DL∕ Z 981-2005 電力系統(tǒng)控制及其通信數(shù)據(jù)和通信安全

前言 Ⅱ1范圍和目的 1 1 1 2 6 67本文件安全工作的焦點(diǎn) 8安全隱患 21附錄A(資料性附錄)防護(hù)方案是什么 24 26附錄C(資料性附錄)后果圖示例 本指導(dǎo)性技術(shù)文件是根據(jù)《國(guó)家發(fā)展和改革委員會(huì)關(guān)于下達(dá)2004年行業(yè)標(biāo)準(zhǔn)項(xiàng)目計(jì)劃通知》(發(fā)改辦工業(yè)[2004]872號(hào)文)的安排制定的。用也日益普及，隨之而來(lái)的是病毒和黑客等問(wèn)題。為此，國(guó)際電工委員會(huì)57技術(shù)委員會(huì)(IECTC57)對(duì)有關(guān)電力系統(tǒng)控制的數(shù)據(jù)和通信安全進(jìn)行了研究，并于2003年發(fā)布了技術(shù)報(bào)告IECTR62210《電力信安全端對(duì)端網(wǎng)絡(luò)管理的管理信息基本要求》(57676/NP)、《數(shù)據(jù)和通信安全I(xiàn)EC61850協(xié)議集的安和通信安全包含TCPIP協(xié)議集的通信網(wǎng)絡(luò)和系統(tǒng)的安全》(57/679/NP)等安全文件的研究和編寫工作。技術(shù)報(bào)告IECTR62210《電力系統(tǒng)控制及其通信數(shù)據(jù)和通信安全》是該系列文究，并在此基礎(chǔ)上發(fā)布了一系列安全防護(hù)規(guī)定。這些安全防護(hù)規(guī)定涉及面比IECTR62210廣，內(nèi)容也本指導(dǎo)性技術(shù)文件的附錄A、附錄B和附錄C是資料性附錄。本指導(dǎo)性技術(shù)文件起草單位：國(guó)家電力調(diào)度通信中心、中國(guó)電力科學(xué)研究院、國(guó)電自本指導(dǎo)性技術(shù)文件主要起草人：南貴林、楊秋恒、許慕梁、鄧兆云、姚和平1DL/Z981—2005數(shù)據(jù)和通信安全GB18657(所有部分)遠(yuǎn)動(dòng)設(shè)備和系統(tǒng)第5部分：傳輸協(xié)議(IDTIEC60870--5)GB18700(所有部分)遠(yuǎn)動(dòng)設(shè)備和系統(tǒng)第6部分：與ISO標(biāo)準(zhǔn)和ITU-T建議兼容的遠(yuǎn)動(dòng)協(xié)議(IDT2GB/T9387.1-1998信息技術(shù)開放系統(tǒng)互連基本參考模型第1部分：基本模型(IDTISO/IECGB/T9387.2-1995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)(IDTISO/IEC7498-2:198DL860(所有部分)變電站通信網(wǎng)絡(luò)和系統(tǒng)(DL790(所有部分)采用配電線載波的配電自動(dòng)化(IDTIEC61334)ISO/EC10181-1:1996ISO/IEC15408-1信息技術(shù)安全技術(shù)IT安全評(píng)估標(biāo)準(zhǔn)第1部分：引言和基本通用模式ISO/IEC15408-2信息技術(shù)安全技術(shù)IT安全評(píng)估標(biāo)準(zhǔn)第2部分：安全功能需求ISO/IEC15408-3信息技術(shù)安全技術(shù)IT安全評(píng)估標(biāo)準(zhǔn)第3部分：安全保障需求3重放replay4欺騙spoof任實(shí)體Y。5DL/Z981—2005在EAL-5級(jí)質(zhì)量及安全保障導(dǎo)則或者為更高級(jí)別的ISO/IEC15408-3中所規(guī)定的配置和指導(dǎo)下所AMRNTCommercialofftheShelfSoftwareDistributionLineCa進(jìn)性能的個(gè)人用戶或商務(wù)而(user)ProgrammableLogicRemoteTerminalUnitSupervisoryControlAnd(用戶)可編程邏輯控制器6TransmissionControlProtocol/InternetworkingProtoTargetofEvaluation輸電公司通信和信息安全正成為商業(yè)或私有部門信息網(wǎng)絡(luò)的一個(gè)基本要求。對(duì)于用通信服務(wù)基礎(chǔ)設(shè)施或關(guān)鍵服務(wù)組成部分的部門特別是這樣。中斷這些服務(wù)(例如中斷供氣、供水、供電)可公用事業(yè)部門牢牢把握著他們的信息并且控制著他們通信基礎(chǔ)設(shè)施的通信網(wǎng)絡(luò)以及公共網(wǎng)絡(luò)上信息交換愈來(lái)愈多。這種趨勢(shì)使不可信方(如黑客、低素質(zhì)的員工和恐怖分子)會(huì)考慮采取系統(tǒng)性的攻擊。這種趨勢(shì)以及大量可在攻擊中使用的技術(shù)，預(yù)示著攻擊數(shù)不像軍隊(duì)那樣，計(jì)算機(jī)或公用事業(yè)部門的信息系統(tǒng)和協(xié)議的大多數(shù)用戶們的信息和基礎(chǔ)設(shè)施的可能威脅。更糟的是，雖然用戶有時(shí)意識(shí)到但不重視著手解決已知的安全風(fēng)險(xiǎn)。目前，偶發(fā)事件(檢測(cè)到的攻擊)的次數(shù)還相對(duì)較低。然而，檢測(cè)出的攻擊日益增多而且已經(jīng)證實(shí)主要基礎(chǔ)設(shè)施(如煤氣、水和電)都是極易被攻擊的。全問(wèn)題，而只針對(duì)信息通過(guò)IECTC57規(guī)定的一些協(xié)議傳送時(shí)的信息安全。本文件的使用方法：本文件是用于向IECTC57及其工作組提出建議，可視為建立新工作項(xiàng)目的基應(yīng)進(jìn)一步考慮與其他IEC技術(shù)委員會(huì)(TC)建立密切的聯(lián)系，這樣，他們也能考慮本文件提出的本文件的建議將直接影響常規(guī)的企業(yè)安全防護(hù)過(guò)程，而且必須以與這個(gè)過(guò)程一致的方式來(lái)構(gòu)想建議。因此，理解典型的企業(yè)安全防護(hù)過(guò)程的需求以及它們對(duì)本文件范圍的影圖1描繪了那些通常認(rèn)為是常規(guī)企業(yè)的安全防護(hù)策略，這些企業(yè)需要建立相對(duì)“安全”的公司基礎(chǔ)設(shè)施。圖1清楚地表明，為了建立安全的企業(yè)基礎(chǔ)設(shè)施，企業(yè)安全防護(hù)策略必須先由企業(yè)管理者制定和企業(yè)安全防護(hù)策略的規(guī)則涉及安全域、安全域機(jī)構(gòu)、安全審計(jì)員(或安全審計(jì)程序)的責(zé)任規(guī)定和指派。此外，一旦企業(yè)安全防護(hù)策略付諸行動(dòng)和實(shí)施，通常就決定了可接受的7開始開始策略IT,開發(fā)者，廠商廠商IT及其他a)定義(見4.1):有助于建立一致的詞匯表；b)在防護(hù)方案(PP)中考慮的特定威脅(見7.28賬戶和9e)表計(jì)服務(wù)提供者：這些業(yè)務(wù)實(shí)體提供安裝、維護(hù)(表計(jì)運(yùn)行)以及讀取客戶表計(jì)(數(shù)據(jù)收集)發(fā)電公司配電公司輸電公司終端客戶×XXX發(fā)電(包括電力質(zhì)量)XXXXXXXX輸電(包括電力質(zhì)量)XXXXXX配電(包括電力質(zhì)量)XXXXXX交易計(jì)量(營(yíng)業(yè)抄表)XXXXXXXXXXXXXXXX×XX第三方資產(chǎn)借用XX×XXXa這方面的例子是為用于其他業(yè)務(wù)過(guò)程的資源提供互聯(lián)網(wǎng)連接?！贤瑺?zhēng)議(IEC電力線√√√√發(fā)電(包括電力質(zhì)量)√√√√√輸電(包括電力質(zhì)量)√√√√√√√配電(包括電力質(zhì)量)√√√√交易計(jì)量(營(yíng)業(yè)抄表)√√√√√√√√√√√√√√√√√√√√√第三方資產(chǎn)借用√√√√√DL/Z981—2005注：附錄C中列出了一個(gè)后果圖示例。但電力部門為了確定要應(yīng)對(duì)(或至少要檢測(cè))的那些主要安全威脅，需作出更詳細(xì)更完整的后果圖。層以標(biāo)準(zhǔn)協(xié)議傳送用戶信息或業(yè)務(wù)信息未經(jīng)授權(quán)訪問(wèn)非法使用旁路控制資源耗盡資源耗盡網(wǎng)絡(luò)層在通信段之間選擇路由(如從局域網(wǎng)到廣域網(wǎng))竊聽a信息泄漏可能通過(guò)直接(例如包解碼)或間接(例如流量分析)方式產(chǎn)DL/Z981—2005授權(quán)用戶不適當(dāng)?shù)卦L問(wèn)TOE而獲得來(lái)自其他互聯(lián)系統(tǒng)的入侵者用TOE滲透，獲得未經(jīng)授權(quán)的來(lái)自其他非法操作入侵者通過(guò)重放舊報(bào)文，導(dǎo)致TOE的非法授權(quán)用戶未經(jīng)授權(quán)訪問(wèn)某遠(yuǎn)方設(shè)備而將錯(cuò)誤參T.INTEG4授權(quán)用戶不適當(dāng)?shù)卦L問(wèn)TOE,將錯(cuò)誤信息放入未經(jīng)授入侵者侵入TOE,將錯(cuò)誤信息放入未經(jīng)授入侵者通過(guò)重放舊報(bào)文，導(dǎo)致TOE的非法授權(quán)用戶惡意拒絕對(duì)TOE訪問(wèn)入侵者惡意拒絕對(duì)TOE訪問(wèn)授權(quán)用戶不適當(dāng)?shù)卦L問(wèn)TOE,惡意拒絕授權(quán)合法用戶入侵者訪問(wèn)TOE,惡意拒絕授權(quán)合法用戶用戶惡意拒絕對(duì)TOE訪問(wèn)，是T.AVAIL1和T授權(quán)用戶無(wú)意操作TOE,而該操作按策略未得到授權(quán)，但并不何授權(quán)限制(該系統(tǒng)的授權(quán)并不反映該組織的策略)授權(quán)用戶不適當(dāng)?shù)孬@得對(duì)安全功能的未經(jīng)授權(quán)訪問(wèn)入侵者獲得對(duì)安全功能的訪問(wèn)授權(quán)用戶不適當(dāng)?shù)赝Ｖ构δ芑蚋淖儏?shù)，以避免未經(jīng)入侵者獲得對(duì)安全功能的訪問(wèn)圖3的通常通信拓?fù)淠Ｐ涂捎脠D5的局域網(wǎng)(LAN)和廣域網(wǎng)(WAN)描述。a)EMS/SCADA的應(yīng)用實(shí)例是操作員工作站(HMI)和數(shù)據(jù)庫(kù)服務(wù)器(正常情況下兩者均a)無(wú)線(須或無(wú)須申請(qǐng)批準(zhǔn));電力線電話等廣域網(wǎng)HHLMMHHLLM表4(續(xù))電力線電話等廣域網(wǎng)HHLLHHHMMHHHLMLHHHHHMHHMMHIECTC57第07工作組活動(dòng)之一是制定IEC60870—6系列標(biāo)準(zhǔn)(與ISO標(biāo)準(zhǔn)和ITU-T建議兼容的IECTC57第10、11和12工作組的活動(dòng)都涉及IEC61850系列標(biāo)準(zhǔn)(變電站通信網(wǎng)絡(luò)和系統(tǒng))。該需求，即關(guān)于認(rèn)證、加密和數(shù)據(jù)訪問(wèn)控制(安全防護(hù)角度)的建模能力。IECTC57第10、11和12工4)建議工作組負(fù)責(zé)為個(gè)別工作組中尚未獲得支持的安全防護(hù)工作項(xiàng)目(標(biāo)準(zhǔn)或技術(shù)文件)(例 2)建議IECTC57第03工作組為IEC3)建議過(guò)渡性的IECTC57第06特別工作組(例如作為一個(gè)工作組)負(fù)責(zé)為個(gè)別工作組尚未防護(hù)方案是什么1 23 45IT環(huán)境的安全防護(hù)需求67防護(hù)原理闡述b)PP聲明(ST中防護(hù)原理闡述的一部分),聲明與各參照的PP一致；EAL2的防護(hù)目標(biāo)(防護(hù)目標(biāo)引自ISO/IEC15408-3):PP標(biāo)識(shí)PP概要DL/Z981—2005假設(shè)名TOE的安全特性得到不斷、充分及適當(dāng)?shù)墓芾?；但管理A.ADVERSARY-IMPERSON對(duì)手未偽裝成授權(quán)用戶服務(wù)器對(duì)客戶機(jī)數(shù)據(jù)對(duì)象的訪問(wèn)權(quán)受雙邊表中的規(guī)范控制授權(quán)管理者維護(hù)并提供對(duì)雙邊表的訪問(wèn)請(qǐng)求信息的實(shí)體被視為客戶TOE是通過(guò)商用現(xiàn)貨供應(yīng)(COTS)信息假設(shè)TOE攜帶的信息是業(yè)務(wù)專用的通過(guò)TOE無(wú)條件信任的第二方(即CA/RA識(shí)別的授權(quán)用戶經(jīng)認(rèn)證的用戶通常被信任會(huì)按照安全防護(hù)對(duì)策進(jìn)行任意動(dòng)作a數(shù)字簽名可以減少偽裝問(wèn)題，除非對(duì)手獲得了授權(quán)用戶的密鑰表B.2安全防護(hù)策略相關(guān)事項(xiàng)策略名議為TOE所在的系統(tǒng)制定安全防護(hù)策略的系統(tǒng)威脅名用戶可能通過(guò)TOE發(fā)送未經(jīng)允許的信息防護(hù)目標(biāo)名務(wù)具有正確格式(例如海明碼、校數(shù)據(jù)”,而可以是“是否是有效數(shù)據(jù)”)為達(dá)到這些防護(hù)目標(biāo)選擇的安全防護(hù)算法必TOE提供有驗(yàn)證數(shù)據(jù)源能力的服務(wù)。注意：例如，簽名B.5信息技術(shù)(IT)防護(hù)需求功能需求名供校核信息源的證據(jù)的能力TSF應(yīng)按規(guī)定的加密算法(DSA,RSA,3DES,AES),用符合FIPS186(DSA),FIPS81(DES),FPS48-3(3DES)要求的加密密鑰，長(zhǎng)度為1024位DSA,1024位RSA,64位雙密表B.5(續(xù))功能需