ICS43.080CCST47

DB4403深 圳 市 地 方 標(biāo) 準(zhǔn)DB4403/T341—2023TechnicalspecificationsforterminalauthenticationandsecurityTechnicalspecificationsforterminalauthenticationandsecurityencryptionofthevirtualpowerplant2023-06-122023-07-01深圳市市場(chǎng)監(jiān)督管理局發(fā)布目 次前言 II1范圍 12規(guī)性用件 13術(shù)和義 14縮語(yǔ) 25總目及求 36網(wǎng)安要求 47安加方式 58安加要求 6參考獻(xiàn) 9前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由深圳市發(fā)展和改革委員會(huì)提出并歸口。虛擬電廠終端授信及安全加密技術(shù)規(guī)范范圍（GB/T13729—2019遠(yuǎn)動(dòng)終端設(shè)備GB/T20279信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T36572電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則GB/T37934信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求DL/T2473.2—2022可調(diào)節(jié)負(fù)荷并網(wǎng)運(yùn)行與控制技術(shù)規(guī)范第2部分：網(wǎng)絡(luò)安全防護(hù)GM/T0014—2012數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范GM/T0022—2014IPSecVPNGM/T0024—2014SSLVPN下列術(shù)語(yǔ)和定義適用于本文件。3.1電力監(jiān)控系統(tǒng)powermonitoringsystem用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等。3.2網(wǎng)絡(luò)安全networksecurity3.3虛擬電廠virtualpowerplant3.4虛擬電廠管理云平臺(tái)virtualpowerplantmanagementplatform一種基于現(xiàn)有調(diào)度控制系統(tǒng)部署的，實(shí)現(xiàn)對(duì)虛擬電廠統(tǒng)一管理的技術(shù)支持系統(tǒng)。注：是傳統(tǒng)調(diào)度自動(dòng)化系統(tǒng)功能的外延拓展，具備實(shí)時(shí)數(shù)據(jù)采集、日前計(jì)劃下發(fā)、實(shí)時(shí)控制及組織市場(chǎng)交易等功能。3.5可調(diào)節(jié)負(fù)荷adjustableload電力系統(tǒng)中具備技術(shù)條件并參與電網(wǎng)調(diào)節(jié)運(yùn)行的負(fù)荷資源，通過負(fù)荷聚合平臺(tái)接入的負(fù)荷資源。（充電樁合的各類負(fù)荷、部分中小型分布式新能源、中小型儲(chǔ)能站等。3.6直控負(fù)荷directcontrolload不經(jīng)過負(fù)荷聚合平臺(tái)，直接接入虛擬電廠管理云平臺(tái)并參與電網(wǎng)調(diào)節(jié)的負(fù)荷資源，可接受電網(wǎng)直接調(diào)度控制并上報(bào)相應(yīng)的計(jì)劃申報(bào)信息。3.7負(fù)荷聚合商loadaggregator將某一區(qū)域中各類用電側(cè)負(fù)荷實(shí)時(shí)運(yùn)行信息匯集，進(jìn)行統(tǒng)一管控和運(yùn)營(yíng)的單位或者部門。可以是社會(huì)上各類第三方運(yùn)營(yíng)商。3.8負(fù)荷聚合平臺(tái)loadaggregationplatform為滿足可調(diào)負(fù)荷參與電網(wǎng)調(diào)節(jié)運(yùn)行和市場(chǎng)運(yùn)營(yíng)業(yè)務(wù)需求，由負(fù)荷聚合商在本地或云端部署的自動(dòng)化信息系統(tǒng)，制、統(tǒng)計(jì)查詢、計(jì)量計(jì)費(fèi)等功能。3.9虛擬專用網(wǎng)絡(luò)virtualprivatenetwork一種在公共通信基礎(chǔ)網(wǎng)絡(luò)上通過邏輯方式隔離出來(lái)的網(wǎng)絡(luò)。它是一組封閉的網(wǎng)絡(luò)，即使通信與開放系統(tǒng)或其他VPN共享同一主干網(wǎng)絡(luò)，其通信也是保持分離的。3.10虛擬電廠安全加密終端virtualpowerplantsecurityencryptionterminal3.11終端側(cè)安全防護(hù)設(shè)備securityprotectionequipmentofterminalside以獨(dú)立硬件設(shè)備、嵌入式芯片或軟件SDK等形式部署于虛擬電廠安全加密終端側(cè)，為業(yè)務(wù)數(shù)據(jù)提供數(shù)據(jù)加密、身份認(rèn)證等網(wǎng)絡(luò)安全防護(hù)措施。3.12虛擬電廠數(shù)字證書系統(tǒng)digitalcertificatesystemofvirtualpowerplant對(duì)虛擬電廠安全加密終端側(cè)安全防護(hù)設(shè)備的數(shù)字證書進(jìn)行全生命周期的過程管理，實(shí)現(xiàn)證書簽發(fā)、證書管理、密鑰管理等功能。縮略語(yǔ)下列縮略語(yǔ)適用于本文件。4G：第四代移動(dòng)通信技術(shù)（4th-Generation）5G：第五代移動(dòng)通信技術(shù)（5th-Generation）CA：證書授權(quán)（CertificateAuthority）是由認(rèn)證機(jī)構(gòu)服務(wù)者簽發(fā)，是數(shù)字簽名的技術(shù)基礎(chǔ)保障CRL：數(shù)字證書撤銷列表（CertificateRevocationList），記錄所有在原定失效日期到達(dá)之被撤銷的數(shù)字證書，供數(shù)字證書使用方在驗(yàn)證對(duì)?數(shù)字證書時(shí)查詢使用IPSec：IP安全協(xié)議（InternetProtocolSecurity）OTA：空中下載技術(shù)（OvertheAirTechnology）（PublicKeyPKCS#10：公鑰加密標(biāo)準(zhǔn)#10（ThePublic-KeyCryptographyStandards#10）是描述證書請(qǐng)求的語(yǔ)法SSL（SecureSocketLayer）TLS(TransportLayerSecurity)VPN（VirtualPrivateNetwork）虛擬電廠終端授信及安全加密的總體目標(biāo)是抵御黑客、惡意代碼等通過各種形式發(fā)起的惡意破壞、虛擬電廠終端授信及安全加密的總體目標(biāo)是抵御黑客、惡意代碼等通過各種形式發(fā)起的惡意破壞、GB/T22239、GB/T36572、DL/T2473.2—20225.3網(wǎng)絡(luò)架構(gòu)虛擬電廠終端授信及安全加密的總體網(wǎng)絡(luò)架構(gòu)如圖1所示。虛擬電廠管理云平臺(tái)光纖/5G虛擬電廠管理云平臺(tái)光纖/5G5G/4GAPN虛擬電廠安全加密終端虛擬電廠安全加密終端虛擬電廠安全加密終端虛擬電廠安全加密終端本地部署隔離區(qū)域負(fù)荷聚合平臺(tái)（非公有云部署）負(fù)荷聚合平臺(tái)（公有云部署）生產(chǎn)控制大區(qū)管理信息大區(qū)互聯(lián)網(wǎng)區(qū)安全域N互聯(lián)網(wǎng)域縱向安全加密措施可調(diào)節(jié)負(fù)荷安全接入?yún)^(qū)虛擬電廠安全加密網(wǎng)關(guān)DMZ區(qū)管理信息大區(qū)業(yè)務(wù)生產(chǎn)控制大區(qū)業(yè)務(wù)直控負(fù)荷用戶側(cè)可調(diào)節(jié)負(fù)荷可調(diào)節(jié)負(fù)荷縱向安全加密措施圖1總體網(wǎng)絡(luò)架構(gòu)5G5G4G、APNGB∕T37934GB/T20279IPSecSSL/TLS虛擬電廠安全加密終端應(yīng)實(shí)現(xiàn)自身的安全，應(yīng)采用安全、可控、可靠的軟硬件產(chǎn)品。（SM1/SM2/SM3/SM4注：SM1128護(hù)；SM2：256SM2SM3256SM4128用于密鑰協(xié)商數(shù)據(jù)的加密保護(hù)和報(bào)文數(shù)據(jù)的加密保護(hù)。SDK外置硬件安全加密裝置的要求如下：USBCANRS485；安全加密芯片的要求如下：SPIFlashRAM/SDK軟件加密SDK的要求如下：SM2、SM3SM4；SM2SM1SM4HTTPHTTPSOTA8安全加密要求8.1安全性要求安全性要求如下：a)依據(jù)GM/T0022—2014或GM/T0024—2014；外置硬件安全加密裝置應(yīng)具有開機(jī)自檢功能，能清晰明確地指示故障或狀態(tài)。終端側(cè)安全防護(hù)設(shè)備應(yīng)滿足GB/T13729—2019中3.9的要求，裝置連續(xù)運(yùn)行72小時(shí)。虛擬電廠數(shù)字證書系統(tǒng)的安全性要求如下：GM/T0014—2012SM1SM2、SM3、SM4；PKI虛擬電廠數(shù)字證書系統(tǒng)的功能要求如下：SM2（/（CA/）；CRLCRLSM3P10UP10O)、城市地區(qū)(L(S(C（CN）應(yīng)填寫網(wǎng)關(guān)的工作口IP（CN）8.4.5實(shí)施。8.4.5證書文件要求虛擬電廠數(shù)字證書系統(tǒng)導(dǎo)出的證書壓縮包文件采用ZIP格式，具體內(nèi)容如表1所示。實(shí)施。8.4.5證書文件要求虛擬電廠數(shù)字證書系統(tǒng)導(dǎo)出的證書壓縮包文件采用ZIP格式，具體內(nèi)容如表1所示。表1壓縮包文件內(nèi)容表文件名格式描述CA.cerx.509,der格式根證書sign.cerx.509,der格式終端側(cè)安全防護(hù)設(shè)備簽名證書enc.cer