Q∕GDW 12196-2021 电力自动化系统软件安全检测规范_第1页
Q∕GDW 12196-2021 电力自动化系统软件安全检测规范_第2页
Q∕GDW 12196-2021 电力自动化系统软件安全检测规范_第3页
Q∕GDW 12196-2021 电力自动化系统软件安全检测规范_第4页
Q∕GDW 12196-2021 电力自动化系统软件安全检测规范_第5页
已阅读5页,还剩20页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、ICS 29. 240Q/GDW国家电网有限公司企业标准Q/GDW 121962021电力自动化系统软件安全检测规范Test specification for software security of electric powerautomation system2022 -01 -24 实施2022-01 -24 发布国家电网有限公司 发布Q/GDW 121962021目 次ttiWii1 翻l2 规范性引用文件13 术i吾雌5C14娜i吾15創本26錢魏26. 1代码安全26. 2业务安全26.3版本管理77 翻旅77. 1代码安全77. 2业务安全77. 3版本管理13附录A (资料性

2、附录) 数据分类分级参照表14綱測15IQ/GDW 121962021为规范电力自动化系统软件应满足的安全性要求,提升电力自动化系统软件的安全防护能力,指导 电力自动化系统软件的安全检测,制定本标准。本标准由国家电网有限公司国家电力调度控制中心提出并解释。本标准由国家电网有限公司科技部归口。本标准起草单位:中国电力科学研宄院有限公司、国家电网有限公司东北分部、国网山东省电力公 司、国网江苏省电力有限公司、国网浙江省电力有限公司、国网湖南省电力有限公司、国网四川省电力 公司、国家电网有限公司西南分部、南瑞集团有限公司。本标准主要起草人:张金虎、沈艳、周劼英、詹雄、张晓、李劲松、徐鑫、杨鹏、刘苇、

3、李宇佳、 纪欣、金学奇、周献飞、邵立嵩、宫铃琳、孟庆东、刘成江、高保成、刘勇、刘筱萍、喻显茂、裴培、 陈乾、郑澍、熊伟、王昊、彭晖。本标准首次发布。本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。#Q/GDW 121962021电力自动化系统软件安全检测规范1 范围本标准规定了电力自动化系统软件的安全要求和检测方法。本标准适用于调度自动化系统、变电站监控系统、集控站监控系统、辅助设备监控系统等主、厂站 软件的设计、开发、测评、建设、运行和维护。抽水蓄能电厂、火电厂、水电厂、新能源等监控系统可 参照本标准执行。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文

4、件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239信息安全技术网络安全等级保护基本要求GB/T 34943 C/C+语言源代码漏洞测试规范GB/T 34944 Java语言源代码漏洞测试规范GB/T 36572电力监控系统网络安全防护导则DL/T 634. 5104 远动设备及系统第5-104部分:传输规约采用标准传输协议子集的 IEC60870-5-101 网络访问DL/T 860 (所有部分)电力自动化通信网络和系统DL/T 1455电力系统控制类软件安全性及其测评技术要求3 术语和定义下列术语和定义适用于本文件。3.

5、 1电力自动化系统软件el ectr i c power automat i on system software综合利用计算机、远动和远程通信技术,对电网一、二次设备进行运行监视、控制和管理的自动化 系统平台及应用软件,包括电力自动化系统主、厂站软件。3. 2业务安全 bus i ness secur i ty从人机安全、通信安全、服务安全、应用安全、数据安全、进程安全、运行安全等方面,结合系统 软件自身业务,保护电力自动化系统业务免受安全威胁的措施及手段。4 缩略语下列缩略语适用于本文件。1Q/GDW 121962021APPID:应用标识符(Application Identity)CA

6、:证书认证机构(Certification Authority)CPU:中央处理器( central processing unit)ID:身份(Identity)IP:网络之间连接的协议(Internet Protocol)MAC:多址接入信道(Multiple Access Channel)SQL:结构化查询语言(Structured Query Language)SYN:洪水攻击(Synchronize)UDP:用户数据报协议(User Datagram Protocol)总体要求1电力自动化系统软件应遵循GBA 22239、GB/T 36572、DL/T 1455等技术标准的相关安全要

7、求。 2电力自动化系统控制类软件应实现自主可控,包括业务软件本身、第三方组件、密码算法等。 3测试工具应具有追溯性,自行开发的测试工具应有详细的说明文档,并通过适用性验证。安全要求1 代码安全代码安全检测应依照GB/T 34943和GB/T 34944等要求,具体要求如下:a)不应存在违背安全编码规则、输入处理、输出处理、文件操作等安全要求内容;b)不应存在口令硬编码、软件后门、访问控制、密码管理、明文存储、异常管理等安全特征内容;c)不应存在资源泄露、越界访问、缓冲区溢出、命令注入、设计缺陷/业务逻辑等安全漏洞。2 业务安全2. 1人机安全2. 1. 1接入安全要求接入安全要求如下:a)人机

8、客户端、配置管理软件等接入,应优先采用白名单方式,也可采用黑名单等其他方式,限 制非法接入,保证客户端、配置管理软件等接入的合法性;b)API接口等接入应进行身份认证,并限制对外开放接口的应用范围和同一时间内并发访问的接 口数;c)软件接入应记录审计日志。2.1.2 用户管理及授权安全要求用户管理及授权安全要求如下:a)身份标识应具有唯一性,保证不存在重复标识的用户;b)应支持密码最小长度及复杂度要求,禁用弱口令及用户口令与用户名一致;c)使用电力调度数字证书绑定用户时,应为每个用户分配唯一的证书,并保证证书链的有效性, 禁止使用不符合链式验证的数字证书;d)应设置管理员、审计员和、操作员三种

9、角色,不允许存在超级用户,权限的设置应基于最小权 限原则;Q/GDW 121962021e)除画面查看等公共权限外,应保证不同角色间权限互斥,且不能将不同的角色授予同一用户;f)应及时删除或停用多余的、过期的账户,注销用户应任何情况下不可用,避免共享账户的存在;g)用户管理、权限分配等应记录审计日志。6. 2. 1.3登录认证安全要求登录认证安全要求如下:a)登录身份认证可采用数字证书、生物特征识别和口令认证,根据软件安全防护需求选用不同的 认证方式或多种认证方式的组合;b)使用电力调度数字证书作为登录认证凭证时,应验证证书有效性,禁止使用过期、撤销的数字 证书;c)应具备连续登录失败锁定功能

10、,支持特定时长、失败次数和锁定时长的配置功能,对设定时长 内连续登录失败次数(默认5次)达到设定值后,应锁定账号一定时长(默认10分钟),并 且有相应的提示告警信息;d)应具备锁定账号恢复功能,支持锁定时长到期后自动恢复或管理员手动恢复;e)应对同一用户账号同一时间内多点登录的行为进行限制阻断、提示并产生告警;f)应具备会话管理机制,当用户处于非监控会话界面并在一段时间内未做任何操作时,应退出当 前界面,会话超时时间可配置(默认10分钟);g)会话数据不应存储在人机客户端、配置管理软件内;h)用户登录、用户退出以及异常登录访问事件等应记录审计日志。6. 2. 1.4 操作安全要求操作安全要求如

11、下:a)执行控制操作、参数配置、文件上传/下载等操作应进行权限控制;b)应具备数据有效性检验功能,保证通过人机接口或通信接口输入的数据格式、类型、长度等应 符合软件设定要求;c)对于重要控制类操作,应具备再次身份认证的机制;d)对于主站的控制操作,应具备控制点号预置确认功能,需对控制点编号再次输入确认,只有两 次编号校验一致方可进行预置操作;e)应能够识别逻辑异常操作,禁止异常操作且给予提示;f)应具备文件下载操作目录限制功能;g)应具备对上传文件的格式、内容等进行合法性校验及非法文件过滤功能;h)异常时,返回的提示信息应进行必要的封装,不应包含有关后台系统或其它敏感信息;i)控制操作、参数配

12、置、文件上传/下载行为应记录审计日志。6. 2. 2 通信安全6. 2. 2. 1 通信服务基本要求应用于生产控制大区的软件应禁止使用E-mail服务,应用于控制区软件禁止使用通用WEB服务。 6. 2. 2. 2 通信安全要求通信安全要求如下:a)应通过各项标识(IP、MAC地址、APPID等)的一致性校验对通信对象接入进行控制;b)宜对通信对象进行身份认证,根据系统要求,采用单向或双向身份认证机制保证身份的合法性;17C)/k)使用电力调度数字证书认证的软件,应保证为每个应用分配唯一的证书,应验证证书和证书链 的有效性,禁止使用不符合链式结构、过期、撤销的数字证书;重要业务数据传输宜采用断

13、点续传、数据校验等方式保证数据传输的完整性;应保证通信数据保密性,对鉴别信息、密钥等敏感数据进行加密处理;能够过滤非法业务数据,校验通信数据合法性;应保证通信交互行为的安全性,具备防重放、篡改等安全防护能力;针对带随机数的通信报文,应具备生成随机数的不确定性,使随机数具备随机性、不可预测性 和不可重现性;人机客户端、配置管理软件应使用私有安全协议,禁止使用不安全的传输协议; 应保证DL/T 634.5104、DL/T 860等通信协议的健壮性,正确处理各类畸形报文和攻击报文, 确保业务的正常交互;异常连接访问、通信认证异常应记录审计日志。6.2.3 服务安全6. 2. 3. 1 服务注册认证安

14、全要求对于具备服务功能的软件,服务注册认证安全要求如下:a)在服务注册时服务管理者应进行合法性验证,防止非法服务注册;b)应限制对服务注册信息进行非法删除或修改等操作;c)应能够对非授权服务申请者私自连接的行为进行监测,并对其进行有效阻断;d)宜具备服务注册认证功能。6. 2. 3. 2 服务业务交互安全要求对于具备服务功能的软件,服务业务交互安全要求如下:a)应具备安全机制限制业务超范围调用服务资源;b)应具备在同一时间段内对服务调用数量进行限制的功能;c)服务交互时应对关键业务数据或者敏感信息进行加密,保证服务交互信息的保密性;d)应对通信服务提供者和服务消费者之间通信进行防护,对执行非法

15、数据注入、恶意代码注入、 请求内容删除等操作进行限制;e)服务提供者应具备访问控制策略,基于访问策略对服务消费者进行权限限制;f)广域服务调用应具备身份认证机制,服务提供者需要检测服务请求来源,防止非法服务进行远 程调用。6. 2. 3. 3 服务安全管理要求对于具备服务功能的软件,服务安全管理要求如下:a)应具备服务全生命周期管理、注册资产安全管理、命令管理等安全管理功能,自动清除已失效 的服务;b)应具备对服务注册对象占用资源的监视及告警功能,包括CPU、磁盘、内存、网络等资源的使 用情况;c)应具备服务行为审计机制,对服务的接入请求、接入后的操作轨迹、异常行为应记录审计日志;d)应限制使

16、用未关闭的基础组件默认服务,包括删除默认界面、禁用默认管理用户、修改默认密 码。6.2.4 应用安全6. 2. 4. 1 控制业务安全要求控制业务一般包括直控、选择性控制、闭锁控制、同期控制、校核控制、联动控制、一键顺控、运 维检修控制操作等,对于具备控制操作功能的软件,控制业务安全要求如下:a)应对控制操作的人员加以限制,仅允许授权的人员执行控制操作;b)应具备控制操作正确性校验,如校核、闭锁、同期等,应依据逻辑规则仅执行期望的动作,不 允许执行其他更多的动作;c)应具备联动控制、选择性控制等时效性检测,防范过期的控制操作;d)应支持对批量控制、协同控制的校核,正确校核多重、连锁故障状态,校

17、验业务逻辑的正确性;e)应具备控制信号资源抢占的处理机制,禁止多个控制主体同一时刻对同一台设备进行控制操 作,禁止被控设备同时响应多个操作命令;f)应正确处理远程和本地控制操作权限,只能本地控制的操作禁止远程执行;g)对于双席控制操作,应通过具备权限的监护员确认后方可执行控制操作;h)对于主站控制操作,应具备双重信息点表的校核机制,只有同时通过校核方可进行控制操作;i)所有控制操作及行为应记录审计日志,至少包括操作人员、操作对象、操作内容、操作时间和 操作结果。6. 2. 4. 2 配置业务安全要求配置业务安全要求如下:a)应支持对参数配置操作进行访问控制;b)应具备数据有效性检验功能,保证人

18、工置数、定值修改、参数配置输入的数据格式、长度、数 值范围等应符合软件设定要求,能够识别并拒绝执行不合法的参数配置;c)应具备多个主体对同一参数配置的安全处理机制,应具备互斥能力;d)配置变更应记录审计日志。6. 2. 4. 3 分析处理业务安全要求分析处理业务安全要求如下:a)应支持对数据合理性和安全性进行检查和过滤,能正确识别数据跳变、缺失、失真、格式不统 一等异常数据并丢弃;b)应支持对数据质量进行检查和过滤,并正确处理与设置数据质量标识,包括但不限于数据类型: 未初始化数据、不合理数据、计算数据、非实测数据、采集中断数据、人工数据、坏数据、可 疑数据、采集闭锁数据(量测值被封锁,收到实

19、时数据后不会更新)、控制闭锁数据(量测不 允许控制操作)、旁路代替数据、对端代替数据、不刷新数据(在定义的时间周期内前置未收 到量测报文的数据)、越限数据等;c)应具备点多源数据(如成对关联数据)处理功能,同一测点的多源数据应进行合理性校验并经 选优判断,具备防止因多数据源切换造成数据跳变的功能;d)应具备对计算过程中产生的临时数据的安全防护策略,临时数据占用资源应及时释放;e)应具备业务逻辑、业务流程的正确性校验和安全防护能力,不应存在设计缺陷、逻辑漏洞;f)应对重要数据接口、重要服务接口的调用进行访问控制,并对调用数据进行合法性校验;g)数据分析与处理过程中异常告警及安全事件应记录审计日志

20、。6. 2. 4. 4 监视业务安全要求对于具备监视业务的软件,监视业务安全要求如下:a)应不可修改运行监视数据的真实值;b)应只允许具备权限的用户访问相应的业务模块,无关的信息不应出现在当前监视界面;c)用户对监视数据的修改应记录审计日志。6. 2. 4. 5 采集业务安全要求采集业务安全要求如下:a)数据采集应仅向被授权的对象传输数据;b)采集数据应可溯源,应确保采集数据真实可信;c)应能识别非法采集数据,应能识别采集过程中的异常行为,并具备相应的安全策略;d)应具备处理批量数据输入、采集数据量超上限保护机制,防止数据丢失、覆盖。6. 2. 5 数据安全数据安全要求如下:a)应对重要业务数

21、据、证书等进行访问控制,并限制输出的操作权限;b)应对重要业务数据、证书、密钥等导入操作进行权限控制和校验;c)应具备对业务数据全生命周期的保护策略,包括但不限于数据采集、存储、处理、应用、流动、 销毁等过程;d)应具备对数据进行分级分类保护,不同类别级别的数据采取不同的安全防护策略,数据分级分 类数据表参见附录A;e)应采用密码技术或其他保护措施保证重要业务数据、敏感数据保密性;f)应采用校验技术或密码技术等保证重要业务数据、敏感数据在存储时完整性;g)审计日志应至少保存6个月,应设置审计日志存储余量控制策略,当存储空间接近极限时,装 置应能采取必要的措施保护存储数据的安全;h)非授权用户禁

22、止修改、删除审计日志;i)在正常运行状态下及软、硬件异常情况下应对存储数据进行保护,数据不应丢失;j)应具备重要业务数据的备份与恢复功能;k)数据操作、数据备份、数据恢复、审计日志告警等应记录审计日志。6. 2. 6 进程安全对电力自动化系统软件进程的安全要求如下:a)应支持进程创建、资源回收、进程守护等进程管理能力;b)应对核心业务进程异常、内存耗尽等情况进行监视;c)应对审计进程进行保护,禁止中断审计进程;d)应具备防注入、反调试、反逆向能力;e)宜采用基于可信计算的动态安全防护机制,对软件进程、数据、代码段进行动态度量,不同进 程之间不应存在未经许可的相互调用,禁止向内存代码段与数据段直

23、接注入代码的执行;f)进程异常、资源异常以及攻击行为应记录审计日志。6. 2. 7 运行安全运行安全要求如下:a)应具备对并发事务和并发用户访问、大负载量、高吞吐量等极限情况的处理机制,保证业务的 连续性;b)应具备自诊断、自恢复能力,当发生软件异常时,在一定时间内恢复正常功能;c)主备机切换或网络切换时,软件应正常工作,采集及传送的信息不应丢失或重复;d)应具备抵御各种常见网络攻击的能力,面对网络风暴时,不应出现误动、误发报文、退出、通7Q/GDW 121962021Q/GDW 121962021 信不中断等现象;面对拒绝服务攻击时,不应出现误动、误发报文、退出等现象,且在中断攻 击后的一定

24、时间内恢复正常功能;e)不应存在安全漏洞,包括但不限于存在与业务无关的服务和端口、敏感信息泄露、越权访问漏 洞、注入漏洞、命令执行漏洞等。6. 3 版本管理电力自动化系统软件应支持版本信息采集和上送功能,关键业务软件宜支持基于可信计算的强制版 本管理。版本管理检测要求如下:a)应具备软件版本信息配置文件,至少包含:产品名称、产品型号、软件版本号、软件校验码、 程序文件路径等信息;b)宜统一将程序文件部署于一个文件目录中,便于管理;c)宜支持通过Agent的方式实现对软件版本信息的动态采集,应支持通过现有通信协议上送软件 版本信息;d)应用于生产控制大区的关键控制软件宜在可执行程序启动前校验生产

25、厂商和检测机构的签名, 保证软件版本的合规性。7 检测方法7. 1 代码安全7.1.1 代码安全扫描代码安全扫描检测方法如下:a)使用代码安全扫描工具,通过代码编译、构建配置文件获取、规则匹配等检测环节,发现源代 码缺陷;b)人工对源代码缺陷进行筛查,进行风险分析。7.1.2 代码静态分析代码静态分析检测方法如下:a)使用代码静态分析和规则检查扫描工具,通过代码编译、构建配置文件获取、规则匹配等检测 环节,发现源代码缺陷;b)人工对源代码缺陷进行筛查,确保缺陷准确性。7.1.3 代码静态度量代码静态度量检测方法如下:a)使用质量度量工具,通过分析代码度量计算,进行源代码静态度量;b)人工对度量

26、结果进行计算审核,确保度量结果准确性。7. 1.4 代码审计代码审计检测方法如下:a)使用代码审计扫描工具对代码进行扫描,结合扫描结果对源代码进行人工审查,发现代码中存 在的编码安全漏洞和业务安全漏洞;b)利用发现的代码漏洞进行渗透,验证漏洞的危害性。7.2业务安全7. 2. 1 人机安全7. 2.1.1 接入安全检测方法接入安全检测方法如下:a)将人机客户端、配置管理软件等接入,检测是否设定黑、白名单方式限制非法的客户端、管理 软件的接入;b)查看软件开放的接口,检测是否只有通过身份认证后的对象方可接入并进行数据交互;c)查看接口说明,并验证是否仅开放了设定的应用范围,超出范围的访问是否被拒

27、绝;d)检测是否配置接口并发数量,同一时间接入多于允许的接口并发访问数量,检测是否加以限制;e)检测人机客户端、配置管理软件等接入以及配置操作是否记录审计日志,并与实际相符。7. 2.1.2 用户管理及授权检测方法用户管理及授权安全检测方法如下:a)查看系统用户的ID标识是否唯一,是否不存在重复标识的用户;新建与库用户名相同的用户, 检测是否新建失败;b)注册新用户初次登录或修改用户口令时,检测是否要求密码最小长度及复杂度,尝试配置 root、123等弱口令以及将用户口令设置为与用户名一致,检测是否配置失败;c)用户绑定正确的电力调度数字证书时,检测是否绑定成功,使用同一个数字证书绑定多个用户

28、 是否失败,检测是否绑定失败,更换错误CA根证书,检测是否能够正确识别不符合链式验证 的数字证书,并绑定失败;d)检测系统是否至少具备管理员、审计员和操作员三种角色,是否存在root以及具备其他所有 权限的用户,检测每个角色的权限是否满足最小权限原则要求;e)检测是否为每一个用户分配访问权限,并限定访问模块,不同角色间是否权限交叉,将不同角 色授予同一用户,检测是否失败;f)检测用户管理列表,是否用户管理列表与用户数据表信息一致,是否自动提示管理员删除超过 设定闲置期限的废弃多余账号、过期账户,是否不存在共享账户用户;g)检测授权行为、用户变更等是否均记录审计日志。7. 2.1.3 登录认证检

29、测方法登录认证检测方法如下:a)分别使用不同角色的用户登录,检测是否正确依据认证方式对所有登录用户进行身份认证,是 否满足数字证书、生物特征识别和口令认证的一种或几种组合认证方式;b)使用电力调度数字证书登录认证时,分别使用过期、被撤销的证书进行登录,检测是否失败;c)设置特定时长、登录失败次数、锁定时长,检测是否配置成功;检测在默认配置条件下,同一 账户连续登录失败5次以上,检测账号是否被锁定,并产生提示告警信息,检测锁定时长是否 为10分钟;d)恢复策略若为自动恢复,到达锁定时长后,登录人员账号,检测是否登录成功;e)恢复策略若为手动恢复,登录管理员账号对被锁定账号进行解锁,解锁后登录人员

30、账号,验证 是否登录成功;f)使用同一账号同一时间内在多点登录,检测是否对该行为进行限制阻断并产生告警事件;g)设置会话超时时间为特定时长,使用用户成功登录,进入非运行监控会话界面,检测当用户处 于会话界面在设定时长(如10分钟)未做任何操作时,是否自动退出当前会话界面;h)检测本地客户端、配置管理软件等是否没有存储鉴别信息、运行相关重要数据;i)检测用户登录、用户退出、连接超时以及异常登录访问事件等是否均记录审计日志。7. 2. 1.4操作安全检测方法操作安全检测方法如下:a)进行操作控制、参数配置、模型文件修改、配置文件上传/下载时,检测是否仅允许设定范围 内的用户操作;b)在数据输入界面

31、输入恶意或畸形数据,检测是否检测数据的有效性,限制非法数据的输入;c)检查数据允许的字节长度、数据类型和上下限范围,并输入相应的值检测是否对所有输入数据 进行严格过滤;d)根据设定的输入条件,录入不符合运行约束或业务逻辑的数据,检测是否拒绝执行该修改操作;e)对重要控制操作时,检测是否需再次身份认证后方可执行操作;f)对于主站控制类操作,控制点编号预置时,是否需对控制点编号再次输入验证,是否只有两次 编号校验一致方可进行预置操作,不一致时则中止操作;g)模拟逻辑错误操作,检测是否禁止该异常操作且给予提示;h)进行文件下载时,检测是否限制操作的目录,是否不允许有“/”、“”等跳转目录;i)检测文

32、件上传时是否对文件格式、内容进行校验,上传恶意文件时是否能够识别并拒绝执行;j)检测在异常操作或系统故障时,返回的提示信息是否不包含程序代码及敏感信息等;k)检测控制操作、参数配置、文件上传/下载行为是否记录审计日志。7. 2. 2 通信安全7. 2. 2. 1通信服务基本要求检测方法检测应用于生产控制大区的软件应是否使用E-mail服务,应用于控制区软件是否使用通用WEB服7. 2. 2. 2 通信安全检测方法外部通信安全检测方法如下:a)接入通信对象,检测是否只允许白名单内IP、MAC、APPID等方可成功建立连接;b)结合通信协议,对于支持单向或双向身份认证的通信机制,检测身份认证过程是

33、否正确;c)对于使用电力调度数字证书的认证机制,检测数字证书是否被多个应用共用,检测证书的有效 期、链式结构、状态是否满足要求,使用过期的数字证书、错误的CA证书以及处于撤销状态 的数字证书,检测认证是否失败;d)传输较长的业务报文时,传输过程中中断,检测是否具备断点续传功能,检测重要的业务数据 是否有校验机制,保证数据的完整性;e)检测通信报文中鉴别信息、密钥等是否进行加密处理;f)传输非法的业务数据,检测是否能够过滤非法业务数据,识别通信数据合法性;g)检查通信协议是否有时间戳、校验等安全机制,使用检测工具对重要控制报文进行重放、篡改, 检测是否控制失败;h)对于使用随机数的通信协议,检测

34、报文中随机数是否不可被预测和重现;i)抓取并分析软件与人机客户端或配置管理软件间的通信报文,检测是否使用不安全的私有协 议;j)对DL/T 634. 5104、DL/T 860等通信协议,使用协议健壮性测试工具输入随机的数据和不合法 的数据,生成各类畸形报文和攻击报文,检测是否具备识别能力和保护策略,确保通信协议的 健壮性和业务的正常交互;k)检测异常连接访问、通信认证异常是否均记录审计日志。7. 2. 3服务安全7. 2. 3. 1服务注册认证安全检测方法服务注册认证安全检测方法如下:a)检测服务管理者是否配置白名单等机制保证服务注册申请者的合法性,使用非授权服务访问软 件提供的服务,检测是

35、否拒绝访问;b)c)d)删除或修改服务注册文件,检测是否限制被删除或修改服务注册文件的操作; 接入非授权的服务申请者,检测是否能识别并阻断;检测是否具备服务注册认证功能。7. 2.3.2服务业务交互安全检测方法服务业务交互安全检测方法如下:a)b)c)d)对已授权服务尝试调用超出范围的服务资源,检测调用资源范围是否限制;模拟同一时间段内多个业务调用同一服务,检测是否对服务调用数量进行限制; 查看服务接口请求内容,对关键业务数据或者敏感信息进行解密,检测服务交互信息的保密性; 抓取服务提供者和服务使用者之间通信报文,执行非法数据注入、恶意代码注入、请求内容删 除等操作,检测是否能禁止非法操作;e

36、)f)模拟非法服务远程调用操作,检测服务提供者是否检测服务请求身份;模拟服务消费者发起调用请求,检测局域服务提供者是否具备访问控制策略,对服务消费者进 行权限限制。7. 2.3.3服务业务管理安全检测方法服务业务管理安全检测方法如下:a)查看软件是否具备服务全生命周期管理、注册安全管理、命令管理等安全管理功能,检测是否 可自动清除已失效的服务;b)c)查看服务行为审计,检测是否对服务接入请求、操作轨迹、异常攻击行为等内容进行记录; 检测软件是否对服务对象占用的CPU、磁盘、内存、网络等资源的使用情况进行监视,检测当 资源占用率超过设定的告警阈值时是否产生告警,并具备资源异常占用的安全处理策略;

37、d)检查软件是否提供日志修改或删除接口,通过SQL注入、日志伪造等修改或删除日志,检测是 否禁止审计日志被删除、修改;e)检测软件是否不存在基础组件的默认界面,或禁用默认管理用户,初次登录是否要求修改默认 密码。7. 2.4应用安全7. 2.4. 1控制业务安全检测方法控制业务安全检测方法如下:a)检测控制操作是否只有具备权限的人员方可执行成功;b)分别对各类控制进行正常、异常操作,如校核、闭锁、同期等,检测是否对控制操作正确性进 行校验,是否仅执行期望的动作;c)对于有时效性的联动控制、选择性控制等,分别进行设定时效内和时效外的操作,检测控制操 作的时效性处理是否正确;d)对于批量控制、协同

38、控制,检测对多个控制操作的逻辑校核是否正确,对多重、连锁故障状态 下控制动作流程是否准确;e)使用多个控制主体同时对同一台设备进行控制操作,检测是否仅执行一个控制操作,无误动现 象;f)尝试对只配置为本地控制操作的控制对象进行远程控制,检测是否拒绝执行;g)对于双席操作控制,检测操作员进行控制时,是否只有通过监护员确认后方可执行成功;h)在主站的控制操作,检测是否具备双重信息表校核机制,更换其中一个控制点信息表,检测是 否控制失败,且给予提示告警;i)检测所有控制操作及行为是否记录审计日志。7. 2. 4. 2 配置业务安全检测方法配置业务安全检测方法如下:a)分别使用具备配置权限的用户和不具

39、备权限的用户对具备配置功能的参数进行修改操作,检测 参数配置权限管理的有效性;b)检查各参数的允许范围,并进行超范围的配置,检测是否对配置参数的正确性进行校验;c)使用多个主体同时对同一参数进行配置操作,检测同一时间是否只允许执行其中一个操作,不 出现跳变等异常现象;d)检测配置变更操作是否记录审计日志。7. 2. 4. 3分析处理业务安全检测方法分析处理业务安全检测方法如下:a)检测是否支持对数据合理性和安全性进行检查和过滤,能否正确识别数据跳变、缺失、失真、 格式不统一等异常数据并丢弃;b)检测是否支持对数据质量进行检查和过滤,是否正确设置数据质量标识,至少包含但不限于: 未初始化数据、不

40、合理数据、计算数据、非实测数据、采集中断数据、人工数据、坏数据、可 疑数据、采集闭锁数据、控制闭锁数据、旁路代替数据、对端代替数据、不刷新数据、越限数 据等;c)检测对同一测点的多源数据是否能够进行合理性辨识校验,在多数据源切换时是否存在数据跳 变的现象;d)检测分析与处理过程中产生的临时数据、临时动态数据集在生命周期结束后,是否及时释放临 时数据占用资源;e)对控制业务流程、业务逻辑等进行绕过、篡改、利用等,检测是否执行失败,并产生相应的告 警事件;f)检测对重要数据接口、重要服务接口的调用是否进行访问控制,是否对调用数据进行合法性校 验,只有合法的数据方可调用成功;g)检测数据分析与处理过

41、程中异常告警及安全事件是否记录审计日志。7. 2. 4. 4 监视业务安全检测方法对于具备监视业务的软件,监视业务安全检测方法如下:a)检测运行监视数据真实值是否不可被修改;b)检测用户是否仅允许查看权限内的业务模块,无关的信息不出现在当前监视界面;c)检测用户对监视数据的修改(如置数)是否记录审计日志。7. 2. 4. 5 采集业务安全检测方法采集业务安全检测方法如下:a)检测采集数据是否仅向被授权的对象传输数据;b)检测采集数据来源是否可溯源,是否和实际值一致;c)检测是否能够识别并丢弃非法采集数据、采集中断数据等;d)发送批量采集数据,检测是否具备采集数据量超上限保护机制,采集数据是否不

42、丢失、不覆盖。 7. 2. 5 数据安全数据安全检测方法如下:a)检测是否具备相应权限的主体方可访问重要业务数据、重要配置数据、重要审计数据、证书等, 进行导出操作时,检测是否只有具备输出权限的用户方可操作成功;b)检测是否仅允许具备相应权限的主体方可导入配置参数、证书、密钥等,检测是否对导入数据 格式、内容等进行校验,并丢弃校验不通过的导入数据;c)检测是否具备对业务数据全生命周期的保护策略且有效,包括但不限于数据采集、存储、处理、 应用、流动、销毁等过程;d)检测是否对数据进行分级分类保护,并验证重要业务数据、敏感数据在调用、流转过程中安全 防护策略是否有效;e)检测口令、密钥、重要业务等

43、敏感数据在存储时是否采用国密算法保证存储的保密性,并验证 加密算法正确性;f)检测是否采用校验技术或密码技术等对重要业务数据、重要配置数据、重要审计数据、敏感数 据在存储时进行完整性校验;g)通过生成6个月的审计日志文件或修改软件系统时间,检测是否至少保存6月的审计日志;h)设置存储容量阈值,检测是否具备存储空间余量控制策略,并在存储容量即将达到上限时应进 行告警;i)在正常运行状态下,以及触发软异常情况下,检测是否对存储数据进行保护,保证存储数据不 丢失;j)检测非授权用户是否禁止修改、删除审计日志;k)检测重要业务数据是否具备备份与恢复功能,且实现正确;l)检测证书、密钥操作及变更、数据备

44、份、数据恢复、审计日志存储容量告警等是否记录审计日 '士、。7. 2. 6 进程安全进程安全检测方法如下:a)建立多个业务连接并停止,检测资源占用是否随着进程的创建和停止而变化;b)尝试终止软件核心业务进程,检测进程是否可自行恢复;c)模拟进程大量占用软件资源(CPU、内存等)操作,检测软件是否具有监视告警功能;d)尝试删除审计进程,检测是否执行失败;e)使用调试工具修改内存中的进程代码,检测进程是否禁止被注入、被调试;f)尝试使用反编译工具对软件进行反编译,检查是否具备反调试能力;g)检测软件是否可配置启动进程白名单,若可配置,检测是否可成功启动白名单内进程;h)若软件可配置启动进程

45、白名单,检测白名单外的进程是否能够启动;i)若软件可配置启动进程白名单,尝试修改或替换白名单内应用程序,检测是否阻止启动;j)检测进程异常、资源异常以及攻击行为是否记录审计日志。7. 2. 7 运行安全a)模拟并发事务和并发用户访问、大负载量、高吞吐量等极限情况,检测软件是否正常运行且具 备极限处理机制;b)模拟服务端和客户端设备电源故障,恢复供电并开机后,检测软件功能是否正常,是否具备故 障诊断、故障报告、故障恢复的能力;c)中断重要的应用、服务、进程,检测软件是否具备故障诊断、故障恢复的能力,且具备相应的 提示与告警;d)在正常运行时,使用检测工具模拟发送网络风暴时,检测是否不出现误发、误

46、动、退出、业务 通信中断等现象;e)使用检测工具模拟SYN flood、UDP flood、Ping of death、Land等攻击,检测是否不出现误 发、误动、退出、重启等现象,在中断攻击后的一定时间内是否恢复正常;f)使用漏洞扫描工具,对被测软件进行扫描,检测是否存在已知安全漏洞;g)使用渗透测试手段,检测软件是否存在可被利用的漏洞。7. 3 x版本管理版本管理检测方法如下:a)查看软件版本信息文件是否至少包含:产品名称、产品型号、软件版本号、软件校验码、程序 文件路径等信息;b)查看程序文件存放路径,检测程序文件是否放在一个文件目录中;c)检测是否支持通过Agent的方式实现对软件版本信息的采集;d)应用于生产控制大区的关键控制软件,检测在可执行程序启动前是否校验生产厂商和检测机构 的签名;启动没有或部分签名的可执行程序,检测是否启动失败。附录A(资料性附录)数据分类分级参照表数据分级分类数据表参见表A. 1。表A. 1数据分级分类数据表保密等级名称定义第I级完全公开数据包括各种已经公开的各类报表、机构公开信息、停电通知等第II级一般数据本级数据不涉密、不敏感,主要用于支撑调度业务逻辑,维 持调控系统运行。通过统计、分析或者加工这些数据,不能 获得国

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论