ＩＣＳ ２９．２４０．３０ Ｆ ２１ ａ亘 中华人民共和国国家标准化指导性技术文件 ＧＢ／ｚ ２５３２０．１—２０１０／ＩＥＣ ＴＳ ６２３５１—１：２００７ 电力系统管理及其信息交换 数据和通信安全 第１部分：通信网络和系统安全 安全问题介绍 Ｐｏｗｅｒ ｓｙｓｔｅｍｓ ｍａｎａｇｅｍｅｎｔ ａⅡｄ ａｓｓｏｃｉａｔｅｄ ｉｎｆｏｒｍａｔｉｏｎ Ｄａｔａ ａｎｄ ｃＯｍｍｕｎｉｃａｔｉｏｎｓ Ｐａｒｔ １：Ｃｏｍｍｕｎｉｃａｔｉｏｎ ｅｘｃｈａｎｇｅ— ｓｅｃｕｒｉｔｙ— ｎｅｔｗｏｒｋ ａｎｄ ｓｙｓｔｅｍ ｓｅｃｕｒｉｔｙ— Ｉｎｔｒｏｄｕｃｔｉｏｎ ｔＯ ｓｅｃｕｒｉｔｙ ｉｓｓｕｅｓ （ＩＥＣ ＴＳ ６２３５１—１：２００７，ＩＤＴ） ２０１０一１１—１０发布 ２０１１－０５一０１实施 丰瞀嬲紫瓣譬糌瞥星发布 中国国家标准化管理委员会促１９ 次 ５目 ４．３制定这些安全标准的历史……………・・・……………・……………・・’………… ５７数据通信协议………・・・………………・…………………………… Ｔｃ ４．２ 电力系统运行的信息安全所涉及的论据………・・・…………………………・… ４．１ ４信息安全标准的背景・・……………………………・・・………………・…………・… ３术语、定义和缩略语・・・・……………・・・・・………………・…………・・・・……………・・ ２规范性引用文件…………・・・……………・………………・・…………・・…………一 ｌ范围和目的……・・……………………………・……・…………・…………・・・……・・ 引言・・・・………………………………・……………・・………………・…………・・・……・ 前言・・・………………………………’’……………’’……………’’’…………’’’’……‘ ２５３２０．１—２０１０／ＩＥＣ鸭６２３５１—１：２００７ ６Ｇ ５．８应用安全防护于电力系统运行…………・……………・…………………………・ ５．７五步安全过程……………………・…………………・…………・………………… ５．６认识安全需求以及安全措施对电力系统运行的影响………・……・……………・ ５．５安全风险评估・・・…………………………………・………………………………・・ ５．４安全对策的重要性…………………………………………………………・・……・ ５．３安全的需求、威胁、脆弱性、攻击和应对措施…・・・…………………………・…… ５．２安全威胁的类型…………・…………………………・…………………………・・ ５．１安全的一般信息………・・……………・・…－……………………………………・・ ０４２５３２０涉及的安全问题………・・………………・…………………………・ ⅢⅣ●２ 参考文献…・・・・………………・…………・・・・………………・…………・・…………・…・・ ６０８７０一５的各部分与对应的我国标准以及一致性程度 附录ＮＡ（资料性附录） ７结论……・・・・・・……………・・・…………・…・・…………………………・・・………・・・… ２５３２０．７网络和系统管理的数据对象模型・・・……………・・…………ｔ ６．１１ ８６０的安全………・…………・………………………－ ＤＬ／Ｔ ２５３２０．６ ６．１０ ６０８７０一５及其衍生标准的安全……・・・…………………… ＩＥｃ ２５３２０．５ ６．９ ２５３２０．４包含ＭＭｓ的协议集…………・・・…………・…………・…・… ６．８ 包含ＴｃＰ／ＩＰ的协议集…・・・・……………・…………・……… ２５３２０．３ ６．７ ２５３２０．２术语………………………・……………・・・…・…………・・…・・ ６．６ ２５３２０．１安全问题介绍…………………………・……………・・・……・・ ＧＢ／ｚ ６．５ ２５３２０各部分和ＩＥＣ协议问的关系…・…………………………・………－ ６．４ ２５３２０的目标…………・……………・…………………………………… ６．３ ６．２认证作为关键安全需求……………・……………………………………………ｔ． ２５３２０的范围・・…………………………………………………………・… ＧＢ／Ｚ ６．１ ２５３２０概述……・…………………・………………………………………… ｕｎ Ｍ¨¨¨¨坫璩¨＂＂”¨∞∞孔拍 ●０ Ｂ／ｚ Ｂ／Ｚ 坨ｎ ＧＢ／ｚ ２５３２０．１—２０１０／ＩＥＣ ＴＳ ６２３ ５１—１：２００７ 前 国际电工委员会５７技术委员会（ＩＥｃ Ｔｃ 言 ５７）对电力系统管理及其信息交换制定了ＩＥｃ ６２３５１《电 力系统管理及其信息交换数据和通信安全》标准。我们采用ＩＥｃ ６２３５１，编制了ＧＢ／ｚ ２５３２０指导性 技术文件，主要包括以下部分： ——第１部分：通信网络和系统安全安全问题介绍； 第２部分：术语； 第３部分：通信网络和系统安全包含ＴｃＰ／ＩＰ的协议集； 一第４部分：包含ＭＭｓ的协议集； ——第５部分：ＩＥｃ ６０８７０一５及其衍生标准的安全； 一第６部分：ＤＬ／Ｔ ８６０的安全； 一一第７部分：网络和系统管理的数据对象模型； 一一第８部分：电力系统管理的基于角色访问控制。 本部分等同采用ＩＥｃ Ｔｓ ６２３５１—１：２００７《电力系统管理及其信息交换数据和通信安全第１部 分：通信网络和系统安全安全问题介绍》（英文版）。 本部分增加了资料性附录ＮＡ，以反映规范性引用文件ＩＥｃ ６０８７０一５（所有部分）中的各部分与对应 ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ 的我国标准以及一致性程度。 本部分由中国电力企业联合会提出。 本部分由全国电力系统管理及其信息交换标准化技术委员会（ｓＡｃ／Ｔｃ ８２）归口。 本部分起草单位：国网电力科学研究院、国家电力调度通信中心、中国电力科学研究院、福建省电力 有限公司、华中电网有限公司、华东电网有限公司、辽宁省电力有限公司。 本部分主要起草人：许慕榇、南贵林、邓兆云、杨秋恒、韩水保、李根蔚、曹连军、袁和林、林为民。 本指导性技术文件仅供参考。有关对本指导性技术文件的建议或意见，向国务院标准化行政主管 部门反映。 Ⅲ ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ 计算机、通信和网络技术当前已在电力系统中广泛使用。通信和计算机网络中存在着各种对信息 言 引 ６２３５１—１：２００７ ＴＳ ２５３２０．１—２０１０／ＩＢＣ ＧＢ／Ｚ Ⅳ 的安全。 过在相关的通信协议及在信息基础设管理中增加特定的安全措施，提高和增强电力系统的数据及通信 ２５３２０《电力系统管理及其信息交换数据和通信安全》，通 为此，我们采用国际标准制定了ＧＢ／ｚ 统使用的各层通信协议中的安全漏洞及电力系统信息基础设施的安全管理的不完善处。 安全可能的攻击，对电力系统的数据及通信安全也构成了威胁。这些潜在的可能的攻击针对着电力系 ＧＢ／ｚ ２５３２０．１—２０１０／ＩＥＣ ＴＳ ６２３５１—１：２００７ 电力系统管理及其信息交换 数据和通信安全 第１部分：通信网络和系统安全 安全问题介绍 １范围和目的 １．１范围 ＧＢ／ｚ ２５３２０的本部分范围是电力系统控制运行的信息安全。本部分的主要目的是“为ＩＥｃ Ｔｃ ５７ 制定的通信协议的安全，特别是ＩＥＣ ６０８７０—５、ＩＥｃ ６０８７０一６、ＩＥｃ ６１８５０、ＩＥｃ ６１９７０和ＩＥｃ ６１９６８的安 全，承担标准的制定；承担有关端对端安全的标准和技术报告的制定”。 １．２ 目的 具体目的包括： ・ＧＢ／ｚ ２５３２０．１介绍了ＧＢ／ｚ ２５３２０的其他部分，主要向读者介绍应用于电力系统运行的信息 安全的各方面知识； ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ ・ＧＢ／ｚ ２５３２０．３～ＧＢ／ｚ ２５３２０．６规定了ＩＥｃＴｃ ５７通信协议的安全标准。可以用这些标准提 供各种层次的协议安全，这取决于为一个特定实现所选定的协议和参数。同样它们已被设计 为具有向后兼容能力并能分阶段实现； ・ＧＢ／ｚ ２５３２０．７涉及端对端信息安全的许多可能领域中的一个领域，即加强对支持电力系统运 行的通信网络进行全面管理； ・ ＧＢ／ｚ ２５３２０后续的其他部分涉及更多的信息安全领域。 电力行业中安全性、安全防护和可靠性始终是系统设计和运行的重要问题，随着该行业越来越多依 赖于信息基础设施，其信息安全正变得日益重要，这就是制定信息安全标准的理由。一些新威胁已经影 响到解除管制的电力市场，因为对竞争对手的资产和其系统运作的了解可能是会从中得益的，于是截获 此类信息是十分可能发生的。此外，无意的行为（如不小心和自然灾祸）能够像蓄意行为一样对信息造 成危险。当前恐怖主义的外加威胁已经变得非常明显。 虽然存在“端对端”安全的许多定义，一个标准定义（多种陈述）是：“１．对采用密码技术的安全通 信系统或被保护的分布系统中的信息进行安全防护意味着从起始点到目的点的防护。２．对信息系统 中的信息，从起始点到目的点进行安全防护””。以这个定义为基础开始的四个标准是针对ＩＥｃ Ｔｃ ５７ 通信协议集的安全增强，因为这些通信协议集被认为是对电力系统控制操作进行安全防护明显的第一 步。然而这些安全增强仅能解决两个系统之间的安全需求，并不解决包含内部安全需求的真正“端对 端”安全，包括安全对策、安全防护执行、入侵检测、内部系统和应用的健壮以及更广泛的安全需求。 因此，本章的本结束语是非常重要的：认识到增设防火墙或仅简单使用协议的加密，例如增加链路 端加密盒（ｂｕｍｐ－ｉｎ—ｔｈｅ—ｗｉｒｅ）或甚至虚拟专网（ＶＰＮ）技术，在许多情况下似乎并不是足够的。安全是 真正的“端对端”的要求，以确保对敏感的电力系统设备的认证访问、对敏感的市场数据的授权访问、可 靠且及时的设备功能执行和设备故障信息、关键系统的备份以及容许检测和再现决定性事件的审计 １） ＡＴＩｓ（Ａｌｌｉａｎｃｅ ｆｏｒ Ｔｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎｓ Ｉｎｄｕｓｔｒｙ Ｓ０１ｕｔｉｏｎｓ）［美国为通信和相关信息技术快速制定和促进技术 和运行标准的组织。ＡＴＩｓ得到了美国国家标准学会（ＡＮｓＩ）的认可。］：ＦＳ＿１０３７ｃ的扩充，ｕｓ联邦政府电信项 目的标准术语。 １ ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ 集，以及专注于对变电站和现场设备进行监视和控制的协议集。 制中心和其他的电力行业运行功能。它包括为满足极其快速的继电保护响应时间和为被测值进行采样的协议 ６１８５０，ＤＴ）标准，用于继电保护、变电站自动化、配电自动化、电能质量、分布能源，变电站对控 ８６０（ＩＥｃ ３）ＤＬ／Ｔ 进行数据交换。 心与其他控制中心、其他公用事业部门、电力联营体、区域控制中心和非电力部门发电商之间经广域网（ｗＡＮ） Ｐｒｏｔｏｃｏｌ，Ｉｃｃ