《NB-T11204-2023变电站二次设备调试信息安全防护装置技术规范.docx》由会员分享,可在线阅读,更多相关《NB-T11204-2023变电站二次设备调试信息安全防护装置技术规范.docx(12页珍藏版)》请在三一办公上搜索。
1、ICS29.24aOlCeSK45NB中华人民共和国能源行业标准NB/T112042023变电站二次设备调试信息安全防护装置技术规范Technicalspecificationsforcommissioninginformationsecurityprotectiondeviceofsecondaryequipmentinsubstation2023-11-26实施2023-05-26发布国家能源局发布前吉Il引才IllI范国I2规范性引用文件i3术语和定义I4缩略语25总体架构26功能要求36.1 权限管理功能36.2 身份鉴别功能46.3 行为管控功能46.4 资产管理功能56.5 行为记
2、录功能56.6 审计管理功能67性能要求77.1 基本要求77.2 环境要求77.3 电源要求87.4 绝缘性能要求87.5 电磁急容要求97.6 机械性能要求Il8安全要求128.1 基本要求128.2 检验方法139检验规则149.1 检舱分类149.2 出厂礴149.3 型式试脸14附录A(资料性)变电站:次设釜调试信息安全防护流程图167%花器tlKfIS为保坏电力系统变也站二次设备调试过程中的信息安全,规的二次设各洲试信息安全防护装2U防护装置)的应用,统一防护装置的总体架构、功能要求、性能费求、安全要求和检验规则等要求,实现不同制造商防护装置产品的标准化,提高二次设备谑试的安全性,
3、特制定本文件.本文件涵或了移动终箱和机架网关两种防护装置产品模式.II变电站二次设备调试信息安全防护装置技术规范1范Bl本文件现定了变电站二次设备诩试信恩安全防妒装置(以下简称防护装置)的总体架构、功能要求、性能要求、安全要求以及检验规则.本文件适用于变电站二次设备调试信息安全防护装置的设计、安袋、诩试和验收.发电厂等其他厂站防护装湿可参照执行.2般范性引用文件卜列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仅谡日期时应的版本适用于本文件:不注目期的引用文件,共最新版本(包括所有的楼改单)适用于本文件。GBT2900.1GB/T2900.49GB/T17
4、626.2GB/T17626.3GB/T17626.4GB/T17626.5GB/T17626.6GB/T17626.8GB/T17626.9GB/T17626.10GB/T17626.29抗扰度试验GB/T18220GB/T22239GB/T25069GB/T37941GB/T40435NB/T106H0;电工术语法本术语电工术语电破兼容电磁兼容电槌兼容电磁兼容电磁兼容电磁城容电磁兼容电世族容电俄兼容电力系统保护试验和测出技术试脸和测量技术试验和测录技术试验和Xg盘技术试躺和测Ift技术试验和测盘技术试胎和测量技术好电放电抗扰度试验射频电磁场辎射抗扰度试验电快速瞬变脉冲稠抗扰度试骁浪涌(冲击
5、)抗扰度试验射频场序应的传导蟠扰抗扰度工扬磁场抗扰度试验脉冲毡场抗扰度试抬试脸和测出技术阻尼振荡磁场抗扰度试脸试验和测靛技术直流电源输入湘11电虚帝降、短时中断和电Ik变化的信息技术手持式信息处理设备通用规范信息安全技术网络安全等级保护基本要求信息安全技术术语信息安全技术工业控制系统网络审计产品安全技术要求变电站数据通信网关机技术规范继电保护和安全自动装置信息安全技术导则3术语和定义GB/T2900.1.GB/T290O.49.GBT22239.GBT25069.GBT37941,NBZTl0680界定的以及卜列术语和定义适用于本文件.3.1二具CCnissianinetoolofseocnd
6、aryequipaent在变电站二次设备检修、配置升级等工作中,与二次设备通信,进行数据查阅、数抵惜改等信恩交互的工具,通常包括专用调试电的、谓试软件等.简称调试工具.3.2试IKIB安全防护量ConimiKsioninginformationsecurityprotectiondevice用于调试工具与变电站内二次设备发生信息交互时,对调试工具和工作人员进行信息安全防护的装置.族作用是何保谑试匚具安全接入二次设;.防止调试1:具向二次设备传输可疑数据、非授权用户访问二次设缶、调试工具攻击二次设在、二次设缶等法外联等事件发生,保障变电咕信息安全.简称防护装置,H3权限管理authorizati
7、onmanagement根据系统设置的安全规则或者安全策略,用户可以访问而11.只能访问自己被授权的资源.14身份裳JNUiithentlcalliHi专用于鉴别传怆消息或发信方有效性的安全措施,或齐对接收特定信息类别的个人授权进行验证的手段.3.5访问控制awcscnlrl保证数据处理系统的资源只能由被授权E体按授权方式进行访问的手段。3.6审计audit对信息系统的各种事件及行为实行监测、信息采集、分析,并针对特定事件及行为采取相应的动作.4下列缩略语适用于木文件.FTP:文件传输例议(川etransferprlocol)UR1.:统一资源定位符(uniformresorvclocator
8、)5总体架构1.1 1防护装犬的防护对象包括变电站的推电保护装置、合并单元、智能终端.测控装置、合并取元智能终箱一体装置、保护测控一体装置、交换机、故障录波装置、忖络分析仪、电能表及电能信采柒装置等二次设爵,1.2 防护装置用于变电站二次设备谡试运飘,通过代理的方式实现谓试工具与二次设备之间的通信,对询试工具、祖试人员、传输数据等实除权限管理、身份鉴别,行为管控,行为记泵等安全防护措施.1.3 调试人员通过调试工具登录至防护装W,调试工具与防护装置之间建立安全认证通道,实现调试人员的身份鉴别和访问控制.1.4 调试人M通过防护装置实现对二次设备的访问,防护奘置与二次设备之间建立协议代理通道,实
9、现传输文件授权、行为管控和操作记录,葩于臼名取机制实现对授权文件的传输功能,并对可疑文件进行阻断和告警,5.5防护装置的部曙模式分为移动终痂模式和机奖网关模式.a)移动终端模式:防护装置采用移动终端模式,具备权限管理、身份号别、行为管控、资产管理、审计管理、行为记录等功能,示意困见图I,S1移动W机架网关模式:防妒装置采用机架网关优式,安奘在麻柜中,接入专用网络,具备权限管埋、6.1权限Efttt6.1.1&1.1.1应支持对防护装置理点户进行角色划分,至少包含管理员、H.、操作员等角色.6.1.1.2 管理员应具备配置管:权;,至少包含配注用户、资产管理、权理、系统全局参数等内容.6.1.1
10、.3 审计员应具备审计权限,至少包含fit看掾作记录、事件记录结聚等内容.6.1.1.4 操作员应具备操作权限.至少包含访问授权、诩试授权等功能.6.1.1.5 权6.1.2.1 应支持操作员对接入二次设备的调试人火权限、传蛹的数掘开展管理,仅允许授权人员使用.仅允许授权的数据传输。6.1.2.2 应支扑遵循最小权限原则授予访问二次设的的用户权限.6.1.2.3 HWVR6.1.3.1 应支持操作员新建、介入或改用谓试任务.内容包括:作起止时间、调试人员、网试工具、调试对象、操作权限。6.1.3.2 调试任务创建后不允许变更任务内容,仅可以调整任务结束时间。6.1.3.3 应支持操作员分配调试
11、人员账号和密码。1 .6.2mt日1.1.1.1 应对与白身安全相关的事件牛.成审计日志,如账号登录、身份器别、审计策略调整等,&22应对调试工具接入二次设备的事件生成审计日志,如账号登录、调试操作等.&23审计R志内容应至少包括Fl期、时间、事件主体、事件客体、事件描述等。2 .6.3种日6 &a1应支持时Fl志数据实时搜索和历史数据搜索.7 &3.2应支持审计日志本地存储的最短时限不少于6个月.8 6,33后支持对指定时间段的审11J备份IlM应采取保护措施,防止被未授权杳看.9 Hwt9.11.1.1 1.l防护装理应支持通过RM5通信网门、甲,口实运与二次设备通信.1.1.2 防护装司
12、与二木工徐之间的通信应基于TCP、UDP、口通信协议1.1.3 应支持2个百兆网口、IjCONSO1.E111.1.4 应支持单次添不少于100个二;:二备的授权操作.1.1.5 应支持行为记.本地存储,且至少存储6人月的记录信息.1.1.6 何网络运流量冲击卜.,防护装置不应死机或用1.1.7 移动终端式:设应具备防水、防尘功能,防护等线达到IP65。7.2 SFW*7.21 正常工作大气条件装置的正常工作大气工件应满足以下要求:a)环境温度:-1C+55t.b)相对滋度:5%1(装置内部既无凝跣,也不应结冰).c)大气压力:80kPnl06kPa.7.2.2装置的基准试验大气条件应满足以下
13、要求.a)环境温度:20C5C.b)相对湿度:45%75%.O大气压力:86kPa-106kPa.7.23*装置的贮存、运输环境条件应满足以下要求:a)贮存环境温度为-25C+55也,相对潮度不大于85%。b)运谕环境温度为-25C0C,相对湿度不大于85K7.24周围环境装置的使用地点周围环境应符合以下要求:7.4.2.2介IBUtlMt在标准大气环境条件卜进行介顷强度试抬时.向西足以卜要求:通信接口对地之间应能承殳交流工巡电压为I(KKlV历时1Ein的耐压试收,不应出现击穿或闪络现象7.4.13Alfr*H要求在正常试验大气条件卜袋置的电源输入回路.交流信号输入回路、信号就出触点等各回路
14、对地.以及回路之间,应健承受l.250US的标准雷电波的短时冲击电乐试验,当领定绝缥电Jk大fWOY时,开路试验电网为5kV:当颌定绝缘电JR不大于60V时.开路试验电反为IkV.试验后装置应无绝缘损坏和器件损坏.7.5电MMmMt7.6.1移府!式防护7.5.1.1 电抗扰度I4GR/T17626.2规定的方法在施加我1块定的干扰下防护装置校处于正常工作状态,功潴正常.性能不下降.1放电抗扰度*的主9Eflt(移动嬉式)试检项目级别试验假(H接放电)kV试tfl(何接收电)kV静电放电抗找境2级447.5.1.2 射电时Ha射扰犹度GB/TI7626.3规定的方法,在拖加表2规定的干扰下,防
15、护装置应处于正常工作状态,功能正常,性能不下降.*2*N电磁通财抗优度忧的主夫,敷(S动终式)试一项目级别试验强攻V/m射频电磁场捌射抗抗IU2S37.6.2加梁川关式防护*量7.5.2.1电Ik电扰扰度按GB/T17626.2规定的方法,在施加表3规定的干扰下,防护装置应处于正常工作状态,功健正常,性能不下降,3电放电抗扰度Klft的主要Ht(机架网关式)试验项目级别试验-电接放电kV试收VU间接放电)kY舲电放电抗扰度2汲44部构件无松动,外无不变形、不损坏.12机9环境适应性要求(普动嬉式)试验项目试验条件秋态频率数用IOHZr55x初始和JRJaitt动用应检查1WS1oct/nin不
16、加电他移帕的0.15m振动定版耐久性试躲位移融侬75m10Hz-25Hz)0.15r11(25Hz-58Hz)不加电持续时间3dmin1nin扪须耐久试脸箱率范用10Hz-55Hz-IOHz骐动偿俗0.15m扫频速度WlQCtZmin循环次数5冲击岬倍加速收150修修不加电脉冲井技时间Il8冲击波形串正弦波自由跌落跌落高度HXW30(-500g)50011n(500gl500g)不扣电跌落次数fE总4个面谷自由跌落1次7.6.2机第网关式防护装披衣13的规定迸行机械环境适应性试验,试验后对功能进行检蛤,件项功能应正常,且笠五内部构件无松动,外无不变形、不粕坏.表1珈椎环境适应性吴求(机架网关式
17、)试防项目试收条件状态振动耐久标称痂率范用10Hz1502不加电位移加速度10ns1振动方向X、八Z三轴方向打描相环次数每个粕向扫城插环20次每次扫频筛环时间8Bin8安全襄求8.18.1.1防护装置应采用安全可控的软理件平台.8.1.2 防护装置不应存在已知的高危及中危安全漏涧,弁定期升级.8.1.3 陶严格限制防护装置底层操作系统访问人门.不应采用远程方式登录防护装置操作系统.8.1.4 亚认:防T装置之间应使用安全可蠢的河道传输数据.8.1.5 后居于恒密算法或校验技术保证堇要数据存储和传输的完整性.8.1.6 应能防止自身审计日志和行为记录数据被篡改.8.1.7 行为记录应支持以独立文
18、件导出,且采用算法加密,防止里要信息外界.8.1.8 应具得检利并抵御网络攻击和徭透攻击的能力,如SQ1.注入攻击、中间人攻击、暴力破解、木马m人等.8.20方法&21KVfHHE状健件检查方法如下:a)检查防护装置软件系统,应采用安全可控悚作系统.b)校长防护装置.硬件设招,应采用安全可控硬件设缶。8.2.2 安全洞检去安全湖洞松衣方法如下:a)检查防护装置操作系统补丁更新情况,是否更新至鼓新版本,b)的过漏洞打描和渗透测试排查是否存在已知的高危和中能湖洞.8.2.3 MMM登求防护装置操作系查看是否开放远程登录限务,或打描防护装置对外开放编I,查看是否开放远程登录嫡口.8.2.4 传S三t
19、t查抓取两试工具与防护装置之间通侑流量,通过流量分析判定是否使用安全可宛如密通佶.8.2.6抓取四试I:具与防护装置之间通信数抠,分析是否使用基于国密算法或校验技术保证数据完整性.8.2.7 审计日志和行为记录数据权限检查审计日志和行为记录数树权限检件方法如下:a)登录防护装置,检我是否存在审计H志和行为记录更改接口。b)登杀防护装置操作系统,检查审计日志和行为记录文件是否只允许root或审计账户用户操作。8.2.8 记录文件导出充登录防护装置,检件行为记录是否支持以独立文件导出.并抓取导出文件的通信过程数抠包分析是否采用安全加密算法.8.2.9 PWfttt*发送SQ1.注入攻击、中间人攻击
20、、暴力破解、木马植入等测试数据包攻击防护装置,检衣防护装置是否成功识别、记录、吼斯。9枪WM9.1分类防护装置的检验分出厂试脸和型式试5金两种92出厂试It每台防护装置出厂前必须由制造商的检脸部门进行出厂试验,出厂试验项目见表1.1.9.3量式速It遇到下列情况之一时应进行型式试腌:a)新产品定型或老产品转厂牛.产时:b)正式生产后在设计、工艺材料、元件有较大改变.可能影响产品基本要求时:c)国家旗吊技术监督机构或受其委托的质信技术悔验部门提出要求时,9.3.1 试IMl目型式试骁项目见表M,14试(目序8WIfefli1.I出厂试收型式试验执行标准本标准布条1基本功能第6章2整本性能7.13
21、环境要求-CRT18220C874(M357.21电源要求JJCB/T18220GfVrl(M357.35绝燎性能绝缘电阻GeyTl(M357.4.1.k7.4.2.I介质妞女JGR/T4(M357.4.1.2、7.4.22冲击电乐CB/T4M357.4.236电曲兼容性能静电放电抗扰度C8/717626.27.5.1.k7.5.2.1射箱电感场塔射抗扰度GB/T17626.37.5,1.2.7.5.2.2电快速帆变肽冲群抗扰吱GB/T17626.47.5,2.3浪浦(冲击抗扰废GB/T17626.57.5.2.1射箱场5俺的传导物扰抗忧城GB/T17626.67.5.2.5工频磁场忧忧收GH
22、117626.7.5.2.6肽冲破场抗扰收CB17626.97.5,2.7阻尼振薄篷场抗抗应GKT17626.IO7.5.18电压俯降.短时中断和电压变化的抗扰度-GB,a17626.297.5.297机械性能GB/T18220G8TI(M357.68安全要求J制8注:l,为核检验项H必做,9.3.2 合格乂定4防护装置的合格划定规则如相B)被测试装汉应为出厂试验合格的产品:b)被测试装置未发现有主要缺陷的,则判定为合格:O被测试装置发现主要缺陷的,则判定为不合格.注;装跣的主要缺陷是指需及更换正货兀零件或对软件进行而大修t后,俄消除,或般M况下不可帼怎攵的缺陷(物惯件除外).其氽脚格作为一般缺陷.
