《电力北斗应用系统及终端设备信息安全技术要求》

ICS点击此处添加ICS号T/CECXXXXX—XXXX

点击此处添加中国标准文献分类号

T/CEC

中国电力企业联合会标准

T/CECXXXX—XXXX

电力北斗应用系统及终端设备

信息安全技术要求

TechnicalrequirementsforinformationsecurityofBDSapplication

systemandterminalequipment

点击此处添加与国际标准一致性程度的标识

（工作组讨论稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中国电力企业联合会发布

T/CECXXXXX—XXXX

I

T/CECXXXXX—XXXX

电力北斗应用系统及终端设备信息安全技术要求

1范围

本标准规定了电力北斗应用系统及终端设备信息安全技术要求。

本标准适用于电力北斗应用系统及终端设备的信息安全检测及验收。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中注日期的

引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所

有的修改单）适用于本文件。

GB/T18336信息技术信息技术安全性评估准则

GB/T22081信息技术安全技术信息安全管理实用规则

GB/T22239信息安全技术信息系统安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T33008.1-2016工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:

系统要求

3术语和定义

GB/T9387.2、GB/T18336、GB/T22081、GB/T25069、GB/T33008.1-2016中界定的以

及下列术语和定义适用于本文件。

3.1

电力北斗终端设备powerBDSterminalequipment

电力行业应用的基于北斗卫星进行通信的终端设备，主要由电力北斗终端设备（以下简

称“终端设备”）自身和终端设备配置软件（以下简称“配置软件”）组成。

3.2

电力北斗应用系统BDSelectricpowerapplicationsystem

基于北斗卫星通信的电力业务应用系统，主要包含用于业务数据采集的电力北斗终端设

备和用于数据汇总应用的电力应用系统软件（以下简称“应用系统”）。

3.3

网络边界防护设备networkboundaryprotectionequipment

部署与安全网络与公共网络间边界位置的一套强逻辑隔离设备，主要实现安全网络与公

共网络间的物理隔离，通过数据的转发实现业务数据的跨不同安全区域网络间的传输。

1

T/CECXXXXX—XXXX

3.4

安全接入模块securityaccessmodule

通常由软件与硬件组成，被集成进终端设备中。通过模块中写入的加密算法与密钥实现

与网路边界防护设备的接入认证及传输通道的建立。

3.5

保密性confidentiality

使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。

3.6

完整性integrality

数据没有遭受以未授权方式所作的更改或破坏的特性。

4缩略语

下列缩略语适用于本文件：

ARP：地址解析协议（AddressResolutionProtocol）

CSRF：跨站请求伪造（Cross-SiteRequestForgery）

IC卡：集成电路卡（IntegratedCircuitcard）

ICMP：控制报文协议（InternetControlMessageProtocol）

ID：身份（IDentity）

IP：网络之间互连的协议（InternetProtocol）

MAC：媒体介入控制层地址（MediaAccessControl）

MD5：消息摘要算法第五版（MessageDigestalgorithm-5）

Nmap：网络扫描和嗅探工具包（Networkmapper）

PIN码：SIM卡的个人识别密码（PersonalIdentificationNumber）

SQL：结构化查询语言（StructuredQueryLanguage）

SSH：安全外壳协议（SecureSHell）

SSL：安全套接层（SecureSocketsLayer）

SSRF：服务器端请求伪造（Server-SideRequestForgery）

SYN：握手信号（SYNchronous）

TCP：传输控制协议（TransmissionControlProtocol）

UDP：用户数据报协议（UserDatagramProtocol）

XSS：跨站脚本攻击（CrossSiteScript）

5应用系统安全要求

5.1身份鉴别

身份鉴别满足以下要求：

a)应对登录用户进行身份标识和鉴别，确保用户身份标识的唯一性；

b)应提供基于口令、数字证书、指纹卡等鉴别技术的两种或两种以上组合的方式对用

户身份进行鉴别；

c)应对使用者在被授予敏感操作权限之前进行鉴别；

2

T/CECXXXXX—XXXX

d)应限制用户口令的有效期，并限制用户在更改口令时使用重复口令；

e)应具备用户登录失败检测功能；

f)应具备远方操作权限控制功能，支持远方控制行为的权限校验；

g)应具备用户弱口令周期自动检测告警功能．对于弱口令或重复口令用户，限制其登

录系统，强制口令修改时间间隔，用户口令应在系统中加密存储；

h)应依据IP地址、MAC地址等属性对连接服务器的客户端工作站进行限制。

5.2访问控制

访问控制满足以下要求：

a)应支持基于业务操作员、审计管理员、系统管理员等角色的访问控制功能；

b)应支持角色与权限的绑定．不同角色人员应按照工作范围、职责分工分配相应的访

问控制权限；

c)应支持角色互斥功能．禁止配置同时具有控制和维护修改权限的角色，系统中不得

存在超级管理员角色；

d)应依据安全策略控制用户对监控信息等文件或数据库表等客体的访问；

e)应支持对重要信息资源设置安全标记功能．并提供基于安全标记的访问控制。

5.3安全审计

安全审计满足以下要求：

a)应具备覆盖每个用户的安全审计功能；

b)审计功能中应对业务事件和新建用户、授权等系统事件进行记录；

c)应具备对审计数据进行搜索、查询、分类、排序等功能；

d)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；

e)应具备审计数据的管理功能，并能够对审计事件的项目进行选择和设置；

f)应支持定义分级的系统异常事件类型，并且根据异常的严重程度分别采用日志记录、

警告提示、声光报警等方式进行通知。

5.4数据完整性

数据完整性满足以下要求：

a)应具备对监控信息等关键数据的存储完整性保护功能；

b)应具备对监控信息、信息点、控制命令等关键效据的传输完整性保护功能；

c)应在检测到关键数据完整性错误时，提供必要的恢复手段。

5.5数据保密性

数据保密性满足以下要求：

a)应对通信过程中的关键报文进行加密；

b)应支持用户口令等关键数据的加密存储和传输；

c)应支持基于UKey等硬件设备对重要通信过程进行加解密运算和密钥管理。

5.6抗抵赖

应用系统应具备对测绘类关键操作的原发抗抵赖功能。

5.7系统容错

系统容错满足以下要求：

3

T/CECXXXXX—XXXX

a)应对人工输入数据有效性进行检验；

b)应具备自动保护功能；

c)应具备系统恢复功能。

5.8资源控制

资源控制满足以下要求：

a)应对登录用户的会话超时时间进行限制；

b)应对请求进程占用的系统资源分配最大限额、最小限额和资源水平降低到预先规定

的最小值进行检测和报警；

c)应且备服务优先级设置功能。

5.9信息探测

应用系统运行时应关闭存在风险的无关服务和端口。

5.10安全漏洞

应用系统应具备安全机制，不存在明显可利用安全漏洞。

6终端设备安全要求

6.1业务防护安全

6.1.1网络边界接入认证

业务数据需要在安全网络与公共网络间进行传输时，终端设备应配置安全接入模块，通

过安全接入模块与网络边界防护设备间进行身份认证，网络边界防护设备确认设备身份的合

法性。

6.1.2接入访问控制

终端设备应能够依据网络边界防护设备的访问控制策略访问或无法访问指定业务。

6.1.3接入通信保护

终端设备通过网络边界防护设备进行业务数据传输时，应能使用安全接入模块提供的加

密算法进行数据保护。

6.1.4接入兼容性

终端设备宜兼容多种网络边界防护设备的接入认证，以保障不同业务应用场景的部署需

求。

6.2设备自身安全

6.2.1接入控制

主站或网络应在建立业务连接之前对设备进行接入控制，以支持业务通信功能和配置管

理。

4

T/CECXXXXX—XXXX

6.2.2访问控制授权

6.2.2.1.访问控制

终端设备应只允许身份验证正确的实体访问被授权访问的资源，或只有具有授权的实体

才能发出访问请求。

6.2.2.2.管理员用户角色

终端设备的访问控制功能应支持管理员用户角色，管理员具有创建用户账户和管理其他

用户权限的能力。

6.2.2.3.授权项

终端设备应支持根据用户角色对设备功能进行授权，需要认证授权的功能至少包括：

a)查看数据：查看数据是指能够查看设备的运行数据（经度、纬度、高程、卫星数等）；

b)查看配置设置：查看配置设置指的是查看设备的配置，如地址、通信地址；

c)强制修改：强制修改指的是手动输入覆盖真实数据，和/或手动控制输出运行；

d)配置变更：配置变更是指下载和上传装置的配置文件，和/或变更现有的配置定值；

e)版本变更：新软件版本加载；

f)帐户管理：创建、删除或修改帐户内容；

g)审计日志：审计日志指能够查看和下载审计日志。

6.2.2.4.配置权限

配置软件应支持根据用户角色的操作权限分配，授权应遵循最小权限原则及权限互斥原

则，可定义的权限至少包括：

a)配置查看：普通用户只能查看配置数据，不能对配置进行修改；

b)配置修改：管理员可以修改并保存设备的配置数据，并对设备进行更新；

c)日志查看：审计员只能查看和下载设备审计日志。

6.2.2.5.配置软件认证

终端设备应能对正在使用的配置软件进行认证，保证是用户授权的软件。未授权的配置

软件禁止访问终端设备的任何功能。

6.2.3用户认证

6.2.3.1.身份认证

终端设备应具备用户身份认证功能，应至少支持用户名和口令的用户身份验证方式。无

论是本地的通过控制面板、带测试功能通信/诊断接口或远程的通过网络，在使用用户名和

口令认证时，所有对设备的访问都应当确保用户名和口令的唯一性。

6.2.3.2.口令强度控制

终端设备用户身份认证功能应对口令长度及组成进行控制，以保证口令强度，口令强度

至少满足:

a)对于本地通过控制面板登录，应保证口令长度至少为4位；

b)对于通过带测试功能通信/诊断接口或远程网络的方式登录，应保证口令长度至少

为8位，由大写字母、小写字母、数字、特殊字符中两种或两种以上组合组成。

5

T/CECXXXXX—XXXX

6.2.3.3.明文口令

终端设备不应在设备内存储或通过网络发送明文口令。

6.2.3.4.操作认证

终端设备的访问控制功能应提供支持操作验证机制的能力，用户执行控制或修改重要的

参数操作时，需要进行再次鉴别。

6.2.3.5.鉴别失败处理

终端设备的用户认证功能应提供支持用户登录失败处理的能力，可采取结束会话、限制

非法登录次数和自动退出等措施。

6.2.3.6.会话超时锁定

终端设备应提供会话超时锁定功能。当会话在管理员定义的一段时间内都不活动，设备

锁定会话，会话锁定应一直保持到重新登录。

6.2.4安全审计

6.2.4.1.审计记录事件

终端设备应能产生和存储安全性事件和重要业务事件的审计信息。审计记录的事件类型

至少包括：

a)强制修改：已登录用户手动重写真实数据和/或控制操作；

b)访问配置：将配置文件从设备下载到外部设备中（例如计算机）；

c)配置更改：在设备中传入新配置或者通过键盘输入新配置参数，使设备的配置发生

改变；

d)创建用户名/口令或更改：创建新的用户名/口令或者修改帐户权限；

e)删除用户名/口令：删除用户名/口令；

f)会话超时锁定：当会话在管理员定义的一段时间内都不活动，设备锁定会话；

g)访问审计记录：用户查看日志或将日志保存在外部设备或存储空间（计算机、U盘、

光盘）；

h)修改时间/日期：用户修改时间和日期；

i)警报事故：非授权行为警报，报警行为宜包括但不限于以下内容：单次登陆中，连

续多次输错口令；由于断电、按下重启按钮、修改上电顺序或配置修改导致的设备重启；遭

受网络攻击；企图使用非法的配置软件访问设备。

6.2.4.2.审计记录内容

终端设备的审计记录应具备可用于事件追溯的基本信息，审计记录内容应包括：

a)事件的日期和时间（至少精确到秒级）；

b)发生事件的组件（例如：文件、数据、定值）；

c)用户/主体的ID（ID号应唯一）；

d)操作内容；

e)该事件的结果（成功或失败）。

6.2.4.3.审计的时间戳

终端设备应在审计记录产生时添加基于系统时间的时间戳。

6

T/CECXXXXX—XXXX

6.2.4.4.审计信息的保护

终端设备应保护审计信息和审计功能不被非授权用户访问，应禁止任何用户对审计记录

进行修改、删除操作，并支持审计记录容量的管理策略（例如覆盖旧的审计记录和停止生成

审计记录）。

6.2.4.5.审计故障告警

终端设备或从事审计功能的组件应在审计失败时向适当的负责人员告警，如面板、声、

光、短信、网络告警等方式。审计失败包括：软件/硬件错误，审计生成中的错误，审计存

储容量满载或超容等。

6.2.5备份与恢复

6.2.5.1.设备备份

终端设备及其支持工具应提供备份功能，以方便用户进行设备中应用级和系统级信息

（包括系统安全状态的信息）的备份，且导出的配置文件为非明文。

6.2.5.2.设备恢复

终端设备应提供恢复功能，使用户可以在业务中断或设备故障恢复后重组以前保存的应

用级和系统级信息。

6.3数据安全

6.3.1数据存储安全

6.3.1.1.数据存储完整性

终端设备应支持数据存储完整性保护机制，以保证安全认证信息和重要业务数据、测绘

数据、配置信息等敏感信息在存储过程中的完整性。

6.3.1.2.数据存储机密性

终端设备应支持数据存储机密性保护机制，以保证安全认证信息和重要业务数据、测绘

数据、配置信息等敏感信息在传输过程中的机密性。宜采用国密算法（如SM1、SM2、SM4、

SM7、SM9、祖冲之密码算法等）保证数据在存储过程中的机密性。

6.3.1.3.数据存储安全

终端设备应配置永久性或不宜被破坏的存储介质，用于存储安全认证信息和重要业务数

据、测绘数据、配置信息等敏感信息，在异常断电情况下，数据不被丢失。

6.3.1.4.数据输出安全

终端设备应提供记录的测绘数据输出到外部设备的功能，应仅允许授权用户通过此功能

输出测绘数据。

6.3.2数据传输安全

6.3.2.1.数据传输完整性

终端设备应支持数据传输完整性保护机制，以保证安全认证信息和重要业务数据、测绘

数据、配置信息等敏感信息在传输过程中的完整性。