电力物联网感知层设备安全认证技术要求

电力物联网感知层设备安全认证技术要求
1 规范性引用文件
本标准规定了电力物联网中感知层设备的安全认证技术要求，包括非智能业务终端、智能业务终端、智能涉控涉敏业务终端的身份标记、安全认证、访问控制和安全审计技术要求。

本标准适用于电力物联网建设运维单位对感知层设备进行安全选型、部署、运行和维护。

本标准也适用于指导感知层设备设计和生产。

2 规范性引用文件
下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 4208 外壳防护等级(IP代码)
GB/T 17799.1 电磁兼容通用标准居住、商业和轻工业环境中的抗扰度试验
GB/T 17799.2 电磁兼容通用标准工业环境中的抗扰度试验
GB/T 22239 信息安全技术网络安全等级保护基本要求
GB/T 25069 信息安全技术术语
GB/T 36951 信息安全技术物联网感知终端应用安全技术要求
GB/T 37024 信息安全技术物联网感知层网关安全技术要求
GB/T 37025 信息安全技术物联网数据传输安全技术要求
GB/T 37044 信息安全技术物联网安全参考模型及通用要求
GB/T 37093 信息安全技术物联网感知层接入通信网的安全要求
3 术语和定义
GB/T 4208、GB/T 17799.1、GB/T 17799.2、GB/T 22239、GB/T 25069、GB/T 36951、GB/T 37024、GB/T 37025、GB/T 37044、GB/T 37093界定的以及下列术语和定义适用于本文件。

3.1
电力物联网electric internet of things（eIoT）
围绕电力系统各环节，充分应用移动互联、人工智能等现代信息技术、先进通信技术，实现电力系统各个环节万物互联、人机交互，具有状态全面感知、信息高效处理、应用便捷灵活特征的智能化服务系统。

3.2
感知层设备sensing device
能对物或环境进行信息采集和/或执行操作，并能联网进行通信的装置。

电力物联网环境中，包括非智能业务终端、智能业务终端、智能涉控涉敏业务终端。

3.3
非智能业务终端non intelligent service terminal
能对物或环境进行信息采集和/或执行操作，根据需要具有简单的数据处理、控制和通信功能，但不具备自管理功能的专用装置，如部署在采集监控对象本体内部或附近，对设备或客户的状态量、电气量和环境量等进行采集量测的终端装置。

3.4
智能业务终端intelligent service terminal
具备信息交互和智能处理能力的专用装置，可连接采集控制终端，实现对感知对象的属性信息汇集，可以将经定制化业务应用处理后的数据上送网关节点，并接收上层的安全策略，可实现局部的业务自治功能。

3.5
智能涉控涉敏业务终端semi intelligent service terminal
在电力系统中处理涉及敏感数据或涉及控制指令的智能业务终端，敏感数据包括但不限于地理坐标等空间数据、设备名称及线路参数等台账数据、用户账号等隐私数据等。

3.6
硬件安全模块hardware security module
一种内部拥有独立的处理器和存储单元的硬件模块，可独立进行密钥申请、密钥更新、签名验签、加密解密等处理，一般由安全芯片、密码卡、外置式硬件等组成。

3.7
软件安全模块software security module
一种可提供密钥申请、密钥更新、签名验签、加密解密等功能的软件模块，可支持各类不适用硬件安全模块的感知层设备。

3.8
设备指纹device fingerprinting
一种可以用于唯一标识出该设备的设备特征或者独特的设备标识。

设备标识是固有的、较难篡改的、唯一的，包括但不限于设备的硬件ID、MAC地址等。

3.9
统一身份编码unified identity code
为了实现资产管理过程中项目编码、物资编码、设备编码和资产卡片等多码联动和信息贯通，而引入的资产实物标识编码，是感知层设备的终身唯一的身份编号。

4 缩略语
下列缩略语适用于本文件。

ACL：访问控制列表（Access Control Lists）
AES：高级加密标准（Advanced Encryption Standard）
CAN：控制器域网（Controller Area Network）
CPK：基于标识的组合公钥认证方式（Combined Public Key）
DES：数据加密标准（Data Encryption Standard）
eIoT：电力物联网（Electric Internet of Things）
IP：网际互连协议（Internet Protocol）
MAC：消息验证码（Message Authentication Code）
PKI：公钥基础设施（Public Key Infrastructure）
RFID：射频识别（Radio Frequency Identification）
SPI：SDH物理接口（SDH Physical Interface）
USB：通用串行总线（Universal Serial Bus）
UART：通用异步收发传输器（Universal Asynchronous Receiver/Transmitter）
5 总则
5.1 根据电力物联网感知层设备功能的不同，列举部分典型设备终端，见表1所示。

表1 典型电力物联网感知层设备终端及分类
5.2 本标准在遵循GB/T 22239的安全防护要求的基础上，根据接入业务系统及处理数据的重要程度，将电力物联网感知层设备分为不具备认证和加密能力的非智能业务终端、具有应用扩展功能的智能业务终端以及在电力系统中承载敏感数据或涉及控制指令的智能涉控涉敏业务终端，并采用不同的身份标记、安全认证、访问控制和安全审计技术进行防护。

电力物联网感知层设备安全认证方向
表示无线连接方式表示有线连接方式
6 非智能业务终端
6.1 身份标记
应具有可用于电力物联网系统中通信识别的唯一标识，包括但不限于RFID标签、统一身份编码、MAC地址等。

6.2 安全认证
非智能业务终端的安全认证要求包括：
a)应满足基于MAC地址的鉴别，通过MAC地址白名单的方式，由管理员在物联管理平台进行
设置；
b)可满足基于通信端口的鉴别认证技术，识别不同业务场景的非智能业务终端常用端口占用情
况，通过区分常用端口进行鉴别；
c)可满足基于通信协议的鉴别，识别不同业务场景的非智能业务终端使用的通信协议，通过区分
常用通信协议进行鉴别；
d)可采用基于标识的认证技术，感知层设备应在接入网络中具有唯一网络身份标识，采用的密码
算法包括但不限于SM9、CPK等。

6.3 访问控制
非智能业务终端的网络访问控制要求包括：
a)应禁用闲置的通信接口，包括但不限于USB口、UART串口、SPI、RS-485、以太网口、光纤
口、CAN、ModBus等；
b)可通过ACL方式控制终端对业务系统的访问；
c)可支持制定和执行访问控制策略的功能，访问控制策略可以是基于IP地址、用户/用户组、角
色、物理/逻辑位置、读/写等操作的一种或多种的组合；
d)可支持黑名单制，阻断终端对网络的访问。

7 智能业务终端
7.1 身份标记
智能业务终端的身份标记要求包括：
a)应具有可用于电力物联网系统中通信识别的唯一标识，包括但不限于统一身份编码、MAC地
址等；
b)应采用软件安全模块、宜采用硬件安全模块的方式进行身份标记。

7.2 安全认证
智能业务终端的安全认证要求包括：
a)应满足基于MAC地址的鉴别，通过MAC地址白名单的方式，由管理员在物联管理平台进行
设置；
b)应满足基于通信端口的鉴别认证技术，识别不同业务场景的智能业务终端常用端口占用情况，
通过区分常用端口进行鉴别；
c)应满足基于通信协议的鉴别，识别不同业务场景的智能业务终端使用的通信协议，通过区分常
用通信协议进行鉴别；
d)应满足基于口令的认证要求，具体要求包括：
1)应采用口令或其他具有相应安全强度的机制进行用户身份鉴别；
2)应对口令最小长度和复杂度进行限制。

口令设置满足长度下限不得少于8位，复杂度应
为大写字母、小写字母、数字、特殊字符中两种或两种以上的组合，用户名与口令禁止
相同；
3)应在用户登录失败达到指定失败次数后，对用户帐号进行锁定，锁定时间可自行配置或
由授权的管理员解锁，锁定前的剩余次数应显示给用户。

e)可采用基于PKI的认证技术，采用的密码算法包括但不限于RSA、SM2、SM3等，适用于通
信双方具有密钥管理中心下发统一数字证书的场景；
f)可采用基于对称密码的认证技术，采用的密码算法包括但不限于DES，AES，SM1、SM4等，
适用于通信双方享有预共享密钥的场景。

7.3 访问控制
智能业务终端的网络访问控制要求包括：
a)应禁用闲置的通信接口，包括但不限于：USB口、UART串口、SPI、RS-485、以太网口、光
纤口、CAN、ModBus等；
b)应通过ACL方式控制终端对业务系统的访问；
c)应支持制定和执行访问控制策略的功能，访问控制策略可以是基于IP地址及端口、用户/用户
组、角色、物理/逻辑位置、读/写、有效时间周期、敏感标记等的两种及以上构成的组合；
d)可支持白名单制，限制终端对网络的访问；
e)可提供安全措施控制对其远程配置。

7.4 安全审计
智能业务终端的安全审计要求包括：
a)应具有安全审计功能，能对用户的关键操作等进行审计；
b)审计记录应包括日期和时间、用户、事件类型、事件描述等信息；
c)应对日志记录进行保护，并可设置日志留存时间。

8 智能涉控涉敏业务终端
8.1 身份标记
智能涉控涉敏业务终端的身份标记要求包括：
a)应具有可用于电力物联网系统中通信识别的唯一标识，包括但不限于统一身份编码、MAC地
址等；
b)应采用硬件安全模块的方式进行身份标记。

8.2 安全认证
智能涉控涉敏业务终端的安全认证要求包括：
a)应满足基于MAC地址的鉴别，通过MAC地址白名单的方式，由管理员在物联管理平台进行
设置；
b)应满足基于通信端口的鉴别认证技术，识别不同业务场景的智能涉控涉敏业务终端常用端口占
用情况，通过区分常用端口进行鉴别；
c)应满足基于通信协议的鉴别，识别不同业务场景的智能涉控涉敏业务终端使用的通信协议，通
过区分常用通信协议进行鉴别；
d)应满足基于口令的认证要求，具体要求包括：
1)应采用口令或其他具有相应安全强度的机制进行用户身份鉴别；
2)应对口令最小长度和复杂度进行限制。

口令设置满足长度下限不得少于8位，复杂度应为
大写字母、小写字母、数字、特殊字符中两种或两种以上的组合，用户名与口令禁止相
同；
3)应在用户登录失败达到指定失败次数后，对用户帐号进行锁定，锁定时间可自行配置或由
授权的管理员解锁，锁定前的剩余次数应显示给用户。

e)应采用基于PKI的认证技术，采用的密码算法包括但不限于RSA、SM2、SM3等；
f)应基于硬件安全模块实现安全认证；
g)宜基于运行环境和状态可信性的进行认证；
h)可结合设备指纹、设备画像采用基于特征的认证技术。

8.3 访问控制
智能业务终端的网络访问控制要求包括：
a)应禁用闲置的通信接口，包括但不限于：USB口、UART串口、SPI、RS-485、以太网口、光
纤口、CAN、ModBus等；
b)应通过ACL方式控制终端对业务系统的访问；
c)应支持制定和执行访问控制策略的功能，访问控制策略可以是基于IP地址及端口、用户/用户
组、角色、物理/逻辑位置、读/写、有效时间周期、敏感标记等的两种及以上构成的组合；
d)应支持白名单制，限制终端对网络的访问；
e)应提供监测手段，根据终端安全状态进行访问控制策略实时调整；
f)应提供安全措施控制对其远程配置。

8.4 安全审计
a)应具有安全审计功能，能对用户的关键操作、重要行为等进行审计；
b)审计记录应包括日期和时间、用户、事件类型、事件描述、事件结果及其他与审计相关的信
息，能够对安全事件进行精准溯源；
c)应对日志记录进行保护，并可设置日志留存时间；
d)日志中不应保存敏感数据，如确实需要记录，应进行模糊化处理。