2024电力物联网终端零信任安全接入技术规范

Q/LB.□XXXXX-XXXX错误！文档中没有指定样式的文字。目次TOC\o"1-1"\h\t"标准文件_一级条标题,2,标准文件_附录一级条标题,2,"32668前言 260111范围 3305182规范性引用文件 315173术语和定义 392834缩略语 4115875总则 4235345.1部署架构 4209565.2防护架构 534436电力物联网终端技术要求 6227756.1通用技术要求 6144037零信任代理技术要求 7242607.1通用技术要求 7164567.2访问控制网关要求 8302288信任评估单元 8310628.1数据采集要求 998758.2信任度量要求 9192048.3信任策略管理 996388.4信任策略配置 96285附录A（资料性）零信任安全接入示意 1026470编  制  说  明 11PAGE9电力物联网终端零信任安全接入技术规范范围本标准规定了电力物联网终端零信任接入的安全技术要求的总则、电力物联网终端技术要求、零信任代理技术要求、接入安全要求、信任评估单元、通信安全要求。明确本标准涉及终端，本文件终端含管理信息系统终端、涉控涉敏终端、一般终端、现场采集部件和智能业务终端等。本标准适用于电力物联网终端零信任接入的设计、开发和选型，适用范围为管理信息大区和互联网大区。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T43696-2024网络安全技术零信任参考体系架构T/CESA1165-2021零信任系统技术规范GB/T37032-2018物联网标识体系总则参考文献Q/GDW12098-2021电力物联网术语术语YD/T4574-2023零信任安全技术参考框架术语和定义下列术语和定义适用于本文件。3.1零信任zerotrust一种以资源保护为核心的网络安全理念。[来源：GB/T43696-2024，3.1]3.2主体subject发起访问请求的实体。[来源：GB/T43696-2024，3.1]3.3资源subject发起访问请求的实体。[来源：GB/T43696-2024，3.1]3.4零信任代理terminalzerotrustagent代理终端完成零信任处理的软件实体，是身份认证和访问控制的策略执行点。物联网中，终端零信任代理和物联网终端可以是不同的物理实体，但终端和终端零信任代理之间应有可信通道进行交互。[来源：YD/T4574-2023零信任安全技术参考框架,3.1]3.5零信任技术旨在降低访问过程安全风险的持续动态安全访问控制技术[来源：T/CESA1165-2021,3.1]缩略语下列缩略语适用于本文件。IP：互联网协议（InternetProtocol）MAC：媒体访问控制（MediaAccessControl）VPN：虚拟专用网络（VirtualPrivateNetwork）SPA：单包认证（SinglePacketAuthentication）SDP：软件定义边界（SoftwareDefinedPerimeter）IPsec：互联网安全协议（InternetProtocolSecurity）NSA：非独立组网（Non-Standalone）SA：独立组网（Standaloner）IEC：国际电工委员会（InternationalElectroTechnicalCommission）IKE：Internet密钥交换协议（InternetKeyExchange）TLS：传输层安全性协议（TransportLayerSecurity）SSAL：SSAL国家电网公司安全应用层协议（StateGridCorporationofChina)SecureApplicationLayerProtocol）总则部署架构零信任体系架构在电力物联网管理信息大区和互联网大区的应用主要体现在终端安全接入和业务系统访问控制两个方面。零信任代理是安全防护的关键组件，部署在智能终端和边缘物联代理设备上。零信任代理可实时收集设备的多维数据（含IP、MAC、位置和状态），同时通过加密封装确保数据安全传输，并与零信任安全接入平台实时同步信息以实现精确的访问控制。在信息和互联网大区的二/三级域出口或安全接入区部署零信任安全接入平台，实现统一管控。零信任安全接入平台通过零信任代理收集多维数据，实时评估终端风险并执行访问控制，同时确保物联网终端设备的可信度。通过零信任代理与零信任安全接入平台的协同运作，形成一套完整的物联网终端安全接入防护体系。防护架构零信任安全接入架构主要包含零信任代理和零信任安全接入平台两部分零信任终端代理作为物联网设备接入电力系统网络的关键安全组件，承担着终端安全防护的重要职责。首先，零信任终端代理具备信息采集能力，不仅可以实时收集终端设备的IP地址信息、MAC信息，还能够获取设备的地理位置数据、运行状态等多维度环境信息。这些丰富的数据为后续的安全决策提供可靠的依据。其次，零信任终端代理确保数据传输的安全性。通过采用先进的加密技术，将业务访问数据进行安全封装，确保数据在传输过程中不被窃取或篡改，从而保障信息的机密性和完整性。再次，零信任终端代理与零信任安全接入平台之间建立了实时的信息互通机制，使得安全平台能够基于最新的终端状态信息做出准确的访问控制决策。零信任安全接入平台作为整个架构的核心，通过身份/设备中心、访问控制网关、信任评估中心三个关键组件的紧密配合，构建了一个完整的安全防护体系：身份/设备中心作为安全验证的基础设施，身份/设备中心实现对接入实体的统一管理，确保每个接入点都是可信的，为后续的访问控制提供可靠的身份基础。访问控制网关是实现零信任理念的关键执行组件。它负责管理零信任代理的接入过程，确保数据传输的安全性，并根据决策中心的指令实施动态访问控制。通过细粒度的访问策略执行，有效防止未经授权的访问行为。信任评估中心是整个平台的大脑，负责整合分析来自各个零信任代理的安全信息，实时评估访问请求的风险等级，并据此动态调整安全策略。这种基于实时数据的信任评估机制，大大提高了系统的安全防护能力。零信任代理与零信任安全接入平台的紧密配合，形成了完整的安全防护闭环。首先，终端零信任代理代理持续不断地收集和上报安全信息，为信任评估提供实时、准确的数据支持。其次，信任评估中心基于这些信息进行智能分析和决策，并通过访问控制网关实施相应的安全策略。最后，整个系统通过持续的监控和调整，确保电力系统的安全运行。电力物联网终端技术要求通用技术要求终端分类电力物联网终端：一种能够对电网对象或环境的状态进行感知，并具有简单数据处理、通信、人机交互等全部或部分功能的装置。管理信息系统终端：管理信息系统终端，是指电网企业运用先进的计算机及其网络技术，对经营管理的过程信息进行自动监控和处理，实现智能化企业生产、经营、管理。涉控涉敏终端：涉控终端指涉及物联器件控制的电力物联终端。视频摄像头的控制、物联终端运行参数修改等操作不属于涉控范围。涉敏终端指涉及传输线路和设备参数、地理位置信息等敏感信息的电力物联终端。包含电机控制器、专变能源控制器、充电桩、无人机等。一般终端：一般终端指除涉控、涉敏终端外的电力物联终端。包含温/湿度传感器、气象传感器、高压电缆隧道机器人、架空线路摄像头、移动终端等。现场采集部件：物联网感知层本地网络中不具备边缘计算能力的传感终端，用于信息采集并转化为数字信号。智能业务终端： 物联网感知层具备边缘计算能力的智能设备。主要实现业务数据采集、本地通信、APP智能扩展功能。终端身份电力物联网终端身份满足下列要求：应为每个终端分配一个全局唯一的编码，可以基于内置芯片、内置证书或设备的唯一性标识来实现，例如MAC地址、总线地址等。电力物联网终端应能存储终端身份信息，对于无法存储的物联网设备，身份信息应存储在终端的零信任代理所在实体上，零信任代理应能够根据电力物联网终端属性索引终端身份；处理零信任相关业务的数据，数据包中应携带电力物联网终端身份信息。终端通信电力物联网终端通信满足下列要求：电力物联网终端与企业应用、企业应用其他实体之间交互时，需零信任代理实现；零信任代理可部署在电力物联网终端上，对于无法部署零信任代理的终端，可在北向通道中的边缘计算单元上部署，并在电力物联网终端和零信任代理之间的建立可信通道。电力物联终端应支持电力应用协议IEC60870-5-104。零信任代理技术要求通用技术要求终端安全零信任代理满足下列要求：零信任代理可以根据终端设备的硬件信息生成唯一标识码，对终端设备进行唯一标识。零信任代理应支持数字证书的自动申请安装，用于终端设备的身份校验。零信任代理应具备基本的信息采集能力，至少能采集终端mac地址、IP地址、地理位置、系统信息、软件信息、安全状态等信息中的两种以上通信交互零信任代理通信交互满足下列要求：零信任代理应管理并维护电力物联网终端身份标识和信任评估度量；零信任代理在电力物联网终端发起的请求包中应附加信任评估值和电力物联网终端身份信息；零信任代理应根据安全管理或者安全策略的要求建立北向通道；北向通道应采用加密措施确保通信数据的完整性、可用性和私密性。监测审计监测审计满足下列要求：零信任代理应具备收集请求信息，策略执行信息，并应将信息发送到审计监测系统；零信任代理可在本地分析审计监测数据，并应将分析结果发送到审计监测系统。性能与可用性性能与可用性满足下列要求：零信任代理应用优化性能，尽量减少对设备CPU、内存、磁盘等资源的消耗。零信任代理在网络状况不佳的情况下应能确保基本的安全功能持续有效。零信任代理版本更新过程应确保向后兼容，避免因版本差异导致功能异常。零信任代理安全策略在更新过程中应具备容错和回滚机制，防止更新失败影响终端正常运行。访问控制网关要求安全接入技术要求默认情况下，访问控制网关仅允许零信任代理的通信，并在授权后才接受访问主体连接。访问主体建立连接前应进行SPA单包授权认证。在SPA单包认证成功之前，访问控制网关不应响应来自非认证主体的任何连接。访问主体首次连接访问控制网关必须进行SPA单包授权认证，其他数据包将被视为攻击。访问主体SPA认证失败时，服务端不做任何响应。认证和授权技术要求在进一步的电力物联网终端验证之前，需先保证所有主机之间的连接必须使用带有相互身份验证的TLS或互联网密钥交换（IKE），证明请求访问SDP的设备具有一个未过期且未被吊销的私钥。TLS客户端和服务器的根证书必须绑定到已知的合法根证书，不应由大多数用户浏览器信任的数百个根证书组成。应进行电力物联网终端认证，验证终端运行在可信环境，且终端上运行的软件是可信的。应进行身份认证，通过多因素认证技术，验证主体用户身份。应结合设备认证和身份认证情况，动态生成主体安全策略，作为主体初始化权限。通道管理技术要求应采用传输层加密保护方式，对传输的数据进行信道加密。执行控制操作时，对操作数据应进行应用层加密保护。电力物联网终端到安全接入的传输层加密应基于SSAL协议。访问控制技术要求当合法主体发生异常行为时，应收到异常合法主体的缩权访问控制和隔离阻断控制指令。收到异常合法主体的缩权访问控制和隔离阻断控制指令后，应通过访问控制策略进行相应操作。访问控制应防止通过物理或其他技术手段被绕过。应支持基于电力物联网终端的信任度量结果，对其访问权限进行动态管控，允许或拒绝终端的接入请求和资源访问应能够与信任评估中心联动，根据实时的安全策略和终端信任状态，调整访问控制规则，实现动态管控安全监测技术要求应对电力物联网终端的本体状态、连接状态、访问状态进行监控，监控日志数据上报策略决策点。信任评估单元数据采集要求信任评估中心可以接收零信任代理采集的终端信息，包括且不限于终端MAC、IP地址、地理位置、系统信息、安全转改信息等。信任评估中心可以获取访问控制网关模块中终端业务访问日志数据，可以基于终端业务访问行为进行信任度量信任度量要求应具备电力物联网终端信任度量基准，明确电力物联网终端信任等级，信任度量作为电力物联网终端接入和业务访问判定条件；应具备电力物联网终端信任度量属性集和信任度量算法，信任度量算法基于终端属性计算终端信任值；信任度量属性集可包括电力物联网终端厂商和版本信息、可信评估值、监测软件评估信息，信任度量属性可驻留在电力物联网终端本地供零信任代理查询，也可以在物联管理平台中；信任度量属性集和信任度量算法根据安全因素和环境形式动态调整。应确保信任评估的准确性和时效性，信任度量结果作为终端接入和业务访问的判定条件。信任策略管理信任策略管理应基于主体信任等级实现授权决策判定。终端主体信任等级应根据实时多源数据，如身份、权限、访问日志、网络流量等信息计算得出。应通过专家系统、机器学习等人工智能技术，根据应用场景生成相应信任评估策略。信任策略配置信任策略应与访问控制引擎联动，持续为其提供主体信任等级评估、资源安全等级评估以及环境评估等评估数据，作为访问控制策略判定依据。

（资料性）

零信任安全接入示意营销终端接入