标准规范下载简介
Q/GDW 11345.5-2020 电力通信网信息安全 第5部分:终端通信接入网.pdfICS 29.240
Q/GDW11345.5—2020 代替Q/GDW/Z11345.5—2015
为规范终端通信接入网的信息安全管理,制定本部分。 《电力通信网信息安全》标准分为5个部分: 第1部分:总纲; 一第2部分:传输网; 一第3部分:业务网; 一第4部分:支撑网; 一第5部分:终端通信接入网。 本部分为《电力通信网信息安全》标准的第5部分。 本部分代替Q/GDW/Z11345.5一2015,与Q/GDW/Z11345.5一2015相比,主要技术性差异如下: 修改了标准的适用范围,用终端通信接入网的整体概念替代了原有的表达方式; 修改了“规范性引用文件”中部分引用标准; 修改了“术语和定义”中“终端通信接入网”“电力无线专网”定义 一增加了部分缩略语; 一修改了5.1防护原则; 一修改了5.2防护架构; 增加了5.3“防护对象”,进一步明确了终端通信接入网的安全防护范围; 修改了第6章“网络结构安全”和第7章“设备安全”,同时增加了对电力无线专网的安全要 求; 修改了第8章“传输通道安全”,从横向隔离、纵向认证和本体安全三个方面进行描述: 删除了“主站边界安全”和“终端安全”,将内容纳入到第9章“网络边界安全”一章; 增加了附录B,提供了中压电力线载波主从分布式组网结构、电力无线专网总体架构、无线公 网总体架构示意图。 本部分由指导性技术文件《电力通信网信息安全第5部分:终端通信接入网》(Q/GDW/Z11345.5 015)转化。 本部分由国家电力调度控制中心提出并解释。 本部分由国家电网有限公司科技部归口。 本部分起草单位:中国电力科学研究院有限公司、国网浙江省电力有限公司、国网江苏省电力有 司电力科学研究院、国网北京市电力公司、国网河北省电力有限公司、南瑞集团有限公司、国网信 重信产业集团有限公司、全球能源互联网研究院有限公司、国网网安(北京)科技有限公司、国网新 电力有限公司电力科学研究院。 本部分主要起草人:范永、杨斌、付强、侯悦、张旭、乔淑娟、朱道华、张崇超、封保占、马平、 胜、周亮、邱意民、韩丽芳、应欢、缪思薇、朱亚运、张晓娟、邱兰馨、郑星、温明时、张丽、 静、周亮、胡阳、李岩、钟劲松、李峰、牟金进、汪波涛、程华沈、张浩、冯笑、舒斐、李明轩 本部分2016年11月首次发布,2019年10月第一次修订。 本部分在执行过程中的意见或建议反馈至国家电网有限公司科技部。
本部分规定了终端通信接入网在网络结构、通信设备、传输通道与网络边界方面的防护要求 本部分适用于终端通信接入网规划、设计、实施、改造及运行管理中的信息安全防护
铁路T梁预制施工组织设计由运营商建设运维的无线网络系统
安全接入网关securityaccessgateway 支持高并发、大规模的业务终端安全接入,实现身份认证、访问控制、高性能加解密、密 分发等安全功能,形成可支持集群化、高并发的安全接入装置。
安全接入网关securityaccessgateway 支持高并发、大规模的业务终端安全接入,实现身份认证、访问控制、高性能加解密、密钥协商与 分发等安全功能,形成可支持集群化、高并发的安全接入装置。 3.6 三重搅动triplechurning 在单重搅动基础上扩展而成,通过增加搅动后数据的时域关联性提高用户数据的安全性。 3.7
指电信运营商采用2G、3G和4G技术建设的无线通信网络。
为保障终端通信接入网的机密性、完整性和可用性,遵循安全分区、网络专用、横向隔离、级 等防护要求制订安全措施,对于本部分未明确提出的安全要求和技术措施,应按照GB/T22239一 /T1742中对应级别的等级保护相关要求执行。
终端通信接入网总体安全防护架构见图1,生产控制大区应在物理层面上实现与管理信息大区(信 息内网)和互联网大区安全隔离;生产控制大区的终端通信接入网禁止在上联接口与管理信息大区(信 息内网)及互联网大区互联
图1终端通信接入网总体安全防护架构
Q/GDW 11345. 52020
终端通信接入网在变电站接入骨十网,或直接通过主站边界接入业务系统服务端;业务终端则通过 通信终端连接入终端通信网。终端通信接入网信息安全范围见图2虚框所示,终端通信接入网主要承载 的业务系统与对应的安全分区参见附录A。
图2终端通信接入网信息安全范围示意图
终端通信接入网主要包括有线专网、电力无线专网和无线公网三种技术体制,其中有线专网包括 网公司基于EPON、工业以太网和电力线载波等通信技术建设的有线专用网络。终端通信接入网网 安全主要针对不同技术体制网络结构的安全防护
6. 2EPON 系统
对可靠性需求较高的区域,工业以太网的网架结构应采取穴余配置
5.4中低压电力线载波
中低压电力线载波网络结构安全要求如下: a)中低压电力线载波宜采取主从分布式组网结构,参见附录B.1; b)对可靠性需求较高的区域,中低压电力线载波的网架结构应采取穴余配置。
电力无线专网网络结构安全要求如下: a)电力无线专网的总体架构图参见附录B.2,应采用无线电管理部门授权的无线频率组网; b)电力无线专网的核心网关键单元和回传通道穴余配置应符合Q/GDW11664一2017中7.3.4条和 7.5.2条相关要求; c)电力无线专网在同时承载生产控制大区和管理信息大区业务时应采取物理隔离措施,并符合 Q/GDW11664一2017中7.8.2条相关要求:
无线公网网络结构安全要求如下: a)无线公网总体架构图参见附录B.3; b)在主站系统和公共网络之间的有线专线应采用1+1穴余保护。
终端通信接入网通信设备安全主要针对不同通信设备的重要部件、电气性能与工作环境的安全要 水。
EPON设备安全要求如下: a)重要板卡应满足1+1元余需求。0LT主控板1十1元余保护应符合Q/GDW1553.1一2014中第 7.11.1条相关要求;0LT上联口双归属保护应符合Q/GDW1553.1一2014中第7.11.2条相关要 求;电源元余保护应符合Q/GDW1553.1一2014中第7.11.4条相关要求; b)工作环境温、湿度要求、防尘要求、电源要求和电气安全与电磁兼容要求应满足Q/GDW1553. 一2014中第8.1~8.4条相关要求。
工业以太网交换机设备安全要求如下: a)宜采用穴余电源保护; b)应能够在高温、高湿的严酷环境下工作,应通过GB/T2423.9规定的恒定湿热试验: C)防尘、电源和电气安全与电磁兼容要求应符合YD/T1099一2005中第12、13条相关要求。
7.4中低压电力线载波设备
中低压电力线载波通信设备安全要求如下: a)宜采用穴余电源保护; b)工作环境温、湿度应符合Q/GDW1374.3一2013中第5.1条相关要求; c)电气安全与电磁兼容性应符合Q/GDW1374.3一2013中第5.5和5.6条相关规定。
7.5电力无线专网设备
电力无线专网通信设备安全要求如下:
Q/GDW 11345. 52020
无线公网通信设备应启用无线公网自身提供的安全措
终端通信接入网传输通道安全主要针对不同技术体制的网络系统在落实横向隔离、纵向认 本体安全要求的防护措施。
8.2.1EPON系统横向隔离措施
EPON系统横向隔离措施要求如下: a)应在220/110/66/35/22kV变电站的汇聚交换机上配置访问控制策略,阻断不同OLT下ONU之间 的互访; b)应在OLT上配置访问控制策略,阻断本OLT下不同ONU之间的互访; c)应具备基于端口或MAC地址的VLAN划分功能,并通过划分VLAN等方式配置访问控制策略; d)具备三重搅动功能保护下行数据,应具备针对每个逻辑链路连接标识的搅动功能,每个逻辑链 路连接标识应具有独立的密钥; e)应具备对所有数据顿、MAC控制顿和OAM顿的搅动功能
8.2.2EPON系统纵向认证措施
EPON系统纵向认证措施要求如下: a)OLT应支持对ONU的MAC地址或逻辑标识进行单向认证,应具备对非法ONU的识别和隔离功能; b)应支持MAC地址与端口、IP地址的绑定功能。
8.2.3EPON系统本体安全措施
EPON系统本体安全措施要求如下: a)应具备限定端口学习MAC地址数量的功能; b)业务端口和管理端口均应通过防御IGMP、TCP、UDP等攻击报文测试; c)管理端口应具备密码配置功能、支持SSH登录方式,应设置用户密码,密码长度不少于8位 且至少包含大写字母、小写字母、数字、特殊字符中的三类; d)应采用安全增强的SNMPv2及以上版本的网管协议; e)宜具备Qos功能。
8.3.1工业以太网横向隔离措施
B.3.2工业以太网纵向认证措施
工业以太网纵向认证措施要求如下: a)应支持MAC地址与端口、IP地址的绑定功能; b)应具备限定端口学习MAC地址数量的功能。
8.3.3工业以太网本体安全措施
工业以太网本体安全措施要求如下: a)业务端口和管理端口均应通过防御IGMP、TCP、UDP等攻击报文测试; b)管理端口应具备密码配置功能、支持SSH登录方式,应设置用户密码,密码长度不少于8位 且至少包含大写字母、小写字母、数字、特殊字符中的三类; c)应采用安全增强的SNMPv2及以上版本的网管协议; d)宜具备QoS功能。
中建施工组织设计【(130P).doc中低压电力载波通信单元本体安全措施要求如下: a)应采用检错校验编码方式保护传输信息安全; b)应具备安全管理等网络管理功能。
5.1电力无线专网横向
电力无线专网横向隔离措施要求如下: a)核心网设备应支持多PLMN功能,支持多APN配置,支持APN与VPN的映射,可为多类业务配置 独立的APN以及VPN,并自动保障高优先级业务通信; b)在无线核心网边缘处应具备映射到专用物理端口或路由的功能; c)应为生产控制大区的精准负荷控制业务、配电自动化遥控等控制类业务提供独立的物理端口和 回传通道
8.5.2电力无线专网纵向认证措施
电力无线专网纵向认证措施要求如下: a)通信终端与基站及核心网之间应采取基于四元组鉴权向量的双向鉴权认证; b)应同时采用无线接入层(AS)、非无线接入层(NAS)两层安全机制,分别对通信终端与基站间、 通信终端与核心网间传送的信令进行加密和完整性保护,对用户面数据进行加密,具备对用户 面数据的机密性保护功能和信令的机密性保护和完整性保护功能; c)应采用临时身份标识和加密永久身份标识两种机制保护用户身份。无线通信终端仅在初次接入 网络时上报国际移动用户标识(IMSI)、国际移动设备标识(IMEI)等身份信息,之后协商临 时身份标识,并对永久身份标识加密处理:
d)应将SIM/USIM卡与无线通信终端绑定;终端应使用支持双向认证的用户身份识别卡,宜使用 USIM、eSIM等用户身份识别卡;无线通信终端(CPE/LCM等)的配置文件和软件应使用专用设 备和软件进行维护和诊断;正常工作时,无线通信终端的维护与诊断接口应处于关闭状态;限 制CPE/LCM访问权限,在核心网严格限制无线通信终端权限,对超出权限的操作不予响应。
8.5.3电力无线专网本体安全措施
影剧院工程施工组织设计电力无线专网本体安全措施要求如下: a)应具备传输优先级和传输带宽的设置功能; b)应支持无线通信终端监视功能。