第6部分第2篇：云端系统本质安全（征求意见稿）.docx

《第6部分第2篇：云端系统本质安全（征求意见稿）.docx》由会员分享，可在线阅读，更多相关《第6部分第2篇：云端系统本质安全（征求意见稿）.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Q/CSG Q/CSG XXXXX 中国南方电网有限责任公司企业标准中国南方电网有限责任公司 发 布2022-XX-XX 实施2022-XX-XX发布南方电网云边融合智能调度运行平台体系化技术标准第6-2部分：云端系统本质安全（征求意见稿）Q/CSG XXX目 次前 言II1.范围12.规范性引用文件13.术语和定义14.总则15.功能性要求26.非功能性要求6前 言为贯彻落实公司体系化、规范化、指标化目标，全面支撑以新能源为主体的新型电力系统运行，承接公司数字化转型与数字南网建设任务，适应电网运行特征从计划性、集中式向开放共享、智能互动的方向转变，构建全面支撑电网安全运行和现货市场高效运营两

2、大业务融合的智能调度运行平台，特制定南方电网云边融合智能调度运行平台（CEP）体系化技术标准。本次发布的体系化技术标准用于指导公司CEP云端系统、边缘端系统的建设。本体系化技术标准分为7部分27篇41分册，第1部分为体系及定义，共2篇，描述了总体架构和术语定义；第2部分为模型及接口，共3篇，描述了边缘集群与边缘网关的模型、协议及交互等要求；第3部分为云端系统，共5篇，描述了调度云平台、云端系统平台、云端应用、云端系统人机交互、云边数据交互等要求；第4部分为边缘端系统，共5篇，描述了边缘集群、边缘网关技术要求及边缘网关应用开发、智能运维、即插即用等要求；第5部分为智能应用，共2篇，描述了各类智能

3、应用技术等要求；第6部分为本质安全，共6篇，描述了云端和边缘端的本质安全技术等要求；第7部分为测试及检验，共4篇，描述了云端系统检验、边缘端系统检验、本质安全检测等要求。本体系化技术标准体系架构如下表所示：部分篇分册编号第1部分：体系及定义第1篇：总体架构和一般要求TS1.1第2篇：术语和定义TS1.2第2部分：模型及接口第1篇：边缘网关即插即用模型TS2.1第2篇：边缘网关即插即用接口及协议TS2.2第3篇：边缘集群接入TS2.3第3部分：云端系统第1篇：调度云第1分册：基础资源即服务TS3.1.1第2分册：平台即服务TS3.1.2第3分册：数据即服务TS3.1.3第4分册：调度云平台与边缘

4、集群协同交互TS3.1.4第2篇：云端系统平台TS3.2第3篇：云端应用开发TS3.3第4篇：云端系统人机交互TS3.4第5篇：云边数据交互TS3.5第4部分：边缘端系统第1篇：边缘集群 TS4.1第2篇：边缘网关TS4.2第3篇：边缘网关应用开发 TS4.3第4篇：边缘网关智能运维TS4.4第5篇：边缘网关即插即用 TS4.5第5部分：智能应用第1篇：预测及分析第1分册：人工智能系统负荷预测TS5.1.1第2分册：人工智能母线负荷预测TS5.1.2第3分册：人工智能新能源功率预测TS5.1.3第4分册：基于区块链的分布式能源交易TS5.1.4第5分册：云边融合统一优化模型TS5.1.5第2篇

5、：协同控制第1分册：电化学储能自动调频控制TS5.2.1第2分册：新能源有功功率自动控制TS5.2.2第3分册：充电设施云边协同自动控制TS5.2.3第4分册：微电网云边协同自动控制TS5.2.4第5分册：可调节负荷云边协同自动控制TS5.2.5第6分册：虚拟电厂云边协同自动控制TS5.2.6第7分册：配电网自动电压控制TS5.2.7第8分册：云边协同控制TS5.2.8第6部分：本质安全第1篇：本质安全技术导则TS6.1第2篇：云端系统本质安全TS6.2第3篇：边缘网关本质安全TS6.3第4篇：边缘集群本质安全TS6.4第5篇：数据安全TS6.5第6篇：基于区块链的数据应用和传递TS6.6第7

6、部分：测试及检验第1篇：云端系统检验TS7.1第2篇：边缘网关检验TS7.2第3篇：边缘集群检验TS7.3第4篇：本质安全检测TS7.4本规范是该系列标准的第6部分第2篇。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由中国南方电网有限责任公司标准化部归口管理。本文件由中国南方电网电力调度控制中心提出、编制和负责解释。本文件起草单位：中国南方电网电力调度控制中心。本文件参加单位：本文件主要起草人员：本文件在执行过程中的意见或建议反馈至中国南方电网有限责任公司标准化部（广东省广州市黄埔区科翔路11号南网科研基地，510663）。III南方电网云边融合智能调度运行

7、平台体系化技术标准第6-2部分：云端系统本质安全（征求意见稿）1. 范围本技术标准规定了CEP中云端系统平台的技术要求。本技术标准适用于南方电网CEP云端系统平台的规划、设计、建设、改造和检测。2. 规范性引用文件下列文件中的条款通过本技术标准的引用而成为本技术标准的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本技术标准。凡是不标注日期的引用文件，其最新版本适用于本技术标准。GB/T 22239-2019 信息安全技术网络安全等级保护基本要求DL516-2006 电力调度自动化系统运行管理规程DL/T 5003 电力系统调度自动化设计技术规程Q/CSG

8、1204009-2015 中国南方电网电力监控系统安全防护技术方案国家发展改革委2014第14号令 电力监控系统安全防护规定国能安全201536号 电力监控系统安全防护总体方案3. 术语和定义TS1.2界定的以及下列术语和定义适用于本技术标准。3.1物理安全 Physical security通过对集中机房及主机采取集中建设、管理、监视等措施，以保障云端系统底层物理设备安全可用的能力。3.2网络安全 network security通过对云端系统数据流进行分析，并从访问控制、入侵防护、运维审计等维度进行安全防护，以保障云端系统数据传输安全可靠的能力。3.3应用安全 application se

9、curity通过在应用内部实现身份鉴别、应用容错、操作审计等功能，以此在应用层面保障业务操作准确可信的能力。3.4控制安全 Control security通过在控制流程中采取权限分散、操作防误等措施，以及在系统被入侵后执行的应急处置措施，保障电网系统不因外部入侵而被大面积影响的能力。3.5数据安全 data security通过在数据存储层面采用访问控制、数据备份、数据脱敏等方式，保障数据完整性、保密性、可用性的能力。3.6安全管理 Safety management对云端系统内用户信息、运维操作、应用版本等进行管理的相关部件。4. 总则云端系统本质安全总体应满足以下要求：a) 应选取安全可

10、靠的场地建设云端系统集中机房，并对机房进行全面的监视管控；应采用软硬件加固方式保证主机安全。b) 应在云端系统内部署多种网络防护软硬件设备，对出入云端系统的流量进行扫描防护，及时识别并阻断对云端系统的攻击。c) 应在云端系统应用层面实现访问控制、身份鉴别、通信加密等功能，提升云端系统的安全性。d) 应在云端系统内实行控制权限分散管理；应对控制操作实行防误检测、云边互校等检查；应有明确的应急执行预案。e) 应对访问云端系统数据的请求进行验证，采取数据加密、备份等措施，确保云端系统的数据安全可靠。f) 应在云端系统内提供权限管理、运维管理、系统备份等安全管理功能。5. 功能性要求5.1. 物理安全

11、应对云端系统机房环境及设备进行集中监视管理，保障系统物理安全。5.1.1. 场所安全场所安全应满足以下要求：a) 云端系统主备集中机房应选择在具有防震、防风和防雨等能力的建筑内，避免设在建筑物的顶层或地下室，以及用水设备的下层或隔壁，远离易燃易爆等不安全场所。b) 应最小化云端系统集中机房的安全盲区和物理攻击入口，避免因个别小型机房被入侵而引起的整体安全防线崩塌。c) 应强化机房安保力量，对集中机房实行高强度的防护，杜绝社会工程学攻击。d) 应将设备或主要部件进行固定，并设置明显的不易去除的标识。e) 应将通信线缆铺设在隐蔽安全处。f) 应设置火灾自动消防系统，能够自动检测火情、自动报警，并自

12、动灭火。g) 应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围内。h) 应在机房内提供短期的备用电力 供应，并在供电线路上配置稳压器和过电压防护设备。i) 应对集中机房进行统一运维管理，其他单位人员进入机房运维和管理设备应按要求办理工作票，并且接受监督管理。5.1.2. 主机安全主机安全应满足以下要求：a) 应对机房内的设备进行集中部署、集中管理。b) 云端系统主机操作系统和核心处理器应采用通过国家相关机构安全检测认证的产品。c) 应对主机操作系统采用安全配置、安全补丁等方式进行安全加固，并满足GB/T 22239-2019中，关于等保三级的安全要求。d) 云端系统主机应配置

13、入侵防护功能，进行恶意代码查杀、异常登录检测、异常进程行为检测、异常网络连接检测等；应支持检索物理机安全日志，包括进程启动、网络连接、登录流水、暴力破解、进程快照、端口快照、账号快照等。5.1.3. 集中监视集中监视应满足以下要求：a) 集中机房应具有对进入机房的人员进行双因子验证的门禁系统。b) 应全面安装视频及环境监控系统，加强对机房物理环境的安全管理。c) 在机房内使用的工作站/笔记本应使用采集监视技术，利用设备上的摄像头，进行第三因子管控，避免越权使用。5.2. 网络安全应遵循电力监控系统网络安全防护有关规定，满足GB/T 22239-2019中，关于等保三级的安全要求，实现系统的网络

14、安全。5.2.1. 网络准入网络准入应满足以下要求：a) 应支持对云端系统内不同的虚拟网络配置网络安全组，指定虚拟网络可接入的IP、端口、协议等信息，实现对出入虚拟网络的流量进行过滤。b) 应支持网络边界内对外、外对内的访问控制。c) 应具备网络一键封禁功能，可以一键把恶意源IP添加到黑名单，并阻断其对网络的访问。d) 应构建“零信任”访问控制体系，对应用、设备、数据、服务等访问主体进行身份化，完善接入端的身份信息，并对接入流量进行持续认证。e) 应支持动态访问控制，划分多个信任等级，基于信任等级对访问权限进行动态调整。5.2.2. 入侵防护入侵防护应满足以下要求：a) 应支持针对应用的高危漏

15、洞防护，提供在网络层实时拦截的虚拟补丁。b) 应支持对常见Web应用攻击防护，如：DDoS攻击、SQL注入、XSS跨站、Webshell上传等的防护并报警。c) 应支持对攻击事件、攻击流量、攻击规模的集中管理统计。5.2.3. 运维审计运维审计应满足以下要求：a) 应支持多种认证方式(账号密码、USB_Key、LDAP等)和常用的运维协议(SSH、RDP、VNC、FTP、Telnet等)。b) 应支持Web访问方式，使用浏览器直接调用H5控件实现运维操作；支持Web页面调用运维客户端工具。c) 应支持客户端访问方式，支持使用运维客户端工具实现数据库及目标设备的访问。d) 应支持对RDP屏幕文字

16、内容、标题窗口、键盘输入的记录和搜索定位。e) 应支持会话录像在线回放、定位回放及下载后使用官方专用客户端离线回放。f) 应支持按设备、数据库、系统账号、计划执行时间、改密周期、密码策略、改密结果发送等生成详细的改密计划，到期自动执行。5.3. 应用安全云端系统上的应用应能够对访问用户进行权限鉴别，对用户的重要操作进行审计记录，提供基本的容错手段以确保应用安全。5.3.1. 身份鉴别应用身份鉴别应满足以下要求：a) 应具备专用的登录控制模块，采用用户名密码加USB_KEY、数字证书、指纹识别等鉴别技术对登录用户进行身份标识和鉴别。b) 应不允许存在内置匿名用户、匿名用户登录、临时用户和测试用户

17、。c) 应具备对用户口令强度的强制检查功能，弱口令不能被设置。d) 应设置口令有效期，并强制定期修改口令。e) 应设置审核管理员，对关键的系统管理和特殊要求的业务操作行为实施不可绕行的审批，没有经过审批的操作将不能生效。f) 应遵循“零信任”的安全策略，为用户设置应用、服务、数据等资源的访问规则，并对访问请求进行持续认证，对认证不通过的访问请求进行阻断。g) 系统管理员应能通过权限管理工具对应用能够访问的资源进行管控。5.3.2. 应用审计应用审计应满足以下要求：a) 应对云端系统内所有用户的操作进行审计记录，并提供工具对审计信息进行搜索、分类、排序、统计和生成审计报表。b) 应只允许审计管理

18、员访问审计数据。c) 应支持设置审计事件类型，必须对所有安全相关事件进行审计记录。d) 审计记录中应包含：事件发生的时间，用户ID、程序ID，事件类型，事件内容等信息。e) 应禁止删除、修改审计事项。f) 应支持对审计事项进行手动或自动备份。5.3.3. 应用容错应用容错应满足以下要求：a) 应支持对输入和导入的数据进行合法性检验，禁止不合法数据输入系统。b) 应允许多用户同时对同一个系统资源进行不相冲突的访问操作，并且设定保护措施，防止相互可能造成的冲突。c) 应具备对重要信息进行备份和恢复的功能。d) 应具备对关键操作、步骤的操作撤销、回退功能。5.3.4. 剩余信息保护应用剩余信息保护应

19、满足以下要求：a) 应保证应用数据在存储空间被释放或再分配后磁盘数据被完全清除。b) 应具备在应用软件的各组成部分中对口令数据进行加密存储。c) 应保证应用退出后，清空内存和磁盘中的临时数据。5.3.5. 通信安全应用通信安全应满足以下要求：a) 应采用哈希、校验码或数字签名技术来保证通信过程中数据的完整性。b) 应支持丢弃完整性检验错误的数据，并触发重传机制，在数据发送端的帮助下，恢复出正确的通信数据。c) 应支持对通信过程中的重要数据、密码等敏感信息进行加密。5.3.6. 渗透防护应用渗透防护应满足以下要求：a) 应禁用浏览器的cookie功能，避免被人利用从而绕过web登录界面进行系统渗

20、透。b) 应不允许在系统内留有后门及存在临时用户和测试用户。c) 应关闭与业务无关的端口及服务，或通过防火墙对无关端口进行阻断。5.3.7. 容器安全应用容器安全应满足以下要求：a) 应支持基于Linux的容器镜像安全扫描，可以识别镜像中所有已知的漏洞信息，并提供相应的漏洞信息评估和相关的漏洞修复建议。b) 应支持镜像加签功能，保障镜像从分发到部署的全链路一致性，避免中间人攻击和非法镜像的更新及运行。c) 应支持镜像版本不可变功能，保证相同版本的镜像只被成功推送一次，从而避免人为误操作引起的镜像版本覆盖问题。d) 应支持容器镜像和Helm Chart的网络访问控制策略，配置ACL通过专有网络或

21、公网进行访问。5.3.8. 实例冗余应用实例冗余应满足以下要求：a) 单一应用应进行多实例部署，确保实例冗余，保证功能的可靠性，避免单点故障。b) 应用实例间应提供异常检测机制，实现异常实例的检测和业务的快速切换。c) 应支持应用实例弹性伸缩，根据业务容量动态调整实例数目。d) 应用实例宜支持无状态部署，应用实例不宜与具体节点绑定。5.4. 控制安全云端系统对光伏、风电等新型主体单元的AGC、AVC、遥调遥控等控制操作应进行分散管理，对控制操作进行防误校验，在发现系统被入侵后，应具备一键停控的能力，避免影响的进一步扩大。5.4.1. 分散控制分散控制应满足以下要求：a) 应遵循分散控制原则，云

22、边两级负责不同的控制主体和控制功能，避免单一节点失守导致大面积电网误控。b) 应支持控制操作在具有控制权限的工作站进行，操作员必须具有相应的控制权限。c) 应实现管理用户与控制用户的权限分离，仅授予管理用户所需的最小权限，应根据不同用户设置不同的责任区域。5.4.2. 操作防误操作防误应满足以下要求：a) 应遵循云边互校原则，边缘集群对于云端系统发送的控制指令进行校验后再执行，避免错误指令在站端被直接执行。b) 应对控制操作进行全面的防误检查，通过防误闭锁定义工具定义的闭锁条件。c) 应提供防误闭锁定义工具和检查功能，对设备的分合及遥调上下限提供防误闭锁条件。d) 应在传统五防/防误技术的基础

23、上提供基于网络拓扑的系统级智能防误功能。e) 应实现基于潮流计算的防误判断，防止操作造成负荷损失、线路或设备过载、输电断面超越极限等。f) 应支持态势感知，对日常下发的控制指令进行分析和学习，识别异常的操作。5.4.3. 应急处置应急处置应满足以下要求：a) 应支持一键停控，当发现入侵事件后，可一键拍停控制功能。b) 应制定一二次协同应急预案，明确判断系统被入侵条件，及被入侵后调度员应启用的控制闭锁操作。 c) 应对调度员定期开展应急培训，熟悉应急预案执行流程。5.5. 数据安全云端系统应对敏感数据进行识别并加密存储，对数据的读写请求设置访问控制，对写入的数据应进行完整性校验，以此保证数据安全

24、。5.5.1. 敏感数据防护 敏感数据防护应满足以下要求：a) 应支持从图片、视频、音频、文件中识别敏感信息。b) 应支持分析用户对敏感数据的访问行为，识别异常访问请求，并生成相应的告警信息。c) 应支持灵活多样的内置或自定义脱敏算法，实现生产类敏感数据脱敏到开发测试等非生产环境使用的场景，并确保脱敏后的数据保真可用。5.5.2. 数据访问控制数据访问控制应满足以下要求：a) 应支持基于账户的权限管控，设置数据库级别的只读、读写、DDL、DML权限。b) 应支持黑名单，阻断黑名单中IP地址的访问请求。5.5.3. 数据完整数据完整应满足以下要求：a) 应采用SHA256、MD5、CRC32等哈

25、希、校验码或数字签名技术来保证存储数据的完整性。b) 应对系统配置、重要的业务数据进行严格的权限验证，确保其不能被删除、篡改。c) 应支持对数据完整性进行检测，与安全相关的配置及业务数据，需要加入校验域，校验形式可每行加校验，也可整个文件加校验。d) 应对数据进行备份，在检测到数据完整性受到破坏时，能从数据备份中快速恢复。5.5.4. 数据加密数据加密应满足以下要求：a) 应支持基于SSL证书的连接加密功能。b) 应支持基于块存储技术对整个数据盘进行加密。c) 应支持在客户端和服务端进行数据加密，实现端到端数据传输加密。5.5.5. 数据库备份数据库备份应满足以下要求：a) 支持定期对数据库的

26、日志文件、数据文件进行备份。b) 在对数据库应用进行安装补丁、升级或其他导致数据库变更之前应进行数据备份。c) 故障发生时，应对故障数据库进行备份，再执行故障恢复操作。5.6. 安全管理应对云端系统权限进行统一管控，遵循一人一账户的原则，禁止设置公共账户；应对云端系统的运维进行统一授权，操作记录应记录在案。5.6.1. 权限管理权限管理应满足以下要求：a) 应支持针对角色的管理，创建、修改、删除角色，为角色授权和移除权限。b) 应支持多种权限的账户，系统管理类账户、业务授权类账户、 业务操作类账户、 业务运维类账户和业务浏览类账户，实现三权分立管理。c) 应遵循一人一账户的方式进行权限配置，禁

27、止设置公共账户进行系统登录。d) 应授权关键操作在规定的地点、规定的时间，使用规定的终端开展相关业务。e) 云端系统权限应按照“最小化” 原则配置。人员离职、岗位调整后，应在一周内完成相应核心系统账户权限调整，并定期开展系统权限核查及清理工作。f) 应集中控制子用户的资源访问方式，确保子用户在指定的时间和网络环境下，通过安全信道访问特定的云端系统资源。g) 应集中控制云端系统资源，对子用户创建的实例或数据进行集中控制。h) 应支持通过用户组对职责相同的子账户进行分类并授权，可以更加高效地管理子用户及其权限。5.6.2. 运维管理运维管理应满足以下要求：a) 应严格遵守维护作业计划，未经批准不准

28、随意更改。b) 系统操作应记录在案，操作日志应被严格保护；应对系统操作日志进行审核。c) 应对系统故障进行统一记录管理。d) 应禁止一人同时持有主备系统的管理员权限。e) 应禁止关键密码使用出厂默认密码。f) 管理类账户应由系统管理员持有，开发人员应通过堡垒机等运维工具对系统进行维护操作。5.6.3. 应用版本管理应用版本管理应满足以下要求：a) 应用的升级或数据更新应有完善的版本控制，且只能由指定的管理员在获取授权后进行操作。b) 应保留软件的历史版本，用于回溯和应急。c) 应在操作系统中只保留应用的可执行程序，不应包含源代码。5.6.4. 容灾恢复容灾恢复应满足以下要求：a) 主备机房应独立部署，主系统失效时，备系统应快速切换上线。b) 容灾切换应保证业务的连续性。6. 非功能性要求6.1 性能要求本质安全性能应满足以下要求：a) 安全攻击拦截成功率达到99%，误报率小于5%b) 从实际攻击发起到启动防护的时间延迟3秒。6.2 可靠性要求本质安全可靠性应满足以下要求：a) 云端系统本质安全相关功能应通过关键硬件设备及软件采用冗余配置、集群、容灾备用等技术手段，消除单点故障，确保不因部分软硬件故障而影响正常运行。b) 安全服务应具备自启动功能，无需人工重启，保证自动恢复。6.3 自主知识产权要求自主知识产权应满足以下要求：a) 云端系统应采用国产或开源自主可控软硬件。7