECTC 57 )对电力系统管理及其信息交换制定了IEC62351(电力系

5、统管理及其信息交换数据和通信安全标准。我们采用IEC62351，编制了GB/Z25320指导性技术文件，主要包括以下部分:一-第1部分:通信网络和系统安全安全问题介绍;一一-第2部分:术语;一一一第3部分z通信网络和系统安全包含TCP/IP的协议集;一一第4部分:包含MMS的协议集;一一第5部分:IEC 60870-5及其衍生标准的安全;二一第6部分:DL/T860的安全;一一第7部分:网络和系统管理的数据对象模型;一一第8部分=电力系统管理的基于角色访问控制。本部分等同采用IECTS 62351-1: 2007(电力系统管理及其信息交换数据和通信安全第1部分:通信网络和系统安全安全问题介绍)

6、(英文版)。本部分增加了资料性附录NA，以反映规范性引用文件IEC60870-5 (所有部分)中的各部分与对应的我国标准以及一致性程度。本部分由中国电力企业联合会提出。本部分由全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)归口。本部分起草单位:国网电力科学研究院、国家电力调度通信中心、中国电力科学研究院、福建省电力有限公司、华中电网有限公司、华东电网有限公司、辽宁省电力有限公司。本部分主要起草人:许慕操、南贵林、邓兆云、杨秋恒、韩水保、李根蔚、曹连军、袁和林、林为民。本指导性技术文件仅供参考。有关对本指导性技术文件的建议或意见，向国务院标准化行政主管部门反映。mm GB/Z

7、25320.1-2010/IEC TS 62351-1 :2007 引计算机、通信和网络技术当前己在电力系统中广泛使用。通信和计算机网络中存在着各种对信息安全可能的攻击，对电力系统的数据及通信安全也构成了威胁。这些潜在的可能的攻击针对着电力系统使用的各层通信协议中的安全漏洞及电力系统信息基础设施的安全管理的不完善处。为此，我们采用国际标准制定了GB/Z25320 30000 性能数据流4 ms 不要求类型组播组播面向连接基于这些特性，确定下列安全措施见表2。表2DL/T 860的三个组播协议的安全措施SMV GOOSE MMS X.509证书(身份否否是加密(机密性)不必需仅当4 ms 是篡改

8、检测(入侵检测)是是是GOOSE和SMV安全措施的一些关键原则是: 认证是主要安全措施; 不包括加密，因为这使报文字节增加太多，而且并不是十分重要的(将来可能会增加某种硬件的加密); 密钥再协商并不支持带内密钥协商，因为这可能会破坏高度实时的高速信息流; 由于安全防护随时都可能实施，而且因为对不同装置，安全防护可以需要也可以不需要，非安G/Z 25320.1-2010/IEC TS 62351-1 :2007 全GOOSE客户端可不理会安全GOOSE报文; 为了向后兼容，现把一个保留字段用作长度，这样扩展宇段就可能增加到GOOSE/SMV报文的后端。这扩展宇段包含认证值(数字签名HMAC)。非

9、安全客户端将简单地忽略这扩展。这增加大约20个字节; 为了支持证书交换，扩展了DL/T860变电站配置语言CSubstationConfiguration Language, SCL)。图10说明在GOOSE/SMV中的认证安全措施。保留当前i挪用GOOSE/SMVPDU 安全扩展的PDU GOOSE/SMV PDU 叫认证值(数字签名-HMAC)图10GOOSE/SMV中的认证安全措施6. 11 G/Z 25320. 7 网络和系统管理的数据对象模型6. 11. 1 G/Z 25320. 7目的和范围GB/Z 25320. 7涉及信息基础设施的网络和系统管理的安全防护。电力系统运行日益依赖于

10、信息基础设施，包括通信网络、智能电子设备(lED)和自定义通信协议。因此为了在电力系统运行中提供必要的高安全水平和可靠性，信息基础设施的管理是至关重要的。所以GB/Z25320. 7已经为电力系统运行环境制定了抽象的网络和系统管理CNetworkand System man agement NSM)数据对象。这些NSM数据对象反映了为管理信息基础设施所需的信息，如同管理电力系统基础设施那样可靠地管理信息基础设施。(见图11)。用于网络管理的ISO的公共管理信息协议CCMIP)和IETF的简单网络管理协议。NMP)标准能够提供某种网络管理。在SNMP中，管理信息库CManagementInfor

11、mation Base MIB)数据被用于监视网络和系统的运行状况，但是每个厂商将为他们的设备开发他们自己的MIB。对于电力系统运行，SNMP MIB仅可用于通用的组网设备，比如路由器。对于IED根本没有规定标准的MIB，所以各厂商使用一些特别或专用方法来监视一些设备类型的运行状况。因而该部分为电力行业提供类似MIB的数据对象(称为NSM数据对象)。NSM数据对象表示了为支持网络和系统管理和安全问题检测，被认为是必备的、推荐的或可选的信息集合。这些NSM数据对象使用IEC61850制定的命名规则，加以扩展以处理NSM问题。虽在该文件中采用抽象的SNMP客户/代理模型，但并不认为SNMP就是选定

12、的协议。相反，在GB/Z 25320. 7中定义的抽象NSM数据对象可以映射到任何合适的协议，包括GB/T18700C对应于IEC 60870-6)、DL/T860C对应于IEC61850)、IEC60870-5，SNMP、web服务或其他合适的协议。20 GB/Z 25320.1-2010/IEC TS 62351-1 :2007 3 信息基础设施居民工业商业图11NSM对象模型是信息基础设施，相当于电力系统基础设施的CIM和IEC61850对象模型6.1 1. 2 NSM要求需要对电力行业特定的安全且口J靠的NSM数据对象的要求进行规定。这些NSM数据对象将支持通信网络的完整性、系统和应用

13、的运行状况、人侵检测系统CIntrusionDetection System , IDS)、防火墙以及其他对电力系统运行是独特的安全/网络管理要求。增加有安全监视架构的电力系统的运行系统的基本组成如图12所示。tl月队咆M数据对象的安全监视架构图例z(fYd) 每1 ;M;ft!. 1 尊防火墙eNSM数据对象主墨守自S)一图12电力系统的运行系统，安全监视架构21 GBjZ 25320.1-2010jIEC TS 62351-1 :2007 6.1 1. 3 NSM数据对象的例子22 NSM数据对象所实现的网络和系统管理需求的例子包括:a) 通信网络管理:监视网络和协议1) 检测网络设备的永

14、久故障;2) 检测网络设备的暂时故障和重启;3) 检测网络设备故障切换至备用设备或备用通信路径50 检测备用设备或备份设备的状态;5) 检测通信协议版本和状态;的检测不一致的协议版本与能力的不匹配57) 检测篡改或格式畸变的协议报文;的检测网络间没适当同步的时钟;9) 检测资源耗尽型的拒绝服务CDOS)攻击;10) 检测缓冲区溢出型的DOS攻击;11) 检测物理接入中断;12) 检测非法网络访问;13) 检测非法应用对象访问或操作;14) 对跨越多个系统的协调攻击的检测能力;15) 收集网络设备的统计信息:确定报文平均传递时间，最长传递时间和最短传递时间等;一计算报文数、报文字节数。16) 提

15、供审计日志和记录。b) 通信网络管理:控制网络1) 人工发出网络设备的开/关命令;2) 人工发出网络设备的切换命令z3) 设置参数和为自动化的网络动作设定顺序;的响应事件的自动化动作，比如当设备故障时通信网络的重新配置。c) 系统管理z监视智能电子设备(IED)1) 系统、控制器和应用的所有停止及启动的次数和时间;2) 每一应用和软件模块的状态:停止、挂起、运行、不响应、不恰当或不一致输入、输出错误、错误状态等;3) 所有与IED网络连接的状态，包括暂时和永久故障的次数和时间50 任何继续活着心跳的状态，包括任何丢失心跳;5) 备用或故障切换机制的状态，如这些机制不可用的次数和时间;6) 进行

16、数据报告的状态:正常、不能响应请求、丢失数据等;7) 访问状态:未经授权企图访问数据或发出控制的次数、时间和类型;8) 数据访问中异常(如正常周期性进行报告时的单独请求)。d) 系统管理z在智能电子设备(lED)内的控制动作1) 启动或停止报告;2) 重启动IED;3) 杀死和重启应用;4) 重建到另一IED的连接;5) 关闭另一IED;6) 提供信息事件的事件日志;GB/Z 25320.1-2010/IEC TS 62351-1 :2007 7) 修改口令;8) 修改备用或故障切换的选项;9) 提供审计日志和记录。7 结论从构思安全措施那时起，安全措施就应该内建于每个系统中。大多数人认为防火

17、墙或加密是唯一必需的安全措施;然而安全不但包括防火墙或加密，还应该包括认证、基于角色的访问控制、防止拒绝服务、信息基础设施的监视和审计功能以及最后，但决不意味最不重要的，安全对策。安全对策强制执行补充了安全措施。23 GB/Z 25320.1-2010/IEC TS 62351-1 :2007 附录NA(资料性附录)IEC 60870-5的各部分与对应的我国标准以及一致性程度表NA.l给出IEC60870-5的各部分与对应的我国标准以及一致性程度。表NA.1 IEC 60870号的各部分与对应的我国标准一览表国际标准编号我国标准名称我国标准编号IEC 60870-5 远动设备及系统第5部分:传

18、输规约WG03 IEC 60870-5-1: 1990 第5部分:传输规约第1篇:传输帧格式GB/T 18657.1-2002 IEC 60870-5-2: 1992 第5部分:传输规约第2篇2链路传输GB/T 18657.2-2002 规则IEC 60870-5-3: 1992 第5部分:传输规约第3篇:应用数据的GB/T 18657.3-2002 一般结构IEC 60870-5-4: 1993 第5部分:传输规约第4篇:应用信息元GB/T 18657.4-2002 素的定义和编码IEC 60870-5-5: 1995 第5部分:传输规约GB/T 18657.5-2002 IEC 60870

19、-5-6 :2006 第5-6部分:IEC 60870配套标准一致性测DL/Z 634.56-2004 试导则IEC 60870-5-101: 2002 第5-101部分:基本远动任务配套标准(第2DL/T 634.5101-2002 版)IEC 60870-5-102: 1996 第5部分:传输规约第102篇:电力系统DL/T 719-2000 电能累计量传输配套标准IEC 60870-5-103: 1997 第5部分:传输规约第103篇z继电保护DL/T 667-1999 设备信息接口配套标准IEC 60870-5-104 ,2006 第5-104部分z采用标准传输协议子集的DL/T 63

20、4.5104-2009 IEC 870-5-101网络访问IEC 60870-5-601 (2006-06) 第5-601部分:IEC 60870-5-101相关标准的一致性试验IEC 60870-5-604 (2007-02-09) 第5-604部分:IEC 60870-5-104相关标准的一致性试验24 一致性程度IDT IDT IDT IDT IDT IDT IDT IDT IDT IDT GB/Z 25320.1-2010/IEC TS 62351-1 :2007 参考文献North Amcrican Electric Reliability Council (NERC) Cyber

21、Security Standard, CIP 002-009 , 2006 hOON7户旧的NvHhhVM嗣同OFON-F.ON的mNN国。中华人民共和国国家标准化指导性技术文件电力系统管理及其信息交换数据和通信安全第1部分:通信网络和系统安全安全问题介绍GB/Z 25320.12010/IEC TS 62351-1:2007 * 中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100045 网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销号&印张2字数51千字2011年2月第一次印刷开本880X 1230 1/16 2011年2月第一版30.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533定价蜂书号:155066. 1-41250 GB/Z 25320.1-2010 打印H期:2011年4月14HF002A