图1终端通信接入网信息安全防护架构

a）生产控制大区与管理信息大区终端通信接入网原则上应实现物理层面上的安全隔离，生产控制 大区终端通信接入网禁止在上联接口与管理信息大区互联； 通过有线专网接入生产控制大区安全防护要求见第6章a）d）项，第7.1～7.3条，第8.1~ 8.3和8.6条，第9章a）～c）和g）项，第10章；有线专网包括国家电网公司基于EPON、 工业以太网和电力线载波等通信技术建设的有线专用网络： 通过无线专网接入生产控制大区安全防护要求见第6章e)项，第7.4条，第8.4条，第9章a）～ c）项、d）和g）项，第10章；无线专网主要指国家电网公司基于数传电台建设的承载电力负 荷管理业务的无线网络和基于LTE建设的承载生产控制大区业务的无线网络，关于无线专网能 否承载管理信息大区业务、或能否同时承载生产控制大区和管理信息大区的业务，以及如何防 护，待技术政策明确后另行规定； 通过无线公网接入生产控制大区安全防护要求见第6章f)项，第7.5条，第8.5条，第9章a）～ c）项、d）和g）项，第10章；无线公网包括电力无线虚拟专网和地市公司直接租用的无线网 络； 通过有线专网接入管理信息大区信息内网安全防护要求见第6章a）d）项，第7.1～7.3条， 第8.1~8.3条，第8.6条c）项，第9章a）、b）、f）和g）项，第10章； 通过无线公网接入管理信息大区信息内网安全防护要求见第6章f）项，第7.5条，第8.5条， 第9章a)）、b)、e）和g）项，第10章； 通过有线专网接入管理信息大区信息外网安全防护要求见第9章b）和g）项； h）通过无线公网接入管理信息大区信息外网安全防护要求见第9章b）和g）项

终端通信接入网网络结构安全要求如下： a 终端通信接入网光缆拓扑结构应根据配用电网架结构、承载业务的重要程度及光缆建设情况进 行设计，10kV通信接入网宜采用环形或星形拓扑结构，0.4kV通信接入网宜采用星形拓扑结构； 6 EPON光网络承载配电网重要业务时，组网结构应采用主干光纤余保护、OLTPON口主干光 纤余保护、全保护、“手拉手”结构全保护组网方式： c）工业以太网的关键终端设备点对点连接应穴余配置，同一环内节点数目不宜超过20个； d）中压电力线载波的拓扑结构应根据配电网网架结构进行设计，组网应采用一主多从组网方式，

Q/GDW/Z11345.52015

台主载波机可带多台从载波机，组成一个逻辑网络； e） 无线专网核心网设备等应采取穴余热备的方式组网房地产标准规范范本，不具备穴余热备条件的可采取穴余冷备的 方式组网： 无线公网/无线虚拟专网核心设备、边界接入设备、边界安全防护设备等应采取穴余热备的方式 组网，不具备穴余热备条件的可采取余冷备的方式组网

EPON设备安全应符合如下要求： OLT和ONU的MAC地址交换功能等以太网基本要求、时间同步功能、VLAN功能、动态带 宽分配功能、多业务QoS保证、安全性等满足Q/GDW1553.1一2014中第7.3~7.8条相关要求； b） 应支持EPON的主干光纤保护倒换、全保护倒换、“手拉手”倒换，光纤保护倒换时间满足 Q/GDW1553.1—2014中第7.10.4条相关要求； C OLT主控板1十1余保护满足Q/GDW1553.1一2014中第7.11.1条相关要求： d OLT应支持上联口双归属保护满足Q/GDW1553.1一2014中第7.11.2条相关要求： e） EPON设备的气候环境条件、防尘要求、电源要求和电气安全与电磁兼容要求满足Q/GDW 1553.1—2014中第8.1~8.4条相关要求。

7.2工业以太网交换机

工业以太网交换机安全应符合如下要求： a）工业以太网交换机吞吐量、转发速率、时延、顿丢失率、VLAN功能、优先级、环网恢复、网 络风暴抑制功能、端口镜像、端口聚合、光接口特性满足YD/T1099一2005中第6.3、7.6和 9.11条，Q/GDW429一2010中第3.2、4.2和4.3条主要技术指标的相关要求； b）工业以太网交换机能通过GB/T2423.9规定的恒定湿热试验

7.3中低压电力线载波设备

中低压电力线载波设备安全应复合如下要求： a 中压电力线载波，满足Q/GDW1374.3一2013中第5.3.5.1条相关指标规定和电力行业标准DL/T 790系列标准中物理层相关规定； b 台区内低压宽带电力线载波，满足Q/GDW1374.3一2013中第5.3.5.3条相关指标规定； 对于台区内低压窄带电力线载波，输出电平限值和带外传导骚扰电平指标应符合Q/GDW 1374.3一2013中第5.3.5.2条相关规定。

EPON系统安全防护除应满足Q/GDW1553.1 中第7.3和7.8东相天要求外 可时应满定 要求： a）具备三重搅揽动功能保护下行数据，应具备针对每个逻辑链路连接标识的搅动功能，每个逻

Q/GDW/Z11345.52015

路连接标识应具有独立的密钥； b） 具备对所有数据顿、MAC控制顿和OAM顿的搅动功能； OLT应支持对ONU的MAC地址或逻辑标识进行单向认证，应具备对非法ONU的识别和隔离 功能； d 业务端口和管理端口均通过防御IGMP、TCP、UDP等攻击报文测试： 管理端口具备密码配置功能，密码长度不少于8位，且至少包含大写字母、小写字母、数字、 特殊字符中的三类； 具备限定端口学习MAC地址数量的功能； g）具备基于端口或基于MAC地址的VLAN划分功能，并通过划分VLAN等方式配置访问控制 策略； h）支持MAC地址与端口、IP地址的绑定功能： 采用安全增强的SNMPv2及以上版本的网管协议； 支持SSH登录方式，应设置用户密码，密码长度不少于8位，且至少包含大写字母、小写字 母、数字、特殊字符中的三类； k）在110/66/35kV变电站的汇聚交换机上配置访问控制策略，阻断不同OLT下ONU之间的互访； 在OLT上配置访问控制策略，阻断本OLT下不同ONU之间的互访。

工业以太网安全要求如下： 工业以太网交换机安全审计、配置控制等安全性应满足YD/T1099一2005中第10.4条相关规定： 业务端口和管理端口均应通过防御IGMP、TCP、UDP等攻击报文测试： 管理端口应具备密码设置功能，密码长度不少于8位字符，且至少包含大写字母、小写字母、 数字、特殊字符中的三类； d 应具备限定端口学习MAC地址数量的功能： e） 应具备基于端口或基于MAC地址的VLAN划分功能，并通过划分VLAN等方式配置访问控 制策略： f 应支持MAC地址与端口、IP地址的绑定功能： g 应采用安全增强的SNMPv2及以上版本的网管协议； h） 应支持SSH登录方式，应设置用户密码，密码长度不少于8位，且至少包含大写字母、小写 字母、数字、特殊字符中的三类； i宜具备QoS功能。

8.3中低压电力线载波

中低压电力线载波通信单元安全应符合如下要求 a）采用检错校验编码方式保护传输信息安全； b）具备安全管理等网络管理功能。

对于数传电台应具备并开启日志功能。对于LTE无线专网接入方式，应采用无线电管理部门授权的 无线频率组网，同时应满足如下要求 a） 通信终端和核心网之间采取双向鉴权认证； b） 具备对用户面数据和信令的机密性保护和完整性保护功能： 通信终端和核心网之间的双向认证、用户面数据和信令加密均采取国家主管部门认可的密码算 法； d）支持同一通信终端上不同业务的逻辑隔离机制； e）通信终端的认证功能基于硬件加密模块等独立硬件方式实现：

Q/GDW/Z11345.52015

f）具备传输优先级和传输带宽的设置功能； g） 在无线核心网边缘处具备映射到专用物理端口或路由的功能； h）支持无线通信终端数据监视功能； i）具备网络中断自动重连功能。

对于无线公网接入模式，应启用无线公网自身提供的安全措施，同时满足如下要求： a）应采用APN和VPN（GRE/L2TP/MPLS）技术或VPDN技术提供无线虚拟专有通道，应采用 VRF技术对电力用户与其他行业客户进行路由隔离，禁止公共网络上的用户访问电力网络内部 资源； 6 宜以省电力公司为单位根据业务应用终端规模及安全级别规划APN，同等安全级别的业务应用 可划分至同一APN，否则不可划分至同一APN；用电信息采集等大型业务应用可根据需要规 划独立APN 禁止不同APN业务互访；同一APN内业务终端不宜互访，特殊情况下应采取双向认证和数据 加密措施： d 应基于鉴权向量实现无线网络与接入通信终端之间的合法性验证： e） 通信终端至基站间数据传输应采用加密传输； f 应支持用户优先级管理； g） 应撤销通信终端的免认证连接功能 在主站系统和公共网络之间应采用有线专线+GRE等手段，有线专线采用1+1亢余保护

终端通信接入网设备网管系统应满足如下要求： a）生产控制大区中与网管系统采集设备相连的交换机具备访问控制功能； b）生产控制大区中下级单位的网管系统采集设备通过VPN通道与上级单位网管系统采集设备通 信； c）网管系统遵照GB/T22239一2008中第6.1.2~6.1.5条等级保护二级要求进行防护

主站边界安全防护应满足如下要求： a）对于任一通信接入方式，主站前置机均采用经国家主管部门认证的安全加固的操作系统，并采 取严格的访问控制措施； 6 对于任一通信接入方式，配置防火墙等防护措施，防火墙应制定严格的访问策略，应具备抗拒 绝服务功能和防恶意代码攻击功能： 生产控制大区中，前置机配置基于非对称密码算法的主站安全模块，使用私钥对控制或参数设 置命令、以及时间戳或随机数进行签名；对于重要数据，可对控制或参数设置命令、以及时间 戳或随机数等明文部分进行加密，密码算法可采用对称密码算法或非对称密码算法：对重要业 务终端的通信应采用双向认证加密； d 生产控制大区中，使用无线通信网、国家电网公司除调度数据网外的其他数据网、外部公用数 据网的虚拟专用网络方式等进行通信的，应设立安全接入区，安全接入区与电力监控系统的联 接处设置经国家指定部门检测认证的电力专用横向单向安全隔离装置：通过有线专网接入调度 数据网时应先接入安全接入区： e） 管理信息系统以省级部署方式为主，当采用无线公网传输通道接入信息内网时，通过电力无线 虚拟专网接入，前置机应配置安全接入平台，实现对业务终端安全接入、认证、访问控制等功 能；配置入侵检测系统对网络、系统的运行状况进行监视；当采用VPDN方式接入时，应配置

Q/GDW/Z11345.52015

统一、自主的网络鉴权，授权与记账系统实现业务终端接入鉴权； 管理信息大区中，当采用有线专网接入信息内网时，宜配置主站安全模块实现与业务终端之间 的双向认证和通信链路加密： 多 配置安全审计设施，具备对通信设备运维、网管系统等进行安全审计的功能，对安全事件可道 溯。

业务终端应符合Q/GDW1594一2014中第7.1～7.2条相关要求，通过有线专网接入管理信息大区信 息内网的业务终端宜配置终端安全模块实现与主站之间的双向认证和通信链路加密，通过无线 公网接入管理信息大区信息内网的业务终端和接入生产控制大区的业务终端同时满足如下要 求： 业务终端应配置终端安全模块，具备对来源于主站系统的控制命令和参数设置指令进行安全鉴 别和数据完整性验证的功能，对重要业务终端应配置具备双向认证加密功能的终端安全模块； b） 业务终端上行数据应通过终端安全模块生成消息认证码摘要，可使用对称密码算法计算相关的 校验值，供主站识别数据传输的完整性： 业务终端可借助软算法库、外置式、嵌入式安全芯片多种形式的终端安全模块实现安全防护； 对于接入生产控制大区的业务，早期安装又不支持软件升级的业务终端宜采取外置式终端安全 模块防护，新安装的业务终端宜采取嵌入式安全芯片防护；对于通过无线公网接入管理信息大 区信息内网的业务，业务终端宜采取嵌入式安全芯片防护； d）当采用无线网络通信时，业务终端的无线通信模块应支持当前模块状态、IP地址、工作频段等 数据监视功能； C 当采用电力无线虚拟专网接入时，应要求运营商未经国家电网公司委托，不得擅自授权任何 SIM卡接入电力无线虚拟专网；国家电网公司委托运营商授权的合法SIM卡仅可访问电力无 线虚拟专网，禁止合法SIM卡接入到非指定APN、互联网和其他网络业务终端SIM卡应采 取双重绑定和认证措施：业务终端IP地址采用静态分配方式： 业务终端应具备用户密码修改功能，密码长度不少于8位，且至少包含大写字母、小写字母、 数字、特殊字符中的三类； g 业务终端应关闭WEB应用服务，根据应用需求关闭不必要的服务，用户密码长度不少于8位 且至少包含大写字母、小写字母、数字、特殊字符中的三类； h）业务终端应关闭不必要的端口； i）应采取业务终端准入控制措施

Q/GDW/Z11345.52015

A.1主要承载业务系统的安全分区及防护

附录A （资料性附录） 主要承载业务系统的安全分区及防护

终端通信接入网主要承载配电、用电及管理等业务系统，各业务系统的安全分区如表A.1所示 各业务系统的终端通信接入网参照本部分不同分区的安全防护要求执行。

表A.1业务系统安全分区表

Q/GDW/Z11345.52015

电力通信网信息安全 第5部分：终端通信接入网

Q/GDW/Z11345.52015

编制背景 编制主要原则 与其他标准文件的关系 主要工作过程 标准结构和内容 条文说明.

Q/GDW/Z11345.52015

本部分依据《国家电网公司关于下达2014年度国家电网公司第二批技术标准制修订计划的通知》（国 家电网科（2014）1335号文）的要求编写。 本部分的编制背景是随着电力通信网的全面建设，终端通信接入网安全已经成为电网安全稳定运行 的重要因素之一。 本部分编制的主要目的为规范终端通信接入网信息安全防护要求，作为GB/T22239一2008《信息安 全技术信息系统安全等级保护基本要求》、“电信网和互联网安全”的通信行业标准、国家发展和改革委 员会令第14号《电力监控系统安全防护规定》、Q/GDW1594一2014《国家电网公司管理信息系统安全 防护技术要求》和国家电网信息（2011）1727号《国家电网公司智能电网信息安全防护总体方案（试行）》 等标准和规定的重要补充，指导电力通信专业人员在终端通信接入网信息安全方面的实际工作。

本部分主要根据以下原则编制： a） 坚持先进性与实用性相结合、统一性与灵活性相结合、可靠性与经济性相结合的原则铆钉标准，以标准 化为指导相关业务系统的安全建设； b） 分析各业务系统的安全需求、性能特征，研究提出具有必要性、实用性和可实施性的安全机制 和实施措施； 借鉴现行相关的国际标准、国家标准、行业标准、企业标准，使指导性技术文件具有科学性和 规范性。

3与其他标准文件的关系

Q/GDW/Z11345.52015

国家电网信息（2011）1727号《国家电网公司智能电网信息安全防护总体方案（试行）》 国家电网安监（2011）2024《国家电网公司安全事故调查规程》

本部分按照《国家电网公司技术标准管理办法》（国家电网企管（2014）455号文）的要求编写。 本部分的主要结构及内容如下： 本部分主题章共设6章： 第5章“总则”，共2条，主要说明了所应遵循的防护原则和安全防护架构。 第6章“网络结构安全”，共6条，主要说明了网络结构安全要求。 第7章“设备安全”，共5条，主要说明了EPON、工业以太网、中低压电力线载波、无线专网、 无线公网设备安全要求。 第8章“传输通道安全”，共6条，主要说明了EPON、工业以太网、中低压电力线载波、无线 网、无线公网和网管系统的安全防护要求。

第9章“主站边界安全”，共6条，主要说明了主站边界的安全防护要求。 第10章“终端安全”，共9条，主要说明了业务终端的安全防护要求。

Q/GDW/Z11345.52015

本部分的主要条文分析和说明如下： 本部分第5.2条图1中“调度/营销生产控制大区”是指根据调度和营销业务区分为“调度生产控制 大区”和“营销生产控制大区”，“调度营销安全接入区”是指根据调度和营销业务区分为“调度安全接 入区”和“营销安全接入区”。 本部分第7.2条第a）项中测试方法参照RFC2889一2000中第5.15.10条中相关规定。 本部分第8.1条中，Q/GDW1553.1一2014中第7.3条规定了MAC交换、二层转发、顿过滤、二层 隔离、生成树、流量控制、网络侧本地汇聚和链路汇聚功能等要求人防标准规范范本，第7.8条规定了业务安全、PON接 口数据安全、MAC地址、多LLID功能、过滤和抑制、EPON认证功能、用户认证及用户接入线路（端 口）标识和其他安全功能等要求，在本部分作为对EPON的基本安全要求。 本部分第10章中，所引用的Q/GDW1594一2014中第7.1和7.2条分别规定了桌面终端和专用终端 在身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制、安全准入控 制等方面的要求。