T-CSEE 0396-2023 电力信息系统云边协同安全防护技术规范

ICS35.240.01CCSF21团体标准T/CSEE03962023电力信息系统云边协同安全防护技术规范Technicalspecificationsforcloud-edgecollaborationsecurityprotectionofelectricinformationsystem2023-12-29发布2024-03-29实施发布T/CSEE03962023前言…II…13术语和定义 4缩略语 …l5总体要求 …26物理环境安全 …27设备安全 …38通信安全 …38.1通道安全 …38.2数据传输安全 …39边界安全 …310协同安全 …310.1安全监测 …310.2访问控制 …4T/CSEE03962023前言本文件按照《中国电机工程学会标准化管理办法》《中国电机工程学会标准化管理办法实施细则》的要求,依据GB/T1.12020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国电机工程学会提出。本文件由中国电机工程学会电力信息化专业委员会技术归口并解释。本文件起草单位:华北电力大学、中国电力科学研究院有限公司、清华大学、国网天津市电力公司、国网智能电网研究院有限公司、国网信息通信产业集团有限公司、国网江苏省电力有限公司、国网安徽省电力有限公司滁州供电公司、国网青海省电力公司海东供电公司、北京路云天网络安全技术研究院有限公司。本文件主要起草人:吴克河、程瑞、全杰、张继宇、崔文超、张晓良、雷煜卿、周亚、马美君、何可嘉、马世乾、赵紫璇、宋睿、杨硕、张树华、张大华、朱亚运、王木、张晓娟、周亮、王海翔、曹靖怡、韩丽芳、王少杰。本文件为首次发布。本文件在执行过程中的意见或建议反馈至中国电机工程学会标准执行办公室(地址:北京市西城区T/CSEE03962023电力信息系统云边协同安全防护技术规范本文件规定了电力信息系统中的管理信息系统云边协同安全防护技术的总体要求,包括物理环境安全、设备安全、通信安全、边界安全以及协同安全要求。本文件适用于指导电力管理信息系统在云边协同规划、设计、建设、运行等阶段的安全防护。下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T31168信息安全技术云计算服务安全能力要求GB/T36572电力监控系统网络安全防护导则GB/T42564信息安全技术边缘计算安全技术要求DL/T2614电力行业网络安全等级保护基本要求3术语和定义下列术语和定义适用于本文件。利用设备本地通信接口接入专控类、作业类、采集类等设备并统一管理,通过协议解析实现业务数据提取、汇聚及存储,并按物模型要求进行标准化建模,利用边缘计算能力对业务数据处理后发送至云平台。器等。3.2管理信息系统managementinformationsystem除用于监视和控制电力生产及供应过程的电力监控系统之外,与公司业务经营、管理相关的信息系统。3.3云边协同cloud-edgecollaboration态监控及远程运维管理。4缩略语下列缩略语适用于本文件。APN:接入点(accesspointname)T/CSEE03962023MAC:媒体访问控制(mediaaccesscontrol)VPDN:虚拟专有拨号网络(virtualprivatedialnetwork)VPN:虚拟专用网(virtualprivatenetwork)WAF:web应用防火墙(webapplicationfirewall)5总体要求云云云边协同边管理信息大区台台云边协同安全安全安全安全安全边缘设备物理物理环境安全电力管理信息系统云边协同安全防护应按照GB/T36572、DL/T2614的要求实现物理环境安全防护、设备安全防护、通信安全防护、边界安全防护,还应按照GB/T42564的要求实现协同安全防护,具体要求如下:息外网与广域网之间的网络隔离安全;g)执行。6物理环境安全物理环境安全要求如下:2T/CSEE03962023a)边缘设备物理环境安全应符合DL/T2614中的管理信息系统安全物理环境要求;b)云平台基础设施安全应符合GB/T31168中的物理与环境安全要求;7设备安全设备安全要求如下:a)边缘设备硬件安全应符合GB/T42564的要求验证功能;8通信安全8.1通道安全通道安全要求如下:全性b)采用无线专网通道时,应采用APN+VPN或VPDN技术实现对业务数据的输送,确保业务数据通道的安全性;8.2数据传输安全数据传输安全要求如下:机制9边界安全边界安全要求如下:a)管理信息大区与信息外网之间应设置经国家有关机构安全检测认证的安全隔离设备实现网络隔离密传输与安全隔离;c)采用无线公网接入信息外网时,其纵向边界处应设置防火墙、IPS、WAF等安全防护设备进行逻辑隔离。10协