Q／GDW 12196-2021  电力自动化系统软件安全检测规范

使用电力调度数字证书认证的软件，应保证为每个应用分配唯一的证书，应验证证书和证书链 的有效性，禁止使用不符合链式结构、过期、撤销的数字证书； d 重要业务数据传输宜采用断点续传、数据校验等方式保证数据传输的完整性； e） 应保证通信数据保密性，对鉴别信息、密钥等敏感数据进行加密处理： f 能够过滤非法业务数据，校验通信数据合法性； g 应保证通信交互行为的安全性，具备防重放、篡改等安全防护能力； h 针对带随机数的通信报文，应具备生成随机数的不确定性，使随机数具备随机性、不可预测性 和不可重现性； 1 人机客户端、配置管理软件应使用私有安全协议，禁止使用不安全的传输协议； 应保证DL/T634.5104、DL/T860等通信协议的健壮性，正确处理各类畸形报文和攻击报文， 确保业务的正常交互； k 异常连接访问、通信认证异常应记录审计日志。

6.2.3.1服务注册认证安全要求

对于其备服务功能的软件，服务注册认证安全要求如下： a）在服务注册时服务管理者应进行合法性验证，防止非法服务注册； 应限制对服务注册信息进行非法删除或修改等操作； 应能够对非授权服务申请者私自连接的行为进行监测排水标准规范范本，并对其进行有效阻断； d）宜具备服务注册认证功能

6.2.3.2服务业务交互安全要求

对于具备服务功能的软件，服务业务交互安全要求如下： a）应具备安全机制限制业务超范围调用服务资源； b）应具备在同一时间段内对服务调用数量进行限制的功能； c）服务交互时应对关键业务数据或者敏感信息进行加密，保证服务交互信息的保密性： 应对通信服务提供者和服务消费者之间通信进行防护，对执行非法数据注入、恶意代码注入、 请求内容删除等操作进行限制： 服务提供者应具备访问控制策略，基于访问策略对服务消费者进行权限限制； 广域服务调用应具备身份认证机制，服务提供者需要检测服务请求来源，防止非法服务进行远 程调用。

6. 2. 3. 3服务安全管理要求

对于具备服务功能的软件，服务安全管理要求如下： a）应具备服务全生命周期管理、注册资产安全管理、命令管理等安全管理功能，自动清除已失效 的服务； b 应具备对服务注册对象占用资源的监视及告警功能，包括CPU、磁盘、内存、网络等资源的使 用情况； C 应具备服务行为审计机制，对服务的接入请求、接入后的操作轨迹、异常行为应记录审计日志： d 应限制使用未关闭的基础组件默认服务，包括删除默认界面、禁用默认管理用户、修改默认密 码。

6. 2. 4应用安全

6.2.4.1控制业务安全要求

Q/GDW 12196202

控制业务一般包括直控、选择性控制、闭锁控制、同期控制、校核控制、联动控制、一键顺控、运 维检修控制操作等，对于具备控制操作功能的软件，控制业务安全要求如下： 应对控制操作的人员加以限制，仅允许授权的人员执行控制操作； 6 应具备控制操作正确性校验，如校核、闭锁、同期等，应依据逻辑规则仅执行期望的动作，不 允许执行其他更多的动作； C 应具备联动控制、选择性控制等时效性检测，防范过期的控制操作； d 应支持对批量控制、协同控制的校核，正确校核多重、连锁故障状态，校验业务逻辑的正确性； e 应具备控制信号资源抢占的处理机制，禁止多个控制主体同一时刻对同一台设备进行控制操 作，禁止被控设备同时响应多个操作命令； f 应正确处理远程和本地控制操作权限，只能本地控制的操作禁止远程执行； 对于双席控制操作，应通过具备权限的监护员确认后方可执行控制操作； h 对于主站控制操作，应具备双重信息点表的校核机制，只有同时通过校核方可进行控制操作； 1 所有控制操作及行为应记录审计日志，至少包括操作人员、操作对象、操作内容、操作时间和 操作结果

6.2.4.2配置业务安全要求

配置业务安全要求如下： a）应支持对参数配置操作进行访问控制； b 应具备数据有效性检验功能，保证人工置数、定值修改、参数配置输入的数据格式、长度、数 值范围等应符合软件设定要求，能够识别并拒绝执行不合法的参数配置； 应具备多个主体对同一参数配置的安全处理机制，应具备互斥能力； d）配置变更应记录审计日志

分析处理业务安全要求如下： a）应支持对数据合理性和安全性进行检查和过滤，能正确识别数据跳变、缺失、失真、格式不统 一等异常数据并丢弃； 6） 应支持对数据质量进行检查和过滤，并正确处理与设置数据质量标识，包括但不限于数据类型： 未初始化数据、不合理数据、计算数据、非实测数据、采集中断数据、人工数据、坏数据、可 疑数据、采集闭锁数据（量测值被封锁，收到实时数据后不会更新）、控制闭锁数据（量测不 允许控制操作）、旁路代替数据、对端代替数据、不刷新数据（在定义的时间周期内前置未收 到量测报文的数据）、越限数据等； C 应具备点多源数据（如成对关联数据）处理功能，同一测点的多源数据应进行合理性校验并经 选优判断，具备防止因多数据源切换造成数据跳变的功能： d 应具备对计算过程中产生的临时数据的安全防护策略，临时数据占用资源应及时释放： e 应具备业务逻辑、业务流程的正确性校验和安全防护能力，不应存在设计缺陷、逻辑漏洞； 应对重要数据接口、重要服务接口的调用进行访问控制，并对调用数据进行合法性校验： 数据分析与处理过程中异常告警及安全事件应记录审计日志

6.2.4.4监视业务安全要求

对于具备监视业务的软件，监视业务安全要求如下： a）应不可修改运行监视数据的真实值：

b）应只允许具备权限的用户访问相应的业务模块，无关的信息不应出现在当前监视界面： C）用户对监视数据的修改应记录审计日志。

6.2.4.5采集业务安全要求

采集业务安全要求如下： a）数据采集应仅向被授权的对象传输数据： b) 采集数据应可溯源，应确保采集数据真实可信； 应能识别非法采集数据，应能识别采集过程中的异常行为，并具备相应的安全策略； d）应具备处理批量数据输入、采集数据量超上限保护机制，防止数据丢失、覆盖

6. 2. 5数据安全

数据安全要求如下： a）应对重要业务数据、证书等进行访问控制，并限制输出的操作权限： 应对重要业务数据、证书、密钥等导入操作进行权限控制和校验： 应具备对业务数据全生命周期的保护策略，包括但不限于数据采集、存储、处理、应用、流动 销毁等过程； d 应具备对数据进行分级分类保护，不同类别级别的数据采取不同的安全防护策略，数据分级分 类数据表参见附录A； e） 应采用密码技术或其他保护措施保证重要业务数据、敏感数据保密性： f 应采用校验技术或密码技术等保证重要业务数据、敏感数据在存储时完整性： g 审计日志应至少保存6个月，应设置审计日志存储余量控制策略，当存储空间接近极限时，装 置应能采取必要的措施保护存储数据的安全； h 非授权用户禁止修改、删除审计日志； 1 在正常运行状态下及软、硬件异常情况下应对存储数据进行保护，数据不应丢失 j 应具备重要业务数据的备份与恢复功能； K 数据操作、数据备份、数据恢复、审计日志告警等应记录审计日志

对电力自动化系统软件进程的安全要求如下： a）应支持进程创建、资源回收、进程守护等进程管理能力； b）应对核心业务进程异常、内存耗尽等情况进行监视； c）应对审计进程进行保护，禁止中断审计进程； d）应具备防注入、反调试、反逆向能力； 宜采用基于可信计算的动态安全防护机制，对软件进程、数据、代码段进行动态度量，不同进 程之间不应存在未经许可的相互调用，禁止向内存代码段与数据段直接注入代码的执行； 进程异常、资源异常以及攻击行为应记录审计日志。

6. 2. 7运行安全

运行安全要求如下： a） 应具备对并发事务和并发用户访问、大负载量、高吞吐量等极限情况的处理机制，保证业务的 连续性； b) 应具备自诊断、自恢复能力，当发生软件异常时，在一定时间内恢复正常功能； C 主备机切换或网络切换时，软件应正常工作，采集及传送的信息不应丢失或重复； 应具备抵御各种常见网络攻击的能力，面对网络风暴时，不应出现误动、误发报文、退出、通

信不中断等现象；面对拒绝服务攻击时，不应出现误动、误发报文、退出等现象，且在中断攻 击后的一定时间内恢复正常功能； 不应存在安全漏洞，包括但不限于存在与业务无关的服务和端口、敏感信息泄露、越权访问漏 洞、注入漏洞、命令执行漏洞等。

电力自动化系统软件应支持版本信息采集和上送功能，关键业务软件宜支持基于可信计算的强制版 本管理。版本管理检测要求如下： a）应具备软件版本信息配置文件，至少包含：产品名称、产品型号、软件版本号、软件校验码、 程序文件路径等信息； 宜统一将程序文件部署于一个文件目录中，便于管理； C 宜支持通过Agent的方式实现对软件版本信息的动态采集，应支持通过现有通信协议上送软件 版本信息： d 应用于生产控制大区的关键控制软件宜在可执行程序启动前校验生产厂商和检测机构的签名， 保证软件版本的合规性，

7.1.1代码安全扫描

代码安全扫描检测方法如下： a）使用代码安全扫描工具，通过代码编译、构建配置文件获取、规则匹配等检测环节，发现源代 码缺陷； b） 人工对源代码缺陷进行筛查，进行风险分析，

7.1.2代码静态分析

代码静态分析检测方法如下： a）使用代码静态分析和规则检查扫描工具，通过代码编译、构建配置文件获取、规则匹配等 环节，发现源代码缺陷； b）人工对源代码缺陷进行筛查，确保缺陷准确性，

7.1.3代码静态度量

代码静态度量检测方法如下： a）使用质量度量工具，通过分析代码度量计算，进行源代码静态度量； b）人工对度量结果进行计算审核，确保度量结果准确性。

代码审计检测方法如下： a）使用代码审计扫描工具对代码进行扫描，结合扫描结果对源代码进行人工审查，发现代码中存 在的编码安全漏洞和业务安全漏洞； 利用发现的代码漏洞进行渗透，验证漏洞的危害性

接入安全检测方法如下： a）将人机客户端、配置管理软件等接入，检测是否设定黑、白名单方式限制非法的客户端、管理 软件的接入； D 查看软件开放的接口，检测是否只有通过身份认证后的对象方可接入并进行数据交互； C 查看接口说明，并验证是否仅开放了设定的应用范围，超出范围的访问是否被拒绝； d 检测是否配置接口并发数量，同一时间接入多于允许的接口并发访问数量，检测是否加以限制； e 检测人机客户端、配置管理软件等接入以及配置操作是否记录审计日志，并与实际相符

用户管理及授权安全检测方法如下： a 查看系统用户的ID标识是否唯一，是否不存在重复标识的用户：新建与库用户名相同的用户， 检测是否新建失败； b） 注册新用户初次登录或修改用户口令时，检测是否要求密码最小长度及复杂度，尝试配置 ro0t、123等弱口令以及将用户口令设置为与用户名一致，检测是否配置失败； C 用户绑定正确的电力调度数字证书时，检测是否绑定成功，使用同一个数字证书绑定多个用户 是否失败，检测是否绑定失败，更换错误CA根证书，检测是否能够正确识别不符合链式验证 的数字证书，并绑定失败； d 检测系统是否至少具备管理员、审计员和操作员三种角色，是否存在root以及具备其他所有 权限的用户，检测每个角色的权限是否满足最小权限原则要求； e 检测是否为每一个用户分配访问权限，并限定访问模块，不同角色间是否权限交叉，将不同角 色授予同一用户，检测是否失败； f 检测用户管理列表，是否用户管理列表与用户数据表信息一致，是否自动提示管理员删除超过 设定闲置期限的废弃多余账号、过期账户，是否不存在共享账户用户； 检测授权行为、用户变更等是否均记录审计日志

7.2.1.3登录认证检测方法

登录认证检测方法如下： a）分别使用不同角色的用户登录，检测是否正确依据认证方式对所有登录用户进行身份认证，是 否满足数字证书、生物特征识别和口令认证的一种或几种组合认证方式； 6） 使用电力调度数学证书登录认证时，分别使用过期、被撤销的证书进行登录，检测是否失败： 设置特定时长、登录失败次数、锁定时长，检测是否配置成功：检测在默认配置条件下，同 账户连续登录失败5次以上，检测账号是否被锁定，并产生提示告警信息，检测锁定时长是否 为10分钟； d） 恢复策略若为自动恢复，到达锁定时长后，登录人员账号，检测是否登录成功： e） 恢复策略若为手动恢复，登录管理员账号对被锁定账号进行解锁，解锁后登录人员账号，验证 是否登录成功： f 使用同一账号同一时间内在多点登录，检测是否对该行为进行限制阻断并产生告警事件； g 设置会话超时时间为特定时长，使用用户成功登录，进入非运行监控会话界面，检测当用户处 于会话界面在设定时长（如10分钟）未做任何操作时，是否自动退出当前会话界面： h）检测本地客户端、配置管理软件等是否没有存储鉴别信息、运行相关重要数据：

Q/GDW 12196202

i）检测用户登录、用户退出、连接超时以及异常登录访问事件等是否均记录审计日志。

7.2.1.4操作安全检测方法

操作安全检测方法如下： a 进行操作控制、参数配置、模型文件修改、配置文件上传/下载时，检测是否仅允许设定范围 内的用户操作； 6 在数据输入界面输入恶意或畸形数据，检测是否检测数据的有效性，限制非法数据的输入； 检查数据允许的字节长度、数据类型和上下限范围，并输入相应的值检测是否对所有输入数据 进行严格过滤； d 根据设定的输入条件，录入不符合运行约束或业务逻辑的数据，检测是否拒绝执行该修改操作； e 对重要控制操作时，检测是否需再次身份认证后方可执行操作； 对于主站控制类操作，控制点编号预置时，是否需对控制点编号再次输入验证，是否只有两次 编号校验一致方可进行预置操作，不一致时则中止操作； 模拟逻辑错误操作，检测是否禁止该异常操作且给予提示； h 进行文件下载时，检测是否限制操作的目录，是否不允许有“.”、“”、“”等跳转目录 1 检测文件上传时是否对文件格式、内容进行校验，上传恶意文件时是否能够识别并拒绝执行； J 检测在异常操作或系统故障时，返回的提示信息是否不包含程序代码及敏感信息等； K 检测控制操作、参数配置、文件上传/下载行为是否记录审计日志，

7. 2. 2通信安全

7.2.2.1通信服务基本要求检测方法

外部通信安全检测方法如下： a）接入通信对象，检测是否只允许白名单内IP、MAC、APPID等方可成功建立连接； b 结合通信协议，对于支持单向或双向身份认证的通信机制，检测身份认证过程是否正确； C 对于使用电力调度数字证书的认证机制，检测数字证书是否被多个应用共用，检测证书的有效 期、链式结构、状态是否满足要求，使用过期的数字证书、错误的CA证书以及处于撤销状态 的数字证书，检测认证是否失败； d） 传输较长的业务报文时，传输过程中中断，检测是否具备断点续传功能，检测重要的业务数据 是否有校验机制，保证数据的完整性； e 检测通信报文中鉴别信息、密钥等是否进行加密处理； 传输非法的业务数据，检测是否能够过滤非法业务数据，识别通信数据合法性： g 检查通信协议是否有时间戳、校验等安全机制，使用检测工具对重要控制报文进行重放、篡改， 检测是否控制失败； h 对于使用随机数的通信协议，检测报文中随机数是否不可被预测和重现； 1 抓取并分析软件与人机客户端或配置管理软件间的通信报文，检测是否使用不安全的私有协 议：

Q/GDW121962021

j）对DL/T634.5104、DL/T860等通信协议，使用协议健壮性测试工具输入随机的数据和不合法 的数据，生成各类畸形报文和攻击报文，检测是否具备识别能力和保护策略，确保通信协议的 健壮性和业务的正常交互； k）检测异常连接访问、通信认证异常是否均记录审计日志。

服务注册认证安全检测方法如下： a 检测服务管理者是否配置白名单等机制保证服务注册申请者的合法性，使用非授权服务访问软 件提供的服务，检测是否拒绝访问； b 删除或修改服务注册文件，检测是否限制被删除或修改服务注册文件的操作 c）接入非授权的服务申请者，检测是否能识别并阻断； d）检测是否具备服务注册认证功能。

7.2.3.2服务业务交互安全检测方法

服务业务交互安全检测方法如下： a）对已授权服务尝试调用超出范围的服务资源，检测调用资源范围是否限制； 6） 模拟同一时间段内多个业务调用同一服务，检测是否对服务调用数量进行限制： C 查看服务接口请求内容，对关键业务数据或者敏感信息进行解密，检测服务交互信息的保密性； 抓取服务提供者和服务使用者之间通信报文，执行非法数据注入、恶意代码注入、请求内容删 除等操作，检测是否能禁止非法操作； 模拟非法服务远程调用操作，检测服务提供者是否检测服务请求身份； 模拟服务消费者发起调用请求，检测局域服务提供者是否具备访问控制策略，对服务消费者进 行权限限制

7.2.3.3服务业务管理安全检测方法

服务业务管理安全检测方法如下： a) 查看软件是否具备服务全生命周期管理、注册安全管理、命令管理等安全管理功能，检测是否 可自动清除已失效的服务； 查看服务行为审计，检测是否对服务接入请求、操作轨迹、异常攻击行为等内容进行记录； C 检测软件是否对服务对象占用的CPU、磁盘、内存、网络等资源的使用情况进行监视，检测当 资源占用率超过设定的告警阅值时是否产生告警，并具备资源异常占用的安全处理策略； d 检查软件是否提供日志修改或删除接口，通过SQL注入、日志伪造等修改或删除日志，检测是 否禁止审计日志被删除、修改； e 检测软件是否不存在基础组件的默认界面，或禁用默认管理用户，初次登录是否要求修改默认 密码。

7.2.4.1控制业务安全检测方法

控制业务安全检测方法如下： a）检测控制操作是否只有具备权限的人员方可执行成功

Q/GDW 12196202

） 分别对各类控制进行正常、异常操作，如校核、闭锁、同期等，检测是否对控制操作正确性进 行校验，是否仅执行期望的动作； 对于有时效性的联动控制、选择性控制等，分别进行设定时效内和时效外的操作，检测控制操 作的时效性处理是否正确； d 对于批量控制、协同控制，检测对多个控制操作的逻辑校核是否正确，对多重、连锁故障状态 下控制动作流程是否准确； e 使用多个控制主体同时对同一台设备进行控制操作，检测是否仅执行一个控制操作，无误动现 象； f 尝试对只配置为本地控制操作的控制对象进行远程控制，检测是否拒绝执行； g 对于双席操作控制，检测操作员进行控制时，是否只有通过监护员确认后方可执行成功： h 在主站的控制操作，检测是否具备双重信息表校核机制，更换其中一个控制点信息表，检测是 否控制失败，且给予提示告警： 检测所有控制操作及行为是否记录审计日志。

7.2.4.2配置业务安全检测方法

配置业务安全检测方法如下： 分别使用具备配置权限的用户和不具备权限的用户对具备配置功能的参数进行修改操作，检测 参数配置权限管理的有效性； b 检查各参数的允许范围，并进行超范围的配置，检测是否对配置参数的正确性进行校验； C 使用多个主体同时对同一参数进行配置操作，检测同一时间是否只允许执行其中一个操作，不 出现跳变等异常现象； d 检测配置变更操作是否记录审计日志，

7.2. 4.3分析处理业务安全检测方法

分析处理业务安全检测方法如下： a）检测是否支持对数据合理性和安全性进行检查和过滤，能否正确识别数据跳变、缺失、失真、 格式不统一等异常数据并丢弃； b 检测是否支持对数据质量进行检查和过滤，是否正确设置数据质量标识，至少包含但不限于： 未初始化数据、不合理数据、计算数据、非实测数据、采集中断数据、人工数据、坏数据、可 疑数据、采集闭锁数据、控制闭锁数据、旁路代替数据、对端代替数据、不刷新数据、越限数 据等； 检测对同一测点的多源数据是否能够进行合理性辨识校验，在多数据源切换时是否存在数据跳 变的现象； d 检测分析与处理过程中产生的临时数据、临时动态数据集在生命周期结束后，是否及时释放临 时数据占用资源； e） 对控制业务流程、业务逻辑等进行绕过、篡改、利用等，检测是否执行失败，并产生相应的告 警事件； 检测对重要数据接口、重要服务接口的调用是否进行访问控制，是否对调用数据进行合法性校 验，只有合法的数据方可调用成功； 检测数据分析与处理过程中异常告警及安全事件是否记录审计日志。

7.2. 4. 4监视业务安全检测方法

对于具备监视业务的软件，监视业务安全检测方法如下：

Q/GDW121962021

a）检测运行监视数据真实值是否不可被修改； b）检测用户是否仅允许查看权限内的业务模块，无关的信息不出现在当前监视界面 c）检测用户对监视数据的修改（如置数）是否记录审计日志

7.2.4.5采集业务安全检测方法

采集业务安全检测方法如下： a）检测采集数据是否仅向被授权的对象传输数据； b) 检测采集数据来源是否可溯源，是否和实际值一致； C 检测是否能够识别并丢弃非法采集数据、采集中断数据等； d 发送批量采集数据，检测是否具备采集数据量超上限保护机制，采集数据是否不丢失、不覆盖

数据安全检测方法如下： a）检测是否具备相应权限的主体方可访问重要业务数据、重要配置数据、重要审计数据、证书等， 进行导出操作时，检测是否只有具备输出权限的用户方可操作成功； 检测是否仅允许具备相应权限的主体方可导入配置参数、证书、密钥等，检测是否对导入数据 格式、内容等进行校验，并丢弃校验不通过的导入数据； C 检测是否具备对业务数据全生命周期的保护策略且有效，包括但不限于数据采集、存储、处理、 应用、流动、销毁等过程； d 检测是否对数据进行分级分类保护，并验证重要业务数据、敏感数据在调用、流转过程中安全 防护策略是否有效； e 检测口令、密钥、重要业务等敏感数据在存储时是否采用国密算法保证存储的保密性，并验证 加密算法正确性； 检测是否采用校验技术或密码技术等对重要业务数据、重要配置数据、重要审计数据、敏感数 据在存储时进行完整性校验： B 通过生成6个月的审计日志文件或修改软件系统时间，检测是否至少保存6月的审计日志； h 设置存储容量阈值，检测是否具备存储空间余量控制策略，并在存储容量即将达到上限时应进 行告警； i） 在正常运行状态下，以及触发软异常情况下，检测是否对存储数据进行保护，保证存储数据不 丢失； 检测非授权用户是否禁止修改、删除审计日志； k 检测重要业务数据是否具备备份与恢复功能，且实现正确； 1 检测证书、密钥操作及变更、数据备份、数据恢复、审计日志存储容量告警等是否记录审计日 志。

数据安全检测方法如下： a）检测是否具备相应权限的主体方可访问重要业务数据、重要配置数据、重要审计数据、证书等， 进行导出操作时，检测是否只有具备输出权限的用户方可操作成功； 检测是否仅允许具备相应权限的主体方可导入配置参数、证书、密钥等，检测是否对导入数据 格式、内容等进行校验，并丢弃校验不通过的导入数据； C 检测是否具备对业务数据全生命周期的保护策略且有效，包括但不限于数据采集、存储、处理、 应用、流动、销毁等过程： d 检测是否对数据进行分级分类保护，并验证重要业务数据、敏感数据在调用、流转过程中安全 防护策略是否有效； 检测口令、密钥、重要业务等敏感数据在存储时是否采用国密算法保证存储的保密性，并验证 加密算法正确性； f 检测是否采用校验技术或密码技术等对重要业务数据、重要配置数据、重要审计数据、敏感数 据在存储时进行完整性校验： 名 通过生成6个月的审计日志文件或修改软件系统时间，检测是否至少保存6月的审计日志； h 设置存储容量阈值，检测是否具备存储空间余量控制策略，并在存储容量即将达到上限时应进 行告警； 在正常运行状态下，以及触发软异常情况下，检测是否对存储数据进行保护，保证存储数据不 丢失； j）检测非授权用户是否禁止修改、删除审计日志； k 检测重要业务数据是否具备备份与恢复功能，且实现正确； 检测证书、密钥操作及变更、数据备份、数据恢复、审计日志存储容量告警等是否记录审计日 志。

进程安全检测方法如下： a 建立多个业务连接并停止，检测资源占用是否随着进程的创建和停止而变化； b) 尝试终止软件核心业务进程，检测进程是否可自行恢复； C 模拟进程大量占用软件资源（CPU、内存等）操作，检测软件是否具有监视告警功能； 尝试删除审计进程，检测是否执行失败； e 使用调试工具修改内存中的进程代码，检测进程是否禁止被注入、被调试； 尝试使用反编逢工具对软件进行反编逢，检查是否具备反调试能力：

g）检测软件是否可配置启动进程白名单，若可配置，检测是否可成功启动白名单内进程； h）若软件可配置启动进程白名单，检测白名单外的进程是否能够启动； i）若软件可配置启动进程白名单，尝试修改或替换白名单内应用程序，检测是否阻止启动； i）检测进程异常、资源异常以及攻击行为是否记录审计日志

模拟并发事务和并发用户访问、大负载量、高吞吐量等极限情况，检测软件是否正常运行且具 备极限处理机制； b） 模拟服务端和客户端设备电源故障，恢复供电并开机后，检测软件功能是否正常，是否具备故 障诊断、故障报告、故障恢复的能力； C 中断重要的应用、服务、进程，检测软件是否具备故障诊断、故障恢复的能力，且具备相应的 提示与告警； d 在正常运行时，使用检测工具模拟发送网络风暴时，检测是否不出现误发、误动、退出、业务 通信中断等现象； e 使用检测工具模拟SYNflood、UDPflood、Pingofdeath、Land等攻击，检测是否不出现误 发、误动、退出、重启等现象，在中断攻击后的一定时间内是否恢复正常； 使用漏洞扫描工具，对被测软件进行扫描，检测是否存在已知安全漏洞； 使用渗透测试手段，检测软件是否存在可被利用的漏洞

版本管理检测方法如下： 2 查看软件版本信息文件是否至少包含：产品名称、产品型号、软件版本号、软件校验码、程序 文件路径等信息； 查看程序文件存放路径，检测程序文件是否放在一个文件目录中； C 检测是否支持通过Agent的方式实现对软件版本信息的采集； 应用于生产控制大区的关键控制软件，检测在可执行程序启动前是否校验生产厂商和检测机构 的签名：启动没有或部分签名的可执行程序，检测是否启动失败，

附录A （资料性附录） 数据分类分级参照表

数据分级分类数据表参见表A.1。

附录A （资料性附录） 数据分类分级参照表

表A.1数据分级分类数据表

Q/GDW 12196202

电力自动化系统软件安全检测规范

编制月京， 编制主要原则. 与其他标准文件的关系. 主要工作过程. 标准结构和内容.. .18 条文说明..

玻璃标准规范范本Q/GDW 121962021

本标准按照《2020年度国家电网有限公司技术标准制 修订计划》（国家电网科【2020】21号）的 要求编写。 本标准编制背景是为了提高电力自动化系统软件安全检测水平，引导电力自动化系统软件提供厂商 充分考虑安全设计理念，提升电力自动化系统软件的安全防护能力，且目前尚无对电力自动化系统软件 安全的检测规范，因此需要编制本标准以确保电力自动化系统软件在现场的可靠应用。 本标准编制主要目的是规范了电力自动化系统软件安全要求及检测方法

本标准主要根据以下原则编制： 先进性原则。充分考虑并吸收了电力自动化系统软件安全检测技术的前沿技术和相关检测工作 的经验； 全面性原则。涵盖了电力自动化系统软件安全检测要求和检测方法； 适用性原则。本标准从公司生产运行部门的实际情况出发，充分考虑了电力自动化系统软件的 实际应用。

3与其他标准文件的关系

本标准不涉及专利、软件著作权等知识产权使用问题

2020年3月初，根据国家电网有限公司技术标准编制计划要求，由中国电力科学研究院组建标准编 写组。 2020年4月30日，以腾讯会议形式召开标准大纲讨论会，经过与会专家的讨论，编写组完成了标准 大纲的编写。 2020年5月21日，以腾讯会议形式召开初稿讨论会，经过与会专家的讨论，对标准的章节结构进行 了精简，对章节内容进行了合并，对部分术语进行了补充。 2020年8月26日，在北京召开标准研讨会议，经过与会专家的讨论，对标准内容进行了补充完善， 进一步规范了适用范围和内容结构，针对业务软件的定义，去掉了运行环境安全检测要求等。 2020年9月3日，根据专家意见形成征求意见稿，由公司运行与控制技术标准专业工作组组织以电子 邮件方式在公司范围内广泛征求意见。 2020年11月13日，编写组以腾讯会议形式召开标准讨论会，对征求意见返回结果进行汇总，并根据 各网省公司反馈意见对标准进行补充和完善，修改了部分格式问题，修改了图形测试拓扑结构图中的部 分描述，并形成了标准送审稿。 2020年11月20日，公司运行与控制技术标准专业工作组（TC03）组织在北京组织召开了标准审查会： 要求将标准更名为：电力自动化系统软件安全检测规范。审查结论为：审查组协商一致，同意修改后以 技术标准形式报批。 2020年11月23日，编写组按审查专家意见对标准送审稿进行修改完善，形成标准报批稿。

快递标准Q/GDW 121962021

本标准按照《国家电网公司技术标准管理办法》（国家电网企管（2018）222号）的要求编写。 本标准主题章节共3章，由总体要求、安全要求、检测方法组成。第5章规定了电力自动化系统软件 安全检测总体要求；第6章规定了安全要求，包括代码安全、业务安全、以及版本管理等内容；第7章规 定了详细的检测方法。