繼電保護智能運維檢修3目 次前 言 III引 言 IV范圍 1規范性引用文件 1術語和定義 1縮略語 2總則 2繼電保護綜合記錄與智能運維裝置要求 3智能運檢技術支持系統網絡安全要求 4運維行為要求 4I1部分：管控系統檢驗；2部分：高級應用功能；3部分：網絡安全要求；——第4部分：遠方操作；——第5部分：在線監測站端信息描述；——第6部分：保護異常分析與處理；——第7部分：設備臺賬信息采集與應用；——第8部分：移動終端技術規范。III繼電保護智能運維檢修第3部分：網絡安全要求范圍（以下簡稱智能運檢電站繼電保護智能運維檢修設備、系統以及運維行為的網絡安全要求。35kV~1000kV計、驗收與運維工作管理。規范性引用文件（包括所有的修改單適用于本文件。GB/T2900.1電工術語基本術語GB/T2900.49電工術語電力系統保護GB/T2105222239GB/T25069信息安全技術術語GB/T36572電力監控系統網絡安全防護導則NB/T10680繼電保護和安全自動裝置信息安全技術導則NB/T42015 智能變電站網絡報文記錄及分析裝置技術條件DL/T2378變電站繼電保護綜合記錄與智能運維裝置通用技術條件DL/T2192并網發電廠變電站電力監控系統安全防護驗收規范術語和定義GB/T2900.1、GB/T2900.49、GB/T21052、GB/T22239、GB/T25069、NB/T10680、DL/T2378界定的以及下列術語和定義適用于本文件。3.1身份鑒別authentication的手段。3.2訪問控制accesscontrol保證數據處理系統的資源只能由被授權主體按授權方式進行訪問的手段。1縮略語下列縮略語適用于本文件。GOOSE：面向通用對象的變電站事件(GenericObjectOrientedSubstationEvents)MMS：制造報文規范（ManufacturingMessageSpecification）總則在變電站網絡安全框架基礎上，繼電保護智能運維檢修網絡安全防護架構應滿足運維對象網絡安全等級保護相應級別要求，實現對運維設備、系統及行為進行網絡安全管控，防范網絡安全威脅。過程層交換機過程層網絡過程層交換機過程層網絡GOOSE模擬量 開關量智能終端合并單元繼電保護綜合記錄與智能運維裝置采集單元保護裝置MMS站控層網絡繼電保護綜合記錄與智能運維裝置管理單元調度數據網主站--實時監測系統網絡安全行為，完成數據采集、告警上送、遠程管控、安全審計

本體安全--系統內設備自身安全，滿足國家網絡安全法律法規，構筑設備安全防線

結構安全--系統結構性邊界，包括隔離、防火墻、縱向加密等其他網關類設備，圖1變電站繼電保護智能運維檢修網絡安全防護架構繼電保護智能運維檢修網絡安全防護架構設計總體原則如下：GB/T22239GB/T36572向認證”的基本要求，提高智能運檢技術支持系統網絡的邊界防護能力。對智能運檢技術支持系統內主機設備、網絡交換設備、安全防護設備等實現全面的網絡安全信息采集，并上送網絡安全管理平臺。加強繼電保護運維行為的網絡安全管理，建立一套有效的運維操作流程，提升運維人員的網絡安全意識與風險識別能力。2繼電保護綜合記錄與智能運維裝置要求身份鑒別本項要求包括：性，身份鑒別信息具有復雜度要求并定期更換；非法登錄次數和當登錄連接超時自動退出等相關措施；以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。訪問控制本項要求包括：繼電保護綜合記錄與智能運維裝置應對登錄的用戶分配賬戶和權限；繼電保護綜合記錄與智能運維裝置應重命名或刪除默認賬戶，修改默認賬戶的默認口令；存在；離；對客體的訪問規則。安全審計本項要求包括：戶行為和重要安全事件進行審計；息；除、修改或覆蓋等；繼電保護綜合記錄與智能運維裝置應對審計進程進行保護，防止未經授權的中斷。控制設備安全本項要求包括：運行；應使用專用設備和專用軟件對繼電保護綜合記錄與智能運維裝置進行更新；在惡意代碼程序。安全監測本項要求包括：繼電保護綜合記錄與智能運維裝置管理單元應上送網絡安全信息到網絡安全監測裝置，上送信息種類包括但不限于登錄操作、網絡行為、USB使用率、內存使用率等、開放服務。3智能運檢技術支持系統網絡安全要求網絡架構本項要求包括：應保證智能運檢技術支持系統網絡各個部分的帶寬滿足運維檢修業務高峰期需要；智能運檢技術支持系統內設備出現故障、死機或斷電的情況下，不應對網絡產生影響；配地址；重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段；關鍵的通信線路和網絡設備應提供硬件冗余，保證系統的可用性。入侵防范本項要求包括：應在智能運檢技術支持系統關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為；應在智能運檢技術支持系統關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為；攻擊行為的分析。無線接入本項要求包括：統主站；運維移動終端應采用帶有加密認證功能的傳輸協議運維行為要求工程實施本項要求包括：執行審批流程；繼電保護運維檢修工作開始前應制定應急機制，明確網絡安全應急預案和現場處置方案；等信息交互，禁止使用未經授權的調試工具訪問設備的任何功能；調試工具宜通過運維網關類設備接入智能運檢技術支持系統內運維對象；情