2015电力能效监测系统技术规范 第8部分：安全防护规范.docx

电力能效监测系统技术规范第 8 部分：安全防护要求目次1 范围12 规范性引用文件13 术语和定义14 安全防护范围15 国家级主站安全防护要求26 省（市）级主站安全防护要求47 子站安全防护要求58 采集子系统安全防护要求6参考文献6 I 本系列标准包括： 第 1 部分：总则； 第 2 部分：主站功能规范； 第 3 部分：通信协议，包括主（子）站与电力能效信息集中与交互终端、电力能效信息集中与交互终端和电力能效监测终端间的通信协议； 第 4 部分：子站功能设计规范； 第 5 部分：主站设计导则； 第 6 部分：电力能效信息集中与交互终端技术条件； 第 7 部分：电力能效监测终端技术条件； 第 8 部分：安全防护要求； 第 9 部分：系统检验规范； 第 10 部分：电力能效监测终端检验规范； 第 11 部分：电力能效信息集中与交互终端检验规范。 II电力能效监测系统技术规范第 8 部分：安全防护要求1 范围本部分规定了电力能效监测系统的安全防护要求。本部分适用于指导电力能效监测系统的安全防护建设，也可以作为其安全测评的依据。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 25069 信息安全技术 术语 GB/T 50719 电磁屏蔽室工程技术规范 GB/T XXXXX.1 电力能效监测系统技术规范 第 1 部分：总则 3 术语和定义GB/T 25069 和 GB/T XXXXX.1 确立的术语和定义适用于本部分。4 安全防护范围电力能效监测系统安全防护范围包括国家级主站、省（市）级主站、子站、采集子系统及各部分间的网络通信，见图1。其中国家级主站、省（市）级主站由其运营、使用单位按照本标准要求，从物理、网络、主机、应用和数据五个层面进行安全防护；企业/园区/电能服务机构部署的子站、采集子系统由各企业/园区/电能服务机构参照本标准要求，从物理、网络、主机、应用和数据五个层面自主进行安全防护；省（市）级主站到国家级主站的网络通信按照国家级主站安全防护要求进行防护；子站、采集子系统到省（市）级主站的网络通信按照省（市）级主站安全防护要求进行防护；采集子系统到子站的网络通信按照子站安全防护要求进行防护。 5 图1安全防护范围5 国家级主站安全防护要求5.1 基本防护要求国家级主站安全防护应符合以下基本要求：a) 机房物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护应符合 GB/T 22239-2008 第 7.1.1 节要求； b) 网络结构、网络访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护应符合 GB/T 22239-2008 第 7.1.2 节要求； c) 主机身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制应符合 GB/T 22239-2008 第 7.1.3 节要求； d) 应用身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制应符合 GB/T 22239-2008 第 7.1.4 节要求； e) 数据完整性、保密性、备份和恢复应符合 GB/T 22239-2008 第 7.1.5 节要求。 5.2 防护重点5.2.1 物理安全国家级主站物理安全防护重点包括：a) 应将国家级主站的服务器主机、网络设备和安全防护设备部署在机房的三级系统区域； b) 应将国家级主站的数据库服务器、应用服务器安装在具有电磁屏蔽功能的机柜或符合 GB/T 50719 要求的电磁屏蔽机房内。 5.2.2 网络安全国家级主站网络安全防护重点包括：a) 应将国家级主站部署在一个独立网段内，与局域网内其它信息系统之间部署硬件防火墙设备，配置访问控制策略并启用访问控制功能； b) 应将国家级主站的应用服务器、数据库服务器分别部署在不同子网，部署访问控制设备进行隔离，禁止从互联网访问数据库； c) 应在国家级主站接入互联网的边界处部署硬件防火墙设备和网络入侵检测/防御设备（IDS/ IPS），配置安全策略并启用安全功能； d) 应为国家级主站的网站服务器部署具有网页防篡改和 WEB 应用攻击检测功能的安全防护设备，配置安全策略并启用安全功能； e) 应采用能效监测系统专用硬件加密设备作为省（市）级主站接入设备，实现国家级主站与省（市） 级主站之间的双向认证和通信信道加密功能； f) 国家级主站与第三方信息系统通过无安全保护的公共网络互联时，应采用双方认可的硬件加密设备进行互联，实现系统间的双向认证和通信信道加密功能； g) 应将国家级主站的各服务器 IP 地址、MAC 地址与网络交换机端口绑定，并禁用未使用的交换机端口； h) 应绘制与国家级主站运行情况相符的网络拓扑结构图，并在图上标注清楚设备型号、IP 地址、网段、路由与访问控制策略等信息。 5.2.3 主机安全国家级主站主机安全防护重点包括：a) 服务器操作系统、数据库系统和应用服务器应遵循最小安装的原则，仅安装必要的组件和应用程序，仅开启必需的服务和端口，及时更新系统补丁，补丁安装前应进行安全性和兼容性测试； b) 应对服务器操作系统、数据库系统和应用服务器的用户账户、口令策略、操作权限、日志记录、资源管理策略进行配置加固； c) 应部署安全审计设备对数据库系统运行状况和用户访问进行日志记录与审计分析。审计设备应与数据库系统旁路运行，由独立于数据库管理员的审计人员维护。 5.2.4 应用安全国家级主站应用安全防护重点包括：a) 具有系统管理或信息审核、发布权限的系统用户应采用两种或两种以上组合的鉴别技术实现身份鉴别。普通权限用户在执行重要业务操作前，应采用两种或两种以上组合的鉴别技术进行鉴别； b) 应至少设置系统管理、信息审核、信息发布与安全审计角色，按照“最小授权”原则授予不同的账户，形成互相制约关系； c) 应按照“最小授权”原则授予用户必需的应用和数据访问权限； d) 应通过独立的应用安全审计模块实现对用户账户维护、登录与退出、用户权限维护、违背授权的访问等重要安全事件的日志记录和审计； e) 国家级主站与省（市）级主站之间建立连接之前，应利用密码技术进行会话初始化验证，并利用能效监测系统专用硬件加密设备对整个会话过程进行加密； f) 国家级主站与第三方信息系统之间通过无安全防护的公共网络建立连接之前，应利用密码技术进行会话初始化验证，并利用双方认可的硬件加密设备对整个会话过程进行加密； g) 应根据网络出口带宽和服务器性能设置最大并发会话连接数、单个账户的多重并发会话数、一个时间段内的并发会话连接数、一个访问账户或一个请求进程占用的资源分配最大限额和最小限额。 5.2.5 数据安全国家级主站数据安全防护重点包括：a) 对用户身份鉴别信息、重要业务数据应采用密码算法进行加密处理后传输或存储； b) 应通过安全审计设备对访问重要数据库表的行为进行记录和审计。 6 省（市）级主站安全防护要求6.1 基本防护要求省（市）级主站安全防护应符合以下基本要求：a) 机房物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护应符合 GB/T 22239-2008 中 6.1.1 要求； b) 网络结构、网络访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护应符合 GB/T 22239-2008 中 6.1.2 要求； c) 主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制应符合 GB/T 22239-2008 中 6.1.3 要求； d) 应用身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制应符合GB/T 22239-2008 中 6.1.4 要求； e) 数据完整性、保密性、备份和恢复应符合 GB/T 22239-2008 中 6.1.5 要求。 6.2 防护重点6.2.1 网络安全省（市）级主站网络安全防护重点包括：a) 应将省（市）级主站部署在一个独立网段内，与局域网内其它信息系统之间部署硬件防火墙设备，配置访问控制策略并启用访问控制功能； b) 应将省（市）级主站的应用服务器、数据库服务器分别部署在不同子网，部署访问控制设备进行隔离，禁止从互联网访问数据库； c) 应在省（市）级主站接入互联网的边界处部署硬件防火墙设备和网络入侵检测/防御设备（IDS/ IPS），配置安全策略并启用安全功能； d) 应为省（市）级主站的网站服务器部署具有网页防篡改和 WEB 应用攻击检测功能的安全防护设备，配置安全策略并启用安全功能； e) 应采用能效监测系统专用硬件加密设备接入国家级主站，实现与国家级主站之间的双向身份认证和通信信道加密功能； f) 应采用能效监测系统专用硬件加密设备作为下级子站、信息集中与交互终端接入设备，实现与下级子站及信息集中与交互终端之间的双向身份认证和通信信道加密功能； g) 省（市）级主站与第三方信息系统通过无安全保护的公共网络互联时，应采用双方认可的硬件加密设备进行互联，实现系统间的双向认证和通信信道加密功能； h) 应绘制与省（市）级主站运行情况相符的网络拓扑结构图，并在图上标注清楚设备型号、IP地址、网段、路由与安全策略等信息。 6.2.2 主机安全省（市）级主站主机安全防护重点包括：a) 服务器操作系统、数据库系统和应用服务器应遵循最小安装的原则，仅安装必要的组件和应用程序，仅开启必需的服务和端口，及时更新系统补丁，补丁安装前应进行安全性和兼容性测试； b) 应对服务器操作系统、数据库系统和应用服务器的用户账户、口令策略、操作权限、日志记录、资源管理策略进行配置加固； c) 应部署安全审计设备对数据库系统运行状况和用户访问进行日志记录与审计分析。审计设备应与数据库系统旁路运行，由独立于数据库管理员的审计人员维护。 6.2.3 应用安全省（市）级主站应用安全防护重点包括：a) 应至少设置系统管理、信息审核、信息发布与安全审计角色，按照“最小授权”原则授予不同的账户，形成互相制约关系； b) 应按照“最小授权”原则授予用户必需的应用和数据访问权限； c) 应通过独立的应用安全审计模块实现对用户账户维护、登录与退出、用户权限维护、违背授权的访问等重要安全事件的日志记录和审计； d) 省（市）级主站与国家级主站、企业/园区/电能服务机构子站、信息集中与交互终端之间建立连接之前，应利用密码技术进行会话初始化验证，并利用能效监测系统专用硬件加密设备对整个会话过程进行加密； e) 省（市）级主站与第三方信息系统之间通过无安全防护的公共网络建立连接之前，应利用密码技术进行会话初始化验证，并利用双方认可的硬件加密设备对整个会话过程进行加密； f) 应根据网络出口带宽和服务器性能设置最大并发会话连接数和单个账户的多重并发会话数。 6.2.4 数据安全省（市）级主站数据安全防护重点包括：a) 对用户身份鉴别信息、重要业务数据应采用密码算法进行加密处理后传输或存储； b) 应通过安全审计设备对访问重要数据库表的行为进行记录和审计。 7 子站安全防护要求子站安全防护要求包括：a) 应根据子站安全保护等级采取满足 GB/T 22239-2008 对相应等级要求的安全防护措施； b) 子站接入上级主站或子站，应按照上级主站或子站安全防护要求要求采取相应的认证和通信保护措施； c) 子站接收上级主站或子站下发的控制指令前，应对上级主站或子站的身份进行确认； d) 子站与信息集中与交互终端通过无安全防护的公共网络建立连接之前，宜采用能效监测系统专用加密硬件作为信息集中与交互终端接入设备，实现子站与信息集中与交互终端之间的接入认证和通信信道加密功能； e) 如果子站接入互联网，宜在互联网出口部署网络访问控制设备、入侵检测/防御设备。如果有对外的 WEB 服务，宜部署具有网页防篡改、WEB 应用攻击检测功能的网站安全防护设备并启用安全功能。 8 采集子系统安全防护要求8.1 信息集中与交互终端安全防护要求信息集中与交互终端安全防护要求包括：a) 信息集中与交互终端应部署在安全可控的物理区域内并进行标识； b) 信息集中与交互终端接入上级主站或子站，应按照上级主站或子站安全防护要求采取相应的接入认证和通信保护措施； c) 信息集中与交互终端与监测终端建立连接之前，应通过设备通信地址对监测终端进行验证，对下发给监测终端的控制指令宜采用密码算法加密后传输； d) 对信息集中与交互终端的远程维护宜采用能效监测系统专用加密硬件作为接入设备，实现接入认证和通信信道加密功能； e) 如果信息集中与交互终端采用 Linux 等操作系统，应遵循最小安装的原则，仅安装必需的操作系统组件和应用软件，关闭不需要的服务，及时更新补丁，并对操作系统进行安全配置加固， 防止非授权用户登录。 8.2 监测终端安全防护要求监测终端安全防护要求包括：a) 监测终端应部署在安全可控的物理区域内并进行标识； b) 监测终端应遵循最小安装的原则，仅安装必需的软件程序。