搜索结果: GB/T 25320.11-2023, GB/T25320.11-2023, GBT 25320.11-2023, GBT25320.11-2023
| 标准编号 | GB/T 25320.11-2023 (GB/T25320.11-2023) | | 中文名称 | 电力系统管理及其信息交换 数据和通信安全 第11部分:XML文件的安全 | | 英文名称 | Power systems management and associated information exchange - Data and communications security - Part 11: Security for XML documents | | 行业 | 国家标准 (推荐) | | 中标分类 | F21 | | 国际标准分类 | 29.240.01 | | 字数估计 | 38,327 | | 发布日期 | 2023-12-28 | | 实施日期 | 2024-07-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 25320.11-2023: 电力系统管理及其信息交换 数据和通信安全 第11部分:XML文件的安全
ICS 29.240.01
CCSF21
中华人民共和国国家标准
电力系统管理及其信息交换
数据和通信安全
第11部分:XML文件的安全
(IEC 62351-11:2016,IDT)
2023-12-28发布
2024-07-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 本文件涉及的安全问题 2
4.1 概述 2
4.2 应对安全威胁 3
4.3 应对安全攻击 3
5 XML文件 3
6 XML文件封装 4
6.1 概述 4
6.2 信息头类型 HeaderType 5
6.3 信息Information 6
6.4 加密Encrypted 14
6.5 签名类型SignatureType 16
6.6 支持的XSD类型 19
6.7 安全算法选择 20
7 示例文件 (资料性) 20
7.1 非加密示例 20
7.2 加密示例 22
8 IANA签名、摘要和加密方法列表(资料性) 23
参考文献 29
图1 IEC 62351-11的XML文件结构概述 1
图2 数据中转示例 3
图3 XML文件的安全封装 4
图4 通用IEC 62351-11XSD结构 4
图5 信息头类型HeaderType的XSD类型定义 5
图6 信息Information的XSD复杂类型定义 6
图7 访问控制AccessControl的XSD复杂类型定义 7
图8 访问控制类型AccessControlType的XSD复杂类型定义 7
图9 ACL限制类型ACLRestrictionType的XSD复杂类型定义 8
图10 实体类型EntityType的XSD复杂类型定义 10
图11 访问控制AccessControl和XML路径XPATH示例 11
图12 带有CIM文件的IEC 62351-11正文Body示例 13
图13 IEC 62351-11加密Encrypted的结构 14
图15 密文数据类型CipherDataType的结构 15
图16 加密数据EncryptedData定义 15
图17 W3C签名类型SignatureType定义 16
图18 签名信息类型SignedInfoType的XML结构 17
图19 签名方法类型SignatureMethodType的结构 17
图20 引用类型ReferenceType的结构 18
图21 密钥信息类型KeyInfoType的结构 19
图22 名称序列类型NameSeqType的定义 20
表1 IEC 62351-11的XML文件的通用结构定义 5
表2 信息头类型HeaderType元素的定义 6
表3 信息Information的定义 7
表4 契约Contractual和ACL元素的定义 8
表5 ACLRestrictionType元素的定义 9
表6 ACLType枚举值的定义 9
表7 约束Constraint的枚举值定义 9
表8 实体类型EntityType的定义 10
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件是GB/T (Z)25320《电力系统管理及其信息交换 数据和通信安全》的第11部分。GB/T 25320
已经发布了以下部分:
---第1部分:通信网络和系统安全 安全问题介绍;
---第2部分:术语;
---第3部分:通信网络和系统安全 包括TCP/IP的协议集;
---第4部分:包含 MMS的协议集;
---第5部分:GB/T 18657等及其衍生标准的安全;
---第6部分:IEC 61850的安全;
---第7部分:网络和系统管理(NSM)的数据对象模型;
---第11部分:XML文件的安全;
---第100-1部分:IEC TS62351-5和IEC TS60870-5-7的一致性测试用例;
---第100-3部分:IEC 62351-3的一致性测试用例和包括TCP/IP协议集的安全通信扩展。
本文件等同采用IEC 62351-11:2016《电力系统管理及其信息交换 数据和通信安全 第11部分:
XML文件的安全》。
本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国电力企业联合会提出。
本文件由全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)归口。
本文件起草单位:国网电力科学研究院有限公司、国电南瑞能源有限公司、南京南瑞继保电气有限
公司、中国电力科学研究院有限公司、国网智能电网研究院有限公司、东南大学、国电南京自动化股份有
限公司、中国南方电网电力调度控制中心、国网上海市电力公司、江苏宏源电气有限责任公司、国网吉林
省电力有限公司。
本文件主要起草人:孙丹、郭王勇、张丹、温树峰、孔红磊、王珍珍、李广华、姬广龙、袁莉、王宇、王甜甜、
窦仁晖、张涛、石卫军、吴在军、陈新之、窦晓波、费稼轩、张小飞、朱鑫泉、陶文伟、王治华、李响、徐洪海、
刘昌旭、杨松。
引 言
GB/T (Z)25320《电力系统管理及其信息交换 数据和通信安全》,旨在尽可能的减少通信和计算
机网络中存在的恶意攻击对电力系统的数据及通信安全产生的危害,完善电力系统使用的各层通信协
议中的安全漏洞以及提高电力系统信息基础设施的安全管理。拟由以下部分构成。
---第1部分:通信网络和系统安全 安全问题介绍。目的在于介绍GB/T (Z)25320的其他部
分,主要向读者介绍应用于电力系统运行的信息安全的各方面知识。
---第2部分:术语。目的在于介绍在GB/T (Z)25320中所使用的关键术语。
---第3部分:通信网络和系统安全 包含TCP/IP的协议集。目的在于规定如何通过限于传输
层安全协议的消息、过程和算法的规范,对基于TCP/IP的协议进行安全防护,使这些协议能
适用于IEC TC57的远动环境。
---第4部分:包含 MMS的协议集。目的在于规定了对基于GB/T 16720(ISO 9506)制造报文规
范(MMS)的应用进行安全防护的过程、协议扩充和算法。
---第5部分:GB/T 18657等及其衍生标准的安全。目的在于定义了应用程序配置文件
(a-profile)安全通信机制,规定了对基于或衍生于IEC 60870-5的所有协议的运行进行安全
防护的消息、过程和算法。
---第6部分:IEC 61850的安全。目的在于规定了对基于或派生于IEC 61850的所有协议的运
行进行安全防护的报文、过程与算法。
---第7部分:网络和系统管理(NSM)的数据对象模型。目的在于定义了电力系统运行所特有的
网络和系统管理的数据对象模型。
---第8部分:基于角色的访问控制。目的在于为电力系统管理提供基于角色的访问控制。
---第9部分:电力系统设备的网络安全密钥管理。目的在于通过指定或限制要使用的密钥管理
选项来定义实现密钥管理互操作性的要求和技术。
---第10部分:安全架构指南。目的在于描述基于基本安全控制的电力系统安全架构指南。
---第11部分:XML文件的安全。目的在于规范智能变电站通信过程中的配置文件(XML文件)
的安全性。
---第12部分:分布式能源(DER)系统的快速恢复和安全建议。目的在于提高分布式能源
(DER)系统的安全性和可靠性。
---第13部分:标准和规范中涉及的安全主题指南。目的在于提供关于电力行业使用的标准和规
范(IEC 或其他)中可能或应该涵盖哪些安全问题。
---第90-1部分:电力系统中基于角色的访问控制处理指南。目的在于开发用于定义和设计自定
义角色以及角色映射的标准化方法。
---第90-2部分:加密通信的深度包检测。目的在于说明应用于IEC 62351保护的通信信道的
DPI最新技术。
---第90-3部分:网络和系统管理指南。目的是提供处理IT和OT数据的导则。
---第100-1部分:IEC 62351-5和IEC TS60870-5-7的一致性测试用例。目的在于提供了
IEC 62351-5:2023和IEC TS60870-5-7:2013的一致性和/或互操作性测试的测试用例。
---第100-3部分:IEC 62351-3的一致性测试用例和包括TCP/IP协议集的安全通信扩展。目的
在于提供了IEC 62351-3:2023一致性测试用例及验证影响安全扩展程序和协议行为的所有
参数的配置。
---第100-6部分:IEC 61850-8-1和IEC 61850-9-2的网络安全一致性测试。目的在于提供了变
电站自动化系统和远动系统的数据和通信安全互操作性一致性测试的测试用例。
GB/T (Z)25320《电力系统管理及其信息交换 数据和通信安全》定义了电力系统相关通信协议
(IEC 60870-5、IEC 60870-6、IEC 61850、IEC 61970和IEC 61968系列)的数据和通信安全。定义了通
信过程中可能遭受到的安全威胁和安全攻击以及安全应对措施。
电力系统管理及其信息交换
数据和通信安全
第11部分:XML文件的安全
1 范围
本文件规定了用于保护IEC 范围内使用的XML文件以及其他领域(例如IEEE、专利等)中文件的
格式、过程和算法。如果需要安全交换,则本文件旨在被标准引用,除非各方之间达成协议以使用其他
公认的安全交换机制。
本文件使用了 W3C标准来实现XML文件安全性,并提供了这些标准以及其他扩展的介绍。本文
件为扩展部分提供了如下规定。
---Header(信息头):Header包含已创建保存文件的相关信息,例如创建IEC 62351-11的XML
文件的日期和时间。
---可选择以加密或非加密格式来封装原始XML文件。如果选择加密,则会提供一种机制来表
示以可互操作的方式执行加密所需的信息。
---AccessControl(访问控制):表示与原始......
|