Q∕GDW 12196-2021 電力自動化系統(tǒng)軟件安全檢測規(guī)范

1、ICS 29. 240Q/GDW國家電網(wǎng)有限公司企業(yè)標準Q/GDW 121962021電力自動化系統(tǒng)軟件安全檢測規(guī)范Test specification for software security of electric powerautomation system2022 -01 -24 實施2022-01 -24 發(fā)布國家電網(wǎng)有限公司 發(fā)布Q/GDW 121962021目 次ttiWii1 翻l2 規(guī)范性引用文件13 術i吾雌5C14娜i吾15創(chuàng)本26錢魏26. 1代碼安全26. 2業(yè)務安全26.3版本管理77 翻旅77. 1代碼安全77. 2業(yè)務安全77. 3版本管理13附錄A （資料性

2、附錄） 數(shù)據(jù)分類分級參照表14綱測15IQ/GDW 121962021為規(guī)范電力自動化系統(tǒng)軟件應滿足的安全性要求，提升電力自動化系統(tǒng)軟件的安全防護能力，指導 電力自動化系統(tǒng)軟件的安全檢測，制定本標準。本標準由國家電網(wǎng)有限公司國家電力調度控制中心提出并解釋。本標準由國家電網(wǎng)有限公司科技部歸口。本標準起草單位：中國電力科學研宄院有限公司、國家電網(wǎng)有限公司東北分部、國網(wǎng)山東省電力公 司、國網(wǎng)江蘇省電力有限公司、國網(wǎng)浙江省電力有限公司、國網(wǎng)湖南省電力有限公司、國網(wǎng)四川省電力 公司、國家電網(wǎng)有限公司西南分部、南瑞集團有限公司。本標準主要起草人：張金虎、沈艷、周劼英、詹雄、張曉、李勁松、徐鑫、楊鵬、劉葦、

3、李宇佳、 紀欣、金學奇、周獻飛、邵立嵩、宮鈴琳、孟慶東、劉成江、高保成、劉勇、劉筱萍、喻顯茂、裴培、 陳乾、鄭澍、熊偉、王昊、彭暉。本標準首次發(fā)布。本標準在執(zhí)行過程中的意見或建議反饋至國家電網(wǎng)有限公司科技部。#Q/GDW 121962021電力自動化系統(tǒng)軟件安全檢測規(guī)范1 范圍本標準規(guī)定了電力自動化系統(tǒng)軟件的安全要求和檢測方法。本標準適用于調度自動化系統(tǒng)、變電站監(jiān)控系統(tǒng)、集控站監(jiān)控系統(tǒng)、輔助設備監(jiān)控系統(tǒng)等主、廠站 軟件的設計、開發(fā)、測評、建設、運行和維護。抽水蓄能電廠、火電廠、水電廠、新能源等監(jiān)控系統(tǒng)可 參照本標準執(zhí)行。2 規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文

4、件，僅注日期的版本適用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 22239信息安全技術網(wǎng)絡安全等級保護基本要求GB/T 34943 C/C+語言源代碼漏洞測試規(guī)范GB/T 34944 Java語言源代碼漏洞測試規(guī)范GB/T 36572電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護導則DL/T 634. 5104 遠動設備及系統(tǒng)第5-104部分：傳輸規(guī)約采用標準傳輸協(xié)議子集的 IEC60870-5-101 網(wǎng)絡訪問DL/T 860 （所有部分）電力自動化通信網(wǎng)絡和系統(tǒng)DL/T 1455電力系統(tǒng)控制類軟件安全性及其測評技術要求3 術語和定義下列術語和定義適用于本文件。3.

5、 1電力自動化系統(tǒng)軟件el ectr i c power automat i on system software綜合利用計算機、遠動和遠程通信技術，對電網(wǎng)一、二次設備進行運行監(jiān)視、控制和管理的自動化 系統(tǒng)平臺及應用軟件，包括電力自動化系統(tǒng)主、廠站軟件。3. 2業(yè)務安全 bus i ness secur i ty從人機安全、通信安全、服務安全、應用安全、數(shù)據(jù)安全、進程安全、運行安全等方面，結合系統(tǒng) 軟件自身業(yè)務，保護電力自動化系統(tǒng)業(yè)務免受安全威脅的措施及手段。4 縮略語下列縮略語適用于本文件。1Q/GDW 121962021APPID:應用標識符(Application Identity)CA

6、:證書認證機構(Certification Authority)CPU：中央處理器( central processing unit)ID：身份(Identity)IP:網(wǎng)絡之間連接的協(xié)議(Internet Protocol)MAC:多址接入信道(Multiple Access Channel)SQL：結構化查詢語言(Structured Query Language)SYN:洪水攻擊(Synchronize)UDP：用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol)總體要求1電力自動化系統(tǒng)軟件應遵循GBA 22239、GB/T 36572、DL/T 1455等技術標準的相關安全要

7、求。 2電力自動化系統(tǒng)控制類軟件應實現(xiàn)自主可控，包括業(yè)務軟件本身、第三方組件、密碼算法等。 3測試工具應具有追溯性，自行開發(fā)的測試工具應有詳細的說明文檔，并通過適用性驗證。安全要求1 代碼安全代碼安全檢測應依照GB/T 34943和GB/T 34944等要求，具體要求如下：a）不應存在違背安全編碼規(guī)則、輸入處理、輸出處理、文件操作等安全要求內容；b）不應存在口令硬編碼、軟件后門、訪問控制、密碼管理、明文存儲、異常管理等安全特征內容;c）不應存在資源泄露、越界訪問、緩沖區(qū)溢出、命令注入、設計缺陷/業(yè)務邏輯等安全漏洞。2 業(yè)務安全2. 1人機安全2. 1. 1接入安全要求接入安全要求如下：a）人機

8、客戶端、配置管理軟件等接入，應優(yōu)先采用白名單方式，也可采用黑名單等其他方式，限 制非法接入，保證客戶端、配置管理軟件等接入的合法性；b）API接口等接入應進行身份認證，并限制對外開放接口的應用范圍和同一時間內并發(fā)訪問的接 口數(shù)；c）軟件接入應記錄審計日志。2.1.2 用戶管理及授權安全要求用戶管理及授權安全要求如下：a）身份標識應具有唯一性，保證不存在重復標識的用戶；b）應支持密碼最小長度及復雜度要求，禁用弱口令及用戶口令與用戶名一致；c）使用電力調度數(shù)字證書綁定用戶時，應為每個用戶分配唯一的證書，并保證證書鏈的有效性， 禁止使用不符合鏈式驗證的數(shù)字證書；d）應設置管理員、審計員和、操作員三種

9、角色，不允許存在超級用戶，權限的設置應基于最小權 限原則；Q/GDW 121962021e）除畫面查看等公共權限外，應保證不同角色間權限互斥，且不能將不同的角色授予同一用戶;f）應及時刪除或停用多余的、過期的賬戶，注銷用戶應任何情況下不可用，避免共享賬戶的存在;g）用戶管理、權限分配等應記錄審計日志。6. 2. 1.3登錄認證安全要求登錄認證安全要求如下：a）登錄身份認證可采用數(shù)字證書、生物特征識別和口令認證，根據(jù)軟件安全防護需求選用不同的 認證方式或多種認證方式的組合；b）使用電力調度數(shù)字證書作為登錄認證憑證時，應驗證證書有效性，禁止使用過期、撤銷的數(shù)字 證書；c）應具備連續(xù)登錄失敗鎖定功能

10、，支持特定時長、失敗次數(shù)和鎖定時長的配置功能，對設定時長 內連續(xù)登錄失敗次數(shù)（默認5次）達到設定值后，應鎖定賬號一定時長（默認10分鐘），并 且有相應的提示告警信息；d）應具備鎖定賬號恢復功能，支持鎖定時長到期后自動恢復或管理員手動恢復；e）應對同一用戶賬號同一時間內多點登錄的行為進行限制阻斷、提示并產(chǎn)生告警；f）應具備會話管理機制，當用戶處于非監(jiān)控會話界面并在一段時間內未做任何操作時，應退出當 前界面，會話超時時間可配置（默認10分鐘）；g）會話數(shù)據(jù)不應存儲在人機客戶端、配置管理軟件內；h）用戶登錄、用戶退出以及異常登錄訪問事件等應記錄審計日志。6. 2. 1.4 操作安全要求操作安全要求如

11、下：a）執(zhí)行控制操作、參數(shù)配置、文件上傳/下載等操作應進行權限控制；b）應具備數(shù)據(jù)有效性檢驗功能，保證通過人機接口或通信接口輸入的數(shù)據(jù)格式、類型、長度等應 符合軟件設定要求；c）對于重要控制類操作，應具備再次身份認證的機制；d）對于主站的控制操作，應具備控制點號預置確認功能，需對控制點編號再次輸入確認，只有兩 次編號校驗一致方可進行預置操作；e）應能夠識別邏輯異常操作，禁止異常操作且給予提示；f）應具備文件下載操作目錄限制功能；g）應具備對上傳文件的格式、內容等進行合法性校驗及非法文件過濾功能；h）異常時，返回的提示信息應進行必要的封裝，不應包含有關后臺系統(tǒng)或其它敏感信息；i）控制操作、參數(shù)配

12、置、文件上傳/下載行為應記錄審計日志。6. 2. 2 通信安全6. 2. 2. 1 通信服務基本要求應用于生產(chǎn)控制大區(qū)的軟件應禁止使用E-mail服務，應用于控制區(qū)軟件禁止使用通用WEB服務。 6. 2. 2. 2 通信安全要求通信安全要求如下：a）應通過各項標識（IP、MAC地址、APPID等）的一致性校驗對通信對象接入進行控制；b）宜對通信對象進行身份認證，根據(jù)系統(tǒng)要求，采用單向或雙向身份認證機制保證身份的合法性;17C)/k)使用電力調度數(shù)字證書認證的軟件，應保證為每個應用分配唯一的證書，應驗證證書和證書鏈 的有效性，禁止使用不符合鏈式結構、過期、撤銷的數(shù)字證書；重要業(yè)務數(shù)據(jù)傳輸宜采用斷

13、點續(xù)傳、數(shù)據(jù)校驗等方式保證數(shù)據(jù)傳輸?shù)耐暾?；應保證通信數(shù)據(jù)保密性，對鑒別信息、密鑰等敏感數(shù)據(jù)進行加密處理；能夠過濾非法業(yè)務數(shù)據(jù)，校驗通信數(shù)據(jù)合法性；應保證通信交互行為的安全性，具備防重放、篡改等安全防護能力；針對帶隨機數(shù)的通信報文，應具備生成隨機數(shù)的不確定性，使隨機數(shù)具備隨機性、不可預測性 和不可重現(xiàn)性；人機客戶端、配置管理軟件應使用私有安全協(xié)議，禁止使用不安全的傳輸協(xié)議； 應保證DL/T 634.5104、DL/T 860等通信協(xié)議的健壯性，正確處理各類畸形報文和攻擊報文， 確保業(yè)務的正常交互；異常連接訪問、通信認證異常應記錄審計日志。6.2.3 服務安全6. 2. 3. 1 服務注冊認證安

14、全要求對于具備服務功能的軟件，服務注冊認證安全要求如下：a）在服務注冊時服務管理者應進行合法性驗證，防止非法服務注冊；b）應限制對服務注冊信息進行非法刪除或修改等操作；c）應能夠對非授權服務申請者私自連接的行為進行監(jiān)測，并對其進行有效阻斷；d）宜具備服務注冊認證功能。6. 2. 3. 2 服務業(yè)務交互安全要求對于具備服務功能的軟件，服務業(yè)務交互安全要求如下：a）應具備安全機制限制業(yè)務超范圍調用服務資源；b）應具備在同一時間段內對服務調用數(shù)量進行限制的功能；c）服務交互時應對關鍵業(yè)務數(shù)據(jù)或者敏感信息進行加密，保證服務交互信息的保密性；d）應對通信服務提供者和服務消費者之間通信進行防護，對執(zhí)行非法

15、數(shù)據(jù)注入、惡意代碼注入、 請求內容刪除等操作進行限制；e）服務提供者應具備訪問控制策略，基于訪問策略對服務消費者進行權限限制；f）廣域服務調用應具備身份認證機制，服務提供者需要檢測服務請求來源，防止非法服務進行遠 程調用。6. 2. 3. 3 服務安全管理要求對于具備服務功能的軟件，服務安全管理要求如下：a）應具備服務全生命周期管理、注冊資產(chǎn)安全管理、命令管理等安全管理功能，自動清除已失效 的服務；b）應具備對服務注冊對象占用資源的監(jiān)視及告警功能，包括CPU、磁盤、內存、網(wǎng)絡等資源的使 用情況；c）應具備服務行為審計機制，對服務的接入請求、接入后的操作軌跡、異常行為應記錄審計日志;d）應限制使

16、用未關閉的基礎組件默認服務，包括刪除默認界面、禁用默認管理用戶、修改默認密 碼。6.2.4 應用安全6. 2. 4. 1 控制業(yè)務安全要求控制業(yè)務一般包括直控、選擇性控制、閉鎖控制、同期控制、校核控制、聯(lián)動控制、一鍵順控、運 維檢修控制操作等，對于具備控制操作功能的軟件，控制業(yè)務安全要求如下：a）應對控制操作的人員加以限制，僅允許授權的人員執(zhí)行控制操作；b）應具備控制操作正確性校驗，如校核、閉鎖、同期等，應依據(jù)邏輯規(guī)則僅執(zhí)行期望的動作，不 允許執(zhí)行其他更多的動作；c）應具備聯(lián)動控制、選擇性控制等時效性檢測，防范過期的控制操作；d）應支持對批量控制、協(xié)同控制的校核，正確校核多重、連鎖故障狀態(tài)，校

17、驗業(yè)務邏輯的正確性;e）應具備控制信號資源搶占的處理機制，禁止多個控制主體同一時刻對同一臺設備進行控制操 作，禁止被控設備同時響應多個操作命令；f）應正確處理遠程和本地控制操作權限，只能本地控制的操作禁止遠程執(zhí)行；g）對于雙席控制操作，應通過具備權限的監(jiān)護員確認后方可執(zhí)行控制操作；h）對于主站控制操作，應具備雙重信息點表的校核機制，只有同時通過校核方可進行控制操作；i）所有控制操作及行為應記錄審計日志，至少包括操作人員、操作對象、操作內容、操作時間和 操作結果。6. 2. 4. 2 配置業(yè)務安全要求配置業(yè)務安全要求如下：a）應支持對參數(shù)配置操作進行訪問控制；b）應具備數(shù)據(jù)有效性檢驗功能，保證人

18、工置數(shù)、定值修改、參數(shù)配置輸入的數(shù)據(jù)格式、長度、數(shù) 值范圍等應符合軟件設定要求，能夠識別并拒絕執(zhí)行不合法的參數(shù)配置；c）應具備多個主體對同一參數(shù)配置的安全處理機制，應具備互斥能力；d）配置變更應記錄審計日志。6. 2. 4. 3 分析處理業(yè)務安全要求分析處理業(yè)務安全要求如下：a）應支持對數(shù)據(jù)合理性和安全性進行檢查和過濾，能正確識別數(shù)據(jù)跳變、缺失、失真、格式不統(tǒng) 一等異常數(shù)據(jù)并丟棄；b）應支持對數(shù)據(jù)質量進行檢查和過濾，并正確處理與設置數(shù)據(jù)質量標識，包括但不限于數(shù)據(jù)類型： 未初始化數(shù)據(jù)、不合理數(shù)據(jù)、計算數(shù)據(jù)、非實測數(shù)據(jù)、采集中斷數(shù)據(jù)、人工數(shù)據(jù)、壞數(shù)據(jù)、可 疑數(shù)據(jù)、采集閉鎖數(shù)據(jù)（量測值被封鎖，收到實

19、時數(shù)據(jù)后不會更新）、控制閉鎖數(shù)據(jù)（量測不 允許控制操作）、旁路代替數(shù)據(jù)、對端代替數(shù)據(jù)、不刷新數(shù)據(jù)（在定義的時間周期內前置未收 到量測報文的數(shù)據(jù)）、越限數(shù)據(jù)等；c）應具備點多源數(shù)據(jù)（如成對關聯(lián)數(shù)據(jù)）處理功能，同一測點的多源數(shù)據(jù)應進行合理性校驗并經(jīng) 選優(yōu)判斷，具備防止因多數(shù)據(jù)源切換造成數(shù)據(jù)跳變的功能；d）應具備對計算過程中產(chǎn)生的臨時數(shù)據(jù)的安全防護策略，臨時數(shù)據(jù)占用資源應及時釋放；e）應具備業(yè)務邏輯、業(yè)務流程的正確性校驗和安全防護能力，不應存在設計缺陷、邏輯漏洞；f）應對重要數(shù)據(jù)接口、重要服務接口的調用進行訪問控制，并對調用數(shù)據(jù)進行合法性校驗；g）數(shù)據(jù)分析與處理過程中異常告警及安全事件應記錄審計日志

20、。6. 2. 4. 4 監(jiān)視業(yè)務安全要求對于具備監(jiān)視業(yè)務的軟件，監(jiān)視業(yè)務安全要求如下:a）應不可修改運行監(jiān)視數(shù)據(jù)的真實值；b）應只允許具備權限的用戶訪問相應的業(yè)務模塊，無關的信息不應出現(xiàn)在當前監(jiān)視界面;c）用戶對監(jiān)視數(shù)據(jù)的修改應記錄審計日志。6. 2. 4. 5 采集業(yè)務安全要求采集業(yè)務安全要求如下：a）數(shù)據(jù)采集應僅向被授權的對象傳輸數(shù)據(jù)；b）采集數(shù)據(jù)應可溯源，應確保采集數(shù)據(jù)真實可信；c）應能識別非法采集數(shù)據(jù)，應能識別采集過程中的異常行為，并具備相應的安全策略；d）應具備處理批量數(shù)據(jù)輸入、采集數(shù)據(jù)量超上限保護機制，防止數(shù)據(jù)丟失、覆蓋。6. 2. 5 數(shù)據(jù)安全數(shù)據(jù)安全要求如下：a）應對重要業(yè)務數(shù)

21、據(jù)、證書等進行訪問控制，并限制輸出的操作權限；b）應對重要業(yè)務數(shù)據(jù)、證書、密鑰等導入操作進行權限控制和校驗；c）應具備對業(yè)務數(shù)據(jù)全生命周期的保護策略，包括但不限于數(shù)據(jù)采集、存儲、處理、應用、流動、 銷毀等過程；d）應具備對數(shù)據(jù)進行分級分類保護，不同類別級別的數(shù)據(jù)采取不同的安全防護策略，數(shù)據(jù)分級分 類數(shù)據(jù)表參見附錄A;e）應采用密碼技術或其他保護措施保證重要業(yè)務數(shù)據(jù)、敏感數(shù)據(jù)保密性；f）應采用校驗技術或密碼技術等保證重要業(yè)務數(shù)據(jù)、敏感數(shù)據(jù)在存儲時完整性；g）審計日志應至少保存6個月，應設置審計日志存儲余量控制策略，當存儲空間接近極限時，裝 置應能采取必要的措施保護存儲數(shù)據(jù)的安全；h）非授權用戶禁

22、止修改、刪除審計日志；i）在正常運行狀態(tài)下及軟、硬件異常情況下應對存儲數(shù)據(jù)進行保護，數(shù)據(jù)不應丟失；j）應具備重要業(yè)務數(shù)據(jù)的備份與恢復功能；k）數(shù)據(jù)操作、數(shù)據(jù)備份、數(shù)據(jù)恢復、審計日志告警等應記錄審計日志。6. 2. 6 進程安全對電力自動化系統(tǒng)軟件進程的安全要求如下：a）應支持進程創(chuàng)建、資源回收、進程守護等進程管理能力；b）應對核心業(yè)務進程異常、內存耗盡等情況進行監(jiān)視；c）應對審計進程進行保護，禁止中斷審計進程；d）應具備防注入、反調試、反逆向能力；e）宜采用基于可信計算的動態(tài)安全防護機制，對軟件進程、數(shù)據(jù)、代碼段進行動態(tài)度量，不同進 程之間不應存在未經(jīng)許可的相互調用，禁止向內存代碼段與數(shù)據(jù)段直

23、接注入代碼的執(zhí)行；f）進程異常、資源異常以及攻擊行為應記錄審計日志。6. 2. 7 運行安全運行安全要求如下：a）應具備對并發(fā)事務和并發(fā)用戶訪問、大負載量、高吞吐量等極限情況的處理機制，保證業(yè)務的 連續(xù)性；b）應具備自診斷、自恢復能力，當發(fā)生軟件異常時，在一定時間內恢復正常功能；c）主備機切換或網(wǎng)絡切換時，軟件應正常工作，采集及傳送的信息不應丟失或重復；d）應具備抵御各種常見網(wǎng)絡攻擊的能力，面對網(wǎng)絡風暴時，不應出現(xiàn)誤動、誤發(fā)報文、退出、通7Q/GDW 121962021Q/GDW 121962021 信不中斷等現(xiàn)象；面對拒絕服務攻擊時，不應出現(xiàn)誤動、誤發(fā)報文、退出等現(xiàn)象，且在中斷攻 擊后的一定

24、時間內恢復正常功能；e）不應存在安全漏洞，包括但不限于存在與業(yè)務無關的服務和端口、敏感信息泄露、越權訪問漏 洞、注入漏洞、命令執(zhí)行漏洞等。6. 3 版本管理電力自動化系統(tǒng)軟件應支持版本信息采集和上送功能，關鍵業(yè)務軟件宜支持基于可信計算的強制版 本管理。版本管理檢測要求如下：a）應具備軟件版本信息配置文件，至少包含：產(chǎn)品名稱、產(chǎn)品型號、軟件版本號、軟件校驗碼、 程序文件路徑等信息；b）宜統(tǒng)一將程序文件部署于一個文件目錄中，便于管理；c）宜支持通過Agent的方式實現(xiàn)對軟件版本信息的動態(tài)采集，應支持通過現(xiàn)有通信協(xié)議上送軟件 版本信息；d）應用于生產(chǎn)控制大區(qū)的關鍵控制軟件宜在可執(zhí)行程序啟動前校驗生產(chǎn)

25、廠商和檢測機構的簽名， 保證軟件版本的合規(guī)性。7 檢測方法7. 1 代碼安全7.1.1 代碼安全掃描代碼安全掃描檢測方法如下：a）使用代碼安全掃描工具，通過代碼編譯、構建配置文件獲取、規(guī)則匹配等檢測環(huán)節(jié)，發(fā)現(xiàn)源代 碼缺陷；b）人工對源代碼缺陷進行篩查，進行風險分析。7.1.2 代碼靜態(tài)分析代碼靜態(tài)分析檢測方法如下：a）使用代碼靜態(tài)分析和規(guī)則檢查掃描工具，通過代碼編譯、構建配置文件獲取、規(guī)則匹配等檢測 環(huán)節(jié)，發(fā)現(xiàn)源代碼缺陷；b）人工對源代碼缺陷進行篩查，確保缺陷準確性。7.1.3 代碼靜態(tài)度量代碼靜態(tài)度量檢測方法如下：a）使用質量度量工具，通過分析代碼度量計算，進行源代碼靜態(tài)度量；b）人工對度量

26、結果進行計算審核，確保度量結果準確性。7. 1.4 代碼審計代碼審計檢測方法如下：a）使用代碼審計掃描工具對代碼進行掃描，結合掃描結果對源代碼進行人工審查，發(fā)現(xiàn)代碼中存 在的編碼安全漏洞和業(yè)務安全漏洞；b）利用發(fā)現(xiàn)的代碼漏洞進行滲透，驗證漏洞的危害性。7.2業(yè)務安全7. 2. 1 人機安全7. 2.1.1 接入安全檢測方法接入安全檢測方法如下：a）將人機客戶端、配置管理軟件等接入，檢測是否設定黑、白名單方式限制非法的客戶端、管理 軟件的接入；b）查看軟件開放的接口，檢測是否只有通過身份認證后的對象方可接入并進行數(shù)據(jù)交互；c）查看接口說明，并驗證是否僅開放了設定的應用范圍，超出范圍的訪問是否被拒

27、絕；d）檢測是否配置接口并發(fā)數(shù)量，同一時間接入多于允許的接口并發(fā)訪問數(shù)量，檢測是否加以限制；e）檢測人機客戶端、配置管理軟件等接入以及配置操作是否記錄審計日志，并與實際相符。7. 2.1.2 用戶管理及授權檢測方法用戶管理及授權安全檢測方法如下：a）查看系統(tǒng)用戶的ID標識是否唯一，是否不存在重復標識的用戶；新建與庫用戶名相同的用戶， 檢測是否新建失?。籦）注冊新用戶初次登錄或修改用戶口令時，檢測是否要求密碼最小長度及復雜度，嘗試配置 root、123等弱口令以及將用戶口令設置為與用戶名一致，檢測是否配置失??；c）用戶綁定正確的電力調度數(shù)字證書時，檢測是否綁定成功，使用同一個數(shù)字證書綁定多個用戶

28、 是否失敗，檢測是否綁定失敗，更換錯誤CA根證書，檢測是否能夠正確識別不符合鏈式驗證 的數(shù)字證書，并綁定失?。籨）檢測系統(tǒng)是否至少具備管理員、審計員和操作員三種角色，是否存在root以及具備其他所有 權限的用戶，檢測每個角色的權限是否滿足最小權限原則要求；e）檢測是否為每一個用戶分配訪問權限，并限定訪問模塊，不同角色間是否權限交叉，將不同角 色授予同一用戶，檢測是否失??；f）檢測用戶管理列表，是否用戶管理列表與用戶數(shù)據(jù)表信息一致，是否自動提示管理員刪除超過 設定閑置期限的廢棄多余賬號、過期賬戶，是否不存在共享賬戶用戶；g）檢測授權行為、用戶變更等是否均記錄審計日志。7. 2.1.3 登錄認證檢

29、測方法登錄認證檢測方法如下：a）分別使用不同角色的用戶登錄，檢測是否正確依據(jù)認證方式對所有登錄用戶進行身份認證，是 否滿足數(shù)字證書、生物特征識別和口令認證的一種或幾種組合認證方式；b）使用電力調度數(shù)字證書登錄認證時，分別使用過期、被撤銷的證書進行登錄，檢測是否失??；c）設置特定時長、登錄失敗次數(shù)、鎖定時長，檢測是否配置成功；檢測在默認配置條件下，同一 賬戶連續(xù)登錄失敗5次以上，檢測賬號是否被鎖定，并產(chǎn)生提示告警信息，檢測鎖定時長是否 為10分鐘；d）恢復策略若為自動恢復，到達鎖定時長后，登錄人員賬號，檢測是否登錄成功；e）恢復策略若為手動恢復，登錄管理員賬號對被鎖定賬號進行解鎖，解鎖后登錄人員

30、賬號，驗證 是否登錄成功；f）使用同一賬號同一時間內在多點登錄，檢測是否對該行為進行限制阻斷并產(chǎn)生告警事件；g）設置會話超時時間為特定時長，使用用戶成功登錄，進入非運行監(jiān)控會話界面，檢測當用戶處 于會話界面在設定時長（如10分鐘）未做任何操作時，是否自動退出當前會話界面；h）檢測本地客戶端、配置管理軟件等是否沒有存儲鑒別信息、運行相關重要數(shù)據(jù)；i）檢測用戶登錄、用戶退出、連接超時以及異常登錄訪問事件等是否均記錄審計日志。7. 2. 1.4操作安全檢測方法操作安全檢測方法如下：a）進行操作控制、參數(shù)配置、模型文件修改、配置文件上傳/下載時，檢測是否僅允許設定范圍 內的用戶操作；b）在數(shù)據(jù)輸入界面

31、輸入惡意或畸形數(shù)據(jù)，檢測是否檢測數(shù)據(jù)的有效性，限制非法數(shù)據(jù)的輸入；c）檢查數(shù)據(jù)允許的字節(jié)長度、數(shù)據(jù)類型和上下限范圍，并輸入相應的值檢測是否對所有輸入數(shù)據(jù) 進行嚴格過濾；d）根據(jù)設定的輸入條件，錄入不符合運行約束或業(yè)務邏輯的數(shù)據(jù)，檢測是否拒絕執(zhí)行該修改操作；e）對重要控制操作時，檢測是否需再次身份認證后方可執(zhí)行操作；f）對于主站控制類操作，控制點編號預置時，是否需對控制點編號再次輸入驗證，是否只有兩次 編號校驗一致方可進行預置操作，不一致時則中止操作；g）模擬邏輯錯誤操作，檢測是否禁止該異常操作且給予提示；h）進行文件下載時，檢測是否限制操作的目錄，是否不允許有“/”、“”等跳轉目錄;i）檢測文

32、件上傳時是否對文件格式、內容進行校驗，上傳惡意文件時是否能夠識別并拒絕執(zhí)行；j）檢測在異常操作或系統(tǒng)故障時，返回的提示信息是否不包含程序代碼及敏感信息等；k）檢測控制操作、參數(shù)配置、文件上傳/下載行為是否記錄審計日志。7. 2. 2 通信安全7. 2. 2. 1通信服務基本要求檢測方法檢測應用于生產(chǎn)控制大區(qū)的軟件應是否使用E-mail服務，應用于控制區(qū)軟件是否使用通用WEB服7. 2. 2. 2 通信安全檢測方法外部通信安全檢測方法如下：a）接入通信對象，檢測是否只允許白名單內IP、MAC、APPID等方可成功建立連接；b）結合通信協(xié)議，對于支持單向或雙向身份認證的通信機制，檢測身份認證過程是

33、否正確；c）對于使用電力調度數(shù)字證書的認證機制，檢測數(shù)字證書是否被多個應用共用，檢測證書的有效 期、鏈式結構、狀態(tài)是否滿足要求，使用過期的數(shù)字證書、錯誤的CA證書以及處于撤銷狀態(tài) 的數(shù)字證書，檢測認證是否失??；d）傳輸較長的業(yè)務報文時，傳輸過程中中斷，檢測是否具備斷點續(xù)傳功能，檢測重要的業(yè)務數(shù)據(jù) 是否有校驗機制，保證數(shù)據(jù)的完整性；e）檢測通信報文中鑒別信息、密鑰等是否進行加密處理；f）傳輸非法的業(yè)務數(shù)據(jù)，檢測是否能夠過濾非法業(yè)務數(shù)據(jù)，識別通信數(shù)據(jù)合法性；g）檢查通信協(xié)議是否有時間戳、校驗等安全機制，使用檢測工具對重要控制報文進行重放、篡改， 檢測是否控制失??；h）對于使用隨機數(shù)的通信協(xié)議，檢測

34、報文中隨機數(shù)是否不可被預測和重現(xiàn)；i）抓取并分析軟件與人機客戶端或配置管理軟件間的通信報文，檢測是否使用不安全的私有協(xié) 議；j)對DL/T 634. 5104、DL/T 860等通信協(xié)議，使用協(xié)議健壯性測試工具輸入隨機的數(shù)據(jù)和不合法 的數(shù)據(jù)，生成各類畸形報文和攻擊報文，檢測是否具備識別能力和保護策略，確保通信協(xié)議的 健壯性和業(yè)務的正常交互；k)檢測異常連接訪問、通信認證異常是否均記錄審計日志。7. 2. 3服務安全7. 2. 3. 1服務注冊認證安全檢測方法服務注冊認證安全檢測方法如下:a)檢測服務管理者是否配置白名單等機制保證服務注冊申請者的合法性，使用非授權服務訪問軟 件提供的服務，檢測是

35、否拒絕訪問；b)c)d)刪除或修改服務注冊文件，檢測是否限制被刪除或修改服務注冊文件的操作； 接入非授權的服務申請者，檢測是否能識別并阻斷；檢測是否具備服務注冊認證功能。7. 2.3.2服務業(yè)務交互安全檢測方法服務業(yè)務交互安全檢測方法如下:a)b)c)d)對已授權服務嘗試調用超出范圍的服務資源，檢測調用資源范圍是否限制；模擬同一時間段內多個業(yè)務調用同一服務，檢測是否對服務調用數(shù)量進行限制； 查看服務接口請求內容，對關鍵業(yè)務數(shù)據(jù)或者敏感信息進行解密，檢測服務交互信息的保密性; 抓取服務提供者和服務使用者之間通信報文，執(zhí)行非法數(shù)據(jù)注入、惡意代碼注入、請求內容刪 除等操作，檢測是否能禁止非法操作；e

36、)f)模擬非法服務遠程調用操作，檢測服務提供者是否檢測服務請求身份；模擬服務消費者發(fā)起調用請求，檢測局域服務提供者是否具備訪問控制策略，對服務消費者進 行權限限制。7. 2.3.3服務業(yè)務管理安全檢測方法服務業(yè)務管理安全檢測方法如下:a)查看軟件是否具備服務全生命周期管理、注冊安全管理、命令管理等安全管理功能，檢測是否 可自動清除已失效的服務；b)c)查看服務行為審計，檢測是否對服務接入請求、操作軌跡、異常攻擊行為等內容進行記錄； 檢測軟件是否對服務對象占用的CPU、磁盤、內存、網(wǎng)絡等資源的使用情況進行監(jiān)視，檢測當 資源占用率超過設定的告警閾值時是否產(chǎn)生告警，并具備資源異常占用的安全處理策略；

37、d)檢查軟件是否提供日志修改或刪除接口，通過SQL注入、日志偽造等修改或刪除日志，檢測是 否禁止審計日志被刪除、修改；e)檢測軟件是否不存在基礎組件的默認界面，或禁用默認管理用戶，初次登錄是否要求修改默認 密碼。7. 2.4應用安全7. 2.4. 1控制業(yè)務安全檢測方法控制業(yè)務安全檢測方法如下：a）檢測控制操作是否只有具備權限的人員方可執(zhí)行成功;b）分別對各類控制進行正常、異常操作，如校核、閉鎖、同期等，檢測是否對控制操作正確性進 行校驗，是否僅執(zhí)行期望的動作；c）對于有時效性的聯(lián)動控制、選擇性控制等，分別進行設定時效內和時效外的操作，檢測控制操 作的時效性處理是否正確；d）對于批量控制、協(xié)同

38、控制，檢測對多個控制操作的邏輯校核是否正確，對多重、連鎖故障狀態(tài) 下控制動作流程是否準確；e）使用多個控制主體同時對同一臺設備進行控制操作，檢測是否僅執(zhí)行一個控制操作，無誤動現(xiàn) 象；f）嘗試對只配置為本地控制操作的控制對象進行遠程控制，檢測是否拒絕執(zhí)行；g）對于雙席操作控制，檢測操作員進行控制時，是否只有通過監(jiān)護員確認后方可執(zhí)行成功；h）在主站的控制操作，檢測是否具備雙重信息表校核機制，更換其中一個控制點信息表，檢測是 否控制失敗，且給予提示告警；i）檢測所有控制操作及行為是否記錄審計日志。7. 2. 4. 2 配置業(yè)務安全檢測方法配置業(yè)務安全檢測方法如下：a）分別使用具備配置權限的用戶和不具

39、備權限的用戶對具備配置功能的參數(shù)進行修改操作，檢測 參數(shù)配置權限管理的有效性；b）檢查各參數(shù)的允許范圍，并進行超范圍的配置，檢測是否對配置參數(shù)的正確性進行校驗；c）使用多個主體同時對同一參數(shù)進行配置操作，檢測同一時間是否只允許執(zhí)行其中一個操作，不 出現(xiàn)跳變等異常現(xiàn)象；d）檢測配置變更操作是否記錄審計日志。7. 2. 4. 3分析處理業(yè)務安全檢測方法分析處理業(yè)務安全檢測方法如下：a）檢測是否支持對數(shù)據(jù)合理性和安全性進行檢查和過濾，能否正確識別數(shù)據(jù)跳變、缺失、失真、 格式不統(tǒng)一等異常數(shù)據(jù)并丟棄；b）檢測是否支持對數(shù)據(jù)質量進行檢查和過濾，是否正確設置數(shù)據(jù)質量標識，至少包含但不限于： 未初始化數(shù)據(jù)、不

40、合理數(shù)據(jù)、計算數(shù)據(jù)、非實測數(shù)據(jù)、采集中斷數(shù)據(jù)、人工數(shù)據(jù)、壞數(shù)據(jù)、可 疑數(shù)據(jù)、采集閉鎖數(shù)據(jù)、控制閉鎖數(shù)據(jù)、旁路代替數(shù)據(jù)、對端代替數(shù)據(jù)、不刷新數(shù)據(jù)、越限數(shù) 據(jù)等；c）檢測對同一測點的多源數(shù)據(jù)是否能夠進行合理性辨識校驗，在多數(shù)據(jù)源切換時是否存在數(shù)據(jù)跳 變的現(xiàn)象；d）檢測分析與處理過程中產(chǎn)生的臨時數(shù)據(jù)、臨時動態(tài)數(shù)據(jù)集在生命周期結束后，是否及時釋放臨 時數(shù)據(jù)占用資源；e）對控制業(yè)務流程、業(yè)務邏輯等進行繞過、篡改、利用等，檢測是否執(zhí)行失敗，并產(chǎn)生相應的告 警事件；f）檢測對重要數(shù)據(jù)接口、重要服務接口的調用是否進行訪問控制，是否對調用數(shù)據(jù)進行合法性校 驗，只有合法的數(shù)據(jù)方可調用成功；g）檢測數(shù)據(jù)分析與處理過

41、程中異常告警及安全事件是否記錄審計日志。7. 2. 4. 4 監(jiān)視業(yè)務安全檢測方法對于具備監(jiān)視業(yè)務的軟件，監(jiān)視業(yè)務安全檢測方法如下：a）檢測運行監(jiān)視數(shù)據(jù)真實值是否不可被修改；b）檢測用戶是否僅允許查看權限內的業(yè)務模塊，無關的信息不出現(xiàn)在當前監(jiān)視界面;c）檢測用戶對監(jiān)視數(shù)據(jù)的修改（如置數(shù)）是否記錄審計日志。7. 2. 4. 5 采集業(yè)務安全檢測方法采集業(yè)務安全檢測方法如下：a）檢測采集數(shù)據(jù)是否僅向被授權的對象傳輸數(shù)據(jù)；b）檢測采集數(shù)據(jù)來源是否可溯源，是否和實際值一致；c）檢測是否能夠識別并丟棄非法采集數(shù)據(jù)、采集中斷數(shù)據(jù)等；d）發(fā)送批量采集數(shù)據(jù)，檢測是否具備采集數(shù)據(jù)量超上限保護機制，采集數(shù)據(jù)是否不

42、丟失、不覆蓋。 7. 2. 5 數(shù)據(jù)安全數(shù)據(jù)安全檢測方法如下：a）檢測是否具備相應權限的主體方可訪問重要業(yè)務數(shù)據(jù)、重要配置數(shù)據(jù)、重要審計數(shù)據(jù)、證書等， 進行導出操作時，檢測是否只有具備輸出權限的用戶方可操作成功；b）檢測是否僅允許具備相應權限的主體方可導入配置參數(shù)、證書、密鑰等，檢測是否對導入數(shù)據(jù) 格式、內容等進行校驗，并丟棄校驗不通過的導入數(shù)據(jù)；c）檢測是否具備對業(yè)務數(shù)據(jù)全生命周期的保護策略且有效，包括但不限于數(shù)據(jù)采集、存儲、處理、 應用、流動、銷毀等過程；d）檢測是否對數(shù)據(jù)進行分級分類保護，并驗證重要業(yè)務數(shù)據(jù)、敏感數(shù)據(jù)在調用、流轉過程中安全 防護策略是否有效；e）檢測口令、密鑰、重要業(yè)務等

43、敏感數(shù)據(jù)在存儲時是否采用國密算法保證存儲的保密性，并驗證 加密算法正確性；f）檢測是否采用校驗技術或密碼技術等對重要業(yè)務數(shù)據(jù)、重要配置數(shù)據(jù)、重要審計數(shù)據(jù)、敏感數(shù) 據(jù)在存儲時進行完整性校驗；g）通過生成6個月的審計日志文件或修改軟件系統(tǒng)時間，檢測是否至少保存6月的審計日志；h）設置存儲容量閾值，檢測是否具備存儲空間余量控制策略，并在存儲容量即將達到上限時應進 行告警；i）在正常運行狀態(tài)下，以及觸發(fā)軟異常情況下，檢測是否對存儲數(shù)據(jù)進行保護，保證存儲數(shù)據(jù)不 丟失；j）檢測非授權用戶是否禁止修改、刪除審計日志；k）檢測重要業(yè)務數(shù)據(jù)是否具備備份與恢復功能，且實現(xiàn)正確；l）檢測證書、密鑰操作及變更、數(shù)據(jù)備

44、份、數(shù)據(jù)恢復、審計日志存儲容量告警等是否記錄審計日 '士、。7. 2. 6 進程安全進程安全檢測方法如下：a）建立多個業(yè)務連接并停止，檢測資源占用是否隨著進程的創(chuàng)建和停止而變化；b）嘗試終止軟件核心業(yè)務進程，檢測進程是否可自行恢復；c）模擬進程大量占用軟件資源（CPU、內存等）操作，檢測軟件是否具有監(jiān)視告警功能;d）嘗試刪除審計進程，檢測是否執(zhí)行失??；e）使用調試工具修改內存中的進程代碼，檢測進程是否禁止被注入、被調試；f）嘗試使用反編譯工具對軟件進行反編譯，檢查是否具備反調試能力；g）檢測軟件是否可配置啟動進程白名單，若可配置，檢測是否可成功啟動白名單內進程；h）若軟件可配置啟動進程

45、白名單，檢測白名單外的進程是否能夠啟動；i）若軟件可配置啟動進程白名單，嘗試修改或替換白名單內應用程序，檢測是否阻止啟動；j）檢測進程異常、資源異常以及攻擊行為是否記錄審計日志。7. 2. 7 運行安全a）模擬并發(fā)事務和并發(fā)用戶訪問、大負載量、高吞吐量等極限情況，檢測軟件是否正常運行且具 備極限處理機制；b）模擬服務端和客戶端設備電源故障，恢復供電并開機后，檢測軟件功能是否正常，是否具備故 障診斷、故障報告、故障恢復的能力；c）中斷重要的應用、服務、進程，檢測軟件是否具備故障診斷、故障恢復的能力，且具備相應的 提示與告警；d）在正常運行時，使用檢測工具模擬發(fā)送網(wǎng)絡風暴時，檢測是否不出現(xiàn)誤發(fā)、誤

46、動、退出、業(yè)務 通信中斷等現(xiàn)象；e）使用檢測工具模擬SYN flood、UDP flood、Ping of death、Land等攻擊，檢測是否不出現(xiàn)誤 發(fā)、誤動、退出、重啟等現(xiàn)象，在中斷攻擊后的一定時間內是否恢復正常；f）使用漏洞掃描工具，對被測軟件進行掃描，檢測是否存在已知安全漏洞；g）使用滲透測試手段，檢測軟件是否存在可被利用的漏洞。7. 3 x版本管理版本管理檢測方法如下：a）查看軟件版本信息文件是否至少包含：產(chǎn)品名稱、產(chǎn)品型號、軟件版本號、軟件校驗碼、程序 文件路徑等信息；b）查看程序文件存放路徑，檢測程序文件是否放在一個文件目錄中；c）檢測是否支持通過Agent的方式實現(xiàn)對軟件版本信息的采集；d）應用于生產(chǎn)控制大區(qū)的關鍵控制軟件，檢測在可執(zhí)行程序啟動前是否校驗生產(chǎn)廠商和檢測機構 的簽名；啟動沒有或部分簽名的可執(zhí)行程序，檢測是否啟動失敗。附錄A（資料性附錄）數(shù)據(jù)分類分級參照表數(shù)據(jù)分級分類數(shù)據(jù)表參見表A. 1。表A. 1數(shù)據(jù)分級分類數(shù)據(jù)表保密等級名稱定義第I級完全公開數(shù)據(jù)包括各種已經(jīng)公開的各類報表、機構公開信息、停電通知等第II級一般數(shù)據(jù)本級數(shù)據(jù)不涉密、不敏感，主要用于支撐調度業(yè)務邏輯，維 持調控系統(tǒng)運行。通過統(tǒng)計、分析或者加工這些數(shù)據(jù)，不能 獲得國