标准规范下载简介
DL/T 1936-2018 配电自动化系统安全防护技术导则.pdfDL/T19362018
Technicalguidelines ofsecurityprotectionfordistribution automationsystem
北京市建设工程施工现场安全生产标准化管理图集 2019版DL/T19362018
本标准按照GB/T1.1一2009《标准化工作导则第1部分:标准的结构和编写》给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国电力企业联合会提出。 本标准由全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)归口。 本标准起草单位:全球能源互联网研究院有限公司、国家电网有限公司、中国南方电网有限责任 公司、南瑞集团有限公司、国网河南省电力公司、国网江苏省电力有限公司、国网山东省电力公司、 国网宁夏电力有限公司、国网重庆市电力公司、广东电网有限责任公司电力科学研究院、中国电力科 学研究院有限公司。 本标准主要起草人:费稼轩、黄秀丽、陶洪铸、陶文伟、刘日亮、张涛、张波、马媛媛、石聪聪、 邵志鹏、詹雄、苏杨、张文哲、杜红卫、孟晓丽、李二霞、范杰、周诚、余勇、刘明祥、郭志民、 吕卓、黄伟、王黎明、刘勇、徐征、张宏杰、杨龙雨、欧睿、熊伟、梁智强、林丹生、张小建、 郭骞、高先周、王向群、陈伟、杨如侠、章锐、张骞、王鹤、陈磊、姚启桂、沈文、陈璐、张亮。 本标准为首次发布。 本标准在执行过程中的意见或建议反馈至中国电力企业联合会标准化管理中心(北京市白广路二 条一号,100761)。
DL/T19362018
为了加强配电自动化系统的安全防护, 障配电自动化系统安全稳定运行,根据国家发展改革委员会2014年第14号令《电力监控系统安全 护规定》及配套文件和国家信息系统等级保护等相关规定,制定本标准。
为了加强配电自动化系统的安全防护,防范黑客及 障配电自动化系统安全稳定运行,根据国家发展改革委员会2014年第14号令《电力监控系统安全防 护规定》及配套文件和国家信息系统等级保护等相关规定,制定本标准。
DL/T19362018
配电自动化系统安全防护技术导则
本标准规定了配电自动化系统总体安全防护以及配电主站、配电终端、横向边界、纵向边界的 全防护技术及安全监测技术要求。 本标准适用于配电自动化系统的网络信息安全防护,适用于配电自动化系统的建设和改造,在 系统加强边界安全防护和运行管理,在运系统逐步进行安全改造
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20272信息安全技术操作系统安全技术要求 GB/T21028 信息安全技术服务器安全技术要求 GB/T21050 信息安全技术网络交换机安全技术要求 GB/T22239 信息安全技术信息系统安全等级保护基本要求 GB/T36572一2018电力监控系统网络安全防护导则 DL/T1406—2015配电自动化技术导则 国家发展和改革委员全2014年第14号今 电力监控系统安全防护规定
下列术语和定义适用于本文件。
3.1 配电自动化distributionautomation 配电自动化以一次网架和设备为基础,综合利用计算机技术、信息及通信等技术,实现对配电网 的监测与控制,并通过与相关应用系统的信息集成,实现配电系统的管理。 [DL/T1406—2015,定义3.1.1] 3.2 配电自动化系统distributionautomationsystem 实现配电网的运行监视和控制的自动化系统,具备配电SCADA(监视控制与数据采集系统, supervisorycontrolanddataacquisition)、馈线自动化、分析应用及与相关应用系统互连等功能,主要由 配电主站、配电子站(可选)、配电终端和通信通道等部分组成。 [DL/T1406—2015,定义3.1.2] 3.3 配电自动化系统主站 masterstationofdistributionautomationsystem 主要实现配电网数据采集与监控等基本功能和分析应用等扩展功能,为配网调度和配电生产服 务,简称配电主站。 [DL/T1406—2015,定义3.1.3]
3.1 配电自动化distributionautomation 配电自动化以一次网架和设备为基础,综合利用计算机技术、信息及通信等技术,实现对配电网 的监测与控制,并通过与相关应用系统的信息集成,实现配电系统的管理。 [DL/T1406—2015,定义3.1.1] 3.2 配电自动化系统distributionautomationsystem 实现配电网的运行监视和控制的自动化系统,具备配电SCADA(监视控制与数据采集系统, supervisorycontrolanddataacquisition)、馈线自动化、分析应用及与相关应用系统互连等功能,主要由 配电主站、配电子站(可选)、配电终端和通信通道等部分组成。 [DL/T1406—2015,定义3.1.2] 3.3 配电自动化系统主站 masterstationofdistributionautomationsystem 主要实现配电网数据采集与监控等基本功能和分析应用等扩展功能,为配网调度和配电生产服 务,简称配电主站。 [DL/T1406—2015,定义3.1.3]
现场运维终站 fieldoperationandmaintenance 现场运维终端包括现场运维手持设备和现场配置终端等设备。
DL/T19362018 3.5 生产控制大区productioncontrolzone 由具有数据采集与控制功能、纵向连接使用专用网络或专用通道的电力监控系统构成的安全区域。 [GB/T36572—2018,定义3.3] 3.6 管理信息大区 managementinformationzone 生产控制大区之外的,主要由企业管理、办公自动化系统及信息网络构成的安全区域。 [GB/T36572—2018,定义3.6] 3.7 横向隔离lateralisolation 在不同安全区间禁止通用网络通信服务,仅允许单向数据传输,采用访问控制、签名验证、内容 过滤、有效性检查等技术,实现接近或达到物理隔离强度的安全措施。 [GB/T36572—2018,定义3.7] 3.8 纵向认证verticalauthentication 采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界的安全防护的措施。 [GB/T36572—2018,定义3.8] 3.9 对称密码 symmetriccipher 在加密和解密算法中都是用相同秘密密钥的密码技术。 [GB/T36572—2018,定义3.11] 3.10 身份认证authentication 专用于确定传输、消息或发信方的有效性的安全措施,或者对接受特定的信息类别的个人授权进 行验证的手段。 [GB/T36572—2018,定义3.13] 3.11 安全接入区 区securityaccesszone 生产控制大区的业务系统在与其终端的纵向连接中使用无线通信网、电力企业其他数据网(非电 力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信时设立的安全防护逻辑 区域。 3.12 微型纵向加密认证装置 microverticalencryptionandauthenticationdevice 采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界的安全防护的微型化装
微型纵向加密认证装置 microverticalencryptionandauthenticationdevice 采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界的安全防护的微型 置(卡、模块)。
配电自动化系统安全防护应遵循国家发展和改革委员会2014年第14号令《电力监控系统安全防 护规定》及配套文件和GB/T36572一2018的要求,采用“安全分区、网络专用、横向隔离、纵向认 证”的基本防护策略,同时应加强配电自动化系统网络安全监测,及时发现、报告并处理网络攻击或 异常行为。
DL/T19362018
5配电主站安全防护技术要求
5.1握作系统和基础软件安全技术要求
配电自动化系统主站应采用经国家有关检测机构安全检测认证的安全操作系统或安全加固的操 系统,安全可靠要求符合GB/T20272的要求,配置和安全策略符合GB/T22239的要求,并采用严 的访问控制措施。 操作系统和基础软件应遵循最小化安全原则。在确保不影响生产安全的前提下及时升级安全 工。补丁更新前应进行充分的测试,不应直接通过公网在线更新。
5.2主站系统软件安全技术要求
配电自动化主站系统软 计,以防范恶意软件或恶意代码植入 配电自动化主站系统应采用基于电力调度数 放字证书的身份认证,以及基于安全标签的访问控制。
5.3计算机和网络设备安全技术要求
配电自动化系统的计算机和网络设备DB62/T 3145-2018标准下载,应通过国家有关检测机构安全检测认证,防范设备硬件 在恶意组件。 配电自动化系统计算机和网络设备的配置和安全策略应符合GB/T21028和GB/T21050的规定 并按照GB/T22239的要求进行安全加固
6配电终端安全防护技术要求
6.1配电终端物理安全
配电终端应具有防窃、防火、防破坏等物理安全防护措施,应符合GB/T22239的要求。
6.2配电终端操作系统及端口安全
配电终端上线前应经过安全测评,严格设置访问控制策略,对关键操作及访问进行日志记录, 应开启高危或生产中不使用的服务及端口,配置和安全策略应符合GB/T22239的要求。
GB/T 36674-2018标准下载6.3配电终端加密认证
配电终端应优先采用微型纵向加密认证装置,在配电终端和配电主站之间建立安全通道,并对来 源于主站系统的控制命令、远程参数设置指令、远程运维采取安全鉴别和数据完整性验证。 配电终端与主站之间的业务数据应采用经国家有关单位检测认证对称密码算法的加密措施,实现 主站和终端间的数据保密性防护。
6.4配电终端现场运维安