标准规范下载简介
Q/GDW 12196-2021 电力自动化系统软件安全检测规范.pdfICS 29. 240
国家电网有限公司企业标
Q/GDW121962021
DL/T 1945-2018 高压直流输电系统换流变压器标准化接口规范.pdf电力自动化系统软件安全检测规范
Test specificationforsoftwaresecurityof electricpower automationsystem
国家电网有限公司 发布
Q/GDW 12196202
范围 规范性引用文件 术语和定义. 缩略语.. 5总体要求.. 6安全要求.. 6.1代码安全. 6.2业务安全. 6.3版本管理. 7检测方法.. 7. 1 代码安全, .. 7. 2 业务安全.. 7. 3 版本管理. 附录A(资料性附录) 数据分类分级参照表. 14 编制说明。 15
为规范电力自动化系统软件应满足的安全性要求,提升电力自动化系统软件的安全防护能力,指导 电力自动化系统软件的安全检测,制定本标准。 本标准由国家电网有限公司国家电力调度控制中心提出并解释 本标准由国家电网有限公司科技部归口。 本标准起草单位:中国电力科学研究院有限公司、国家电网有限公司东北分部、国网山东省电力公 司、国网江苏省电力有限公司、国网浙江省电力有限公司、国网湖南省电力有限公司、国网四川省电力 公司、国家电网有限公司西南分部、南瑞集团有限公司。 本标准主要起草人:张金虎、沈艳、周勐英、詹雄、张晓、李劲松、徐鑫、杨鹏、刘苇、李宇佳 纪欣、金学奇、周献飞、邵立嵩、宫铃琳、孟庆东、刘成江、高保成、刘勇、刘筱萍、喻显茂、裴培、 陈乾、郑澍、熊伟、王昊、彭晖。 本标准首次发布。 本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。
Q/GDW 12196202
直动化系统软件安全检测规范
本标准规定了电力自动化系统软件的安全要求和检测方法。 本标准适用于调度自动化系统、变电站监控系统、集控站监控系统、辅助设备监控系统等主、厂站 软件的设计、开发、测评、建设、运行和维护。抽水蓄能电厂、火电厂、水电厂、新能源等监控系统可 参照本标准执行。
语和定义适用于本文件
下列术语和定义适用于本
电力自动化系统软件electricpowerautomationsystemsoftware 综合利用计算机、远动和远程通信技术,对电网一、二次设备进行运行监视、控制和管理的自动化 系统平台及应用软件,包括电力自动化系统主、厂站软件。 3.2 业务安全businesssecurity 从人机安全、通信安全、服务安全、应用安全、数据安全、进程安全、运行安全等方面,结合系统
电力自动化系统软件electricpowerautomationsystemsoftware 综合利用计算机、远动和远程通信技术,对电网一、二次设备进行运行监视、控制和管 系统平台及应用软件,包括电力自动化系统主、厂站软件
业务安全businesssecurity 从人机安全、通信安全、服务安全、应用安全、数据安全、进程安全、运行安全等方面,结合 件自身业务,保护电力自动化系统业务免受安全威胁的措施及手段
下列缩略语适用于本文件。
5.1电力自动化系统软件应遵循GB/T22239、GB/T36572、DL/T1455等技术标准的相关安全要求。 5.2电力自动化系统控制类软件应实现自主可控,包括业务软件本身、第三方组件、密码算法等。 5.3测试工具应具有追溯性,自行开发的测试工具应有详细的说明文档,并通过适用性验证。
代码安全检测应依照GB/T34943和GB/T34944等要求,具体要求如下: a)不应存在违背安全编码规则、输入处理、输出处理、文件操作等安全要求内容; b)不应存在口令硬编码、软件后门、访问控制、密码管理、明文存储、异常管理等安全特征内容; c)不应存在资源泄露、越界访问、缓冲区溢出、命令注入、设计缺陷/业务逻辑等安全漏洞
6. 2. 1人机安全
接入安全要求如下: a)人机客户端、配置管理软件等接入,应优先采用白名单方式,也可采用黑名单等其他方式,限 制非法接入,保证客户端、配置管理软件等接入的合法性; b)API接口等接入应进行身份认证,并限制对外开放接口的应用范围和同一时间内并发访问的接 口数; c)软件接入应记录审计日志
6.2.1.2用户管理及授权安全要求
用户管理及授权安全要求如下: a)身份标识应具有唯一性,保证不存在重复标识的用户; 应支持密码最小长度及复杂度要求,禁用弱口令及用户口令与用户名一致; 使用电力调度数字证书绑定用户时,应为每个用户分配唯一的证书,并保证证书链的有效性, 禁止使用不符合链式验证的数字证书; d 应设置管理员、审计员和、操作员三种角色,不允许存在超级用户,权限的设置应基于最小权 限原则;
Q/GDW 12196202
e)除画面查看等公共权限外,应保证不同角色间权限互斥,且不能将不同的角色授予同一用户; f)应及时删除或停用多余的、过期的账户,注销用户应任何情况下不可用,避免共享账户的存在; g)用户管理、权限分配等应记录审计日志。
6. 2. 1. 3登录认证安全要求
a 执行控制操作、参数配置、文件上传/下载等操作应进行权限控制: 一 应具备数据有效性检验功能,保证通过人机接口或通信接口输入的数据格式、类型、长度等应 符合软件设定要求; 对于重要控制类操作,应具备再次身份认证的机制; d 对于主站的控制操作,应具备控制点号预置确认功能,需对控制点编号再次输入确认,只有两 次编号校验一致方可进行预置操作; e 应能够识别逻辑异常操作,禁止异常操作且给予提示; f 应具备文件下载操作目录限制功能; g 应具备对上传文件的格式、内容等进行合法性校验及非法文件过滤功能; h 异常时,返回的提示信息应进行必要的封装,不应包含有关后台系统或其它敏感信息; 控制操作、参数配置、文件上传/下载行为应记录审计日志。
6. 2. 2通信安全
6. 2. 2. 1通信服务基本要求
6. 2. 2. 2通信安全要求
a)应通过各项标识(IP、MAC地址、APPID等)的一致性校验对通信对象接入进行控制; b)宜对通信对象进行身份认证,根据系统要求,采用单向或双向身份认证机制保证身份的合
使用电力调度数字证书认证的软件,应保证为每个应用分配唯一的证书,应验证证书和证书链 的有效性,禁止使用不符合链式结构、过期、撤销的数字证书; d 重要业务数据传输宜采用断点续传、数据校验等方式保证数据传输的完整性; e) 应保证通信数据保密性,对鉴别信息、密钥等敏感数据进行加密处理: f 能够过滤非法业务数据,校验通信数据合法性; g 应保证通信交互行为的安全性,具备防重放、篡改等安全防护能力; h 针对带随机数的通信报文,应具备生成随机数的不确定性,使随机数具备随机性、不可预测性 和不可重现性; 1 人机客户端、配置管理软件应使用私有安全协议,禁止使用不安全的传输协议; 应保证DL/T634.5104、DL/T860等通信协议的健壮性,正确处理各类畸形报文和攻击报文, 确保业务的正常交互; k 异常连接访问、通信认证异常应记录审计日志。
6.2.3.1服务注册认证安全要求
对于其备服务功能的软件,服务注册认证安全要求如下: a)在服务注册时服务管理者应进行合法性验证,防止非法服务注册; 应限制对服务注册信息进行非法删除或修改等操作; 应能够对非授权服务申请者私自连接的行为进行监测,并对其进行有效阻断; d)宜具备服务注册认证功能
6.2.3.2服务业务交互安全要求
对于具备服务功能的软件,服务业务交互安全要求如下: a)应具备安全机制限制业务超范围调用服务资源; b)应具备在同一时间段内对服务调用数量进行限制的功能; c)服务交互时应对关键业务数据或者敏感信息进行加密,保证服务交互信息的保密性: 应对通信服务提供者和服务消费者之间通信进行防护,对执行非法数据注入、恶意代码注入、 请求内容删除等操作进行限制: 服务提供者应具备访问控制策略,基于访问策略对服务消费者进行权限限制; 广域服务调用应具备身份认证机制,服务提供者需要检测服务请求来源,防止非法服务进行远 程调用。
6. 2. 3. 3服务安全管理要求
对于具备服务功能的软件,服务安全管理要求如下: a)应具备服务全生命周期管理、注册资产安全管理、命令管理等安全管理功能,自动清除已失效 的服务; b 应具备对服务注册对象占用资源的监视及告警功能,包括CPU、磁盘、内存、网络等资源的使 用情况; C 应具备服务行为审计机制,对服务的接入请求、接入后的操作轨迹、异常行为应记录审计日志: d 应限制使用未关闭的基础组件默认服务,包括删除默认界面、禁用默认管理用户、修改默认密 码。
6. 2. 4应用安全
6.2.4.1控制业务安全要求
Q/GDW 12196202
控制业务一般包括直控、选择性控制、闭锁控制、同期控制、校核控制、联动控制、一键顺控、运 维检修控制操作等,对于具备控制操作功能的软件,控制业务安全要求如下: 应对控制操作的人员加以限制,仅允许授权的人员执行控制操作; 6 应具备控制操作正确性校验,如校核、闭锁、同期等,应依据逻辑规则仅执行期望的动作,不 允许执行其他更多的动作; C 应具备联动控制、选择性控制等时效性检测,防范过期的控制操作; d 应支持对批量控制、协同控制的校核,正确校核多重、连锁故障状态,校验业务逻辑的正确性; e 应具备控制信号资源抢占的处理机制,禁止多个控制主体同一时刻对同一台设备进行控制操 作,禁止被控设备同时响应多个操作命令; f 应正确处理远程和本地控制操作权限,只能本地控制的操作禁止远程执行; 对于双席控制操作,应通过具备权限的监护员确认后方可执行控制操作; h 对于主站控制操作,应具备双重信息点表的校核机制,只有同时通过校核方可进行控制操作; 1 所有控制操作及行为应记录审计日志,至少包括操作人员、操作对象、操作内容、操作时间和 操作结果
6.2.4.2配置业务安全要求
配置业务安全要求如下: a)应支持对参数配置操作进行访问控制; b 应具备数据有效性检验功能,保证人工置数、定值修改、参数配置输入的数据格式、长度、数 值范围等应符合软件设定要求,能够识别并拒绝执行不合法的参数配置; 应具备多个主体对同一参数配置的安全处理机制,应具备互斥能力; d)配置变更应记录审计日志
6.2.4.4监视业务安全要求
对于具备监视业务的软件,监视业务安全要求如下: a)应不可修改运行监视数据的真实值:
b)应只允许具备权限的用户访问相应的业务模块,无关的信息不应出现在当前监视界面: C)用户对监视数据的修改应记录审计日志。
6.2.4.5采集业务安全要求
采集业务安全要求如下: a)数据采集应仅向被授权的对象传输数据: b) 采集数据应可溯源,应确保采集数据真实可信; 应能识别非法采集数据,应能识别采集过程中的异常行为,并具备相应的安全策略; d)应具备处理批量数据输入、采集数据量超上限保护机制,防止数据丢失、覆盖
6. 2. 5数据安全
数据安全要求如下: a)应对重要业务数据、证书等进行访问控制,并限制输出的操作权限: 应对重要业务数据、证书、密钥等导入操作进行权限控制和校验: 应具备对业务数据全生命周期的保护策略,包括但不限于数据采集、存储、处理、应用、流动 销毁等过程; d 应具备对数据进行分级分类保护,不同类别级别的数据采取不同的安全防护策略,数据分级分 类数据表参见附录A; e) 应采用密码技术或其他保护措施保证重要业务数据、敏感数据保密性: f 应采用校验技术或密码技术等保证重要业务数据、敏感数据在存储时完整性: g 审计日志应至少保存6个月,应设置审计日志存储余量控制策略,当存储空间接近极限时,装 置应能采取必要的措施保护存储数据的安全; h 非授权用户禁止修改、删除审计日志; 1 在正常运行状态下及软、硬件异常情况下应对存储数据进行保护,数据不应丢失 j 应具备重要业务数据的备份与恢复功能; K 数据操作、数据备份、数据恢复、审计日志告警等应记录审计日志
对电力自动化系统软件进程的安全要求如下: a)应支持进程创建、资源回收、进程守护等进程管理能力; b)应对核心业务进程异常、内存耗尽等情况进行监视; c)应对审计进程进行保护,禁止中断审计进程; d)应具备防注入、反调试、反逆向能力; 宜采用基于可信计算的动态安全防护机制,对软件进程、数据、代码段进行动态度量,不同进 程之间不应存在未经许可的相互调用,禁止向内存代码段与数据段直接注入代码的执行; 进程异常、资源异常以及攻击行为应记录审计日志。
6. 2. 7运行安全
运行安全要求如下: a) 应具备对并发事务和并发用户访问、大负载量、高吞吐量等极限情况的处理机制,保证业务的 连续性; b) 应具备自诊断、自恢复能力,当发生软件异常时,在一定时间内恢复正常功能; C 主备机切换或网络切换时,软件应正常工作,采集及传送的信息不应丢失或重复; 应具备抵御各种常见网络攻击的能力,面对网络风暴时,不应出现误动、误发报文、退出、通
信不中断等现象;面对拒绝服务攻击时,不应出现误动、误发报文、退出等现象,且在中断攻 击后的一定时间内恢复正常功能; 不应存在安全漏洞,包括但不限于存在与业务无关的服务和端口、敏感信息泄露、越权访问漏 洞、注入漏洞、命令执行漏洞等。
电力自动化系统软件应支持版本信息采集和上送功能,关键业务软件宜支持基于可信计算的强制版 本管理。版本管理检测要求如下: a)应具备软件版本信息配置文件,至少包含:产品名称、产品型号、软件版本号、软件校验码、 程序文件路径等信息; 宜统一将程序文件部署于一个文件目录中某工程设备安装施工方案,便于管理; C 宜支持通过Agent的方式实现对软件版本信息的动态采集,应支持通过现有通信协议上送软件 版本信息: d 应用于生产控制大区的关键控制软件宜在可执行程序启动前校验生产厂商和检测机构的签名, 保证软件版本的合规性,
7.1.1代码安全扫描
代码安全扫描检测方法如下: a)使用代码安全扫描工具,通过代码编译、构建配置文件获取、规则匹配等检测环节,发现源代 码缺陷; b) 人工对源代码缺陷进行筛查,进行风险分析,
7.1.2代码静态分析
代码静态分析检测方法如下: a)使用代码静态分析和规则检查扫描工具,通过代码编译、构建配置文件获取、规则匹配等 环节,发现源代码缺陷; b)人工对源代码缺陷进行筛查,确保缺陷准确性,
7.1.3代码静态度量
代码静态度量检测方法如下: a)使用质量度量工具,通过分析代码度量计算,进行源代码静态度量; b)人工对度量结果进行计算审核,确保度量结果准确性。
代码审计检测方法如下: a)使用代码审计扫描工具对代码进行扫描,结合扫描结果对源代码进行人工审查移动营业厅装修工程施工组织设计方案-图文.doc,发现代码中存 在的编码安全漏洞和业务安全漏洞; 利用发现的代码漏洞进行渗透,验证漏洞的危害性
接入安全检测方法如下: a)将人机客户端、配置管理软件等接入,检测是否设定黑、白名单方式限制非法的客户端、管理 软件的接入; D 查看软件开放的接口,检测是否只有通过身份认证后的对象方可接入并进行数据交互; C 查看接口说明,并验证是否仅开放了设定的应用范围,超出范围的访问是否被拒绝; d 检测是否配置接口并发数量,同一时间接入多于允许的接口并发访问数量,检测是否加以限制; e 检测人机客户端、配置管理软件等接入以及配置操作是否记录审计日志,并与实际相符