2024用于电量测量和监测、电能质量监测、数据采集和分析的装置的网络安全

`II目 次前言 III引言 IV112范引文件 13语定、号略语 1网安相定义 1与置关定义 4符和略语 54全标 55络全险估用方） 6风评估 6风管理 66络全理求 7概述 7风评要求 8应措要求 8测要求 9生周安管求 9使说的求 9附录A（料）PMD、PQI、DGWEDL和ESE通用险估例 10A.1概述 10A.2通角色 10A.3通系用例 10A.4系内置现用功能 115系内置一估 11附录B（料）通对策例 15B.1概述 152设阶对造建议 15B.3制过中制的建议 15B.4对造在场出装的议 15B.5对施建系集成的议 15B.6调建议 15B.7设管人在内操系的议 15B.8维期对施人员建议 15B.9在止行间施管人的议 15B.10处期对施理人的议 15参考献 16IIII图1组环中置类的用例 6图2可受险不接受险标图 7图3要包的5个段 8图4装访示例 8图A.1用统例例 10图A.2DGW、EDL和ESE内的据理例 11图A.3置产其面示例 14表1简的3×3风阵示例 7表A.1用色例 10表A.2PMD和PQI测据的类 11表A.3用置重件（在全题） 12表A.4用置重件（全题定义 12表A.5置问通示例 14PAGEPAGE13用于电量测量和监测、电能质量监测、数据采集和分析的装置的网络安全范围（GB/T18216.12的PMDGB/T39853.1的PQI）（IEC62974-1）（）（）注：组织的网络安全对于装置的可靠运行至关重要。IEC62443（ISO/IEC27001/——本文件基于通用系统用例。本文件不包括IEC62053—2X系列标准涵盖的结算表。本文件没有规范性引用文件。下列术语和定义适用于本文件。ISO和IEC维护用于标准化的术语数据库，地址如下：——IEC术语库：\h/；——ISO术语库：\h/obp。网络安全相关定义3.1.1资产assets评估对象（组件）所有者赋予了价值的实体。[来源：GB/T18336.1—2015，3.1.2，有修改，用“组件”代替“TOE”]3.1.2攻击attackGB/T29246—2023，3.2]3.1.3攻击向量attackvector攻击者能访问装置以生成攻击的路径或手段。[来源：ISO/IEC27032:2012，4.10，有修改，用“装置”代替“计算机或网络服务器”，用“生成攻击”代替“传递恶意结果”]3.1.4真实性authenticityGB/T29246—2023，3.6]3.1.5可用性availability可由经授权实体按需访问和使用的性质。[来源：GB/T29246—2023，3.7]3.1.6组件componentGB/T18336.1—2015，3.1.12]3.1.7保密性confidentialityGB/T29246—2023，3.10]3.1.8控制措施control改变风险的措施。注1：控制措施包括任何改变风险的过程、策略、装置、实践或其他行动。注2：控制措施可能并不总是发挥出预期或假定的改变效果。[来源：GB/T29246—2023，3.14]3.1.9对抗）countermeasure注：其他标准中也使用其他术语，如“措施”、“手段”、“控制”或“缓解措施”来代替“对抗”。[来源：GB/T40211—2021，3.2.33，有修改，删除了“注”并增加了新的“注”]3.1.10网络安全cybersecurity注：计算机安全包括标识、认证、问责制、授权、可用性和隐私。[来源：GB/T40211—2021，3.2.36]3.1.11调试接口debuginterface示例：测试点，UART，SWD，JTAG。[来源：ETSIEN303645:2020，V2.1.0]3.1.12装置强化devicehardening通过降低攻击成功的可能性，提高装置抵御网络攻击的能力。3.1.13元素element一个安全需求的不可再分的陈述。[来源：GB/T18336.1—2015，3.1.24]3.1.14事态event特定情况的发生或改变。注1：一个事态可能是一次或多次发生，并可能有多种原因。注2：一个事态可能由未发生的事情组成。注3：一个事态有时可能称为“事件”或“事故”。[来源：GB/T29246—2023，3.21]3.1.15信息安全informationsecurity对信息的保密性、完整性和可用性的保全。注：另外，还可能包括其他特性，诸如真实性、可问责性、抗抵赖性和可靠性。[来源：GB/T29246—2023，3.28]3.1.16完整性integrity准确和完备的性质。[来源：GB/T29246—2023，3.36]3.1.17风险级别levelofrisk以后果和其可能性的组合来表示的风险大小。[来源：ISOGuide73:2009，有修改，删除了“或风险组合，”]3.1.18可能性likelihood某事发生的机会。[来源：ISOGuide73:2009]3.1.19抗抵赖性non-repudiationGB/T29246—2023，3.48]3.1.20运行环境operationalenvironment组件组件的环境。[来源：GB/T18336.1—2015，3.1.48，有修改，用“组件”替换“TOE”]3.1.21组织安全策略organisationalsecuritypolicy一个组织的安全规则、规程或指南的集合。注：一个策略可能与一个具体的运行环境相关。3.1.22可靠性reliability与预期行为和结果一致的性质。[来源：GB/T29246—2023，3.55]3.1.23威胁threatGB/T29246—2023，3.74]3.1.24脆弱性vulnerabilityGB/T29246—2023，3.77]3.1.25安全功能securityfunctionality正确执行网络安全属性所依赖的组件的所有硬件、软件和固件的组合功能。“TOE”]与装置有关的定义3.2.1数据网关datagatewayDGWIEC62974-1:2017，3.2.3]3.2.2能源服务器energyserversESE[来源：IEC62974-1:2017，3.2.1]3.2.3能源数据记录器energydataloggerEDLIEC62974-1:2017，3.2.2]3.2.4输入/输出数据集中器I/OdataconcentratorIODC/IEC62974-1:2017，3.2.4]3.2.5测量装置measuringdevice用于测量能源数据的装置。[来源：IEC62974-1:2017，3.2.5]3.2.6电量测量和监视装置powermeteringandmonitoringdevicePMD注1：通用术语里的“监视”也包括记录、报警管理等功能。注2：用于内部监视，这些装置可包括需求侧质量功能。[来源：GB/T18216.12-202X，3.1.1]3.2.7电能质量监测设备powerqualityinstrumentPQI在供电系统中采用IEC61000-4-30:2015所定义的A类或S类测量方法的具备测量、记录和监视电能质量参数功能的监测设备。[来源：GB/T39853.1—2021，3.1.1]3.2.8结算billing允许能源供应商或其代理根据规定的合同向客户开具发票的过程。注：这些应用可以被国际标准、法规所覆盖，如欧洲的MID或澳大利亚的NMI，和/或公用事业规范。[来源：IECTR63213:2019，3.2.4]3.2.9二次结算sub-billing将）注1：此费用通常与其他租户的设施费用相合并。注2：房东不承诺供电的质量。[来源：IECTR63213:2019，3.2.5]符号和缩略语下列缩略语适用于本文件。HMI：人机界面（HumanMachineInterface）USB：通用串行总线（UniversalSerialBus）NFC：近场通信（near-fieldcommunication）LAN：局域网（localareanetwork）WAN：广域网（wideareanetwork）JTAG：联合测试工作组（IEEE1149.1）（JointTestActionGroup）（IEEE1149.1）对于可靠运行，应考虑的主要安全方面应详细说明需要保护的内容以及如何实现这一点：——资产应受到适当保护，以抵御相关威胁（见表A.3中的通用示例）；——应适当保护资产免受相关威胁（见表A.4中的通用示例）。图1图1组织环境中装置分类的通用示例注：组织安全策略通常基于ISO/IEC27001和IECTS62443-1-1:2009等标准中规定的方法。根据装置类型的不同，评估可能有所不同，例如当组件来自第三方供应商或自制时。）一般来说，通用网络安全风险评估是基于装置对其预期环境的评估。应考虑潜在威胁和已知漏洞，以确定其潜在影响和相关对策，以实现总体安全目标。注：通常由系统集成商和/或设施管理者对其运行环境进行具体的网络安全风险评估。见附录B。——数据存储和保护；——交互外部实体；——在装置中实现的内部和外部通信协议；——接口，例如可访问的物理端口，包括调试端口；——电路板连接，如JTAG连接或调试接口，这些接口可能会被用于攻击硬件；——潜在的攻击向量，包括对硬件的攻击（如适用）；——潜在威胁，其可能性，其严重程度和等级；——针对每个考虑到的威胁采取的对策；（（）；——安全风险可能造成的后果；——为减少或管理整个生命周期每个阶段的威胁而采取的对策。根据风险接受准则的等级，可能需要对安全风险作出响应：（）因此，应生成一份至少描述以下内容的文档：——可能的后果，如表A.4所定义；——拟议的安全对策的说明；——可能的剩余风险。（图2可接受风险和不可接受风险坐标图表1显示了可能的威胁场景以及关联后果严重程度的简单矩阵示例。表1简单的3×3风险矩阵示例威胁场景的可能性非常可能中风险高风险高风险可能低风险中风险高风险不太可能低风险低风险中风险可忽略普通严重威胁场景后果的严重程度宜根据风险等级，实施安全对策以降低风险。概述要求包括5个阶段，如图3所示。图3要求包括的5个阶段进行风险评估，应同时考虑资产、威胁、访问和漏洞。风险评估应：——解决确认的安全目标，如完整性、保密性和可用性；——识别威胁并评估其风险级别。图4提供了装置访问（也称为“攻击面”）的示例。图4装置访问示例附录A描述了PMD、PQI、ESE、EDL和DGW通用风险评估示例。见5.2）IEC62443（ISO/IEC27402，应在——如果该功能不能在装置内实现，则应在组织层面通过安全管理系统（例如ISO/IEC27001或IEC62443-3-3）的对策来解决。制造商应将其记录在案。注：在一些国家，也使用其他标准，如欧洲的ETSIEN303645。附录B描述了应用于PMD、PQI、ESE、EDL和DGW的对策示例。为验证所有安全功能均已实现，测试应遵循明确定义和管理良好的流程，例如IEC62443-4-2或ISOIEC27402或类似标准。注：在一些国家，也使用其他标准，如欧洲的ETSIEN303645。附录B描述了应用于PMD、PQI、ESE、EDL和DGW的通用对策示例。安也可以建议制造商进行培训。附录A（资料性）PMD、PQI、DGW、EDL和ESE的通用风险评估示例概述本附录提供了一种通用评估，可作为一系列装置的各自评估模板。A.2至A.5提供了潜在资产、威胁、恐惧事件、访问和漏洞的通用列表，但这些列表并不详尽。表A.1中，观察者通过显示对象的类型和ID，来查看智能电子装置（IED）中存在的对象。表A.1通用角色示例角色描述观察者观察者可以通过显示这些对象的类型和ID来查看智能电子设备（IED）中存在的对象。操作员操作员可以通过显示这些对象的类型和ID来查看IED中存在哪些对象和值，并执行控制操作。工程师工程师可以通过显示对象的类型和ID来查看IED数据集和文件，并可以在本地或远程配置服务器。安装工安装工可以通过显示对象的类型和ID来查看IED并可以在本地或远程配置服务器。安全管理员安全管理员可以更改使用者角色分配（装置外部）和角色权限分配（装置内部）以及有效期；更改安全设置，如作为使用者身份验证和访问令牌验证的证书。安全审核员安全审核员可以查看审核日志。访问控制管理员基于角色的访问控制（RBAC）管理可以改变角色权限分配。注：此描述来源于IEC62351-8。图A.1提供了在本附录中使用的通用系统用例。图A.1通用系统用例示例PMD和PQI表A.2显示了PMD和PQI测量的不同类型的数据。表A.2PMD和PQI测量数据的种类装置种类、相关标准及主要测量功能结算表（IEC62053-2X电能PMD（IEC61557-12）电能+电气参数PQI(IEC62586-1)电能质量参数应用领域子应用领域结算结算结算表N/AN/A成本管理（能源管理部分）二次结算（租户结算）结算表（规程要求法制计量）PMa安装在V中或面板上c）N/A公用事业账单核实N/APMDaN/A成本分配N/APMDaN/A能源效率（能源管理部分）能源使用分析N/APMDaN/A能效分析N/APMDaN/A电力监测网络和负载监测N/APMDaN/A需求侧电能质量N/APMa安装在V中或面板上c）PQI-SPQI-AbPQ功能被要求，或安装于MV/HV隔间时d电网电能质量电网电能质量监测N/AN/APQI-S或PQI-Ab电网电能质量合规N/AN/APQI-AbaPMD-I，PMD-II和PMD-III是GB/T18216.12中定义的三种电量测量和监视装置（PMD）类别。bPQI-A和PQI-S是GB/T39853.1中定义的两类电能质量监测设备（PQI）。cLV组件通常是密集的，并包括加热装置，然后温度可以高达55℃甚至70℃。参见GB/T18216.12的K55和K70级。dMV/HV隔间通常受到恶劣的EMC环境的影响。参见GB/T39853.1的环境等级。注：N/A表示“不适用”。DGWEDLES）这些装置预计根据IEC62974-1中描述的图A.2管理PMD和PQI提供的数据：图A.2DGW、EDL和ESE内的数据处理示例表A.3A.4表A.3通用装置严重事件（潜在安全问题）通用资产类别通用装置资产通用装置威胁CbIbAb未经授权访问数据不需要的数据更改不必要的操作更改（停止，重新启动）1.应用程序数据（例如测量数据）分帐数据FEC_11FEI_11FEA_11成本管理数据FEC_12FEI_12…能效数据…FEI_13…电力监测数据…FEI_14FEA_14电网电能质量数据…FEI_15…2.设置数据终端用户设置值…FEI_21…终端用户配置…FEI_22…时间…FEI_23…3.安全数据加密代码和密钥FEC_31FEI_31…带密码的RBAC和后门密码FEC_32FEI_32…日志FEC_33FEI_33…时间戳功能（用于安全考虑）…FEI_34…4.嵌入式固件或应用软件测量功能…FEI_41…日志记录功能（存储）…FEI_42…电源监测功能（包括报警）…FEI_43…时间戳功能（用于测量…FEI_43…默认设置…FEI_44…使用HMI…FEI_45…安全的重启功能，确保操作系统不受影响（例如，安全地安装固件应用程序，或将固件更新上传到内存中）…FEI_46…5.第三方组件在计算机的商业操作系（例如Windows或Unix或件评估需要由供应商来执行在专用主板的商业嵌入式操作系统上运行固件评估需要由供应商来执行a安全风险评估应基于ISO/IEC27005和GB/T40211—2021中的方法。bC代表保密；I代表完整性；A代表可用性，参见定义。表A.4提供了装置严重事件的列表，由表A.3产生。表A.4通用装置严重事件（安全问题）定义FEn°严重事件（安全问题）描述FEC_11二次结算数据可以代表一个设施或车间的消耗，对这些数据的分析可以提供有关制造过程的信息。影响。FEI_11二次结算数据可用于收费。该数据的任何变化都会导致客户被过度或过少收费。由于未经授权的修改，二次结算数据的完整性的丧失会对运营商的核算产生不利影响。FEA_11分账数据被整合到所售装置的分账计算中。虚假数据会使这些计算产生偏差。由于未经授权的修改，二次结算数据的丢失可能会对运营商的核算产生不利影响。FEC_12利影响。FEI_12改影响操作。成本管理数据的完整性缺失可能会通过未经授权的修改对运营商的核算产生有害影响。FEI_13能效数据是计算组织实施的能源绩效行动指标的基础。虚假数据会影响这些指标。能源效率数据完整性的丧失会通过未经授权的修改影响操作。FEI_14FEA_14来自监控（基于数据）功能的虚假报警输出或测量值的错误显示会影响安装的可用性。监控数据的完整性或可用性的丧失会通过未经授权的修改对操作产生有害影响。FEI_15电网电能质量数据直接影响到电气装置的可靠性。虚假数据会造成生产损失。电能质量数据完整性的丧失可以通过未经授权的修改影响操作。FEI_21不希望的终端用户设置更改可能导致意外情况。终端用户设置数据完整性的丧失会通过未经授权的修改对操作造成有害影响。FEI_22不希望的终端用户配置更改可能导致意想不到的情况。终端用户配置完整性的丧失会通过未经授权的修改对操作造成有害的影响。FEI_23不想要的时间变化会导致意想不到的情况。时间完整性的丧失会通过未经授权的修改对操作造成有害的影响。FEC_31访问加密代码和密钥，特别是私钥，会损害整个系统的机密性。战略数据可以被读取。商的竞争优势产生有害影响。FEI_31修改加密代码和密钥会导致混乱的局面。加密数据完整性的丧失会对运营商的竞争优势产生不利影响。FEC_32使用密码和后门密码对RBAC进行欺诈性或意外访问可以提供对系统的全局访问，并失去保密性。访问控制数据机密性的丧失或访问控制后门的存在可能会通过意外授权访问对操作造成有害影响。FEI_32使用密码和后门密码对RBAC进行欺诈或意外访问可能会导致对系统的全局访问并导致机密性丢失。访问控制数据完整性的丧失可能会通过未经授权的访问控制设置修改而对操作产生有害影响。FEC_33访问日志，具体到系统事件，提供了保密性的损失。日志数据的保密性损失可用于进一步的未经授权的访问或修改尝试。FEI_33对记录事件的修改可以隐藏欺诈访问。系统的完整性可能会丧失。日志数据完整性的丧失可用于混淆未经授权的访问或修改尝试。FEI_34更改标记时间可以隐藏欺诈访问并破坏测量数据的完整性（二次结算功能）。时间戳数据完整性的丧失导致有关操作、反应、测量、核算等的非正常状态。FEI_41不必要的固件更改可能会影响测量功能的质量并导致过早关机。未经授权访问固件会影响测量功能的准确性。如果源代码被访问，那么它是一场灾难。这是不宜考虑的。FEI_42日志功能（存储）。不必要的日志信息更改会影响对系统行为的正确取证重建。已安装固件的完整性损失导致有关操作、反应、测量、核算等的非正常状态。FEI_43电力监测功能（包括报警）。不需要的被监测信息的变化和基于此的反应会影响系统行为的稳定性。监测功能完整性的丧失导致运行参数、反应、测量等的非正常状态。FEI_44默认设置。不必要的默认设置更改可能会影响重建系统配置的正确起点。默认设置完整性的丧失会导致非正常的状态，例如在重置之后。FEI_45使用HMI显示应用程序。不必要的显示信息更改和基于此的不适当反应会影响系统的预期行为。HMI功能完整性的丧失导致不规则状态，例如在不适当的反应之后。FEI_46已安装固件的完整性丧失导致有关操作、反应、测量、核算等的非正常状态。不推荐未经授权的固件更新。未经授权访问固件会影响