《2023电力无线通信网络安全防护要求LTE.docx》由会员分享,可在线阅读,更多相关《2023电力无线通信网络安全防护要求LTE.docx(17页珍藏版)》请在第一文库网上搜索。
1、电力1TE无线通信网络安全防护要求1范围12规范性引用文件13术语和定义14缩略语25系统构成36总体要求57边界安全防护要求68本体安全防护要求99运行环境安全防护要求错误!未定义书签。附录A(资料性)电力1TE无线通信网络主要安全分析15电力1TE无线通信网络安全防护要求1范围本文件规定了电力系统中应用的1TE、5G、W1AN等电力无线宽带通信网络系统组成、总体要求、网络安全防护要求,网管安全防护要求和运行环境安全防护要求等。本文件适用于电力系统中应用的1TE、5G、W1AN等电力无线宽带通信网络的设计、建设和运行,及设备的研发、制造和检测。2规范性引用文件下列文件中的内容通过文中的规范性
2、引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该H期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2423.3电工电子产品环境试验第2部分:试验方法试验Cab:恒定湿热试验GB/T2423.4电工电子产品环境试验第2部分:试验方法试验Db:交变湿热(12h+12h循环)GB4208外壳防护等级(IP代码)GB/T14598.3电气继电器第5部分:量度继电器和保护装置的绝缘配合要求和试验GB/T15153.2远动设备及系统笫2部分:工作条件第2篇环境条件(气候、机械和其它非电影响因素)GB15629.11-2003信息技术系统间远程通
3、信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范GB15629.112003/XG12006信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范第1号修改单抗扰度试验GB/T365722018电力监控系统网络安全防护导则GB50011建筑抗震设计规范GB50689通信局(站)防雷与接地工程设计规范YD/T1744传送网安全防护要求国家发展和改革委员会令2014年底14号电力监控系统安全防护规定3术语和定义下列术语和定义适用于本文件。3.1电力无线宽带通信网络wire1essbroadbandcommunicatio
4、nnetworkofpowersystem承载电力业务数据传输的,传输速率大于2Mbps的无线通信网络。电力广域无线宽带通信网络powerwideareawire1essbroadbandcommunicationnetworkofpowersystem采用1TE、5G等蜂窝式移动通信技术构建的,承载电力业务数据传输的广域无线网络,简称广域无线网。电力局域无线宽带通信网络power1oca1areawire1essbroadbandcommunicationnetworkofpowersystem采用WAP1等技术构建的,承载电力业务数据传输的局域无线网络,简称局域无线网。物理隔离physic
5、a1iso1ation不同通信网络之间不能直接通信,并且各自使用的不同通信网络的物理介质和通信设备的信息存储空间等资源独立专用。利用不同时隙隔离或频率(波长)隔离可达到或接近物理隔离的强度。逻辑隔离IogiCa1iSOIatiOn不同通信网络之间不能直接通信,但各自使用的通信网络的物理介质、时隙、频率(波长)和通信设备的信息存储空间等资源可共享,通过技术手段(如:VPN.V1AN等)保证在逻辑上是隔离的.安全接入区secureaccessarea专用通信网络、公共网络或其它通信网络接入生产控制大区和管理信息大区的安全防护和监管区域。3.7安全接入平台unionsecurityaccessp1a
6、tform对非管理信息大区区域终端提供以安全专网方式接入管理信息大区,并采用终端接入认证、数据隔离、实时监测审计等防护措施对接入边界进行防护。4缩略语下列缩略语适用于本文件。AC:接入点控制器(APContro11er)AP:接入点(AccessPoint)APN:接入点(ACCeSSPointName)AS:鉴别服务器(AuthenticationServer)BBU:基带单元(BaseBandUnit)FDD:频分复用技术(FrequencyDivisionDup1ex)FTP:文件传输协议(FiIeTransferProtoco1)HTTPS:超文本传输安全协议(HyPerTextTra
7、nsferProtoco1Secure)IPSec:IP安全协议(InternetProtoco1Security)1TE:长期演进(1ongTermEvo1ution)MSTP:多业务传送节点(Mu1ti-ServiceTransportP1atform)OTN:光传送网(Optica1TransportNetwork)PDN:公共数据网(Pub1icDataNetwork)PKI:公钥基础设施(PUb1iCKeyInfrastructure)QoS:服务质量(Qua1ityofService)RRU:射频远端单元(ReInOteRFUnit)SDH:同步数字体系(SynchronousDi
8、gita1Hierarchy)SS1:传输安全协议(SecuritySocket1ayer)STA:站点(Station)TD-1TE:分时长期演进技术(TimeDivision1ongTermEvo1ution)VPN:虚拟专用网络(Virtua1PrivateNetwork)V1AN:虚拟局域网(Virtua11oca1AreaNetwork)WAPI:无线局域网鉴别与保密基础结构(W1ANAuthenticationandPrivacyInfrastructure)5系统构成5.1 电力广域无线宽带网络5.1.1 网络架构电力无线宽带通信网可分为核心层、回传网、接入层和终端层,网络架构如
9、图1所示。”口出a伸曙a.MHH2)回传M接入层|回画司叵画*终端原图1电力广域无线宽带通信网络架构5.1.2 核心层核心层主要包括移动性管理实体、服务网关、PDN网关、归属用户服务器等网元,提供用户接入控制和安全管理、网络连接和会话管理、移动性管理、计费管理以及服务质量(QoS)管理等功能。整个核心层通过统一的网络管理系统进行集中的维护。5.1.3 回传网回传网主要用于实现核心层和接入层的数据互通。5.1.4 接入层接入层包括无线基站及其配套设备,主要为用户终端提供无线接入信号,负责无线资源的管理。5.1.5 终端层终端层由各类不同类型的终端组成,实现电力系统业务的数据交互,终端类型包括固定
10、台,无线数据卡,手持终端等。5.2 电力局域无线宽带网络核心层网络层接入层终端层电力局域无线宽带网络可分为管理设备、网络、无线接入设备和终端设备,典型网络架构如图2所示。ISnII6IISYA|Sn图2电力局域无线宽带网络架构核心层-管理设备;网络层-网络;接入层-无线接入设备;终端层-终端设备5. 2.1管理设备管理设备主要包括AS、AC、网管等设备。AC通过信息内网与AP关联,协同完成W1AN用户接入控制和无线控制。AC宜以地市为单位集中部署,应采用双设备冗余配置。AS完成对AC、AP和STA的身份鉴别。可信W1AN应采用独立设备AS,可采用省公司一级部署或省、市二级部署。采用一级部署时,
11、应采用集群部署方式,采用“1:N”设备冗余配置。采用省、市二级部署时,应采用双设备冗余配置,省级AS根据申请者的归属地调用对应地市的AS签名证书,实现省内漫游功能。设备网管系统应支持对AP、AC、AS或终端中一个及以上网元进行管理,包括拓扑管理、性能管理、资源管理、故障管理、维护管理、安全管理、跟踪管理、日志管理、配置管理功能,可支持报表管理。其中终端管理功能包括配置管理、资源管理、性能管理、维护管理、拓扑管理。设备网管系统与终端通信接入网管理系统通过北向接口互通。6. 2.2网络网络主要用于实现核心层和接入层的数据互通。7. 2.3无线接入设备无线接入设备包括AP,主要为STA提供分布式访问
12、服务。5. 2.4终端设备终端设备由各类不同类型的STA组成,实现业务终端与AP之间的数据通信,STA类型包括分为外置式终端、嵌入式终端、数据卡(USB接口)和移动终端等。6总体要求5.1 电力无线宽带通信网的安全风险可分为网络及设备安全风险、环境安全风险和管理安全风险。环境安全风险包括自然界不可抗的风险和其他物理风险。管理风险主要包括安全管理机构、安全管理制度、人员安全管理、建设管理和运维管理。主要风险见附录A。6. 2电力无线宽带通信网安全防护应符合GB/T36572-2018的规定。电力无线宽带通信网安全防护方案如图3所示。MWietMSOM图3电力1TE无线通信网络安全防护方案图1.1
13、 3生产控制大区和管理信息大区的业务系统在与其终端的连接中使用电力无线宽带通信网络进行通信的,应设立安全接入区。接入生产控制大区的安全接入区应包含物理隔离部件、前置机和加密认证设备等。接入管理信息大区的安全接入区应包含安全接入平台等。6.4 终端设备应采用认证加密机制、访问控制措施,建立加密传输通道进行信息采集,保证业务数据的保密性和完整性。6.5 电力无线宽带通信网安全防护主要类型及要求见表1。表1电力1TE无线通信网络安全防护主要类型防护范围防护措施要求边界安全防护网络隔离电力无线宽带通信网络应与调度数据网物理隔离,应与数据通信网逻辑隔离终端加密认证在生产控制大区与广域网的纵向联接处应设置
14、通过国家有关机构安全检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。应采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界的安全防护措施。业务隔离业务终端应分别通过安全接入区接入生产控制大区和管理信息大区,各大区不同业务接入不同逻辑分区网络。本体安全防护通道加密本体设备间的通道应通过数字证书认证方式建立,通道间设备应采用密文策略进行通信。用户鉴权应能对登录用户进行身份标识和鉴别,对身份标识的唯性进行自动检查,用户身份鉴别信息丢失或失效时,应采用技术措施确保鉴别信息重置过程的安全。数据安全使用密码技术(加解密算法)的设备或系统应使用符合国家要求的国密算法,业务数据和配置
15、信息应加密存储。网络管理安全电力无线宽带通信网络应可管可控,网管操作与用户设备接入应鉴权认证审计,网络边界应实施安全防护控制措施,宜实现网络流量监测、分析、告警功能。数据完整性,加密认证,密码保护机制,日志,身份鉴别频谱合法电力广域无线宽带通信网络应采用国家无线电管理部门授权的无线频率组网。设备安全无线通信设备支持高安全性的认证管理技术,应充分考虑电力特殊应用环境,如强电磁干扰等情况。运行管理安全运行管理应配置完善的安全防护规章制度,杜绝内部人员的滥用权限与错误操作。应配置合适的安全管理技术手段,查漏补缺,识别与防范外部人员的安全攻击。7边界安全防护要求7.1 网络横向隔离安全防护要求横向隔离应满足如下要求:a)横向隔离装置应通过国家有关机构安全检测认证,隔离强度应接近或达到物理隔离;b)应只允许单向数据传输,禁止HnP、TE1NET等双向通用网络安全服务通信;c)反向隔离应采取基于非对称密钥技术的签名验证、内容过滤、有效性检查等措施;d)应支持信息流控制策略;e)应具备抗DDOS攻击能力;
免费区 
