《第6部分第5篇:数据安全(征求意见稿)(天选打工人).docx》由会员分享,可在线阅读,更多相关《第6部分第5篇:数据安全(征求意见稿)(天选打工人).docx(12页珍藏版)》请在金锄头文库上搜索。
1、Q/CSG Q/CSG XXXXX 中国南方电网有限责任公司企业标准中国南方电网有限责任公司 发 布2022-XX-XX 实施2022-XX-XX发布南方电网云边融合智能调度运行平台体系化技术标准第6-5部分:数据安全(征求意见稿)Q/CSG XXX目 次前 言II1范围12规范性引用文件13术语和定义14总体要求15数据产生26数据传输27数据存储38数据使用39数据处理310数据销毁4附录A5前 言为贯彻落实公司体系化、规范化、指标化目标,全面支撑以新能源为主体的新型电力系统运行,承接公司数字化转型与数字南网建设任务,适应电网运行特征从计划性、集中式向开放共享、智能互动的方向转变,构建全面
2、支撑电网安全运行和现货市场高效运营两大业务融合的智能调度运行平台,特制定南方电网云边融合智能调度运行平台(CEP)体系化技术标准。本次发布的体系化技术标准用于指导公司CEP云端系统、边缘端系统的建设。本体系化技术标准分为7部分27篇41分册,第1部分为体系及定义,共2篇,描述了总体架构和术语定义;第2部分为模型及接口,共3篇,描述了边缘集群与边缘网关的模型、协议及交互等要求;第3部分为云端系统,共5篇,描述了调度云平台、云端系统平台、云端应用、云端系统人机交互、云边数据交互等要求;第4部分为边缘端系统,共5篇,描述了边缘集群、边缘网关技术要求及边缘网关应用开发、智能运维、即插即用等要求;第5部
3、分为智能应用,共2篇,描述了各类智能应用技术等要求;第6部分为本质安全,共6篇,描述了云端和边缘端的本质安全技术等要求;第7部分为测试及检验,共4篇,描述了云端系统检验、边缘端系统检验、本质安全检测等要求。本体系化技术标准体系架构如下表所示:部分篇分册编号第1部分:体系及定义第1篇:总体架构和一般要求TS1.1第2篇:术语和定义TS1.2第2部分:模型及接口第1篇:边缘网关即插即用模型TS2.1第2篇:边缘网关即插即用接口及协议TS2.2第3篇:边缘集群接入TS2.3第3部分:云端系统第1篇:调度云第1分册:基础资源即服务TS3.1.1第2分册:平台即服务TS3.1.2第3分册:数据即服务TS
4、3.1.3第4分册:调度云平台与边缘集群协同交互TS3.1.4第2篇:云端系统平台TS3.2第3篇:云端应用开发TS3.3第4篇:云端系统人机交互TS3.4第5篇:云边数据交互TS3.5第4部分:边缘端系统第1篇:边缘集群 TS4.1第2篇:边缘网关TS4.2第3篇:边缘网关应用开发 TS4.3第4篇:边缘网关智能运维TS4.4第5篇:边缘网关即插即用 TS4.5第5部分:智能应用第1篇:预测及分析第1分册:人工智能系统负荷预测TS5.1.1第2分册:人工智能母线负荷预测TS5.1.2第3分册:人工智能新能源功率预测TS5.1.3第4分册:基于区块链的分布式能源交易TS5.1.4第5分册:云边
5、融合统一优化模型TS5.1.5第2篇:协同控制第1分册:电化学储能自动调频控制TS5.2.1第2分册:新能源有功功率自动控制TS5.2.2第3分册:充电设施云边协同自动控制TS5.2.3第4分册:微电网云边协同自动控制TS5.2.4第5分册:可调节负荷云边协同自动控制TS5.2.5第6分册:虚拟电厂云边协同自动控制TS5.2.6第7分册:配电网自动电压控制TS5.2.7第8分册:云边协同控制TS5.2.8第6部分:本质安全第1篇:本质安全技术导则TS6.1第2篇:云端系统本质安全TS6.2第3篇:边缘网关本质安全TS6.3第4篇:边缘集群本质安全TS6.4第5篇:数据安全TS6.5第6篇:基于
6、区块链的数据应用和传递TS6.6第7部分:测试及检验第1篇:云端系统检验TS7.1第2篇:边缘网关检验TS7.2第3篇:边缘集群检验TS7.3第4篇:本质安全检测TS7.4本技术标准是该系列的第6部分第5篇。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任。本文件由中国南方电网有限责任公司标准化部归口管理。本文件由中国南方电网电力调度控制中心提出、编制和负责解释。本文件起草单位:中国南方电网电力调度控制中心。本文件参加单位:本文件主要起草人员:本文件在执行过程中的意见或建议反馈至中国南方电网有限责任公司标准化部(广东省广州市黄埔区科翔路11号南网科研基地,510663)
7、。III南方电网云边融合智能调度运行平台体系化技术标准第6-5部分:数据安全(征求意见稿)1 范围本技术标准规定了CEP所涉及关键数据的产生、传输、存储、使用、处理、销毁等数据生命周期各阶段的安全防护技术要求。本技术标准适用于南方电网CEP的数据安全防护的规划、设计、建设、改造和检测。2 规范性引用文件下列文件中的条款通过本技术标准的引用而成为本技术标准的条款。凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本技术标准。凡是不标注日期的引用文件,其最新版本适用于本技术标准。GB/T 22239-2019 信息安全技术网络安全等级保护基本要求GB/T 31992-
8、2015 电力系统通用告警格式GB/T 33590-2017 智能电网调度控制系统技术方案DL/T 516-2006 电力调度自动化系统运行管理规程DL/T 5003 电力系统调度自动化设计技术规程Q/CSG 1204005.36-2014 南方电网一体化电网运行智能系统技术规范 第3部分:数据第6篇:全景建模规范Q/CSG 1204009-2015 中国南方电网电力监控系统安全防护技术规范Q/CSG 1204005.51.3-2014 南方电网一体化电网运行智能系统技术规范第5部分:主站应用第1篇:智能数据中心 第3分册:数据集成与服务类功能规范Q/CSG 1210049-2020 南方电网
9、数据安全总体要求技术规范Q/CSG1204104-2021 南方电网智能电网电力监控系统网络安全防护技术要求中华人民共和国主席令(第八十四号)中华人民共和国数据安全法国家发展改革委2014第14号令 电力监控系统安全防护规定国能安全201536号 电力监控系统安全防护总体方案南方电网一体化电网运行智能系统(OS2)网级主站标准化设计指南(2018版)3 术语和定义TS1.2界定的以及下列术语和定义适用于本技术标准。3.1可信计算 trusted computing是指在计算平台中,构建一条从安全信任根、硬件平台、操作系统到应用系统的信任链,并逐级度量和验证,实现信任的逐级扩展,从而构建安全可信
10、的计算环境。3.2关键数据 critical data是指不涉及国家秘密,但与国家安全、经济发展、公共利益、企业发展密切相关的数据,具体范围见附录A。4 总体要求CEP应保证关键数据的产生、传输、存储、使用、处理、销毁等数据生命周期各阶段的安全。a) 数据产生环节:应具备数据可溯源、可追查能力,敏感数据应具备源端加密能力;b) 数据传输环节:应采用完整性校验、加密技术保证数据传输的安全性;应采用数据恢复技术对校验错误的数据进行复现;c) 数据存储环节:应采用完整性校验、加密技术保证数据存储的安全性;关键数据应采用多节点、多副本的存储方式数据存储环节;d) 数据使用环节:应采用权限管理技术,按自
11、定义规则分配数据访问及使用权限;应采用加密技术手段和防护体系防止数据泄漏;e) 数据处理环节:应具备敏感数据的全过程审计、监控、访问告警、发布审批、数据脱敏能力;f) 数据销毁环节:数据及数据存储媒体应通过技术手段,使数据彻底删除且无法通过任何手段恢复;g) 应按照Q/CSG 1210049-2020的要求对CEP数据进行分级分类,并落实相应的安全防护要求;h) CEP宜采用可信计算技术,抵御恶意软件攻击等。5 数据产生5.1 数据采集数据采集应满足以下要求:a) 应制定数据采集原则,明确采集数据的目的和用途,确保数据收集和获取的合法性和正当性;b) 应对采集数据进行分类分级标识,数据的内容应
12、至少包括数据级别、类型、时效、IP地址、归属地、域名、操作系统类型和版本、端口、服务、应用软件类型和版本等;c) 应支持多种采集协议,如SNMP Trap、Syslog、NetFlow、FTP、Web Service等;d) 应支持bypass、agent等采集部署方式;e) 采取必要的技术手段或管控措施如数字签名技术,确保收集和获取到的数据不被泄露、篡改,并进行完整性和一致性校验。5.2 数据预处理 数据预处理应满足以下要求:a) 数据预处理过程,应保证数据的真实性,不造成关键属性或特征缺失;b) 应对边缘网关、云端系统、边缘集群采集到的日志信息进行过滤、聚合、关联、丰富、结构化、存储等处理
13、;c) 应对边缘网关、云端系统、边缘集群采集到的状态信息进行关联、存储等处理。5.3 数据溯源 数据溯源应满足以下要求:a) 应支持通过源IP、目的IP、源端口、目的端口、传输层协议类型、业务协议类型、时间戳等条件组合查询关联事件;b) 应支持通过关联事件查找具体的流量信息、日志信息、agent采集的信息等;c) 应支持对具体的事件、会话信息做展示,实现数据回溯和追查;d) 应部署并启用审计系统,跟踪和记录数据收集和获取过程,支持对数据收集和获取操作过程的可追溯性。6 数据传输6.1 数据完整性数据完整性应满足以下要求:a) 数据传输应采用校验码、数字签名、信息摘要等技术,保证数据传输的完整性
14、;b) 当检测到完整性遭到破坏时,应具备相关措施对数据进行恢复或重新获取。6.2 数据机密性数据机密性应满足以下要求:a) 应支持采用国家密码主管部门要求的密码算法保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据等;b) 宜在通信双方建立连接之前利用密码技术进行会话初始化验证,并对会话过程中的整个报文进行加密;c) 宜采用专用传输协议或安全传输协议服务,避免来自基于协议的攻击破坏保密性;d) 敏感数据应采用端到端加密传输模式,传输过程中不允许存储、记录及解密;e) 应采用网络数据防泄露检测措施,基于事先确定的关键字、表达式及指纹库等方式,对传输中的数据进行深度内容检测,发现传输中的敏感数据并告警。6.3 数据可靠性数据可靠性应满足以下要求:a) 应对数据的传输速率及优先级保障进行控制
