【儀表網(wǎng) 行業(yè)標(biāo)準(zhǔn)】近日，由中國(guó)南方電網(wǎng)電力調(diào)度控制中心 、華為技術(shù)有限公司 、中國(guó)泰爾實(shí)驗(yàn)室 、烽火通信科技股份有限公司 、中興通訊股份有限公司等單位起草，TC82(全國(guó)電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì))歸口的國(guó)家標(biāo)準(zhǔn)計(jì)劃《電力光傳輸系統(tǒng)安全防護(hù)技術(shù)規(guī)范》征求意見(jiàn)稿已編制完成，現(xiàn)公開(kāi)征求意見(jiàn)。
 

　　現(xiàn)階段電力光傳輸設(shè)備及其網(wǎng)管系統(tǒng)在被物理接觸并網(wǎng)絡(luò)攻擊等極端情況下，存在被非法控制等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，有必要加強(qiáng)電力光傳輸系統(tǒng)的安全防護(hù)，針對(duì)被非法控制并造成大面積通信中斷、信息泄露或篡改等主要網(wǎng)絡(luò)安全威脅，從基礎(chǔ)安全、結(jié)構(gòu)安全、本體安全、安全免疫等技術(shù)維度出發(fā)，綜合考慮訪問(wèn)控制、身份鑒別、數(shù)據(jù)安全、通信安全、可用性、隱私保護(hù)、安全審計(jì)等方面，保證電力光傳輸系統(tǒng)可靠、實(shí)時(shí)、安全地傳送電力系統(tǒng)各類業(yè)務(wù)的數(shù)據(jù)。
 

　　本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
 

　　本文件規(guī)定了電力光傳輸系統(tǒng)安全防護(hù)的技術(shù)要求和檢測(cè)方法。本文件適用于35kV及以上電壓等級(jí)電力系統(tǒng)使用的電力光傳輸系統(tǒng)的安全防護(hù)，覆蓋其規(guī)劃設(shè)計(jì)、研究開(kāi)發(fā)、施工建設(shè)、安裝調(diào)試、系統(tǒng)改造和運(yùn)行管理等各階段。
 

　　總體要求：
 

　　光傳輸系統(tǒng)的安全防護(hù)應(yīng)遵循以下要求：
 

　　a) 光傳輸系統(tǒng)的安全防護(hù)應(yīng)符合 GB/T 36572—2018 中(所有部分)的相關(guān)要求。
 

　　b) 應(yīng)通過(guò)訪問(wèn)控制、身份鑒別、完整性保護(hù)、機(jī)密性保護(hù)、管控管理平面通信端口等手段，防護(hù)光傳輸設(shè)備本體安全并控制網(wǎng)絡(luò)攻擊在光傳輸設(shè)備之間橫向擴(kuò)散。
 

　　c) 應(yīng)通過(guò)訪問(wèn)控制、多因子身份鑒別、第二人認(rèn)證授權(quán)、完整性保護(hù)、機(jī)密性保護(hù)等手段，防護(hù)網(wǎng)管系統(tǒng)本體安全。
 

　　d) 光傳輸系統(tǒng)應(yīng)實(shí)現(xiàn)不同電路之間物理隔離，包括 2.048Mbit/s 電路、STM-N 電路、以太網(wǎng)電路。
 

　　e) 光傳輸設(shè)備中的管理平面和傳送平面之間、控制平面和傳送平面之間應(yīng)物理隔離。
 

　　f) 網(wǎng)管系統(tǒng)故障不應(yīng)影響光傳輸設(shè)備及業(yè)務(wù)通道的正常運(yùn)行。
 

　　g) 網(wǎng)管系統(tǒng)中的操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)軟件和安全軟件應(yīng)通過(guò)國(guó)家相關(guān)部門的安全檢測(cè)認(rèn)證，具備軟件包完整性校驗(yàn)?zāi)芰Γ瑔⒂冒踩渲煤筒呗裕渴鸱啦《竞头滥抉R措施，升級(jí)安全補(bǔ)丁。
 

　　h) 網(wǎng)管系統(tǒng)中的服務(wù)器和終端計(jì)算機(jī)、運(yùn)行環(huán)境中的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全系統(tǒng)應(yīng)通過(guò)國(guó)家相關(guān)部門的安全檢測(cè)認(rèn)證，啟用安全配置和策略。
 

　　i) 光傳輸系統(tǒng)的密碼基礎(chǔ)設(shè)施應(yīng)符合國(guó)家有關(guān)要求，并通過(guò)國(guó)家有關(guān)機(jī)構(gòu)的檢測(cè)認(rèn)證。
 

　　通用要求：
 

　　光傳輸系統(tǒng)應(yīng)滿足以下通用技術(shù)要求：
 

　　a) 光傳輸設(shè)備中線路板卡的通信復(fù)用方式應(yīng)為電路時(shí)分復(fù)用或波分復(fù)用。
 

　　b) 光傳輸設(shè)備交換業(yè)務(wù)數(shù)據(jù)的方向應(yīng)僅由網(wǎng)管系統(tǒng)對(duì)光傳輸設(shè)備的交叉配置決定，不應(yīng)受到業(yè)務(wù)數(shù)據(jù)內(nèi)容的影響。
 

　　c) 網(wǎng)管系統(tǒng)與運(yùn)行環(huán)境進(jìn)行通信連接時(shí)，應(yīng)僅限于連接網(wǎng)管系統(tǒng)專用網(wǎng)絡(luò)設(shè)備、通信運(yùn)行管控系統(tǒng)和網(wǎng)絡(luò)安全系統(tǒng)。
 

　　d) 網(wǎng)管系統(tǒng)與通信運(yùn)行管控系統(tǒng)之間、網(wǎng)管系統(tǒng)與網(wǎng)絡(luò)安全系統(tǒng)之間應(yīng)配置防火墻。
 

　　e) 運(yùn)行環(huán)境應(yīng)符合以下要求：
 

　　1) 宜在運(yùn)行環(huán)境中部署入侵檢測(cè)系統(tǒng)，設(shè)置檢測(cè)規(guī)則，捕獲異常行為，分析潛在威脅，記錄審計(jì)日志并上報(bào)網(wǎng)管系統(tǒng)。
 

　　2) 通信機(jī)房應(yīng)處于具有防震、防風(fēng)和防雨等能力的樓宇內(nèi)，應(yīng)采取有效的防水、防潮、防火、防靜電、防雷擊、防盜竊、防破壞措施，應(yīng)避免設(shè)在樓宇的高層或地下室、給排水設(shè)備的下層或隔壁，應(yīng)符合GB/T 9361—2011 的相關(guān)要求。
 

　　3) 通信機(jī)房應(yīng)配置電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)，應(yīng)符合GB/T 22239—2019中5.1、5.2、5.3 的規(guī)定。
 

　　數(shù)據(jù)安全：
 

　　1.網(wǎng)管系統(tǒng)數(shù)據(jù)安全應(yīng)符合 GB/T 22239—2019 中 9.1.4.7、9.1.4.8 的規(guī)定。
 

　　2.網(wǎng)管系統(tǒng)應(yīng)對(duì)存儲(chǔ)的身份鑒別信息(如賬號(hào)口令、認(rèn)證憑據(jù)、證書(shū)私鑰)進(jìn)行機(jī)密性保護(hù)，且不應(yīng)支持對(duì)身份鑒別信息進(jìn)行審計(jì)、查詢，宜采用多級(jí)密鑰或基于硬件密碼模塊的密鑰管理機(jī)制，所用的密碼應(yīng)符合 GB 40050—2021 中 5.10 的規(guī)定。
 

　　3.網(wǎng)管系統(tǒng)應(yīng)對(duì)審計(jì)日志文件和備份文件進(jìn)行完整性保護(hù)。
 

　　4.網(wǎng)管系統(tǒng)應(yīng)支持軟件更新功能，僅限于已授權(quán)的用戶才能使用軟件更新功能，僅限于人工手動(dòng)啟動(dòng)軟件更新。
 

　　5.網(wǎng)管系統(tǒng)應(yīng)支持軟件包/補(bǔ)丁包完整性校驗(yàn)。安裝軟件包/補(bǔ)丁包時(shí)應(yīng)自動(dòng)進(jìn)行完整性校驗(yàn)，如果完整性校驗(yàn)通過(guò)，則繼續(xù)安裝；如果完整性校驗(yàn)未通過(guò)，應(yīng)終止安裝并恢復(fù)到安裝前狀態(tài)。
 

　　6.網(wǎng)管系統(tǒng)應(yīng)支持啟動(dòng)時(shí)的操作系統(tǒng)和基礎(chǔ)組件完整性校驗(yàn)功能。如果完整性校驗(yàn)通過(guò)，則繼續(xù)啟動(dòng)；如果完整性校驗(yàn)未通過(guò)，應(yīng)終止啟動(dòng)。
 

　　相關(guān)電網(wǎng)企業(yè)、發(fā)電企業(yè)、設(shè)備制造商、檢測(cè)機(jī)構(gòu)、為電力行業(yè)提供服務(wù)的公網(wǎng)通信運(yùn)營(yíng)商等相關(guān)單位可依據(jù)本標(biāo)準(zhǔn)開(kāi)展光傳輸系統(tǒng)的規(guī)劃設(shè)計(jì)、研究開(kāi)發(fā)、施工建設(shè)、安裝調(diào)試、系統(tǒng)改造和運(yùn)行管理等工作。本標(biāo)準(zhǔn)規(guī)范的檢測(cè)方法已通過(guò)具有 CNAS 認(rèn)證資格的第三方檢測(cè)機(jī)構(gòu)驗(yàn)證可行，可有效檢測(cè)本標(biāo)準(zhǔn)規(guī)范的技術(shù)要求及其功能實(shí)現(xiàn)。本標(biāo)準(zhǔn)的實(shí)施，可有效提升電力光傳輸系統(tǒng)的安全防護(hù)能力，提高網(wǎng)絡(luò)安全水平，保障電力光傳輸系統(tǒng)的安全穩(wěn)定運(yùn)行，創(chuàng)造直接和間接的經(jīng)濟(jì)效益。
 

　　更多詳情請(qǐng)見(jiàn)附件。