Q／GDW 12196-2021  電力自動化系統(tǒng)軟件安全檢測規(guī)范

使用電力調度數字證書認證的軟件，應保證為每個應用分配唯一的證書，應驗證證書和證書鏈 的有效性，禁止使用不符合鏈式結構、過期、撤銷的數字證書； d 重要業(yè)務數據傳輸宜采用斷點續(xù)傳、數據校驗等方式保證數據傳輸的完整性； e） 應保證通信數據保密性，對鑒別信息、密鑰等敏感數據進行加密處理： f 能夠過濾非法業(yè)務數據，校驗通信數據合法性； g 應保證通信交互行為的安全性，具備防重放、篡改等安全防護能力； h 針對帶隨機數的通信報文，應具備生成隨機數的不確定性，使隨機數具備隨機性、不可預測性 和不可重現(xiàn)性； 1 人機客戶端、配置管理軟件應使用私有安全協(xié)議，禁止使用不安全的傳輸協(xié)議； 應保證DL/T634.5104、DL/T860等通信協(xié)議的健壯性，正確處理各類畸形報文和攻擊報文， 確保業(yè)務的正常交互； k 異常連接訪問、通信認證異常應記錄審計日志。

6.2.3.1服務注冊認證安全要求

對于其備服務功能的軟件，服務注冊認證安全要求如下： a）在服務注冊時服務管理者應進行合法性驗證，防止非法服務注冊； 應限制對服務注冊信息進行非法刪除或修改等操作； 應能夠對非授權服務申請者私自連接的行為進行監(jiān)測排水標準規(guī)范范本，并對其進行有效阻斷； d）宜具備服務注冊認證功能

6.2.3.2服務業(yè)務交互安全要求

對于具備服務功能的軟件，服務業(yè)務交互安全要求如下： a）應具備安全機制限制業(yè)務超范圍調用服務資源； b）應具備在同一時間段內對服務調用數量進行限制的功能； c）服務交互時應對關鍵業(yè)務數據或者敏感信息進行加密，保證服務交互信息的保密性： 應對通信服務提供者和服務消費者之間通信進行防護，對執(zhí)行非法數據注入、惡意代碼注入、 請求內容刪除等操作進行限制： 服務提供者應具備訪問控制策略，基于訪問策略對服務消費者進行權限限制； 廣域服務調用應具備身份認證機制，服務提供者需要檢測服務請求來源，防止非法服務進行遠 程調用。

6. 2. 3. 3服務安全管理要求

對于具備服務功能的軟件，服務安全管理要求如下： a）應具備服務全生命周期管理、注冊資產安全管理、命令管理等安全管理功能，自動清除已失效 的服務； b 應具備對服務注冊對象占用資源的監(jiān)視及告警功能，包括CPU、磁盤、內存、網絡等資源的使 用情況； C 應具備服務行為審計機制，對服務的接入請求、接入后的操作軌跡、異常行為應記錄審計日志： d 應限制使用未關閉的基礎組件默認服務，包括刪除默認界面、禁用默認管理用戶、修改默認密 碼。

6. 2. 4應用安全

6.2.4.1控制業(yè)務安全要求

Q/GDW 12196202

控制業(yè)務一般包括直控、選擇性控制、閉鎖控制、同期控制、校核控制、聯(lián)動控制、一鍵順控、運 維檢修控制操作等，對于具備控制操作功能的軟件，控制業(yè)務安全要求如下： 應對控制操作的人員加以限制，僅允許授權的人員執(zhí)行控制操作； 6 應具備控制操作正確性校驗，如校核、閉鎖、同期等，應依據邏輯規(guī)則僅執(zhí)行期望的動作，不 允許執(zhí)行其他更多的動作； C 應具備聯(lián)動控制、選擇性控制等時效性檢測，防范過期的控制操作； d 應支持對批量控制、協(xié)同控制的校核，正確校核多重、連鎖故障狀態(tài)，校驗業(yè)務邏輯的正確性； e 應具備控制信號資源搶占的處理機制，禁止多個控制主體同一時刻對同一臺設備進行控制操 作，禁止被控設備同時響應多個操作命令； f 應正確處理遠程和本地控制操作權限，只能本地控制的操作禁止遠程執(zhí)行； 對于雙席控制操作，應通過具備權限的監(jiān)護員確認后方可執(zhí)行控制操作； h 對于主站控制操作，應具備雙重信息點表的校核機制，只有同時通過校核方可進行控制操作； 1 所有控制操作及行為應記錄審計日志，至少包括操作人員、操作對象、操作內容、操作時間和 操作結果

6.2.4.2配置業(yè)務安全要求

配置業(yè)務安全要求如下： a）應支持對參數配置操作進行訪問控制； b 應具備數據有效性檢驗功能，保證人工置數、定值修改、參數配置輸入的數據格式、長度、數 值范圍等應符合軟件設定要求，能夠識別并拒絕執(zhí)行不合法的參數配置； 應具備多個主體對同一參數配置的安全處理機制，應具備互斥能力； d）配置變更應記錄審計日志

分析處理業(yè)務安全要求如下： a）應支持對數據合理性和安全性進行檢查和過濾，能正確識別數據跳變、缺失、失真、格式不統(tǒng) 一等異常數據并丟棄； 6） 應支持對數據質量進行檢查和過濾，并正確處理與設置數據質量標識，包括但不限于數據類型： 未初始化數據、不合理數據、計算數據、非實測數據、采集中斷數據、人工數據、壞數據、可 疑數據、采集閉鎖數據（量測值被封鎖，收到實時數據后不會更新）、控制閉鎖數據（量測不 允許控制操作）、旁路代替數據、對端代替數據、不刷新數據（在定義的時間周期內前置未收 到量測報文的數據）、越限數據等； C 應具備點多源數據（如成對關聯(lián)數據）處理功能，同一測點的多源數據應進行合理性校驗并經 選優(yōu)判斷，具備防止因多數據源切換造成數據跳變的功能： d 應具備對計算過程中產生的臨時數據的安全防護策略，臨時數據占用資源應及時釋放： e 應具備業(yè)務邏輯、業(yè)務流程的正確性校驗和安全防護能力，不應存在設計缺陷、邏輯漏洞； 應對重要數據接口、重要服務接口的調用進行訪問控制，并對調用數據進行合法性校驗： 數據分析與處理過程中異常告警及安全事件應記錄審計日志

6.2.4.4監(jiān)視業(yè)務安全要求

對于具備監(jiān)視業(yè)務的軟件，監(jiān)視業(yè)務安全要求如下： a）應不可修改運行監(jiān)視數據的真實值：

b）應只允許具備權限的用戶訪問相應的業(yè)務模塊，無關的信息不應出現(xiàn)在當前監(jiān)視界面： C）用戶對監(jiān)視數據的修改應記錄審計日志。

6.2.4.5采集業(yè)務安全要求

采集業(yè)務安全要求如下： a）數據采集應僅向被授權的對象傳輸數據： b) 采集數據應可溯源，應確保采集數據真實可信； 應能識別非法采集數據，應能識別采集過程中的異常行為，并具備相應的安全策略； d）應具備處理批量數據輸入、采集數據量超上限保護機制，防止數據丟失、覆蓋

6. 2. 5數據安全

數據安全要求如下： a）應對重要業(yè)務數據、證書等進行訪問控制，并限制輸出的操作權限： 應對重要業(yè)務數據、證書、密鑰等導入操作進行權限控制和校驗： 應具備對業(yè)務數據全生命周期的保護策略，包括但不限于數據采集、存儲、處理、應用、流動 銷毀等過程； d 應具備對數據進行分級分類保護，不同類別級別的數據采取不同的安全防護策略，數據分級分 類數據表參見附錄A； e） 應采用密碼技術或其他保護措施保證重要業(yè)務數據、敏感數據保密性： f 應采用校驗技術或密碼技術等保證重要業(yè)務數據、敏感數據在存儲時完整性： g 審計日志應至少保存6個月，應設置審計日志存儲余量控制策略，當存儲空間接近極限時，裝 置應能采取必要的措施保護存儲數據的安全； h 非授權用戶禁止修改、刪除審計日志； 1 在正常運行狀態(tài)下及軟、硬件異常情況下應對存儲數據進行保護，數據不應丟失 j 應具備重要業(yè)務數據的備份與恢復功能； K 數據操作、數據備份、數據恢復、審計日志告警等應記錄審計日志

對電力自動化系統(tǒng)軟件進程的安全要求如下： a）應支持進程創(chuàng)建、資源回收、進程守護等進程管理能力； b）應對核心業(yè)務進程異常、內存耗盡等情況進行監(jiān)視； c）應對審計進程進行保護，禁止中斷審計進程； d）應具備防注入、反調試、反逆向能力； 宜采用基于可信計算的動態(tài)安全防護機制，對軟件進程、數據、代碼段進行動態(tài)度量，不同進 程之間不應存在未經許可的相互調用，禁止向內存代碼段與數據段直接注入代碼的執(zhí)行； 進程異常、資源異常以及攻擊行為應記錄審計日志。

6. 2. 7運行安全

運行安全要求如下： a） 應具備對并發(fā)事務和并發(fā)用戶訪問、大負載量、高吞吐量等極限情況的處理機制，保證業(yè)務的 連續(xù)性； b) 應具備自診斷、自恢復能力，當發(fā)生軟件異常時，在一定時間內恢復正常功能； C 主備機切換或網絡切換時，軟件應正常工作，采集及傳送的信息不應丟失或重復； 應具備抵御各種常見網絡攻擊的能力，面對網絡風暴時，不應出現(xiàn)誤動、誤發(fā)報文、退出、通

信不中斷等現(xiàn)象；面對拒絕服務攻擊時，不應出現(xiàn)誤動、誤發(fā)報文、退出等現(xiàn)象，且在中斷攻 擊后的一定時間內恢復正常功能； 不應存在安全漏洞，包括但不限于存在與業(yè)務無關的服務和端口、敏感信息泄露、越權訪問漏 洞、注入漏洞、命令執(zhí)行漏洞等。

電力自動化系統(tǒng)軟件應支持版本信息采集和上送功能，關鍵業(yè)務軟件宜支持基于可信計算的強制版 本管理。版本管理檢測要求如下： a）應具備軟件版本信息配置文件，至少包含：產品名稱、產品型號、軟件版本號、軟件校驗碼、 程序文件路徑等信息； 宜統(tǒng)一將程序文件部署于一個文件目錄中，便于管理； C 宜支持通過Agent的方式實現(xiàn)對軟件版本信息的動態(tài)采集，應支持通過現(xiàn)有通信協(xié)議上送軟件 版本信息： d 應用于生產控制大區(qū)的關鍵控制軟件宜在可執(zhí)行程序啟動前校驗生產廠商和檢測機構的簽名， 保證軟件版本的合規(guī)性，

7.1.1代碼安全掃描

代碼安全掃描檢測方法如下： a）使用代碼安全掃描工具，通過代碼編譯、構建配置文件獲取、規(guī)則匹配等檢測環(huán)節(jié)，發(fā)現(xiàn)源代 碼缺陷； b） 人工對源代碼缺陷進行篩查，進行風險分析，

7.1.2代碼靜態(tài)分析

代碼靜態(tài)分析檢測方法如下： a）使用代碼靜態(tài)分析和規(guī)則檢查掃描工具，通過代碼編譯、構建配置文件獲取、規(guī)則匹配等 環(huán)節(jié)，發(fā)現(xiàn)源代碼缺陷； b）人工對源代碼缺陷進行篩查，確保缺陷準確性，

7.1.3代碼靜態(tài)度量

代碼靜態(tài)度量檢測方法如下： a）使用質量度量工具，通過分析代碼度量計算，進行源代碼靜態(tài)度量； b）人工對度量結果進行計算審核，確保度量結果準確性。

代碼審計檢測方法如下： a）使用代碼審計掃描工具對代碼進行掃描，結合掃描結果對源代碼進行人工審查，發(fā)現(xiàn)代碼中存 在的編碼安全漏洞和業(yè)務安全漏洞； 利用發(fā)現(xiàn)的代碼漏洞進行滲透，驗證漏洞的危害性

接入安全檢測方法如下： a）將人機客戶端、配置管理軟件等接入，檢測是否設定黑、白名單方式限制非法的客戶端、管理 軟件的接入； D 查看軟件開放的接口，檢測是否只有通過身份認證后的對象方可接入并進行數據交互； C 查看接口說明，并驗證是否僅開放了設定的應用范圍，超出范圍的訪問是否被拒絕； d 檢測是否配置接口并發(fā)數量，同一時間接入多于允許的接口并發(fā)訪問數量，檢測是否加以限制； e 檢測人機客戶端、配置管理軟件等接入以及配置操作是否記錄審計日志，并與實際相符

用戶管理及授權安全檢測方法如下： a 查看系統(tǒng)用戶的ID標識是否唯一，是否不存在重復標識的用戶：新建與庫用戶名相同的用戶， 檢測是否新建失��； b） 注冊新用戶初次登錄或修改用戶口令時，檢測是否要求密碼最小長度及復雜度，嘗試配置 ro0t、123等弱口令以及將用戶口令設置為與用戶名一致，檢測是否配置失��； C 用戶綁定正確的電力調度數字證書時，檢測是否綁定成功，使用同一個數字證書綁定多個用戶 是否失敗，檢測是否綁定失敗，更換錯誤CA根證書，檢測是否能夠正確識別不符合鏈式驗證 的數字證書，并綁定失敗； d 檢測系統(tǒng)是否至少具備管理員、審計員和操作員三種角色，是否存在root以及具備其他所有 權限的用戶，檢測每個角色的權限是否滿足最小權限原則要求； e 檢測是否為每一個用戶分配訪問權限，并限定訪問模塊，不同角色間是否權限交叉，將不同角 色授予同一用戶，檢測是否失��； f 檢測用戶管理列表，是否用戶管理列表與用戶數據表信息一致，是否自動提示管理員刪除超過 設定閑置期限的廢棄多余賬號、過期賬戶，是否不存在共享賬戶用戶； 檢測授權行為、用戶變更等是否均記錄審計日志

7.2.1.3登錄認證檢測方法

登錄認證檢測方法如下： a）分別使用不同角色的用戶登錄，檢測是否正確依據認證方式對所有登錄用戶進行身份認證，是 否滿足數字證書、生物特征識別和口令認證的一種或幾種組合認證方式； 6） 使用電力調度數學證書登錄認證時，分別使用過期、被撤銷的證書進行登錄，檢測是否失�。� 設置特定時長、登錄失敗次數、鎖定時長，檢測是否配置成功：檢測在默認配置條件下，同 賬戶連續(xù)登錄失敗5次以上，檢測賬號是否被鎖定，并產生提示告警信息，檢測鎖定時長是否 為10分鐘； d） 恢復策略若為自動恢復，到達鎖定時長后，登錄人員賬號，檢測是否登錄成功： e） 恢復策略若為手動恢復，登錄管理員賬號對被鎖定賬號進行解鎖，解鎖后登錄人員賬號，驗證 是否登錄成功： f 使用同一賬號同一時間內在多點登錄，檢測是否對該行為進行限制阻斷并產生告警事件； g 設置會話超時時間為特定時長，使用用戶成功登錄，進入非運行監(jiān)控會話界面，檢測當用戶處 于會話界面在設定時長（如10分鐘）未做任何操作時，是否自動退出當前會話界面： h）檢測本地客戶端、配置管理軟件等是否沒有存儲鑒別信息、運行相關重要數據：

Q/GDW 12196202

i）檢測用戶登錄、用戶退出、連接超時以及異常登錄訪問事件等是否均記錄審計日志。

7.2.1.4操作安全檢測方法

操作安全檢測方法如下： a 進行操作控制、參數配置、模型文件修改、配置文件上傳/下載時，檢測是否僅允許設定范圍 內的用戶操作； 6 在數據輸入界面輸入惡意或畸形數據，檢測是否檢測數據的有效性，限制非法數據的輸入； 檢查數據允許的字節(jié)長度、數據類型和上下限范圍，并輸入相應的值檢測是否對所有輸入數據 進行嚴格過濾； d 根據設定的輸入條件，錄入不符合運行約束或業(yè)務邏輯的數據，檢測是否拒絕執(zhí)行該修改操作； e 對重要控制操作時，檢測是否需再次身份認證后方可執(zhí)行操作； 對于主站控制類操作，控制點編號預置時，是否需對控制點編號再次輸入驗證，是否只有兩次 編號校驗一致方可進行預置操作，不一致時則中止操作； 模擬邏輯錯誤操作，檢測是否禁止該異常操作且給予提示； h 進行文件下載時，檢測是否限制操作的目錄，是否不允許有“.”、“”、“”等跳轉目錄 1 檢測文件上傳時是否對文件格式、內容進行校驗，上傳惡意文件時是否能夠識別并拒絕執(zhí)行； J 檢測在異常操作或系統(tǒng)故障時，返回的提示信息是否不包含程序代碼及敏感信息等； K 檢測控制操作、參數配置、文件上傳/下載行為是否記錄審計日志，

7. 2. 2通信安全

7.2.2.1通信服務基本要求檢測方法

外部通信安全檢測方法如下： a）接入通信對象，檢測是否只允許白名單內IP、MAC、APPID等方可成功建立連接； b 結合通信協(xié)議，對于支持單向或雙向身份認證的通信機制，檢測身份認證過程是否正確； C 對于使用電力調度數字證書的認證機制，檢測數字證書是否被多個應用共用，檢測證書的有效 期、鏈式結構、狀態(tài)是否滿足要求，使用過期的數字證書、錯誤的CA證書以及處于撤銷狀態(tài) 的數字證書，檢測認證是否失敗； d） 傳輸較長的業(yè)務報文時，傳輸過程中中斷，檢測是否具備斷點續(xù)傳功能，檢測重要的業(yè)務數據 是否有校驗機制，保證數據的完整性； e 檢測通信報文中鑒別信息、密鑰等是否進行加密處理； 傳輸非法的業(yè)務數據，檢測是否能夠過濾非法業(yè)務數據，識別通信數據合法性： g 檢查通信協(xié)議是否有時間戳、校驗等安全機制，使用檢測工具對重要控制報文進行重放、篡改， 檢測是否控制失�。� h 對于使用隨機數的通信協(xié)議，檢測報文中隨機數是否不可被預測和重現(xiàn)； 1 抓取并分析軟件與人機客戶端或配置管理軟件間的通信報文，檢測是否使用不安全的私有協(xié) 議：

Q/GDW121962021

j）對DL/T634.5104、DL/T860等通信協(xié)議，使用協(xié)議健壯性測試工具輸入隨機的數據和不合法 的數據，生成各類畸形報文和攻擊報文，檢測是否具備識別能力和保護策略，確保通信協(xié)議的 健壯性和業(yè)務的正常交互； k）檢測異常連接訪問、通信認證異常是否均記錄審計日志。

服務注冊認證安全檢測方法如下： a 檢測服務管理者是否配置白名單等機制保證服務注冊申請者的合法性，使用非授權服務訪問軟 件提供的服務，檢測是否拒絕訪問； b 刪除或修改服務注冊文件，檢測是否限制被刪除或修改服務注冊文件的操作 c）接入非授權的服務申請者，檢測是否能識別并阻斷； d）檢測是否具備服務注冊認證功能。

7.2.3.2服務業(yè)務交互安全檢測方法

服務業(yè)務交互安全檢測方法如下： a）對已授權服務嘗試調用超出范圍的服務資源，檢測調用資源范圍是否限制； 6） 模擬同一時間段內多個業(yè)務調用同一服務，檢測是否對服務調用數量進行限制： C 查看服務接口請求內容，對關鍵業(yè)務數據或者敏感信息進行解密，檢測服務交互信息的保密性； 抓取服務提供者和服務使用者之間通信報文，執(zhí)行非法數據注入、惡意代碼注入、請求內容刪 除等操作，檢測是否能禁止非法操作； 模擬非法服務遠程調用操作，檢測服務提供者是否檢測服務請求身份； 模擬服務消費者發(fā)起調用請求，檢測局域服務提供者是否具備訪問控制策略，對服務消費者進 行權限限制

7.2.3.3服務業(yè)務管理安全檢測方法

服務業(yè)務管理安全檢測方法如下： a) 查看軟件是否具備服務全生命周期管理、注冊安全管理、命令管理等安全管理功能，檢測是否 可自動清除已失效的服務； 查看服務行為審計，檢測是否對服務接入請求、操作軌跡、異常攻擊行為等內容進行記錄； C 檢測軟件是否對服務對象占用的CPU、磁盤、內存、網絡等資源的使用情況進行監(jiān)視，檢測當 資源占用率超過設定的告警閱值時是否產生告警，并具備資源異常占用的安全處理策略； d 檢查軟件是否提供日志修改或刪除接口，通過SQL注入、日志偽造等修改或刪除日志，檢測是 否禁止審計日志被刪除、修改； e 檢測軟件是否不存在基礎組件的默認界面，或禁用默認管理用戶，初次登錄是否要求修改默認 密碼。

7.2.4.1控制業(yè)務安全檢測方法

控制業(yè)務安全檢測方法如下： a）檢測控制操作是否只有具備權限的人員方可執(zhí)行成功

Q/GDW 12196202

） 分別對各類控制進行正常、異常操作，如校核、閉鎖、同期等，檢測是否對控制操作正確性進 行校驗，是否僅執(zhí)行期望的動作； 對于有時效性的聯(lián)動控制、選擇性控制等，分別進行設定時效內和時效外的操作，檢測控制操 作的時效性處理是否正確； d 對于批量控制、協(xié)同控制，檢測對多個控制操作的邏輯校核是否正確，對多重、連鎖故障狀態(tài) 下控制動作流程是否準確； e 使用多個控制主體同時對同一臺設備進行控制操作，檢測是否僅執(zhí)行一個控制操作，無誤動現(xiàn) 象； f 嘗試對只配置為本地控制操作的控制對象進行遠程控制，檢測是否拒絕執(zhí)行； g 對于雙席操作控制，檢測操作員進行控制時，是否只有通過監(jiān)護員確認后方可執(zhí)行成功： h 在主站的控制操作，檢測是否具備雙重信息表校核機制，更換其中一個控制點信息表，檢測是 否控制失敗，且給予提示告警： 檢測所有控制操作及行為是否記錄審計日志。

7.2.4.2配置業(yè)務安全檢測方法

配置業(yè)務安全檢測方法如下： 分別使用具備配置權限的用戶和不具備權限的用戶對具備配置功能的參數進行修改操作，檢測 參數配置權限管理的有效性； b 檢查各參數的允許范圍，并進行超范圍的配置，檢測是否對配置參數的正確性進行校驗； C 使用多個主體同時對同一參數進行配置操作，檢測同一時間是否只允許執(zhí)行其中一個操作，不 出現(xiàn)跳變等異�，F(xiàn)象； d 檢測配置變更操作是否記錄審計日志，

7.2. 4.3分析處理業(yè)務安全檢測方法

分析處理業(yè)務安全檢測方法如下： a）檢測是否支持對數據合理性和安全性進行檢查和過濾，能否正確識別數據跳變、缺失、失真、 格式不統(tǒng)一等異常數據并丟棄； b 檢測是否支持對數據質量進行檢查和過濾，是否正確設置數據質量標識，至少包含但不限于： 未初始化數據、不合理數據、計算數據、非實測數據、采集中斷數據、人工數據、壞數據、可 疑數據、采集閉鎖數據、控制閉鎖數據、旁路代替數據、對端代替數據、不刷新數據、越限數 據等； 檢測對同一測點的多源數據是否能夠進行合理性辨識校驗，在多數據源切換時是否存在數據跳 變的現(xiàn)象； d 檢測分析與處理過程中產生的臨時數據、臨時動態(tài)數據集在生命周期結束后，是否及時釋放臨 時數據占用資源； e） 對控制業(yè)務流程、業(yè)務邏輯等進行繞過、篡改、利用等，檢測是否執(zhí)行失敗，并產生相應的告 警事件； 檢測對重要數據接口、重要服務接口的調用是否進行訪問控制，是否對調用數據進行合法性校 驗，只有合法的數據方可調用成功； 檢測數據分析與處理過程中異常告警及安全事件是否記錄審計日志。

7.2. 4. 4監(jiān)視業(yè)務安全檢測方法

對于具備監(jiān)視業(yè)務的軟件，監(jiān)視業(yè)務安全檢測方法如下：

Q/GDW121962021

a）檢測運行監(jiān)視數據真實值是否不可被修改； b）檢測用戶是否僅允許查看權限內的業(yè)務模塊，無關的信息不出現(xiàn)在當前監(jiān)視界面 c）檢測用戶對監(jiān)視數據的修改（如置數）是否記錄審計日志

7.2.4.5采集業(yè)務安全檢測方法

采集業(yè)務安全檢測方法如下： a）檢測采集數據是否僅向被授權的對象傳輸數據； b) 檢測采集數據來源是否可溯源，是否和實際值一致； C 檢測是否能夠識別并丟棄非法采集數據、采集中斷數據等； d 發(fā)送批量采集數據，檢測是否具備采集數據量超上限保護機制，采集數據是否不丟失、不覆蓋

數據安全檢測方法如下： a）檢測是否具備相應權限的主體方可訪問重要業(yè)務數據、重要配置數據、重要審計數據、證書等， 進行導出操作時，檢測是否只有具備輸出權限的用戶方可操作成功； 檢測是否僅允許具備相應權限的主體方可導入配置參數、證書、密鑰等，檢測是否對導入數據 格式、內容等進行校驗，并丟棄校驗不通過的導入數據； C 檢測是否具備對業(yè)務數據全生命周期的保護策略且有效，包括但不限于數據采集、存儲、處理、 應用、流動、銷毀等過程； d 檢測是否對數據進行分級分類保護，并驗證重要業(yè)務數據、敏感數據在調用、流轉過程中安全 防護策略是否有效； e 檢測口令、密鑰、重要業(yè)務等敏感數據在存儲時是否采用國密算法保證存儲的保密性，并驗證 加密算法正確性； 檢測是否采用校驗技術或密碼技術等對重要業(yè)務數據、重要配置數據、重要審計數據、敏感數 據在存儲時進行完整性校驗： B 通過生成6個月的審計日志文件或修改軟件系統(tǒng)時間，檢測是否至少保存6月的審計日志； h 設置存儲容量閾值，檢測是否具備存儲空間余量控制策略，并在存儲容量即將達到上限時應進 行告警； i） 在正常運行狀態(tài)下，以及觸發(fā)軟異常情況下，檢測是否對存儲數據進行保護，保證存儲數據不 丟失； 檢測非授權用戶是否禁止修改、刪除審計日志； k 檢測重要業(yè)務數據是否具備備份與恢復功能，且實現(xiàn)正確； 1 檢測證書、密鑰操作及變更、數據備份、數據恢復、審計日志存儲容量告警等是否記錄審計日 志。

數據安全檢測方法如下： a）檢測是否具備相應權限的主體方可訪問重要業(yè)務數據、重要配置數據、重要審計數據、證書等， 進行導出操作時，檢測是否只有具備輸出權限的用戶方可操作成功； 檢測是否僅允許具備相應權限的主體方可導入配置參數、證書、密鑰等，檢測是否對導入數據 格式、內容等進行校驗，并丟棄校驗不通過的導入數據； C 檢測是否具備對業(yè)務數據全生命周期的保護策略且有效，包括但不限于數據采集、存儲、處理、 應用、流動、銷毀等過程： d 檢測是否對數據進行分級分類保護，并驗證重要業(yè)務數據、敏感數據在調用、流轉過程中安全 防護策略是否有效； 檢測口令、密鑰、重要業(yè)務等敏感數據在存儲時是否采用國密算法保證存儲的保密性，并驗證 加密算法正確性； f 檢測是否采用校驗技術或密碼技術等對重要業(yè)務數據、重要配置數據、重要審計數據、敏感數 據在存儲時進行完整性校驗： 名 通過生成6個月的審計日志文件或修改軟件系統(tǒng)時間，檢測是否至少保存6月的審計日志； h 設置存儲容量閾值，檢測是否具備存儲空間余量控制策略，并在存儲容量即將達到上限時應進 行告警； 在正常運行狀態(tài)下，以及觸發(fā)軟異常情況下，檢測是否對存儲數據進行保護，保證存儲數據不 丟失； j）檢測非授權用戶是否禁止修改、刪除審計日志； k 檢測重要業(yè)務數據是否具備備份與恢復功能，且實現(xiàn)正確； 檢測證書、密鑰操作及變更、數據備份、數據恢復、審計日志存儲容量告警等是否記錄審計日 志。

進程安全檢測方法如下： a 建立多個業(yè)務連接并停止，檢測資源占用是否隨著進程的創(chuàng)建和停止而變化； b) 嘗試終止軟件核心業(yè)務進程，檢測進程是否可自行恢復； C 模擬進程大量占用軟件資源（CPU、內存等）操作，檢測軟件是否具有監(jiān)視告警功能； 嘗試刪除審計進程，檢測是否執(zhí)行失敗； e 使用調試工具修改內存中的進程代碼，檢測進程是否禁止被注入、被調試； 嘗試使用反編逢工具對軟件進行反編逢，檢查是否具備反調試能力：

g）檢測軟件是否可配置啟動進程白名單，若可配置，檢測是否可成功啟動白名單內進程； h）若軟件可配置啟動進程白名單，檢測白名單外的進程是否能夠啟動； i）若軟件可配置啟動進程白名單，嘗試修改或替換白名單內應用程序，檢測是否阻止啟動； i）檢測進程異常、資源異常以及攻擊行為是否記錄審計日志

模擬并發(fā)事務和并發(fā)用戶訪問、大負載量、高吞吐量等極限情況，檢測軟件是否正常運行且具 備極限處理機制； b） 模擬服務端和客戶端設備電源故障，恢復供電并開機后，檢測軟件功能是否正常，是否具備故 障診斷、故障報告、故障恢復的能力； C 中斷重要的應用、服務、進程，檢測軟件是否具備故障診斷、故障恢復的能力，且具備相應的 提示與告警； d 在正常運行時，使用檢測工具模擬發(fā)送網絡風暴時，檢測是否不出現(xiàn)誤發(fā)、誤動、退出、業(yè)務 通信中斷等現(xiàn)象； e 使用檢測工具模擬SYNflood、UDPflood、Pingofdeath、Land等攻擊，檢測是否不出現(xiàn)誤 發(fā)、誤動、退出、重啟等現(xiàn)象，在中斷攻擊后的一定時間內是否恢復正常； 使用漏洞掃描工具，對被測軟件進行掃描，檢測是否存在已知安全漏洞； 使用滲透測試手段，檢測軟件是否存在可被利用的漏洞

版本管理檢測方法如下： 2 查看軟件版本信息文件是否至少包含：產品名稱、產品型號、軟件版本號、軟件校驗碼、程序 文件路徑等信息； 查看程序文件存放路徑，檢測程序文件是否放在一個文件目錄中； C 檢測是否支持通過Agent的方式實現(xiàn)對軟件版本信息的采集； 應用于生產控制大區(qū)的關鍵控制軟件，檢測在可執(zhí)行程序啟動前是否校驗生產廠商和檢測機構 的簽名：啟動沒有或部分簽名的可執(zhí)行程序，檢測是否啟動失敗，

附錄A （資料性附錄） 數據分類分級參照表

數據分級分類數據表參見表A.1。

附錄A （資料性附錄） 數據分類分級參照表

表A.1數據分級分類數據表

Q/GDW 12196202

電力自動化系統(tǒng)軟件安全檢測規(guī)范

編制月京， 編制主要原則. 與其他標準文件的關系. 主要工作過程. 標準結構和內容.. .18 條文說明..

玻璃標準規(guī)范范本Q/GDW 121962021

本標準按照《2020年度國家電網有限公司技術標準制 修訂計劃》（國家電網科【2020】21號）的 要求編寫。 本標準編制背景是為了提高電力自動化系統(tǒng)軟件安全檢測水平，引導電力自動化系統(tǒng)軟件提供廠商 充分考慮安全設計理念，提升電力自動化系統(tǒng)軟件的安全防護能力，且目前尚無對電力自動化系統(tǒng)軟件 安全的檢測規(guī)范，因此需要編制本標準以確保電力自動化系統(tǒng)軟件在現(xiàn)場的可靠應用。 本標準編制主要目的是規(guī)范了電力自動化系統(tǒng)軟件安全要求及檢測方法

本標準主要根據以下原則編制： 先進性原則。充分考慮并吸收了電力自動化系統(tǒng)軟件安全檢測技術的前沿技術和相關檢測工作 的經驗； 全面性原則。涵蓋了電力自動化系統(tǒng)軟件安全檢測要求和檢測方法； 適用性原則。本標準從公司生產運行部門的實際情況出發(fā)，充分考慮了電力自動化系統(tǒng)軟件的 實際應用。

3與其他標準文件的關系

本標準不涉及專利、軟件著作權等知識產權使用問題

2020年3月初，根據國家電網有限公司技術標準編制計劃要求，由中國電力科學研究院組建標準編 寫組。 2020年4月30日，以騰訊會議形式召開標準大綱討論會，經過與會專家的討論，編寫組完成了標準 大綱的編寫。 2020年5月21日，以騰訊會議形式召開初稿討論會，經過與會專家的討論，對標準的章節(jié)結構進行 了精簡，對章節(jié)內容進行了合并，對部分術語進行了補充。 2020年8月26日，在北京召開標準研討會議，經過與會專家的討論，對標準內容進行了補充完善， 進一步規(guī)范了適用范圍和內容結構，針對業(yè)務軟件的定義，去掉了運行環(huán)境安全檢測要求等。 2020年9月3日，根據專家意見形成征求意見稿，由公司運行與控制技術標準專業(yè)工作組組織以電子 郵件方式在公司范圍內廣泛征求意見。 2020年11月13日，編寫組以騰訊會議形式召開標準討論會，對征求意見返回結果進行匯總，并根據 各網省公司反饋意見對標準進行補充和完善，修改了部分格式問題，修改了圖形測試拓撲結構圖中的部 分描述，并形成了標準送審稿。 2020年11月20日，公司運行與控制技術標準專業(yè)工作組（TC03）組織在北京組織召開了標準審查會： 要求將標準更名為：電力自動化系統(tǒng)軟件安全檢測規(guī)范。審查結論為：審查組協(xié)商一致，同意修改后以 技術標準形式報批。 2020年11月23日，編寫組按審查專家意見對標準送審稿進行修改完善，形成標準報批稿。

快遞標準Q/GDW 121962021

本標準按照《國家電網公司技術標準管理辦法》（國家電網企管（2018）222號）的要求編寫。 本標準主題章節(jié)共3章，由總體要求、安全要求、檢測方法組成。第5章規(guī)定了電力自動化系統(tǒng)軟件 安全檢測總體要求；第6章規(guī)定了安全要求，包括代碼安全、業(yè)務安全、以及版本管理等內容；第7章規(guī) 定了詳細的檢測方法。