GB/T 25320.6-2023电力系统管理及其信息交换数据和通信安全第6部分：IEC 61850的安全

ICS2924001

CSSF2.1.

中华人民共和国国家标准

GB/T253206—2023/IEC62351-62020

.:

代替GB/Z253206—2011

.

电力系统管理及其信息交换

数据和通信安全

第6部分IEC61850的安全

:

Powersystemsmanagementandassociatedinformationexchange—

Dataandcommunicationssecurity—

Part6SecuritforIEC61850

:y

IEC62351-62020IDT

(:,)

2023-12-28发布2024-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T253206—2023/IEC62351-62020

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围与目的

1………………1

范围

1.1…………………1

命名空间名称和版本

1.2………………1

代码组件发布

1.3………………………1

规范性引用文件

2…………………………2

术语定义和缩略语

3、………………………3

术语和定义

3.1…………………………3

缩略语

3.2………………3

本文件应对的安全问题

4…………………4

影响安全选项选择的运行问题

4.1……………………4

应对的安全威胁

4.2……………………4

应对的攻击方法

4.3……………………4

部分与各部分的相关性

5IEC61850IEC62351………4

概述

5.1…………………4

客户端服务器通信协议集

5.2IEC61850-8-1/………5

使用规范的安全性

5.3VLANIDIEC61850………6

客户端服务器通信的协议集

5.4IEC61850-8-2/……………………6

用于客户端服务器服务的发布者

5.5/ID……………6

多播关联协议

6……………6

概述

6.1…………………6

防重放攻击

6.2(ReplayProtection)……………………7

安全

7SNTP………………13

和采样值的层安全性简介

8IEC61850-8-1GOOSEIEC61850-9-22………………13

概述资料性

8.1Ethertype()…………13

扩展

8.2PDU…………………………13

变电站配置语言扩展

9……………………18

服务能力

9.1……………18

启用安全性的发布

9.2…………………19

模拟的使用

9.3(Simulation)…………19

和的扩展

10LGOSLSVS………………19

一致性

11…………………20

Ⅰ

GB/T253206—2023/IEC62351-62020

.:

一致性概述

11.1………………………20

声明符合应用协议集安全性实现的一致性

11.2IEC61850-8-1ISO9506()……20

声明协议集安全实现的一致性

11.3VLAN…………22

声明协议集安全实现的一致性

11.4SNTP…………24

参考文献

……………………25

图安全协议集

1MMS(MMSSecurityProfiles)………5

图防重放攻击状态机

2GOOSE…………7

图防重放攻击状态机

3SV………………11

图扩展的一般格式

4PDU………………13

图定义

5Reserved1………………………14

图计算域

6MAC…………………………15

图在层报文中的应用

7AES-GCM2GOOSE/SV…………………16

表标准应用范围

1…………………………1

表的摘录资料性

2IEC61850-9-2()……………………10

表类的扩展

3LGOS……………………19

表类的扩展

4LSVS……………………20

表一致性表

5……………20

表应用协议集的

6IEC61850-8-1ISO9506()PICS…………………21

表使用认证的客户端服务器的

7ACSETLSIEC61850-8-1/PICS………………21

表协议集的

8VLANPICS……………22

表层安全

9IEC61850-8-12GOOSE…………………22

表层安全

10IEC61850-9-22SV………………………23

表可路由

11IEC61850-8-1GOOSE…………………23

表可路由

12IEC61850-9-2SMV………………………24

表协议集的

13SNTPPICS……………24

Ⅱ

GB/T253206—2023/IEC62351-62020

.:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是电力系统管理及其信息交换数据和通信安全的第部分

GB/T(Z)25320《》6,GB/T(Z)25320

已经发布了以下部分

:

第部分通信网络和系统安全安全问题介绍

———1:;

第部分术语

———2:;

第部分通信网络和系统安全包括的协议集

———3:TCP/IP;

第部分包含的协议集

———4:MMS;

第部分等及其衍生标准的安全

———5:GB/T18657;

第部分的安全

———6:IEC61850;

第部分网络和系统管理的数据对象模型

———7:(NSM);

第部分文件的安全

———11:XML;

第部分和的一致性测试用例

———100-1:IECTS62351-5IECTS60870-5-7;

第部分的一致性测试用例和包括协议集的安全通信扩展

———100-3:IEC62351-3TCP/IP。

本文件代替电力系统管理及其信息交换数据和通信安全第部分

GB/Z25320.6—2011《6:

的安全与相比除结构调整和编辑性改动主要技术变化如下

IEC61850》,GB/Z25320.6—2011,,:

更改了范围见第章年版的第章

a)(1,20111);

更改了部分与部分的相关性的概述见年版的

b)IEC61850IEC62351(5.1,20115.1.1);

增加了术语定义和缩略语见第章

c)、(3);

将和的响应时间小于更改为小于见年版的

d)GOOSESV4ms3ms(4.1,20114.1);

增加了客户端服务器通信协议集见

e)IEC61850-8-2/(5.4);

增加了发布者用于客户端服务器服务见

f)ID/(5.5);

增加了多播关联协议见第章

g)(6);

增加了见

h)MAC(8.2.2.2);

增加了版本本版本为见

i),1(8.2.3.2);

增加了当前密钥时间见

j)(8.2.3.3);

增加了下一个密钥时间见

k)(8.2.3.4);

增加了初始化向量见

l)(8.2.3.5);

增加了密钥见

m)ID(8.2.3.6);

增加了变电站配置语言扩展见第章

n)(9);

删除了变电站配置语言见年版的

o)(SCL)(20117.2.3);

增加了和的扩展见第章

p)LGOSLSVS(10);

增加了支持和支持可路由的和的安全一致性见表

q)IEC61850-8-2GOOSESV(11.15);

增加了使用认证的见表

r)ACSETLS(11.17);

增加了安全一致性见表

s)IEC61850-8-1L2GOOSE(11.19);

增加了安全一致性见表

t)IEC61850-8-1L2SV(11.110);

增加了可路由安全一致性见表

u)IEC61850-8-1L2GOOSE(11.111);

增加了可路由安全一致性见表

v)IEC61850-8-1L2SV(11.112)。

Ⅲ

GB/T253206—2023/IEC62351-62020

.:

本文件等同采用电力系统管理及其信息交换数据和通信安全第部分

IEC62351-6:2020《6:

的安全

IEC61850》。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中国电力企业联合会提出

。

本文件由全国电力系统管理及其信息交换标准化技术委员会归口

(SAC/TC82)。

本文件起草单位国网电力科学研究院有限公司国电南京自动化股份有限公司东南大学国家电

:、、、

网有限公司国电南瑞能源有限公司南京南瑞继保电气有限公司南京工业职业技术大学上海思源弘

、、、、

瑞自动化有限公司南京工程学院国家电网有限公司华东分部国网江苏省电力有限公司北京科东电

、、、、

力控制系统有限责任公司国网智能电网研究院有限公司中国电力科学研究院有限公司国网上海市

、、、

电力公司

。

本文件主要起草人孙丹温树峰王珍珍刘文彪吴在军张小飞孔红磊孙建锋张丹姬广龙

:、、、、、、、、、、

郭王勇赵天恩李广华王自成石卫军盛立健汝雁飞王振曦张春晓赵上林陈洪才王保东赵汝英

、、、、、、、、、、、、、

张亮王黎明梁野邵志鹏朱朝阳金明辉高骏

、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2011GB/Z25320.6—2011;

本次为第一次修订

———。

Ⅳ

GB/T253206—2023/IEC62351-62020

.:

引言

电力系统管理及其信息交换数据和通信安全旨在尽可能的减少通信和计算

GB/T(Z)25320《》,

机网络中存在的恶意攻击对电力系统的数据及通信安全产生的危害完善电力系统使用的各层通信协

,

议中的安全漏洞以及提高电力系统信息基础设施的安全管理拟由以下部分构成

。。

第部分通信网络和系统安全安全问题介绍目的在于介绍的其他部

———1:。GB/T(Z)25320

分主要向读者介绍应用于电力系统运行的信息安全的各方面知识

,。

第部分术语目的在于介绍在中所使用的关键术语

———2:。GB/T(Z)25320。

第部分通信网络和系统安全包含的协议集目的在于规定如何通过限于传输

———3:TCP/IP。

层安全协议的消息过程和算法的规范对基于的协议进行安全防护使这些协议能

、,TCP/IP,

适用于的远动环境

IECTC57。

第部分包含的协议集目的在于规定了对基于制造报文规

———4:MMS。GB/T16720(ISO9506)

范的应用进行安全防护的过程协议扩充和算法

(MMS)、。

第部分等及其衍生标准的安全目的在于定义了应用程序配置文件

———5:GB/T18657。

安全通信机制规定了对基于或衍生于的所有协议的运行进行安全

(a-profile),IEC60870-5

防护的消息过程和算法

、。

第部分的安全目的在于规定了对基于或派生于的所有协议的运

———6:IEC61850。IEC61850

行进行安全防护的报文过程与算法

、。

第部分网络和系统管理的数据对象模型目的在于定义了电力系统运行所特有的

———7:(NSM)。

网络和系统管理的数据对象模型

。

第部分基于角色的访问控制目的在于为电力系统管理提供基于角色的访问控制

———8:。。

第部分电力系统设备的网络安全密钥管理目的在于通过指定或限制要使用的密钥管理

———9:。

选项来定义实现密钥管理互操作性的要求和技术

。

第部分安全架构指南目的在于描述基于基本安全控制的电力系统安全架构指南

———10:。。

第部分文件的安全目的在于规范智能变电站通信过程中的配置文件文件

———11:XML。(XML)

的安全性

。

第部分分布式能源系统的快速恢复和安全建议目的在于提高分布式能源

———12:(DER)。

系统的安全性和可靠性

(DER)。

第部分标准和规范中涉及的安全主题指南目的在于提供关于电力行业使用的标准和规

———13:。

范或其他中可能或应该涵盖哪些安全问题

(IEC)。

第部分电力系统中基于角色的访问控制处理指南目的在于开发用于定义和设计自定

———90-1:。

义角色以及角色映射的标准化方法

。

第部分加密通信的深度包检测目的在于说明应用于保护的通信信道的

———90-2:。IEC62351

最新技术

DPI。

第部分网络和系统管理指南目的是提供处理和数据的导则

———90-3:。ITOT。

第部分和的一致性测试用例目的在于提供了

———100-1:IEC62351-5IECTS60870-5-7。

和的一致性和或互操作性测试的测试用例

IEC62351-5:2023IECTS60870-5-7:2013/。

第部分的一致性测试用例和包括协议集的安全通信扩展目的

———100-3:IEC62351-3TCP/IP。

在于提供了一致性测试用例及验证影响安全扩展程序和协议行为的所有

IEC62351-3:2023

参数的配置

。

Ⅴ

GB/T253206—2023/IEC62351-62020

.:

第部分和的网络安全一致性测试目的在于提供了变

———100-6:IEC61850-8-1IEC61850-9-2。

电站自动化系统和远动系统的数据和通信安全互操作性一致性测试的测试用例

。

电力系统管理及其信息交换数据和通信安全定义了电力系统相关通信协议

GB/T(Z)25320《》

和系列的数据和通信安全定义了通

(IEC60870-5、IEC60870-6、IEC61850、IEC61970IEC61968)。

信过程中可能遭受到的安全威胁和安全攻击以及安全应对措施

。

Ⅵ

GB/T253206—2023/IEC62351-62020

.:

电力系统管理及其信息交换

数据和通信安全

第6部分IEC61850的安全

:

1范围与目的

11范围

.

本文件规定了对基于或派生于的所有协议的运行进行安全防护的报文过程与算法

IEC61850