NB∕T 10680-2021 继电保护和安全自动装置信息安全技术导则.pdf

ICS 29.240.01CCS K45NB中华人民共和国能源行业标准NB/T 10680-2021继电保护和安全自动装置信息安全技术导则Guidelines for information security technology of relaying protection andsafety automatic equipment2021-04-26发布2021-07-26实施国家能源局发布NB/T10680-2021目次前言1范围2规范性引用文件3术语和定义4缩略语5信息安全防护需求5.1信息安全威胁和影响5.2安全防护需求5.3安全级别6基本级安全措施6.1安全物理环境6.2安全计算环境7增强级安全措施7.1安全物理环境7.2安全计算环境附录A(资料性)服务和端口INB/T10680-2021前言本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国电器工业协会提出。本文件由全国量度继电器和保护设备标准化技术委员会(SAC/TC154)归口。本文件起草单位：珠海开普检测技术有限公司、中国南方电网有限责任公司、许昌开普电气研究院有限公司、国网浙江省电力有限公司、国网河北省电力有限公司、中国电力科学研究院有限公司、北京四方继保工程技术有限公司、国电南京自动化股份有限公司、国电南瑞科技股份有限公司、许继电气股份有限公司、南京南瑞继保电气有限公司、南方电网数字电网研究院有限公司、国网湖北省电力有限公司电力科学研究院、紫光测控有限公司、积成电子股份有限公司、长园深瑞继保自动化有限公司、东方电子股份有限公司、上海思源弘瑞自动化有限公司、许昌开普检测研究院股份有限公司、华北水利水电大学、郑州轻工业大学、国网江苏省电力有限公司检修分公司、云南电网有限责任公司昆明供电局、国网河南省电力公司、安徽电力调度控制中心、西门子电力自动化有限公司、广东电网有限责任公司电力调度控制中心、珠海优特电力科技股份有限公司、北京北斗银河科技有限公司、国网电力科学研究院有限公司、国网河南省电力公司电力科学研究院、国网浙江省电力有限公司电力科学研究院、国网甘肃省电力公司电力科学研究院、国网冀北电力有限公司唐山供电公司。本文件主要起草人：郑蓬、陶文伟、杨慧霞、裘愉涛、萧彦、金龙、房同忠、葛雅川、郑奕、陈继瑞、汤震宇、高宏慧、王晋、胡家为、赵硕、黎强、冯亮、陆征军、张红涛、安小宇、陈昊、李勇、杜兴伟、叶远波、戚伟峰、王峰、岑积利、李珉、郑珞琳、韩伟、方芳、王永年、王赛、黄岩。NB/T10680-2021继电保护和安全自动装置信息安全技术导则1范围本文件规定了继电保护和安全自动装置的信息安全防护需求和安全防护要求，以及基本级和增强级安全措施，可作为该类产品设计、制造、验收、运行的依据。本文件适用于各电压等级的继电保护和安全自动装置（以下简称“装置”）。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T2900.1电工术语基本术语GB/T2900.49电工术语电力系统保护GB/T14598.26一2015量度继电器和保护装置第26部分：电磁兼容要求GB/T22239一2019信息安全技术网络安全等级保护基本要求GB/T22240一2020信息安全技术网络安全等级保护定级指南GB/T25069信息安全技术术语GB/Z25320(所有部分)电力系统管理及其信息交换数据和通信安全GB/T32901一2016智能变电站继电保护通用技术条件GB/Z34124一2017智能保护测控设备技术规范DL/T478一2013继电保护和安全自动装置通用技术条件DLT860(所有部分)电力自动化通信网络和系统3术语和定义GB/T2900.1、GB/T2900.49、GB/T22239-2019、GB/T25069界定的以及下列术语和定义适用于本文件.3.1用户user某一种技术、产品、服务的使用者，使用某种产品的人。3.2授权用户authorized user依据安全策略可以执行某项操作的用户。3.3身份鉴别authentication专用于鉴别传输、消息或发信方有效性的安全措施，或者对接收特定信息类别的个人授权进行验证的手段。3.4基本级basic level推荐使用在安全级别为一、二级系统中的继电保护和安全自动装置。注：安全等级定义见GBT22239一2019和GB/T22240一2020。NB/T10680-20213.5增强级enhanced level推荐使用在安全级别为三级及以上系统中的继电保护和安全自动装置。注：安全等级定义见GB/T22239一2019和GB/T22240一2020。4缩略语下列缩略语适用于本文件。CCD:回路实例配置(configured circuit description)FTP:文件传输协议(file transfer protocol)HTTP:超文本传输协议(hypertext transfer protocol)HTTPS:超文本传输安全协议(hypertext transfer protocol secure)NetBIOS:网上基本输入/输出系统(network basic input/output system)POP3:邮局协议版本3(post office protocol3)RPC:远程过程调用(remote procedure call)SMB:服务器信息块(server message block)SMTP:简单邮件传输协议(simple mail transfer protocol).SNMP:简单网络管理协议(simple network management protocol)SSH:安全外壳协议(secure shell)SYSLOG:系统日志(system log)Telnet:远程终端协议(telecommunication network)USB:通用串行总线(universal serial bus)5信息安全防护需求5.1信息安全威胁和影响装置属于电力系统二次设备，位于电力监控系统网络中，在电力监控系统受到信息安全威胁时，可能会对装置造成影响，具体的安全威胁和影响见表1。表1装置面临的主要信息安全威胁和影响序号安全威胁描述可能造成的影响有组织的黑客团体对电力监控系统进行恶意对装置造成破坏，严重时导致装置拒黑客入侵攻击、窃取数据，破坏电力监控系统及电力系统动或误动的正常运行非授权者对发电厂、变电站发送非法控制命发送非法的控制指令，严重时导致装3旁路控制令，导致电力系统事故，甚至系统瓦解置误动或拒动完整性破坏非授权修改电力监控系统配置、程序、控制命非授权修改装置配置、定值等，严重3令时导致装置拒动或误动越权修改装置配置、定值等，严重时越权操作超越已授权限进行非法操作导致装置拒动或误动无意或故意行为无意或有意地泄漏口令等敏感信息，或不谨慎信息泄密，加大被入侵风险地配置访问控制规则等拦截或篡改调度数据广域网传输中的控制命拦截或慕改控制命令或参数设置，导6拦截篡改致控制命令失效或非法执行，严重时引令、参数设置等敏感数据起装置拒动或误动