GBZ25320.1-2010电力系统管理及其信息交换数据和通信安全通信网络和系统安全安全问题介绍.pdf 29页

'ICS29．240．30F21a亘中华人民共和国国家标准化指导性技术文件GB／z25320．1—2010／IECTS62351—1：2007电力系统管理及其信息交换数据和通信安全第1部分：通信网络和系统安全安全问题介绍PowersystemsmanagementaⅡdassociatedinformationexchange—DataandcOmmunicationssecurity—Part1：Communicationnetworkandsystemsecurity—IntroductiontOsecurityissues2010一11—10发布(IECTS62351—1：2007，IDT)2011-05一01实施丰瞀嬲紫瓣譬糌瞥星发布中国国家标准化管理委员会促19 标准分享网www.bzfxw.com免费下载目次GB／z25320．1—2010／IEC鸭62351—1：2007前言···⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯’’⋯⋯⋯⋯⋯’’⋯⋯⋯⋯⋯’’’⋯⋯⋯⋯’’’’⋯⋯‘引言····⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯··⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯···⋯⋯·l范围和目的⋯⋯··⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯·⋯⋯⋯⋯·⋯⋯⋯⋯···⋯⋯··2规范性引用文件⋯⋯⋯⋯···⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯··⋯⋯⋯⋯··⋯⋯⋯⋯一3术语、定义和缩略语····⋯⋯⋯⋯⋯·····⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯····⋯⋯⋯⋯⋯··4信息安全标准的背景··⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯···⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯·⋯4．1电力系统运行的信息安全所涉及的论据⋯⋯⋯···⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯4．2IEcTc57数据通信协议⋯⋯⋯···⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯4．3制定这些安全标准的历史⋯⋯⋯⋯⋯···⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯··’⋯⋯⋯⋯5GB／z25320涉及的安全问题⋯⋯⋯··⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·5．1安全的一般信息⋯⋯⋯··⋯⋯⋯⋯⋯··⋯-⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··5．2安全威胁的类型⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··5．3安全的需求、威胁、脆弱性、攻击和应对措施⋯···⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯5．4安全对策的重要性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··⋯⋯·5．5安全风险评估···⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··5．6认识安全需求以及安全措施对电力系统运行的影响⋯⋯⋯·⋯⋯·⋯⋯⋯⋯⋯·5．7五步安全过程⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯5．8应用安全防护于电力系统运行⋯⋯⋯⋯·⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·6GB／Z25320概述⋯⋯·⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯6．1GB／Z25320的范围··⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯6．2认证作为关键安全需求⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯t．6．3GB／Z25320的目标⋯⋯⋯⋯·⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯6．4GB／Z25320各部分和IEC协议问的关系⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯-6．5GB／z25320．1安全问题介绍⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯···⋯⋯··6．6GB／z25320．2术语⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯···⋯·⋯⋯⋯⋯··⋯··6．7GB／z25320．3包含TcP／IP的协议集⋯····⋯⋯⋯⋯⋯·⋯⋯⋯⋯·⋯⋯⋯6．8GB／z25320．4包含MMs的协议集⋯⋯⋯⋯···⋯⋯⋯⋯·⋯⋯⋯⋯·⋯·⋯6．9GB／z25320．5IEc60870一5及其衍生标准的安全⋯⋯···⋯⋯⋯⋯⋯⋯⋯⋯6．10GB／Z25320．6DL／T860的安全⋯⋯⋯·⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯-6．11GB／z25320．7网络和系统管理的数据对象模型···⋯⋯⋯⋯⋯··⋯⋯⋯⋯t7结论⋯⋯······⋯⋯⋯⋯⋯···⋯⋯⋯⋯·⋯··⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯···⋯⋯⋯···⋯附录NA(资料性附录)IEc60870一5的各部分与对应的我国标准以及一致性程度参考文献⋯····⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯····⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯··⋯⋯⋯⋯·⋯··ⅢⅣ●2044●0un坨nM¨¨¨¨坫璩¨""”¨∞∞孔拍 www.bzfxw.com前言GB／z25320．1—2010／IECTS62351—1：2007国际电工委员会57技术委员会(IEcTc57)对电力系统管理及其信息交换制定了IEc62351《电力系统管理及其信息交换数据和通信安全》标准。我们采用IEc62351，编制了GB／z25320指导性技术文件，主要包括以下部分：——第1部分：通信网络和系统安全安全问题介绍；第2部分：术语；第3部分：通信网络和系统安全包含TcP／IP的协议集；一第4部分：包含MMs的协议集；——第5部分：IEc60870一5及其衍生标准的安全；一第6部分：DL／T860的安全；一一第7部分：网络和系统管理的数据对象模型；一一第8部分：电力系统管理的基于角色访问控制。本部分等同采用IEcTs62351—1：2007《电力系统管理及其信息交换数据和通信安全第1部分：通信网络和系统安全安全问题介绍》(英文版)。本部分增加了资料性附录NA，以反映规范性引用文件IEc60870一5(所有部分)中的各部分与对应的我国标准以及一致性程度。本部分由中国电力企业联合会提出。本部分由全国电力系统管理及其信息交换标准化技术委员会(sAc／Tc82)归口。本部分起草单位：国网电力科学研究院、国家电力调度通信中心、中国电力科学研究院、福建省电力有限公司、华中电网有限公司、华东电网有限公司、辽宁省电力有限公司。本部分主要起草人：许慕榇、南贵林、邓兆云、杨秋恒、韩水保、李根蔚、曹连军、袁和林、林为民。本指导性技术文件仅供参考。有关对本指导性技术文件的建议或意见，向国务院标准化行政主管部门反映。Ⅲ www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／Z25320．1—2010／IBCTS62351—1：2007引言计算机、通信和网络技术当前已在电力系统中广泛使用。通信和计算机网络中存在着各种对信息安全可能的攻击，对电力系统的数据及通信安全也构成了威胁。这些潜在的可能的攻击针对着电力系统使用的各层通信协议中的安全漏洞及电力系统信息基础设施的安全管理的不完善处。为此，我们采用国际标准制定了GB／z25320《电力系统管理及其信息交换数据和通信安全》，通过在相关的通信协议及在信息基础设管理中增加特定的安全措施，提高和增强电力系统的数据及通信的安全。Ⅳ www.bzfxw.comGB／z25320．1—2010／IECTS62351—1：2007电力系统管理及其信息交换数据和通信安全第1部分：通信网络和系统安全安全问题介绍1范围和目的1．1范围25320的本部分范围是电力系统控制运行的信息安全。本部分的主要目的是“为IEcTc57制定的通信协议的安全，特别是IEC60870—5、IEc60870一6、IEc61850、IEc61970和IEc61968的安全，承担标准的制定；承担有关端对端安全的标准和技术报告的制定”。1．2目的具体目的包括：·GB／z25320．1介绍了GB／z25320的其他部分，主要向读者介绍应用于电力系统运行的信息安全的各方面知识；·GB／z25320．3～GB／z25320．6规定了IEcTc57通信协议的安全标准。可以用这些标准提供各种层次的协议安全，这取决于为一个特定实现所选定的协议和参数。同样它们已被设计为具有向后兼容能力并能分阶段实现；·GB／z25320．7涉及端对端信息安全的许多可能领域中的一个领域，即加强对支持电力系统运行的通信网络进行全面管理；·25320后续的其他部分涉及更多的信息安全领域。电力行业中安全性、安全防护和可靠性始终是系统设计和运行的重要问题，随着该行业越来越多依赖于信息基础设施，其信息安全正变得日益重要，这就是制定信息安全标准的理由。一些新威胁已经影响到解除管制的电力市场，因为对竞争对手的资产和其系统运作的了解可能是会从中得益的，于是截获此类信息是十分可能发生的。此外，无意的行为(如不小心和自然灾祸)能够像蓄意行为一样对信息造成危险。当前恐怖主义的外加威胁已经变得非常明显。虽然存在“端对端”安全的许多定义，一个标准定义(多种陈述)是：“1．对采用密码技术的安全通信系统或被保护的分布系统中的信息进行安全防护意味着从起始点到目的点的防护。2．对信息系统中的信息，从起始点到目的点进行安全防护””。以这个定义为基础开始的四个标准是针对IEcTc57通信协议集的安全增强，因为这些通信协议集被认为是对电力系统控制操作进行安全防护明显的第一步。然而这些安全增强仅能解决两个系统之间的安全需求，并不解决包含内部安全需求的真正“端对端”安全，包括安全对策、安全防护执行、入侵检测、内部系统和应用的健壮以及更广泛的安全需求。因此，本章的本结束语是非常重要的：认识到增设防火墙或仅简单使用协议的加密，例如增加链路端加密盒(bump-in—the—wire)或甚至虚拟专网(VPN)技术，在许多情况下似乎并不是足够的。安全是真正的“端对端”的要求，以确保对敏感的电力系统设备的认证访问、对敏感的市场数据的授权访问、可靠且及时的设备功能执行和设备故障信息、关键系统的备份以及容许检测和再现决定性事件的审计1)ATIs(AllianceforTelecommunicationsIndustryS01utions)[美国为通信和相关信息技术快速制定和促进技术和运行标准的组织。ATIs得到了美国国家标准学会(ANsI)的认可。]：FS_1037c的扩充，us联邦政府电信项目的标准术语。1 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／Z25320．1—2010／IECTS62351．1：2007能力。2规范性引用文件下列文件中的条款通过GB／Z25320的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB／T18700(所有部分)远动设备和系统第6部分：与IsO标准和ITU—T建议兼容的远动协议(IEC60870一6”，IDT)DL／T860(所有部分)变电站通信网络和系统(IEC61850”，IDT)IEc608705(所有部分)远动设备和系统第5部分传输规约(Telecontr01equipmentandsystems—Part5：Transmissionprotocols)IEcTs62351—2电力系统管理及其信息交换数据和通信安全第2部分：术语(PowersystemsmanagementandassociatedinformationexchangeDataandcommunicationssecurity—Part2：Glossaryofterms)3术语、定义和缩略语IEc6235l一2中给出的术语和定义及缩略语适用于GB／z25320的本部分。4信息安全标准的背景4．1电力系统运行的信息安全所涉及的论据通信协议是电力系统运行的最关键部分之一，它负责从现场设备取回信息和发送控制命令至现场设备。虽然通信协议具有关键作用，但迄今这些通信协议还很少加入任何安全措施，这些安全措施包括对无意错误，电力系统设备功能丧失，通信设备故障或蓄意破坏进行的防护。由于这些协议是非常专业化的，“依靠难以理解获得安全”一直是主要手段。毕竟，只有操作员才被允许从高度防护的控制中心去控制断路器。谁会去关心线路上的电功率，或者说对近百种通信协议中某个适用协议，谁可能具有如何读取其特殊比特和字节的知识，并且为什么有人会想破坏电力系统呢?然而，依靠难以理解获得安全不再是有效的观念。特别是电力市场正迫使市场参与者去获取他们所能获得的任何优势。即使一点信息就有可能使失败的投标转变为成功的投标，或者说持有你竞争对手的信息就能使他们成功的投标变为失败的投标。因而破坏电力系统运行的欲望可能出自单纯的十来岁青少年对电力市场的竞争搏弈游戏吹牛式的恐吓行为，直到实际恐怖行动。的确，不仅市场力使安全成为至关重要。运行电力系统的绝对复杂性在这些年一直在增加，这使设备故障和操作错误更有可能发生，并且影响的范围和代价更大。此外，较旧的，“难以理解”的通信协议正被标准化的、良好文本的协议代替，对骇客和工业间谍而言这样的协议更易攻击。随着电力行业日益依赖信息来运行电力系统，现在必须管理两种基础设施：不仅应管理电力系统基础设施(PowersystemInfrastructure)，还应管理信息基础设施(InformationInfrastructure)。因为自2)也称为控制中心问通信协议(Inter_controIcentrecommunicationsProtocol，IccP)，使得能在电力部门控制中心与其他控制中心、其他公用事业部门、电力联营体、区域控制中心和非电力部门发电商之间经广域网(wAN)进行数据交换。3)DL／T860(IEc61850，DT)标准，用于继电保护、变电站自动化、配电自动化、电能质量、分布能源，变电站对控制中心和其他的电力行业运行功能。它包括为满足极其快速的继电保护响应时间和为被测值进行采样的协议集，以及专注于对变电站和现场设备进行监视和控制的协议集。 www.bzfxw.comGB／z25320．1—2010／IEcTS6235卜1：2007动化不断代替人工操作，市场要求更精确且更及时的信息以及电力系统设备变得陈旧，管理电力系统基础设施已经变得依靠于信息基础设施。因而信息基础设施可能遭受的任何问题都日益影响到电力系统的可靠性。4．2IEcl℃57数据通信协议国际电工委员会(IEC)的“电力系统管理及其信息交换”技术委员会(Tc57)负责制定电力系统数据通信协议的国际标准。它的范围是“为电力系统控制设备和系统，包括EMs(能量管理系统)、sCADA(数据采集和监控)、配电自动化、远方保护，以及用于电力系统的规划、运行和维护的实时和非实时信息的相关信息交换制定国际标准。电力系统管理是由控制中心、变电站和个别一次设备内的控制组成，包括设备、系统和数据库的远动和接口，而这些接口可能是在Tc57所辖范围之外。在高压环境中的特殊工况必须要考虑。”IECTC57已经制定了三种广泛接受的协议标准并已是第四个协议的发起者。这三个协议是：IEc60870一5在欧洲和其他非美国的国家广泛用于scADA系统与RTu的数据通信。同时用于串行链路(IEC60870一5—101，对应于我国的DL／T634．5101)和网络(IEC60870—5—104，对应于DL／T634．5104)。DNP3是为了在美国使用，从IEc60870一5衍生出来而现在许多其他国家也广泛使用，主要用于scADA系统与RTu的数据通信。IEc60870一6(对应于我国的GB／T18700)也称为TAsE．2或IccP，国际上用于控制中心之间通信，并经常用于控制中心内scADA系统和其他工程系统之间通信。IEc61850(对应于我国的DL／T860)用于继电保护、变电站自动化、配电自动化、电能质量、分布能源、变电站对控制中心和电力行业的其他运行功能。它包括为满足极其快速的继电保护响应时问和对被测值进行采样的协议集，以及专注于对变电站和现场设备进行监视和控制的协议集。这些协议现在广泛地使用于电力行业中。然而，它们都是在信息安全成为该行业的主要问题之前制定的，所以原先标准中根本不包括任何安全措施。4．3制定这些安全标准的历史直到1997年IEcTc57才认识到对这些协议进行安全防护是必要的。因而，Tc57首先成立研究安全防护问题的临时工作组。该组发布了关于安全需求的技术报告IEC／TR62210(对应于我国的DL／z981)。该技术报告的一个建议是组成工作组，为IEcTc57协议和它们的衍生协议制定安全标准。最初国际标准化组织(Is0)的通用评估准则(commoncriteria)被选定为确定安全需求的方法。这种方法用评估对象(TargetofEvaluation，TOE)的概念作安全分析的焦点。可是，在不同电力系统环境中多样性和多变的安全需求下，确定防护TOE的特征非常麻烦，因此最终这种方法没被采用。代之使用的是威胁减轻分析。该方法先确定最常见威胁，然后制定应对这些威胁的安全措施。因此，IEcTc57wGl5在1999年成立并且已经承担了这项工作。wGl5的名称是“电力系统管理及其通信数据和通信安全”，它的工作范围和目的是“为IEcTC57制定的通信协议的安全，特别是IEc60870一5、IEc60870一6、IEc61850、IEc61970和IEc61968的安全，承担标准的制定，承担有关端对端安全课题的标准和技术报告的制定。”这样做的理由是：安全性、安全防护和可靠性始终是电力行业中系统设计和运行的重要问题，随着该行业越来越多依赖于信息基础设施，该行业中计算机安全正变得日益重要。解除管制的电力市场已带来了新威胁，因为对竞争对手资产以及他的系统运作的了解可能会从中得益，于是收集此类信息是现实可能的。当前恐怖主义的外加威胁也已经变得更明显。在范围和目的陈述中的结束语是非常重要的：认识到仅增加数据的简单加密，例如增加链路端加密盒(bump-ln-the—wire)或甚至VPN技术，对于许多情况似乎并不是足够的。安全是真正的“端对端”的要求，以确保对敏感的电力系统设备的认证访问、可靠而及时的关于设备的功能及故障的信息、关键系统的备份和容许再现关键事件的审计能力。 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／Z25320．1—2010／IECTS62351—1：20075GB／z25320涉及的安全问题5．1安全的一般信息本章内容是资料性的，提供与安全问题有关的额外信息。这些信息虽然并不被这些规范性标准明确论及，但可能有助于理解这些规范性标准的上下文和范围。5．2安全威胁的类型5．2．1概述安全威胁通常被看作对资产的攻击是潜在的。这些资产可能是物理设备、计算机硬件、楼房甚至人员。然而，在计算机世界中资产也包括信息、数据库和软件应用。所以对安全威胁的应对措施应该包括对物理攻击和计算机攻击的防护。对资产的安全威胁不仅可能是蓄意攻击，而且可能由无意事件导致。事实上，经常更实际的危险可能是安全性突降、设备故障、疏忽大意和自然灾害所导致的而不是蓄意攻击所造成的。然而，对成功的蓄意攻击的反应可能具有巨大的法律、社会和经济的后果，这些会远超过物理危险。电力部门习惯于担心设备故障及与安全性相关的疏忽大意，自然灾害也包含在考虑范围内，特别对那些经常受飓风、地震、龙卷风、冰雹等自然灾害影响的电力部门。即使这些自然灾害被看作并非电力部门所能控制的。正在起变化的是对信息进行保护的重要性，信息正日益成为安全、可靠和高效电力系统运行的重要方面。在正确确定对什么攻击需要防护什么和需要防护到怎样的安全级别时，安全风险评估是至关重要的。关键是决定于成本效益：要“量体裁衣””(变电站)，多层次安全防护比单一方案更好，而且任何时候对攻击的防护都不是完全绝对的。尽管如此，为提供现代电力部门运行所需的安全等级，从什么不做到一切都做这两个极端之间存在相当大的空间。安全防护在其他方面也能带来益处，如果对可能的蓄意攻击实现了外加的安全防护，就能够使用这种监视去改善安全性，使疏忽概率减至最小，并提高了设备维护的效率。以下条款讨论一些最重要的威胁，以便了解和防护。这些威胁中的大多数包括在GB／z25320中，至少在监视层面上是如此。5．2．2无意威胁5．2．2．1安全事故安全性始终是电力部门主要关心的，特别对那些工作于变电站的高电压环境中的现场人员。一些极其细致的规程已经被制定和一再反复地精心修改，以改进安全性。虽然这些规程是安全性步骤的最重要组成部分，然而通过电子手段对关键设备的状态进行监视和对符合于安全规程情况进行日志记录或告警，能把安全性提高到相当程度并且在其他方面带来益处。特别是虽然主要出于安全性原因，已经实施了仅允许授权人员进入变电站的访问措施，然而对这些安全性措施进行电子监视同样能有助于防止某些蓄意攻击，比如故意破坏和窃取。5．2．2．2设备故障对电力系统的可靠运行，设备故障是最通常且料想得到的威胁。多年来已经采取了有效措施去监视变电站设备状态，比如油温、冷却系统、频率偏差、电压水平和电流过负荷。除这些额外信息能提供更多的物理安全外，GB／z25320的本部分并不关心这些监视的类型。然而，对设备的物理状态进行监视经常也能有利于维护效率，可能防止某些类型的设备故障，实时检测以前没被监视的故障以及对设备故障的处理和影响进行探讨分析。因此，考虑到这些额外价值，对物理安全进行某种监视的总成本效益就能有所提高。5．2．2．3疏忽大意疏忽大意是对变电站资产进行防护的“威胁”之一，无论允许尾随进入变电站还是没锁门或不小心4)。一个尺寸不会适合于所有”，一种解决方案不可能用于所有情况。所以，在此意义上，应允许多种解决方案。 www.bzfxw.comGB／Z25320．1—2010／IECTS62351—1：2007使得未经授权人员接触口令、钥匙和其他安全措施。这种疏忽大意经常是由于过于自信(“还从没有人破坏过变电站的设备”)或懒惰(“哎呀!关这门多麻烦，一会儿我就要去别的地方”)或愤怒(“这些安全措施正在影响我的工作”)所造成。5．2．2．4自然灾害自然灾害，例如暴风雨、飓风和地震，能够导致大范围的电力系统故障、安全性破坏和为窃取、蓄意破坏和恐怖行为造成机会。对现场设施和设备的物理和信息状态的实时监视能够为电力部门提供“眼睛和耳朵”以了解什么正在发生，并采取纠正行为使这些自然灾害对电力系统运行的影响降至最小。5．2．3蓄意威胁5．2．3．1概述相对于无意威胁，对变电站中设施和设备的恶意威胁能够导致更突出的危害。采用这些蓄意威胁的诱因正在增加，因为对攻击者来说，成功攻击的结果可能日益具有经济和“社会或政治”的益处。通过实时通告和司法追踪，对成功攻击的极坏影响有所抑制的同时，对设施和设备采用先进技术的监视能够有助于防范这些威胁中的某些威胁。5．2．3．2心怀不满的雇员心怀不满的雇员是攻击电力系统资产的主要威胁之一。具有破坏知识的不满雇员实质上比非雇员的危险更大，特别是在电力系统行业中，那里的许多系统和设备是完全独特的。5．2．3．3工业间谍在电力系统行业中工业间谍正成为更大的威胁，因为解除管制和竞争涉及数百万美元，这提供了对信息的未经授权访问的不断增长的动力，并进而出于邪恶目的可能危及设备。除了经济利益外，通过揭示竞争者的无能或不可信任，某些攻击者会获得“社会或政治”益处。5．2．3．4故意破坏故意破坏行为能够危及设施和设备，而对攻击者而言，除了进行故意破坏的行为以及向他们自身和其他人证明了他们能够实施故意破坏之外，并不具有任何特定利益。故意破坏者常常意识不到或不关心他们行为的可能后果。对进入已锁设施的通道和入口进行实时监视，和对任何访问异常进行实时告警能有助于防止大多数故意破坏。然而一些故意破坏，比如从变电站外对开关场中设备进行射击或关闭设备和软件应用，似乎需要另外的监视类型。5．2．3．5计算机骇客骇客就是为获取利益寻求突破计算机安全防护的人。所获利益可以直接是金钱的、工业知识的、政治的、社会的利益，或仅是个人的挑战以证实该骇客能够获得访问。多数骇客使用因特网作为他们的主要进入通路，因此大多数电力部门使用各种防火墙、隔离技术和其他应对措施，把电力系统的运行系统和因特网隔离。在公众眼中计算机安全常仅被看作是对骇客及其相关问题、计算机病毒和蠕虫进行防护。由于电力运行的计算机系统大概一直与因特网隔离，许多电力部门人员根本不理解在这些系统中增加安全措施的道理。然而正如从这些条款文字中可清晰看到的那样，这可能不再是正确的，因为网络化变得更普遍而且额外的信息访问需求也在增长(例如厂商远程访问、便携电脑的维护访问、继电保护工程师取回特殊数据的访问等)。5．2．3．6病毒和蠕虫如同骇客那样，病毒和蠕虫通常通过因特网进行攻击。然而一些病毒和蠕虫能嵌入到软件里，而此软件却被装载进已经与因特网相隔离的系统中，或病毒和蠕虫有可能会从某个不安全的便携电脑或其他系统经过安全通信而传播。它们可能包括中间人病毒、截获电力系统数据的间谍软件和其他木马。5．2．3．7窃取窃取有一个直接了当的目的，即攻击者取得他们无权得到的某种东西(设备、数据或知识)。通常就5 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／Z25320．1—2010／IECTS62351．1：2007动机而言，此目的有经济利益，虽然其他动机也是可能的。此外，对已锁设施的进人通道和入口进行监视和对设备的物理状态和状况的异常(如不响应或断连)告警是警示运行人员窃取可能正在发生的主要方法。5．2．3．8恐怖行为恐怖行为是最少可能发生但却可能具有最严重后果的威胁，由于恐怖行为的主要目的就是要造成最大程度的物理、经济和社会、政治的危机。对可能的恐怖分子袭击(比如物理上炸掉变电站或其他设施)，对变电站设施(包括物理上靠近)的进入通道和入口进行监视和异常告警，可能是警示运行人员的最有效手段。然而，恐怖分子在他们的行动中会变得更有经验，而能够寻求对整个电力系统暗中做到比仅爆炸一个变电站更大损害的方式，来破坏特定设备或使得关键设备无效。所以额外增加监视类型(包括设备的状态和状况)是很重要的。5．3安全的需求、威胁、脆弱性、攻击和应对措施5．3．1安全需求无论用户是人还是软件应用，他们或多或少都有四种基本安全需求，保护他们免于四种基本威胁。在每种情况中作为基本前提，授权要求认证用户：·机密性(confidentiality)：防止对信息的未经授权访问；·完整性(Integrity)：防止未经授权修改或窃取信息；·可用性(Availability)：防止拒绝服务和保证对信息的授权访问；·不可抵赖性或可追溯性(Non—repudiation。rAccountability)：防止否认已发生行为或伪称并没发生行为。5．3．2安全威胁通常存在四种类型计算机安全威胁：·未经授权访问信息；·未经授权修改或窃取信息；·拒绝服务；·抵赖或不可追溯。然而，存在许多不同类型的脆弱性和利用这些脆弱性使这些威胁得以成功的攻击方法。安全应对措施应该考虑这些不同类型的脆弱性和攻击方法。5．3．3安全脆弱性计算机安全脆弱性指的是系统中的薄弱点或其他漏洞，会使有意或无意的未经授权行为实现威胁。脆弱性可能由系统中的程序错误或设计缺陷造成，但也可能由设备故障和物理动作造成。脆弱性可能仅在理论上存在或是已知的行为。5．3．4安全攻击有多种不同类型的攻击能实现威胁，在图1中说明了一些攻击类型。正如看到的，同样的攻击类型常可能涉及不同的安全威胁。呈网状的各种潜在攻击意味着为满足一个特定安全需求并不存在恰好一种方法；对一种特定威胁的每种攻击类型都需要设法应对。此外，虽在“攻击链”中存在一系列攻击，可能涉及不同资产以及可能随时发生；但是也还能认为“攻击链”是一种特定的威胁。 www.bzfxw.com威需求GB／z253201—2010／Ⅲc幅6235j-1：2007机密性完整性日月＆不W抵赖图1安全需求、威胁和可能的攻击535安全类别出自一种安全观点，计算机安全能分为四个娄别，见图2。说明如下所有这四类通常都需要有为达到“端对端”安全所使用的安全措施。只对一类进行安全防护通常肯定是不够的。例如．其实现虚拟专网(vPN)，只处理对通信的传输协议的威胁，既不防止一个人伪装成另一个人，也不防止主计算机中恶意的软件应用经此vPN对现场装置进行通信。这些安全措施很好地综合起来使用，就不会发生疏漏间厝。i_目机女十∞Ⅲ媳型女十攻：h应”措糟[二享]一E蛩要匪薹薹薹口图2安全娄别、典型攻击和通用应对措施 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／z2532D1—2010／IEcw62351+120。7536安全应对措施安全应对措施如图3、圈4、图5和图6所示，同样是网状的相关技术和对策。并非所有安全应对措施对所有系统在所有时间都是需要或希望的，而这可能会造成大量过度杀伤且可能会使整个系统趋向于不可用或非常慢，因而首要的一步就是确定哪些应对措施对于满足哪些需要是有益的。所有应对措施都表示在图7中。这些图仅是资料性的，并不是圉中所有项都在GB／zz5320中处理。在圉3～围7中，四种安全需求(机密性、完整性、可用性和不可抵赖性)显示在每幅囝的顶部。基本的安全成胁显示在每种需求下面。应对这些威胁所使用的关键安全服务和技术显示在紧接于威胁下面的各方框中。这些只是普遍使用的安全措施的例子．以箭头指明哪些技术和服务参与支持在技术和服务上的安全措施。例如．加密用于许多安全措施中，包括传输层安全协议(TLs)、虚拟专阿(vPN)、无线安全和“链路端加密盒”(bum}zmth⋯re)技术。这些技术本身又支持IEc6235l和公钥基础设施(PKl)。通常用进些标准和PKI是为了认证，困此就能够指定口令和证书。在每幅图的底部，安全服务和技术下面是安全管理和安全对策，为所有安全措施提供基础。图3机密性安全应对措施一燕键安企服务目技术二安全管理一 GB／z253201—2010／IEc1s62351_1：2007圈_■÷I【I■_■■_■_■I_■I■-■_一■一-一■■——■●■■■■——■■■_网 标准分享网www.bzfxw.com免费下载cB／z2532012010／lEc啊62351_1：2007图6不可抵赖安全应对措施机镕性完#性目蝌性fur抵赖图7总安全：安全需求，威胁，应对措施和管理537分解安全问题空闻安全包括一套极其复杂且多维的问题，不存在任何标准化的或清晰规定的机制去分解安全周题空间，因此以成本效益方法分析和部署既适度又完善的安全措施．常会感到这是无法实现的。 GB／z25320．1—2010／IEcTS62351—1：2007例如，过去为分析安全需求已经使用过两种主要的探讨或分析方法：基于企业的分析(Enterprise—basedanalysis)(一套安全措施应用于整个企业)和基于技术／威胁的分析(Technology／Threa“asedanalysis)(一套技术，如口令和虚拟专网VPN，应用于所有系统)。两种方法都包含明显的缺陷。试图为整个企业开发单独一套安全措施有可能导致企业一些区域的安全防护或过度或不足。此外，企业是不断发展和变化的，因此一个企业可包括一个以上的业务实体；在不同的业务实体中不可能强制执行单独一套安全对策和技术。基于技术／威胁的分析假定安全措施不会改变，从而一个解决方案就足以适用于所有情况。然而在电力系统运行环境中这根本是不正确的。一个尺寸并不完全适合于所有。此外，因为安全防护是正在进行且发展的过程，基于今天的技术去选择安全防护可能妨碍在未来采用更先进的安全技术。于是，任何安全决策要求大量的协调，并且往往会使安全防护过程夭折，这也并不是完全不可能的。然而，安全问题有可能分解成更小的安全分析或安全管理区域。取决于所涉及的问题，已经使用了三种不同的分解处理。它们是：·物理安全边界(Physicalsecurityperimeter)：对计算机机房、通信机房、运行中心和其他放置关键计算机资产且访问受到控制的场所，物理安全边界是包围这些场所的物理六面体边界。此边界能被用于物理地保护资产；·电子安全边界(E1ectronicsecurityperimeter)：对连接关键计算机资产且访问受到控制的网络，电子安全边界是包围此网络的逻辑边界。此边界能被用于采取计算机安全措施；·安全域(SecurityDomain)：该区域组织上属于一个科室、部门、公司或者安全需求是相同或至少在同一实体的控制之下的其他组合。从安全的角度，由于一个安全域内所有资产只属于一个组织，所以安全域概念特别使得资源能完全自主地进行管理。安全问题空间划分成多个可管理小片能够大大有助于一个组织去制定适当且符合成本效益的安全措施。然而，这也产生了如何为域问交换即跨越安全边界提供安全机制的问题。为解决这问题，需要特定的域间安全服务以跨越这些边界。5．4安全对策的重要性安全对策文件描述对公司设施的主要威胁，阐明在维护公司信息安全中涉及到雇员的理由以及规定公司雇员(包括用户和IT职员)的权利和责任。为了处理与特定技术和应用相关的特定安全问题，包括IT网络配置考虑、网络性能问题、防火墙位置和设置、数据安全分级、协议安全需求和口令／证书分配，应制定详细的安全需求并且作为安全策略的伴随文件。该文件的一个主要功用就是作为培训工具。如果雇员们理解了现实世界的各种威胁、与每天职责相关的安全风险以及为使这些风险降至最小，要求他们采取的安全措施的有效性，他们就会更自觉和更全面地支持安全措施。安全对策同样应明确规定不遵循对策有可能采取的处罚。安全对策文件应是“活的”文件，反映新技术和新安全需求。正因如此，该文件应每当安全行业或IT设施中出现新发展时，或每年至少进行一次评审和更新。5．5安全风险评估另一个问题并且通常也是最难解决的问题，就是如何决定什么需要进行防护和需要防护到什么程度。有些人可能主张每一项资产都需要100％地防护，但这常是不现实的。此外，这种做法会造成安全防护的部署或实施极其昂贵，因而即使是尝试部署最低程度的安全防护，也有可能会阻碍实体去实施。再说，即使所有资产可能都要进行防护，“一个尺寸并不完全适合于所有”，所有资产也并不都需要进行完善且难以攻破的防护。然而，为了考虑资产的安全需要和防护程度，所有资产都应进行评估。安全风险评估确定安全破坏可以导致的危害程度，并且相对于实施和维护安全应对措施的成本，对经济的、安全的和社会的危害进行分析。所以安全风险评估是在任何安全部署之前应执行的关键安全工作。】】 标准分享网www.bzfxw.com免费下载GB／Z25320．1—2010／IECTS62351—1：20075．6认识安全需求以夏安全措施对电力系统运行的影响5．6．1电力系统运行中的安全挑战电力系统运行引发出许多与大多数其他行业不同的安全挑战。例如大多数安全措施是为对付因特网上骇客制定的。因特网环境与电力系统运行环境是极其不同的。所以在安全行业中对安全需求以及安全措施可能影响电力系统运行的通信要求，通常是缺乏认识的。特别是，已经制定的安全服务和技术主要是为了并不具有许多严格性能和可靠性要求的行业；而这些恰恰是电力系统运行所需要的。例如：·与授权客户不能访问其银行帐户相比，使授权调度员无法访问电力系统变电站控制有可能造成更为严重的后果。所以拒绝服务的威胁远比许多典型因特网交易更为巨大；·电力行业中使用的许多通信信道是窄带的而且端设备经常受到内存和计算机能力的限制，从而由于某些安全措施所需的开销而不允许采用，如加密和密钥交换；·大多数系统和设备是位于地域广大而分散、无人的远方场所，且根本没接人到因特网。这使得密钥管理、证书撤消和其他一些安全措施难于实现；·许多系统都由共线通信通道连接，所以工业通用的网络安全措施不能工作；·虽然无线通信正广泛为许多应用所使用，但对实施这些无线技术的场所和所实现的功能，电力部门一定需要非常小心。部分是因为变电站的高电噪声环境(对可用性的潜在影响)，部分是因为一些应用要求非常快速且极其可靠的响应(吞吐量)。即使许多无线系统使用了安全措施，然而这些措施可能增加开销(尽管开销是类似于有线介质)。5．6．2密钥管理和证书撤销在广大地域、窄带通信、一些端设备的能力受限并且许多设备远不是人员易于访问的情况下，密码的密钥管理是一个问题，这是多数其他行业(包括制造业)没有实际碰到的问题。无论公私密钥系统还是对称密钥系统或使用“链路端加密盒”设备，密钥都应该以安全方式置人端设备。一种选择是技术人员实地来到设备所在的地方，并把每一密钥下装到每个设备。这一方法对初次安装是适宜的，但如密钥需要定期更新，则会成为严重的负担。另一种选择是“密钥服务器”与端设备共处一地且通过当地网络与那些设备互连。那么密钥服务器就有可能使用一些分散的、宽带的安全通信去下载新密钥，然后分发密钥至各个不同的设备。证书撤销的问题类似于密钥管理，限制并不在于狭带通信而是根本没有任何运行设备能连接到因特网。正常的证书撤消由可信的证书管理员进行，在确定证书存在问题时他用因特网发出撤消公告。对电力系统操作，应该开发某种方法通过因特网安全地接收撤消公告，接着又安全地传递这撤消到适当的端设备，一切均以即时的方式进行。5．6．3系统和网络管理通常并不把电力运行中的信息基础设施作为相互密切结合的基础设施来对待，而看作由单独的通信通道、分开的数据库、多个系统和不同协议所组成的集合体。通常scADA系统执行某种最低限度的通信监视，如scADA系统到RTu的通信是否可用，如果通信失败那么scADA系统就把数据标示为“不可用”。然而维护人员面临的是为确定该问题，顺着“问题是什么，什么设备受到影响，设备在什么地方和应该做什么”的思路追踪。这一切是冗长而专业的过程，而在这期间并没充分监视电力系统并且一些控制行为可能无法执行。正如2003年8月14日美国东北海岸大停电的分析表明，在停电本身背后的主要原因是对处理停电人员来说在停电时缺乏使他们能有效工作的关键信息。对各部门的维护人员来说，每一部门的有效信息是不同的。通信技术人员一般负责确定微波或光缆问题；通信服务供应商应追踪他们的网络；数据库管理员应确定数据是否从变电站自动化系统或地理信息系统(GIs)数据库正确地取回；协议工程师应进行协议纠错；应用工程师应确定应用是否已经崩溃，不收敛或处于无穷循环中；而运行人员则应透过大量数据来确定可能的“电力系统问题”是否实际上是“信息系统问题”。】2 GB／z253201—2010／IEcTs6235．_12007将来-倍息管理问题将会日益复杂。scADA系统将不再独占控制现场通信，现场通信可以由电信供应商或由公司阿络或由其他公用事业部¨提供。对于电力系统的可靠性起决定作用的软件应用，将在智能电子设备(IntelllgentElectronlcDevlce，IED)中执行，因而为避免软件“崩溃”和系统故障．软件应用本身就需要监视和管理。现场装置将通过设被任何scADA系统监视的通道与其他现场装置进行通信，变电站中的信息阿络将依靠当地的“自愈”过程，这同样将不被当今的scADA系统显式地监视或控制。57五步安全过程网络化通信、智能设备以及对未来能量系统的运行至关重要的数据和信息，三者的保护和安全防护是开发行业层面的体系结构的关键驱动因素之一。计算机安全面对出自以下主要趋势的大量制度上的和技术上的挑战：·需要更高层面的与各种业务宴体的集戒；·基于开放系统的基础设施的日益使用，这些基础设施将组成未来的能量系统；·需要已有系统(即“遗留”系统)和未来系统的适当集成；·集成化的分布计算系统不断增长的先进技术和复杂性；·不断增妊的来自敌对组织的先进技术和威胁。从一开始就应该进行系统的安全防护规划和设计。安全防护功能对于系统设计是必不可少的。在部署之前对立垒防护进行规划将提供更完普和成本上更有效的解决方案。此外，先进的规划将保证安全服务是可以承受的(可以避免对无规划环境改造的花费)。这意味着在体系结构的所有层面都需要从事安全防护。正如在图8中所展示的．安全防护是～个不断演进的过程，因而不是静态的。为了对安全过程跟上将在系统中实现的要求有所帮助，应采取不断的工作和培训。安全将不断在公司安全对燕或安全基础设施与敌对实体之间竞赛。在将来，安全过程和系统将不断演进。按照定义，根本不存在100％安全的通信连接的系统。始终存在应该考虑和管理的剩余风险，因而为了维持安全，需要不断警爵和监视以适应全面环境的变化。图8一般安全过程一不断循环安全过程描述了作为鲁棒安全策略的一部分所需的五个高层过程。虽然实际上是循环的，但对这过程存在一定次序：安全评估，为资产的安全需求’基于概率的攻击风险、与成功攻击有关的损失和为降低风险和损失的成本，对资产进行评估的过程。从安全需求分析得出的安全建议导致安全对策的创建、与安全防护相蔫懑 标准分享网www.bzfxw.com免费下载GB／Z25320．1—2010／IEcTS62351—1：2007关的产品和服务的订购以及一系列安全防护步骤的实施。这循环过程的含义就是要求周期地进行安全再评估。为了周期评审安全策略，需要预先确定再评价周期。然而，安全策略需要不断地评价技术变化和策略变化，这些变化可要求立即再评估。安全策略。安全策略的产生是在安全域(securityDomain)内在管理、实施和部署安全防护方面创建安全对策的过程。对安全评估所提出的安全建议进行评审，从而制定对策以保证安全建议日后实施和维持。安全策略应在安全规划中详细描述，安全规划规定将要实施的详细安全措施、实施这些措施的日程以及测定效果和更新规划的检查评审过程。安全部署。安全部署是购置、安装和测试安全产品和服务的总合以及在安全策略过程期间所规定的安全对策和过程的实施。作为安全对策部署方面的一部份，应该执行一些管理过程，可以提到的是考虑入侵检测和安全审计能力的管理过程。安全培训。在安全威胁、安全技术以及影响安全的公司和法定的安全对策诸方面，不断的安全培训是必需的。安全威胁和技术是不断演进的，因而要求不断分析和培训人员以实施和维护必要的安全基础设施。安全审计(监视)。安全审计是负责检测安全攻击、检测安全突破和对安装的安全基础设施进行性能评估的过程。然而，审计的概念通常适用于事后事件或入侵。正如活动的安全基础设施一样，安全域模型要求连续不断的监视。因而审计过程需要增强。当试图评价基于企业的安全过程时，对各业务实体、安全对策以及隶属于该企业的各种实体所能选择的各种技术选项，即它们全部都进行考虑是不可能的。因而，讨论企业层面上的安全经常是一个可能永无终止的棘手任务。为了简化讨论，承认各种实体都能控制它们自己的资源从而使讨论能集中于重要方面，将讨论关于安全域的安全防护。5．8应用安全防护于电力系统运行因为通信方法和性能特性各种各样以及没有单一的安全措施能够应对所有类型的威胁，所以寄希望于实施多层次的安全措施。例如，虚拟专网VPN仅防护传输层协议，但并不防护应用层协议，因此再增加的安全措施，如GB／z25320．4，可能运行在VPN之上，提供应用层安全。此外，为提供增加的安全防护层次，采用基于角色的访问口令、入侵检测、访问控制列表、加锁的门和其他安全措施是必要的。从图3到图7可明显看出，在许多安全措施中认证起了重大作用。事实上，对大多数电力系统操作，控制行为的认证远比用加密“隐藏”数据重要。仅授权的控制行为才允许发生是至关重要的。同样，由于电力系统运行应该已经用隔离和防火墙很好地保护，与因特网的连接应该不是主要因素。所以，一些公共威胁反而比其他威胁较少危险。虽然特定威胁的严重性随着被防护的资产能够很大变化，但在电力系统运行中一些较危险的威胁是：·人员的疏忽：雇员把他们的口令牯在他们的计算机监视器上或人离开而门没锁上；·旁路控制：雇员关闭安全措施，没修改缺省口令或每个人都使用相同口令去访问所有变电站设备；或者自认为软件应用处于安全环境中，所以不对它的行为进行认证；或者不适当地使用厂商的后门链接；·不满的雇员：不高兴的雇员(甚至是试图对另一位雇员开无害玩笑的一位雇员)具有执行某些行为的知识，而这些行为可能有意或无意地危及电力系统运行；·违反授权：某些人采取了他们并没被授权的行为，有时是因为授权规则执行的疏忽或者是由于伪装、窃取或其他非法手段；·中间人：使某一个网关、数据服务器、通信通道或其他非端设备受损，因此被认为只是流过该中间设备的数据却被读出或修改后才沿着其路径发出；·资源耗尽：无意(或有意)造成设备过载，从而不能执行它的功能。或者证书过期并因此阻止对设备的访问。拒绝服务能对正努力控制电力系统的电力系统操作员造成严重影响。】4 GB／z25320．1—2010／IECTS62351-1：20076GB／Z25320概述6．125320的范围已经为IEC60870一5及其衍生协议(主要对应于串行DL／T634．5101、DL／T667和DL／T719以及网络DL／T634．5104)、GB／T18700(对应于IEC60870一6TASE．2)和DL／T860(对应于IEc61850)这三种通信协议的不同协议集制定了安全标准。此外，已经开展了网络和系统管理方面的安全工作。这些安全标准对不同协议应符合不同的安全目标，而安全目标会根据如何使用这些协议变化。一些安全标准能够适用于一些协议，其他安全标准却专门针对某个特定协议集。6．2认证作为关键安全需求25320(IEC62351)主要关注领域之一是认证。针对四种主要安全威胁中的三种威胁(机密性、完整性和不可抵赖性)，认证是关键。GB／z25320仅能够处理通信安全，但它试图提供一种机制，在具体实现内以这种机制支持基于角色的访问控制(RoleBasedAccesscontrol，RBAc)。RBAc能够提供直至用户和软件应用层面的应对这三种威胁的安全防护。为了提供RBAc的基础，最低要求是通信的应用层认证。6．325320的目标不同的安全目标包括通过数字签名的实体认证、保证唯一授权访问、防窃听、防重放、欺骗以及某种程度的入侵检测。对一些协议集，所有这些目标都是重要的，而对其他一些协议集，如果给出某些现场装置的计算约束、通信介质速度约束、继电保护快速响应以及需要考虑安全装置和非安全装置共用同一网络，那么只有一些目标是可行的。在其他章节中所描述的一些安全需求超出了GB／z25320的范围，因为它们涉及安全对策、雇员培训和系统设计以及实现决策。此外，在这些协议标准中已经包括事件和告警的日志和报告，所以期望这些日志和报告将用于提供审计跟踪。因此，GB／z25320已关注于提供以下类型的安全措施：·提供认证以最小化中间人攻击的威胁；·提供认证以最小化某些类型的旁路控制；·提供认证以最小化无意和恶意的雇员行为；·通过数字签名，提供实体认证：——确保对信息的唯一授权访问；——通信访问控制。·通过加密，提供验证密钥的机密性；·对那些具有处理额外负载资源的通信，通过加密，提供消息的机密性；·篡改检测，提供完整性；·防止重放和欺骗；·安全装置和非安全装置应被允许共存于同一网络中，虽然这可能引发某些“后门”的安全问题；·对通信基础设施本身进行监视，提供：——一定程度的入侵检测；——资源负荷监视；——信息系统内各成分的可用性。·需要一整套一致性的管理策略(例如对所有协议集的相同机制)；·希望使用主流的IT方法。6．425320各部分和IEc协议问的关系在GB／z25320的每一部分中叙述了正被处理的安全需求(例如认证、机密性等)。此外，还包括了实现一致性声明(Pr。formaImplementationConformancestatement，PIcs)。PIcs为不同安全级别确】5 标准分享网www.bzfxw.com免费下载GB／z25320．1—2010／lECTs62351—1：2007定了必备的和可选的一致性。25320的第1部分到第7部分是：·GB／Z25320．1安全问题介绍；·GB／Z25320．2术语；·GB／Z25320．3包含TCP／IP的协议集(该部分包括由ICCP，IEC60870一5—104，TCP／IP上DNP3．O和TcP／IP上IEC61850所使用的那些协议集)；·GB／z25320．4包含MMs的协议集(该部分包括由IccP和IEc61850所使用的那些协议集)；·GB／z25320．5IEc60870一5及其衍生标准(即DNP3．0)的安全(该部分包括IEc60870一5和DNP所使用的串行和网络协议集)；·GB／Z25320．6IEC61850协议集安全(该部分包括IEC61850中不基于TCP／IP的协议集GOOSE，GSSE，和SMV)；·GB／Z25320．7网络和系统管理的数据对象模型(该部分涉及开发电力系统运行环境的管理信息库MIB)。GB／Z25320(IEc62351)各部分和IECTc57标准之间的相互关系展示于图9中。图9IEc62351安全标准与IEcT℃57其他协议集的相互关系6．525320．1安全问题介绍25320．1(本部分)是资料性介绍，包括为电力系统运行进行安全防护的背景并提供25320的概略信息。6．625320．2术语25320．2包括在GB／z25320中所用的术语、缩略语及其定义。由于在其他行业及电力系统】6 GB／Z25320．1—2010／IECTS6235卜1：2007行业中广泛使用安全术语，因而这些定义是尽可能多地以已有的安全和通信行业标准定义为基础。当采用行业标准定义时，应给出这些定义的出处。6．7GB／z25320．3包含TCP／IP的协议集6．7．1应对的威胁和攻击类型GB／z25320．3为包括TcP／IP的任何协议集提供安全。它规定使用传输层安全协议(TransportLayersecurity，TLs)而并不是另起炉灶，TLs一般用于因特网上的安全交互，包括认证、机密性和完整性。该部分描述了TLs必备参数、可选参数以及为电力部门运行应该使用的TLs设置。GB／z25320．3的目的是为软件应用间的通信提供端对端传输安全。在确定满足这目的的最优方法时，曾分析了IPsec和TLs。IPsec通常用于防护在局域网两个网段间所交换的所有通信业务，而TLS提供基于端对端的加密和对中间人攻击的防护。为满足这目的，选择了TLs而不选IPsec。IPsec可以用于防护其他业务或者甚至与TLs一起使用，这是可以理解和采纳的。GB／z25320．3针对以下威胁和攻击进行保护：·通过TLS加密，防止窃听；·通过消息认证，防止中间人安全风险；·通过安全证书(节点认证)，防止欺骗；·通过TLS加密，防止重放攻击。然而，TLs并不能防止拒绝服务，这种安全攻击类型需要以特定的措施实现防护。TCP／IP的TLs为通信协议集的传输层提供安全。TLs并不提供应用层安全，所以应用层安全应由其他安全措施提供。6．7．2安全需求和措施为了支持不同安全级别，GB／z25320．3规定声称具备一致性的产品必须支持以下能力：·与还没有实现TLs或应用认证的其他设备的互操作性：它对已有的实现和为朝着用安全防护逐步更新的系统提供了必要的向后兼容性；·与还没有实现TLs但确实支持应用认证的其他设备的互操作性：它能用于在VPN连接上的实现或控制中心内部的实现；·与已实现TLs但还没有应用认证的其他设备的互操作性：它只容许加密和节点级认证；·与既实现TLs又实现应用认证的其他设备的互操作性：它提供了完整的安全防护。TCP／IP安全措施的一些关键原则是：·由于已知的安全脆弱性，安全套接层(securesocketsLayer)ssL1．o和2．0已失去使用价值；·使用TLsl．o或更高版本(相当于ssL3．1)；·严禁不提供加密的密码套件；·透明的基于时间和分组数的密钥再协商，这样，轻载网络并不会由于多数连接是长期的而在长时间内丧失认证；时间和分组数是可配置的，但推荐参数是时间为10min和分组数为5000；·连接的实体负责密钥协商。这避免协议死锁；·支持至少一种公共密码套件的标准化，如高级密码标准AEs；·TLs消息验证的规范化，以避免欺骗和重放；·能够要求证书短小使负载最小。6．7．3使用VPN隧道和“链路端加密盒”技术使用VPN隧道和“链路端加密盒”(如AGA12—2)的解决方案超出GB／z25320的范围。这并不排斥它们作为总安全解决方案的一部分使用，只要认识到它们只能保护一类安全。6．8GB／z25320．4包含MMS的协议集6．8．1应对的威胁和攻击类型GB／z25320．4为包括制造报文规范(ManufacturingMessagespecification，MMs)，17 标准分享网www.bzfxw.com免费下载GB／Z25320．1—2010／IECTS6235卜1：2007包括GB／T18700[对应于IEc60870一6TAsE．2(ICcP)]和DL／T860(对应于IEc61850)的协议集提供安全。MMs(IsO9506)的安全防护提供应用层安全，它要求配置TLs并启用TLs安全措施，特别是认证：相互交互的二个实体，它们都是它们所声称的那个实体。如果没有使用加密，那么在GB／z25320．4中所应对的特定威胁包括：对信息的未经授权访问。如果采用GB／z25320．3，那么在GB／z25320．4中所应对的各特定威胁包括；·通过消息层面认证和消息加密，防止对信息的未经授权访问；·通过消息层面认证和消息加密，防止信息的未经授权修改(篡改)或窃取。以下安全攻击方法试图由GB／z25320．4应对。以下几项不包含通过GB／z25320．3所应对的攻击方法。在没采用GB／z25320．3的情况中，所应对的威胁被限定于在关联建立期间的防护：·中间人攻击：该威胁将通过使用在本文件中规定的消息鉴别码机制进行应对；·干预检测／消息完整性破坏：该威胁将通过用于创建在本文件中规定的认证机制的算法进行应对；·重放攻击：该威胁将通过使用在GB／z25320．3和GB／z25320．4内规定的专用处理状态机进行应对。6．8．2安全需求和措施因而，GB／z25320．3和GB／z25320．4结合提供直至通信应用层的端对端安全，包括以下类型的安全防护：·认证；·机密性；·数据完整性；·不可抵赖性。GB／z25320．4允许安全和非安全协议集同时使用，从而，不是所有系统需要在同一时间升级采用安全措施。6．9GB／z25320．5IEc60870一5及其衍生标准的安全6．9．1应对的威胁和攻击类型GB／z25320．5为IEc60870—5的串行版本[主要是IEc60870一5—101(对应于DL／T634．5101)，IEc60870一5—102(对应于DL／T719)和IEc60870一5—103(对应于DL／T667)]和网络版本[IEc60870一5—104(对应于DL／T634．5104)及其衍生协议，如在TcP上的DNP3．o]提供了不同的解决方法。GB／z25320．5特别提供应用层认证。应用层认证防止了欺骗、重放、修改和一些拒绝服务攻击，但不包括加密，所以并不防止窃听、流量分析或抵赖。应用层认证是必要的，因为场所对场所的安全和在某些情况下传输层安全并不能解决下述问题：·每一当地的安全防护；·在非加密无线通信上串行协议(如IEc60870一5)的安全防护；·通过终端服务器，已被在IP网络上转发的串行协议的安全防护；·防止“流氓应用”或已被恶意软件感染的主机内的攻击；·基于角色的认证需要链接到远方场所。而目前基于角色的用户认证，其安全链通常停止在主机内，应用层认证就能够确保，只有那些为了解某一特定数据集已经授权的用户才能够访问此数据集，所以直至用户被认证之后才能从远方场所传回此数据集。6．9．2安全需求和措施运行于TcP／IP之上的网络版本IEc60870—5—104(对应于DL／T634．5104)和衍生协议能够应用GB／z25320．3所描述的安全措施，而这些安全措施包括了由TLs加密所提供的机密性和完整性。因18 GB／Z25320．1—2010／皿CTS6235卜1：2007此，唯一的附加需求是由GB／z25320．5所提供的认证服务。串行版本通常使用仅能支持低比特率的通信介质或使用受限于计算能力的现场设备。在这样环境中使用TLs会使计算和通信的强度过高。因此，为串行版本提供的唯一安全措施只是简化的认证机制。6．9．3GB／z25320．5可附加的安全措施如果要求加密，就能够增加其他基于加密的安全措施，如虚拟专网VPN或“链路端加密盒”技术，这取决于所涉及的通信和设备的能力。这些加密措施在传输层起作用。6．10GB／z25320．6DL／T860的安全6．10．1应对的威胁和攻击类型GB／z25320．6包括在TCP／IP上使用MMs的DL／T860(对应于IEc61850)协议集使用了25320．3和GB／Z25320．4。所应对的安全威胁包括中间人、数据未经授权修改、消息未经授权修改、篡改和重放攻击。对性能要求并不严格而要求机密性的那些功能，能够通过其他安全措施(如“链路端加密盒”或虚拟专网VPN)增加加密。6．10．2安全需求和措施在TcP／IP上使用MMs的DL／T860协议集使用了GB／z25320．3和GB／z25320．4。在TcP／IP上运行的外加DL／T860协议集(web服务或未来其他协议集)将使用GB／z25320．3再加上由通信行业为应用层安全所开发的可能附加的安全措施。这些外部开发的安全措施的可能使用超出了本标准的范围。DL／T860也包括三个协议：面向变电站事件的通用对象(G00sE)、通用变电站事件(GsE)和采样值(sMv)。这三个协议都是组播数据报和不可路由的，专为在一个变电站局域网LAN上或其他非路由网络上运行。在这环境中，报文必须在4ms内被传输，所以大多数加密技术或者其他会影响传输速率的安全措施都是不可接受的。因而，经数字签名的认证是唯一安全措施。这三个协议的特性见表1。表1DL／T860的三个组播协议的特性SMVGOOSEMMSPDu字节数～1500～1500>30000性能数据流4ms不要求类型组播面向连接基于这些特性，确定下列安全措施见表2。表2DL／T860的三个组播协议的安全措施SMVGOOSEMMSx．509证书(身份)否是加密(机密性)不必需仅当>4ms是篡改检测(入侵检测)是GOOsE和SMV安全措施的一些关键原则是：·认证是主要安全措施；·不包括加密，因为这使报文字节增加太多，而且并不是十分重要的(将来可能会增加某种硬件的加密)；·密钥再协商并不支持“带内”密钥协商，因为这可能会破坏高度实时的高速信息流；·由于安全防护随时都可能实施，而且因为对不同装置，安全防护可以需要也可以不需要，非安19 标准分享网www.bzfxw.com免费下载GB／z253201—2010／IEc1s62351-1：2007全G00sE客户端可不理会安全GOOsE报文；·为了向后兼容，现把一个保留字段用作长度，这样扩展字段就可能增加到G00sE／sMv报文的后端，这扩展字段包含认证值(数字签名HMAc)。非安全客户端将简单地忽略这扩展。这增加大约20个字节；·为了支持证书交换，扩展了DL／T860变电站配置语言(sub5tatloncoⅡfIguratlonLanguage，SCL)．圈10说明在G00sE／sMv中的认证安全措施。保目；*——■面二亟亟亚口认Ⅱ值数字#名1lMAf图10缸肼E／sMv中的认证安全措施611253207网络和系统管理的数据对象模型6111253207目的和范围2j3207涉及信息基础设施的网络和系统管理的安全防护。电力系统运行日益依赖于信息基础设施，包括通信网络、智能电子设备(IED)和自定义通信坼议。因此为了在电力系统运行中提供必要的高安全水平和可靠性，信息基础设施的管理是至关重要的。所以GB／z2j3207B经为电力系统运行环境制定丁抽象的网络和系统管理(Net⋯kandsyst⋯anage⋯tNsM)数据对象。这些NsM数据对象反映了为管理信息基础设施所需的信息，如同管理电力系统基础设施那样可靠地管理信息基础设施。(见图11)。刚于网络管理的Is0的公共管理信息协议(cMIP)和IETF的简单网络管理协议(sNMP)标准能够提供某种罔络管理。在sNMP中，管理信息库(M—g⋯ntIn南⋯tlonB—MIB)数据被用于监视网络和系统的运行状况，但是每个厂商将为他们的设备开发他们自己的MIB。对于电力系统运行．sNMPMlB仅可用于通用的组网设备，比如路由器。对于IED根本没有规定标准的MIB，所以各厂商使用一些特别或专用方法来监视一些设备类型的运行状况。因而该部分为电力行业提供类似MIB的数据对象(称为NsM数据对象)。NsM数据对象表示了为支持阿络和系统管理和安全问题检测，被认为是必备的、推荐的或可选的信息集合。这些NsM数据对象使用IEc61850制定的命名规则，加以扩展以处理NsM问腰。虽在该文件中采用抽象的sNMP客户／代理模型，但并不认为sNMP就是选定的协议。相反，在253207中定义的抽象NsM数据对象可以映射到任何合适的协议，包括GB／T18700(对应于1Ec60870-6)、DL／T860(对应于IEc6185。)、1Ec60870-5sNMP⋯b服务或其他台适的坍议。 GB／z253201—2010／皿c巧62351_1：2∞7●@HKT业nn图11、sM对象横型是信息基础设施，相当于电力系统基础设施的cIM和IEc61850对象模型6112NsM要求需要对电力行业特定的安全且可靠的NsM数据对象的要求进行规定。这些NsM数据对象将支持通信网络的完整性、系统和应用的运行状况、入侵检测系统(Intfusl。nDetectl。nsystem，IDs)、防火墙以及其他对电力系统运行是独特的安全／网络管理要求。增加有安全监视架构的电力系统的运行系统的基本组成如图12所示。匿圈⑩睡蕾*R墙●NsM数据”§·会鬟譬嚣。，使月NsM数*对§∞女±＆‰4目匿讨—≤巫蔓>吨囹⋯⋯古蒜一衡L∑／28”宣防火墙9碎釜冬≤⑨}甄≯l趋洒圉12电力系统的运行系统，安全监视架构旁通 标准分享网www.bzfxw.com免费下载GB／Z25320．1—2010／IECTS62351—1：20076．11．3NsM数据对象的例子NsM数据对象所实现的网络和系统管理需求的例子包括：a)通信网络管理：监视网络和协议1)检测网络设备的永久故障；2)检测网络设备的暂时故障和重启；3)检测网络设备故障切换至备用设备或备用通信路径；4)检测备用设备或备份设备的状态；5)检测通信协议版本和状态；6)检测不一致的协议版本与能力的不匹配；7)检测篡改或格式畸变的协议报文；8)检测网络间没适当同步的时钟；9)检测资源耗尽型的拒绝服务(DOs)攻击；10)检测缓冲区溢出型的DOs攻击；11)检测物理接人中断；12)检测非法网络访问；13)检测非法应用对象访问或操作；14)对跨越多个系统的协调攻击的检测能力；15)收集网络设备的统计信息：一确定报文平均传递时间，最长传递时间和最短传递时间等；——计算报文数、报文字节数。16)提供审计日志和记录。b)通信网络管理：控制网络1)人工发出网络设备的开／关命令；2)人工发出网络设备的切换命令；3)设置参数和为自动化的网络动作设定顺序；4)响应事件的自动化动作，比如当设备故障时通信网络的重新配置。c)系统管理：监视智能电子设备(IED)1)系统、控制器和应用的所有停止及启动的次数和时间；2)每一应用和软件模块的状态：停止、挂起、运行、不响应、不恰当或不一致输入、输出错误、错误状态等；3)所有与IED网络连接的状态，包括暂时和永久故障的次数和时间；4)任何“继续活着”心跳的状态，包括任何丢失心跳；5)备用或故障切换机制的状态，如这些机制不可用的次数和时间；6)进行数据报告的状态：正常、不能响应请求、丢失数据等；7)访问状态：未经授权企图访问数据或发出控制的次数、时间和类型；8)数据访问中异常(如正常周期性进行报告时的单独请求)。d)系统管理：在智能电子设备(IED)内的控制动作1)启动或停止报告；2)重启动IED；3)杀死和重启应用；4)重建到另一IED的连接；5)关闭另一IED；6)提供信息事件的事件日志；22 7)修改口令；8)修改备用或故障切换的选项；9)提供审计日志和记录。GB／Z25320．1—2010／皿C弼62351—1：20077结论从构思安全措施那时起，安全措施就应该内建于每个系统中。大多数人认为防火墙或“加密”是唯一必需的安全措施；然而安全不但包括防火墙或“加密”，还应该包括认证、基于角色的访问控制、防止拒绝服务、信息基础设施的监视和审计功能以及最后，但决不意味最不重要的，安全对策。安全对策强制执行补充了安全措施。 标准分享网www.bzfxw.com免费下载GB／Z25320．1—2010／IECTS6235卜1：2007附录NA(资料性附录)IEc60870—5的各部分与对应的我国标准以及一致性程度表NA．1给出IEC60870—5的各部分与对应的我国标准以及一致性程度。表NA．1IEc60870—5的各部分与对应的我国标准一览表国际标准编号我国标准名称我国标准编号一致性程度IEC608705远动设备及系统第5部分：传输规约WG03IEC60870一5—1．1990第5部分：传输规约第1篇：传输帧格式GB／T18657．12002IDT第5部分：传输规约第2篇：链路传输IEC60870一5—2．1992GB／T18657．2—2002IDT规则第5部分：传输规约第3篇：应用数据的IEC60870一5—3：1992GB／T18657．32002IDT一般结构第5部分：传输规约第4篇：应用信息元IEC6087054：1993GB／T18657．42002Ⅱ)T素的定义和编码IEC60870—5—5．1995第5部分：传输规约GB／T18657．5—2002IDT第56部分：IEc60870配套标准一致性测IEC60870—5—6．2006DL／Z634．56—2004IDT试导则第510l部分：基本远动任务配套标准(第2IEC60870—5一101．2002DL／T634．5101—2002IDT版)第5部分：传输规约第102篇：电力系统IEC608705102：1996DL／T719—2000IDT电能累计量传输配套标准第5部分：传输规约第103篇：继电保护IEC60870一5—103：1997DL／T667—1999IDT设备信息接口配套标准第5一104部分：采用标准传输协议子集的IEC60870—5—104：2006DL／T634．51042009IDTIEc8705—101网络访问第5—601部分：IEc60870_5101相关标准的IEC60870一5—601(2006一06)一致性试验第5604部分：IEc60870一5—104相关标准的IEC60870一5—604(2007—0Z—09)一致性试验24 GB／z25320．1—2010／IECTS6235卜1：2007参考文献NorthAmericanE1ectricReliab订ityCouncil(NERC)CyberSecurityStandard，CIP002009．2006'