NBT11204-2023变电站二次设备调试信息安全防护装置技术规范

CCSK45变电站二次设备调试信息安全防护装置技术规范Technicalspecificationsforcommissioninginformationsecurity2023-05-26发布2023-11-26实施I前言 Ⅱ引言 Ⅲ 1 1 1 25总体架构 26功能要求 36.1权限管理功能 36.2身份鉴别功能 46.3行为管控功能 46.4资产管理功能 56.5行为记录功能 56.6审计管理功能 67性能要求 77.1基本要求 77.2环境要求 77.3电源要求 87.4绝缘性能要求 87.5电磁兼容要求 97.6机械性能要求 8安全要求 8.1基本要求 8.2检验方法 9检验规则 9.1检验分类 9.2出厂试验 9.3型式试验 附录A(资料性)变电站二次设备调试信息安全防护流程图 Ⅱ 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国量度继电器和保护设备标准化技术委员会(SAC/TC154)归口。本文件起草单位：国网河南省电力公司电力科学研究院、许昌开普电气研究院有限公司、珠海开普检测技术有限公司、国网江苏省电力有限公司、国网辽宁省电力有限公司电力科学研究院、国网甘肃省电力公司电力科学研究院、国网黑龙江省电力有限公司电力科学研究院、国网安徽省电力有限公司、国网湖南省电力有限公司、中国电力科学研究院有限公司、北京四方继保工程技术有限公司、许继电气股份有限公司、国电南京自动化股份有限公司、南京南瑞继保电气有限公司、长园深瑞继保自动化有限公司、积成电子股份有限公司、中国南方电网有限责任公司超高压输电公司梧州局、中国南方电网有限责任公司超高压输电公司贵阳局、国网安徽省电力有限公司电力科学研究院、深圳中广核工程设计有限公司、国网河北省电力有限公司电力科学研究院、国网湖北省电力有限公司电力科学研究院、国网雄安新区供电公司、国网新疆电力有限公司电力科学研究院、国网宁夏电力有限公司电力科学研究院、许昌开普检测研究院股份有限公司、国网电力科学研究院有限公司、河南能睿科技有限公司、ABB(中国)有限公司、西门子电力自动化有限公司、武汉凯默电气有限公司、珠海优特电力科技股份有限公司、国网浙江省电力有限公司金华供电公司调控中心、许昌豫盛昌电气股份有限公司、章和技术(广州)有限公司、河南九域恩湃电力技术有限公司。本文件主要起草人：韩伟、耿要强、陈昊、于同伟、杨勇、董尔佳、叶远波、李勃、孟江雯、许艾、窦中山、葛雅川、唐大圆、徐浩、张凯、韦鑫、周培、何开元、顾云青、姚睿、栗会峰、刘畅、刘喆、舒斐、赫嘉楠、郭志民、黄岩、郑珞琳、王书州、侯攀科、王继堂、孙弘毅、杨冬茜、杜浩良、胡明强、梁嘉威、蔡得雨。本文件为首次发布。为保障电力系统变电站二次设备调试过程中的信息安全，规范二次设备调试信息安全防护装置(防护装置)的应用，统一防护装置的总体架构、功能要求、性能要求、安全要求和检验规则等要求，实现不同制造商防护装置产品的标准化，提高二次设备调试的安全性，特制定本文件。本文件涵盖了移动终端和机架网关两种防护装置产品模式。1变电站二次设备调试信息安全防护装置技术规范本文件规定了变电站二次设备调试信息安全防护装置(以下简称防护装置)的总体架构、功能要求、本文件适用于变电站二次设备调试信息安全防护装置的设计、安装、调试和验收。发电厂等其他厂站防护装置可参照执行。仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本GB/T2900.1电工术语基本术语GB/T2900.49电工术语电力系统保护GB/T17626.2电磁兼容试验和测量技术静电放电抗扰度试验GB/T17626.3电磁兼容试验和测量技术射频电磁场辐射抗扰度试验GB/T17626.4电磁兼容试验和测量技术电快速瞬变脉冲群抗扰度试验GB/T17626.5电磁兼容试验和测量技术浪涌(冲击)抗扰度试验GB/T17626.6电磁兼容试验和测量技术射频场感应的传导骚扰抗扰度GB/T17626.8电磁兼容试验和测量技术工频磁场抗扰度试验GB/T17626.9电磁兼容试验和测量技术脉冲磁场抗扰度试验GB/T17626.10电磁兼容试验和测量技术阻尼振荡磁场抗扰度试验GB/T17626.29电磁兼容试验和测量技术直流电源输入端口电压暂降、短时中断和电压变化的GB/T18220信息技术手持式信息处理设备通用规范GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T37941信息安全技术工业控制系统网络审计产品安全技术要求GB/T40435变电站数据通信网关机技术规范NB/T10680继电保护和安全自动装置信息安全技术导则3术语和定义GB/T2900.1、GB/T2900.49、GB/T22239、GB/T25069、GB/T37941、NB/T10680界定的以及下列术语和定义适用于本文件。在变电站二次设备检修、配置升级等工作中，与二次设备通信，进行数据查阅、数据修改等信息交互的工具，通常包括专用调试电脑、调试软件等。简称调试工具。2调试信息安全防护装置commissioninginformationsecurityprotectiondevice用于调试工具与变电站内二次设备发生信息交互时，对调试工具和工作人员进行信息安全防护的装置，其作用是确保调试工具安全接入二次设备，防止调试工具向二次设备传输可疑数据、非授权用户访问二次设备、调试工具攻击二次设备、二次设备非法外联等事件发生，保障变电站信息安全。简称防护装置。权限管理authorizationmanagement根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源。身份鉴别authentication专用于鉴别传输、消息或发信方有效性的安全措施，或者对接收特定信息类别的个人授权进行验证保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。对信息系统的各种事件及行为实行监测、信息采集、分析，并针对特定事件及行为采取相应的动作。4缩略语下列缩略语适用于本文件。FTP:文件传输协议(filetransferprotocol)IP:网际互连协议(internetprotocol)SQL:结构化查询语言(structuredquerylanguage)TCP:传输控制协议(transmissioncontrolprotocol)UDP:用户数据报协议(userdatagramprotocol)URL:统一资源定位符(uniformresourcelocator)5总体架构5.1防护装置的防护对象包括变电站的继电保护装置、合并单元、智能终端、测控装置、合并单元智能终端一体装置、保护测控一体装置、交换机、故障录波装置、网络分析仪、电能表及电能量采集装置等二次设备。5.2防护装置用于变电站二次设备调试运维，通过代理的方式实现调试工具与二次设备之间的通信，对调试工具、调试人员、传输数据等实施权限管理、身份鉴别、行为管控、行为记录等安全防护措施。5.3调试人员通过调试工具登录至防护装置，调试工具与防护装置之间建立安全认证通道，实现调试人员的身份鉴别和访问控制。5.4调试人员通过防护装置实现对二次设备的访问，防护装置与二次设备之间建立协议代理通道，实现传输文件授权、行为管控和操作记录，基于白名单机制实现对授权文件的传输功能，并对可疑文件进行阻断和告警。5.5防护装置的部署模式分为移动终端模式和机架网关模式。a)移动终端模式：防护装置采用移动终端模式，具备权限管理、身份鉴别、行为管控、资产管理、审计管理、行为记录等功能，示意图见图1。3图1移动终端模式示意图b)机架网关模式：防护装置采用机架网关模式，安装在屏柜中，接入专用网络，具备权限管理、身份鉴别、行为管控、资产管理、审计管理、行为记录等功能，示意图见图2。gg图2机架网关模式示意图5.6变电站二次设备调试信息安全防护流程图见附录A。专用网络6功能要求6.1权限管理功能6.1.1账户和权限管理审计员应具备审计权限，至少包含查看操作记录、事件记录结果等内容。操作员应具备操作权限，至少包含访问授权、调试授权等功能。6.1.2访问授权应支持操作员对接入二次设备的调试人员权限、传输的数据开展管理，仅允许授权人员使用，仅允许授权的数据传输。应支持遵循最小权限原则授予访问二次设备的用户权限。应支持操作员新建、查看或关闭调试任务，内容包括工作起止时间、调试人员、调试工具、调试对象、操作权限。调试任务创建后不允许变更任务内容，仅可以调整任务结束时间。应支持操作员分配调试人员账号和密码。4应支持批量授权二次设备信息。6.2.1管理账户认证应具备管理账户自主修改自身账户密码功能，且首次登录强制修改缺省密码应支持配置密码复杂度策略，密码长度可配置，但不应少于8位，字符类型应至少包含数字、大写字母、小写字母和特殊字符。宜支持配置密码过期策略，密码有效期不宜超过3个月，在管理账户密码过期前进行提示，过期后登录时强制要求修改，且新密码不能与原密码相同。应支持对管理账户密码进行初始化和重置，密码应为随机生成且符合复杂度策略的强口令。宜采用口令、密码、生物特征识别技术等两种或以上组合的鉴别技术对用户进行身份鉴别，且至少其中一种鉴别技术应使用密码技术来实现。6.2.2调试人员身份认证应能对访问二次设备的调试人员进行身份鉴别，且保证执行调试任务的调试人员身份的唯一性。应支持配置密码复杂度策略，密码长度可配置，但不应少于8位，字符类型应至少包含数字、字母和特殊字符。宜采用口令、密码、生物特征识别技术等两种或以上组合的鉴别技术对用户进行身份鉴别，且至少其中一种鉴别技术应使用密码技术来实现。应支持对调试人员身份的有效时间段进行验证，超出设定时间应自动断开连接。应具备连续登录失败处理机制，对24h内连续登录失败次数达到设定值(宜在10次以内)的用户账号进行锁定，锁定时间不宜低于20min或由授权的管理员解锁。6.3行为管控功能6.3.1访问控制应能对通信协议进行管控，仅允许使用授权协议与二次设备建立通信。应对通信的源地址、目的地址、源端口、目的端口和协议等内容进行检查，以允许/拒绝数据通过。应能对非授权用户连接到二次设备的行为进行检查和限制。应能在发现可疑数据传输时告警并中断与二次设备之间的连接。应能防止二次设备通过防护装置与其他数据网或外部信息网非法连接。应保证与二次设备正常通信过程中数据的完整性。6.3.2协议代理基于网络传输模式，应支持代理基于TCP、UDP的上层应用协议访问二次设备。基于串口传输模式，应支持串口协议访问二次设备。应满足NB/T10680的要求，对访问二次设备的调试工具开展入侵防范。应安装有防恶意代码软件或配置具有相应功能的软件，同时应支持通过在线方式定期进行升级和更新恶意代码库。5宜遵循最小安装的原则，仅安装与二次设备调试安全管控工作相关的应用程序。在发现传输数据中包含恶意代码时，应中断与二次设备之间的连接并告警。应能检测网络攻击行为，在检测到攻击行为时，应中断与二次设备之间的连接并告警，同时记录攻击来源、攻击行为、攻击时间等信息。应支持调试工具仅能上传授权的文件至二次设备。应支持二次设备的文件下载至调试工具。应支持对拷入防护装置的文件自动进行恶意代码查杀，文件经查杀确认无告警后，方可下载至二次设备。应支持对通过防护装置传入二次设备的疑似恶意代码文件进行拦截操作，支持自动阻断、告警，并允许手动添加信任。应配有硬、软件监视功能，自动监视硬、软件工作状态。对发现的异常、故障等事件，自动告警并记录发现的异常故障信息。6.4资产管理功能6.4.1二次设备资产管理应支持资产添加、变更、删除、查询、导入、备份等功能。资产添加应至少包括生产厂家、设备名称、设备型号、IP、子网掩码、MAC、服务端口、传输协议等关键信息。资产查询应支持厂家名称、设备名称、设备型号、IP、服务端口等关键字符筛选，且能重置查询。6.4.2调试人员资产管理应支持资产添加、变更、删除、查询、导入、备份等功能。资产添加应至少包括人员姓名、身份ID、联系方式、单位名称等关键信息。资产查询应支持人员姓名、联系方式、单位名称等关键字符筛选，且能重置查询。6.4.3调试工具资产管理应支持资产添加、变更、删除、查询、导入、备份等功能。资产添加应至少包括电脑品牌、型号、主机名、以太网MAC、保管人员等关键信息。资产查询应支持电脑品牌、使用人员等关键字符筛选，且能重置查询。应支持调试工具中调试软件的资产管理，如软件广家、版本等关键信息。6.5行为记录功能6.5.1认证登录记录应支持对所有人员登录防护装置的行为进行记录，记录应包括登录账号、登录地址、登录时间、登出时间(包括主动登出和强制登出),以及登录状态等信息。6.5.2文件传输记录应支持记录调试工具通过防护装置传输文件的行为。6文件传输记录应至少包括访问账号、文件名称、文件大小、传输时间、源地址、目标地址、上传/下载标识、调试工具、被访问二次设备、传输结果等相关信息。应支持管理账户创建变更、权限分配等授权行为记录。管理账户授权记录应至少包含操作账户、创建变更时间、创建变更账户、账户角色等相关信息。应支持记录调试任务创建、变更、关闭等行为记录。调试任务记录应至少包含操作员、授权时间、调试人员、授权类型等授权行为记录。6.5.4资产管理记录应支持二次设备、调试人员和调试工具资产添加、变更、删除、查询、导入、备份等行为记录。二次设备资产记录应至少包含管理账户、操作时间、操作类别、设备名称、设备型号、IP地址、子网掩码、MAC地址等相关信息。调试人员资产记录应至少包含管理账户、操作时间、操作类别、人员姓名、身份ID、联系方式、单位名称等相关信息。调试工具资产记录应至少包含管理账户、操作时间、操作类别、电脑品牌、型号、主机名、MAC地址、保管人员，以及调试软件的厂家、版本等相关信息。应支持以事件类型查询并生成指定时间段内的报表。应支持以关键字段查询并生成指定时间段内的报表。应采用数据统计、图形展示、表格展示等多种数据展示方式生成记录报表。应支持以图片、文档等方式生成并导出报表。6.5.6数据存储与备份应将行为记录数据和自身审计日志分开保存。应支持对指定时间段的行为记录数据进行安全备份。6.6审计管理功能6.6.1审计数据查阅应支持对网络层通信协议的文件传输数据进行查阅，包括源目的MAC、源目的IP、源目的端口等。应支持对FTP、TELNET等协议的文件传输数据进行查阅，包括目标URL、使用账号、输入命令等。应支持对防护装置主机事件进行查阅，包括主机启动、主机关闭、重要配置文件变更等。应支持对认证登录事件进行查阅，包括用户鉴别成功、用户鉴别失败、用户注销、用户增加、用户删除、用户修改等。应支持对文件传输事件进行查阅，包括调试工具连接成功、调试工具连接失败、文件传输成功、文件传输失败等。应支持对调试授权事件进行查阅，包括授权成功、授权失败、授权变更等。7a)环境温度：-10℃~+55℃。a)环境温度：20℃±5℃。b)相对湿度：45%～75%。a)贮存环境温度为-25℃~+55℃,相对湿度不大于85%。b)运输环境温度为-25℃~+70℃,相对湿度不大于85%。8a)应遮阳、挡雨雪，防御雷击、沙尘，通风。b)使用地点无爆炸危险的介质，周围介质不应含有能腐蚀金属、破坏绝缘和表面镀覆及涂覆层的介质及导电介质，无明显的水汽，无严重的霉菌存在。7.2.5特殊环境条件对装置的特殊环境条件规定如下：a)当超出7.2.1、7.2.3、7.2.4规定的环境条件时，由用户与制造商商定。b)安装地点环境明显超过7.2.1正常工作环境条件时，优先选用的环境温度范围规定为：1)特别寒冷地区为：-25℃~+55℃。2)特别炎热地区为：-10℃~+70℃。7.2.6环境条件试验移动终端式防护装置环境条件试验应符合GB/T18220的规定，机架网关式防护装置环境条件试验应符合GB/T40435的规定。7.3电源要求7.3.1移动终端式防护装置移动终端式防护装置的电源应符合GB/T18220的规定。7.3.2机架网关式防护装置机架网关式防护装置的直流电源应符合GB/T40435的规定。7.4绝缘性能要求7.4.1移动终端式防护装置绝缘电阻要求在标准大气环境条件下进行绝缘电阻试验时，应满足以下要求：通信接口对地用250V绝缘电阻表测试，其绝缘电阻不应小于5MQ。介质强度要求在标准大气环境条件下进行介质强度试验时，应满足以下要求：通信接口对地之间应能承受交流工频电压为500V历时1min的耐压试验，不应出现击穿或闪络现象。7.4.2机架网关式防护装置绝缘电阻要求在标准大气环境条件下进行绝缘电阻试验时，应满足以下要求：通信接口对地用500V绝缘电阻表测试，其绝缘电阻不应小于5MQ。在温度40℃±2℃、相对湿度(93±3)%恒定湿热条件下进行绝缘电阻试验时，应满足以下要求：通信接口对地用500V绝缘电阻表测试，其绝缘电阻不应小于1MΩ。9在标准大气环境条件下进行介质强度试验时，应满足以下要求：通信接口对地之间应能承受交流工频电压为1000V历时1min的耐压试验，不应出现击穿或闪络现象。在正常试验大气条件下装置的电源输入回路、交流信号输入回路、信号输出触点等各回路对地，以及回路之间，应能承受1.2/50μs的标准雷电波的短时冲击电压试验，当额定绝缘电压大于60V时，开路试验电压为5kV;当额定绝缘电压不大于60V时，开路试验电压为1kV。试验后装置应无绝缘损坏按GB/T17626.2规定的方法，在施加表1规定的干扰下，防护装置应处于正常工作状态，功能正常，表1静电放电抗扰度试验的主要参数(移动终端式)试验项目级别试验值(直接放电)试验值(间接放电)44按GB/T17626.3规定的方法，在施加表2规定的干扰下，防护装置应处于正常工作状态，功能正常，表2射频电磁场辐射抗扰度试验的主要参数(移动终端式)试验项目级别2级3按GB/T17626.2规定的方法，在施加表3规定的干扰下，防护装置应处于正常工作状态，功能正常，表3静电放电抗扰度试验的主要参数(机架网关式)试验项目级别试验值(直接放电)试验值(间接放电)44射频电磁场辐射抗扰度按GB/T17626.3规定的方法，在施加表4规定的干扰下，防护装置应处于正常工作状态，功能正常，性能不下降。试验项目级别3电快速瞬变脉冲群抗扰度按GB/T17626.4规定的方法，在施加表5规定的干扰下，防护装置应处于正常工作状态，功能正常，性能不下降。表5电快速瞬变脉冲群抗扰度试验的主要参数(机架网关式)试验项目级别电快速瞬变脉冲群抗扰度2级55电源回路浪涌(冲击)抗扰度按GB/T17626.5规定的方法，在施加表6规定的干扰下，防护装置应处于正常工作状态，功能正常，性能不下降。表6浪涌(冲击)抗扰度试验的主要参数(机架网关式)试验项目级别浪涌(冲击)抗扰度2级电源回路注：差模试验电压值为共模试验电压值的一半。射频场感应的传导骚扰抗扰度按GB/T17626.6规定的方法，在施加表7规定的干扰下，防护装置应处于正常工作状态，功能正常，性能不下降。表7射频场感应的传导骚扰抗扰度试验的主要参数(机架网关式)试验项目级别频率范围150kHz～80kHz电压(e.m.f)V1级1注：e.m.f为试验信号发生器源电压，其定义见GB/T17626.6。工频磁场抗扰度按GB/T17626.8规定的方法，在施加表8规定的干扰下，防护装置应处于正常工作状态，功能正常，性能不下降。表8工频磁场抗扰度试验的主要参数(机架网关式)试验项目级别电压/电流波形3级脉冲磁场抗扰度按GB/T17626.9规定的方法，在施加表9规定的干扰下，防护装置应处于正常工作状态，功能正常，性能不下降。表9脉冲磁场抗扰度试验的主要参数(机架网关式)试验项目级别脉冲磁场强度(峰值)3级按GB/T17626.10规定的方法，在施加表10规定的干扰下，防护装置应处于正常工作状态，功能正常，性能不下降。表10阻尼振荡磁场抗扰度试验的主要参数(机架网关式)试验项目级别电压/电流波形试验值(接触放电)阻尼振荡磁场抗扰度3级电压暂降、短时中所和电压变化的抗扰度按GB/T17626.29规定的方法，在施加表11规定的干扰下，防护装置应处于正常工作状态，功能正常，性能不下降。试验项目级别△U(暂降幅值)△t(暂降时间)电压暂降1级电压中断1级7.6机械性能要求7.6.1移动终端式防护装置按表12的规定进行机械环境适应性试验，每项试验后对功能进行检验，各项功能应正常，且终端内部构件无松动，外壳不变形、不损坏。表12机械环境适应性要求(移动终端式)试验项目频率范围不加电不加电持续时间频率范围5峰值加速度不加电脉冲持续时间自由跌落不加电7.6.2机架网关式防护