Q／GDW 12109-2021 电力物联网感知层设备接入安全技术规范

6.2.1现场采集部件

现场采集部件在满足第6.1条要求的前提下，同时满足如下要求： a 应根据现场采集部件自身特点部署于安全合理的物理环境下，如温湿度传感器不能安装在阳光 直射区域； 设备自身应实现相应等级保护级别的身份鉴别、访问控制和安全审计等要求，如受条件限制控 制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能： C 具有较高计算能力的现场采集部件，可采用免受恶意代码攻击的技术措施或主动免疫验证机制 及时识别入侵和病毒行为，并将其阻断；主动免疫验证机制包括但不限于对系统引导程序、系 统程序、重要配置参数和应用程序的信任度验证，在检测到其信任度受到破坏后进行报警、隔 离、恢复等处置，有条件的情况下宜上报审计记录。

机电标准规范范本6.2. 2 智能业务终端

Q/GDW121092021

智能业务终端在满足第6.1条要求的前提下，同时满足如下要求： a）应具备对自身应用、固件、漏洞补丁等重要程序代码，以及配置参数和控制指令等重要操作的 数字签名和验证能力； 具备多用户账户管理功能的设备应对登录的用户分配账户和权限，并避免权限的扩散，应授予 管理用户所需要的最小权限，实现管理用户的权限分离； 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动 退出、登录异常时进行其他方式验证用户身份等相关措施； d： 具备多用户账户管理功能的设备应具备修改账户名称及口令、新增和删除账户等功能，以支持 修改、新增或删除默认账户名、默认密码；应具备口令复杂度校验和禁止使用弱口令的功能， 应删除或停用多余的、过期的账户，避免共享账户的存在； e）应采用校验技术或密码技术保证企业重要数据在存储过程中的完整性； f）应采用密码技术保证企业重要数据在存储过程中的保密性； g）应支持远程安全升级与版本安全更新，并具备升级失败回退功能； 宜具备针对系统程序、重要配置参数和应用程序的安全自检功能，能将安全自检结果发送至远 端服务器，宜支持安全策略远程配置： i）宜采用口令、密码技术等两种或两种以上组合的鉴别技术对本地运维用户进行身份鉴别； j）宜采用免受恶意代码攻击的技术措施或主动免疫验证机制及时识别入侵和病毒行为，并将其阻 断；主动免疫验证机制包括但不限于对系统引导程序、系统程序、重要配置参数和应用程序等 进行信任度验证，并在应用程序的关键执行环节进行动态验证，在检测到其信任度受到破坏后 进行报警、隔离、恢复等处置，有条件的情况下宜上报审计记录； 宜对终端操作具有安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进 行审计，审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息； 宜实现本地应用间的数据隔离，防范用户未授权访问其他本地应用数据； 宜对审计记录进行保护，定期备份，避免受到非法删除、修改或覆盖等；应对审计进程进行保 护，防止未经授权的中断。

7感知层设备通信安全要求

感知层设备通信安全满足以下要求： a）应具有可用于电力物联网中通信识别的唯一标识，并且该标识应具备防算改保护； b 应对接入设备采取接入身份认证措施，认证方式至少包括设备标识和口令的认证： C 应具备接入认证失败的处理能力，当认证应答超过规定时限时，服务端应能终止与待接入设备 之间的当前会话；当经过一定次数的认证失败后，服务端应能终止由该感知层设备发起的建立 会话的尝试，并在一定的安全时间间隔后才能恢复； d 应具有通信延时和通信中断的处理机制； e 应支持物联网管理平台对接入设备的远程配置管理；应对感知层设备接入通信网采取访问控制 机制和安全策略，应通过ACL方式控制接入设备对通信网的访问：

Q/GDW12109202

f）应支持制定和执行访问控制策略的功能，访问控制策略由基于地址标识、用户/用户组、读/写 等操作，有效时间周期、敏感标记等的两种及以上构成的组合； 应对感知层设备接入安全事件进行日志审计，日志内容应至少包含日期和时间、事件类型、风 险级别、事件主体、事件描述，成功或失败的信息； 应采取审计记录保护措施，防范审计记录被非法读取、篡改或删除等； 宜采用国家密码主管部门认可的密码算法保护数据传输过程中的完整性和保密性； 宜采用数字签名等密码算法或组合算法保障控制命令等数据的来源可鉴别； 宜支持包含时间序列的数据信息及信息验证，应采用加密技术保护数据信息中的时间序列。

7.2.1现场采集部件

现场采集部件在满足第7.1条要求的前提下，同时满足如下要求： a）具有较高计算能力的现场采集部件可对自身的安全状态进行标识，并具备将该状态标识向边缘 物联代理或安全接入区报送的能力： 通过边缘物联代理接入管理信息大区时，应能基于标识密码体系、对称密码体系或设备指纹等 轻量级技术，实现与边缘物联代理的身份认证

7.2.2智能业务终端

智能业务终端在满足第7.1条要求的前提下，同时满足如下要求： a 应集成符合GB/T37092二级及以上安全要求的密码模块，实现与安全接入网关之间的双向身 份认证和数据传输机密性、完整性保护，密码算法应采用国家密码主管部门认可的算法，应采 用公司统一密码基础设施提供的数字证书和密钥管理等服务： 应保护企业重要数据中不被泄露，利用国家密码主管部门认可的密码算法保护控制指令等企业 重要数据在传输过程的机密性，防范数据被纂改或伪造： C 应具备对传输数据完整性校验机制，能利用校验码、消息摘要、数字签名等技术实现隐私数据、 重要业务数据等企业重要数据的传输完整性保护，应具备对企业重要数据的备份和恢复能力： 应提供安全措施，对智能业务终端进行远程安全配置管理： e 宜对自身的安全状态进行标识，并具备将该状态标识向边缘物联代理和安全接入网关报送的能 力； f） 宜对设备状态进行监测，如开盖检测、断电重连次数等，并具备向边缘物联代理和安全接入网 关报送的能力； 多 集成边缘物联代理功能的智能业务终端在实现分区接入时，其安全要求应与相应大区的边缘物 联代理保持一致

边缘物联代理在满足第7.1条，第7.2.2条中a）～c）项要求的前提下，同时满足以下要求： a）应具备对接入设备的接入管理能力及安全防范能力，应支持通过设定设备接入方式或网络范围 对接入设备进行限制； 6） 边缘物联代理与接入设备之间应采用基于标识密码体系、对称密码体系、非对称密码或设备指 纹等轻量级技术实现对接入设备的身份认证； 边缘物联代理与接入设备之间应能终止认证超时接入设备的会话，应能终止规定次数认证失败 的接入设备建立会话的尝试：

Q/GDW12109202

d）应提供安全措施，对边缘物联代理进行远程安全配置管理； e）宜对自身的安全状态进行标识，并具备将该状态标识向安全接入网关报送的能力； 宜对边缘物联代理状态进行监测，如开盖检测、断电重连次数等，并具备向安全接入网关报送 的能力； 宜对接入设备进行基于安全状态的动态信任管理，宜存储最近一次接入边缘物联代理的设备安 全状态，宜在所接入的设备的安全状态发生变化时对终端访问进行管控； h) 宜具备将当前自身安全状态及接入其中的终端安全状态向安全接入网关进行报送的能力，并在 接入安全接入网关时验证网关当前状态信任度。

8本地通信网络安全要求

Q/GDW 12109202

附录A （资料性附录） 感知层设备安全接入典型场景

综合能源服务是一种新型的为满足终端客户多元化能源生产与消费的能源服务方式，综合能源服务 业务的物联网终端基于其所承载业务的重要程度，分为一般业务采集类终端、重要业务采集类终端、控 制类终端三种。针对不同种类的的终端，应分别采取相应的安全防护措施开展防护： a） 属于用户资产的终端，不强制要求认证和加密传输，不应与综合能源服务平台直连，应通过边 缘代理实现安全接入： b） 属于公司资产的一般业务采集类终端，不强制要求认证和加密传输； ） 属于公司资产的重要业务采集类终端或控制类终端，如通信协议支持安全选项，优先启用合适 的安全选项； d 对于高性能的智能终端，可采用符合GB/T37092二级及以上安全要求的密码模块，对终端私 钥和密码运算环境进行保护，并基于证书的方式进行安全认证和加密传输；对于资源受限的非 智能终端，可通过部署具有国密型号的安全微控制单元、安全通信模块、安全芯片等方式，对 于集成硬件密码模块困难的可采用基于标识的轻量级认证进行保护； e 边缘物联代理应部署具备流量检测、行为分析、访问控制等功能的密码模块，通过对所代理网 络的流量进行检测，记录网络流量目的地址、目的端口、源地址、源端口等基本信息，实现网 络流量的可见、可溯； 通过采集接入设备流量和日志数据，分析网络中存在的异常行为，实现风险预警，或基于边缘 代理本地的访问控制策略实现对高风险网络请求的及时阻断。

车联网平台感知层设备包含电动汽车充电桩等智能终端和边缘物联代理等，通过电信运营商网络， 经安全接入网关接入物联管理平台后再接入车联网服务平台，整体架构如图A.1所示。具体安全接入设 计如下： a 直接接入车联网平台安全接入区的电动汽车充电桩，由可信软硬件密码模块保障充电桩计算环 境安全可信，由安全接入网关对充电桩身份、状态的安全可信进行验证，数据传输过程需加密： b） 接入边缘物联代理的电动汽车充电桩，需至少具备可信软件模块保障充电桩计算环境安全可 信，由边缘物联代理对充电桩的身份、状态的安全可信进行验证，数据传输过程需加密； C 边缘物联代理由可信软硬件模块保障充电桩计算环境安全可信，由安全接入区的安全接入网关 对边缘物联代理身份、状态的安全可信进行验证，数据传输过程需加密，边缘物联代理需具备 将接入的电动汽车充电桩身份、状态的安全可信度上报安全接入网关的能力。

Q/GDW121092021

图A.1车联网平台感知层设备安全接入架构

Q/GDW 121092021

电力物联网感知层设备接入安全技术规范

Q/GDW12109—2021

编制背景 编制主要原则· 与其他标准文件的关系· 主要工作过程·· 12 标准结构和内容· 条文说明··

制背景 制主要原则· 其他标准文件的关系 要工作过程.. 准结构和内容 文说明

Q/GDW 12109202

本标准依据《国家电网有限公司关于下达2019年第二批技术标准制修订计划的通知》（国家电网科 （2019）807号文）的要求编写。 本标准的编制背景是随着电力物联网的全面建设，感知层设备安全已经成为影响电网安全稳定运行 的重要因素之一，驱需规范设备安全接入要求。 本标准编制的主要目的为规范感知层设备安全接入防护要求，作为GB/T22239一2019《信息安全技 术信息系统安全等级保护基本要求》、“电信网和互联网安全”的通信行业标准、国家发展和改革委员 会令第14号《电力监控系统安全防护规定》、《泛在电力物联网全场景网络安全防护方案》（国家电网 互联（2019）806号）等标准和规定的重要补充，指导信息化等专业人员在感知层设备安全方面的实际 工作。

本标准主要根据以下原则编制： 坚持先进性与实用性相结合、统一性与灵活性相结合、可靠性与经济性相结合的原则，以标准 化为指导相关业务系统的安全建设： D 坚持适度防范、分级别防护，分析各业务系统的安全需求、性能特征别墅标准规范范本，研究提出具有必要性 实用性和可实施性的安全机制和实施措施 借鉴现行相关的国际标准、国家标准、行业标准、企业标准，使标准具有科学性和规范性： d）从感知层设备本体安全、通信安全、本地通信网络安全等方面提出综合的全环节防护要求

3与其他标准文件的关系

本标准与相关技术领域的国家现行法律、法规和政策保持一致。 本标准不涉及专利、软件著作权等知识产权使用问题。 本标准主要参考文件： GB/T25069信息安全技术术语 GB/T33745一2017物联网术语 GB/T36968一2018信息安全技术IPSecVPN技术规范 GB/T37024—2018 信息安全技术物联网感知层网关安全技术要求 GB/T37044—2018 信息安全技术物联网安全参考模型及通用要求 GB/T37093—2018 信息安全技术物联网感知层接入通信网的安全要求 GA/T 681—2007 信息安全技术网关安全技术要求 GM/Z0001 密码术语 GM/T0024一2014SSLVPN技术规范 YD/T1742 接入网安全防护要求 YD/B 171—2017 物联网感知层协议安全技术要求 DB37/T2656一2015物联网感知层安全要求 Q/GDW11184一2014配电自动化规划设计技术导则 Q/GDW1594一2014管理信息系统安全防护技术要求 Q/GDW/Z11212 2信息系统非功能性需求规范

二建标准规范范本Q/GDW121092021

2019年7月，项目启动，对感知层设备安全防护相关技术标准进行资料收集和分析。 2019年8月，成立编写组，确立分工与职责，完成标准大纲编写，组织召开大纲研讨会，并针对标 准文件中的概念进行讨论；编制工作计划，完成前期调研及标准草案稿编制；组织内部评审，根据评审 意见完善，形成标准初稿。 2019年9月，公司互联网技术标准专业工作组（TC06）在北京组织专家对标准初稿进行评审，会上 对术语、各项安全要求的适用性等内容进行详细讨论；工作组根据评审意见进行完善，完成标准征求意 见稿编写。 2019年9月至11月，多次在公司范围内征求意见，完成征求意见（发函）和初稿审查；汇总梳理征 求意见稿反馈意见，认真讨论，修改形成标准送审稿。 2019年12月，召开评审会议，对送审稿进行评审。 2019年12月，公司互联网技术标准专业工作组（TC06）组织召开了标准审查会，审查结论为：审 查组协商一致，同意修改后以技术标准形式报批。 2019年12月，修改形成标准报批稿

本标准第6章、第7章、第8章中所涉及密码技术应用应纳入公司统一密码应用服务体系，采用公司 统一密码基础设施提供的密码服务。