ICS點擊此處添加ICS號

點擊此處添加中國標準文獻分類號

T/CEC

中國電力企業聯合會標準

T/CECXXXXX—XXXX

電力監控系統網絡安全信息采集

檢測規范

Testspecificationsforcybersecurityacquisitionofelectricpower

supervisoryandcontrolsystem

點擊此處添加與國際標準一致性程度的標識

文稿版次選擇

XXXX-XX-XX發布XXXX-XX-XX實施

中國電力企業聯合會發布

T/CECXXXXX—XXXX

I

T/CECXXXXX—XXXX

電力監控系統網絡安全信息采集檢測規范

1范圍

本文件規定了電力監控系統網絡安全信息采集檢測的環境條件要求、檢測設備要求、檢測項目、檢

測要求及檢測方法。

本文件適用于電力監控系統網絡安全信息采集產品的入網檢測，也可為產品的研發及應用提供參考。

2規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

下列文件對于本文件的應用是必不可少的.凡是注口期的引用文件，僅注口期的版本適用于本文件。

凡是不注日期的引用文件，其最新版木（包括所有的修改單）適用于本文件。

GB/T17626.2電磁兼容試驗和測量技術靜電放電抗擾度試驗

GB/T17626.4電磁兼容試驗和測量技術電快速瞬變脈沖群抗擾度試驗

GB/T17626.5電磁兼容試驗和測量技術浪涌（沖擊）抗擾度試驗

GB/T17626.8電磁兼容試驗和測量技術工頻磁場抗擾度試驗

GB/T17626.10電磁兼容試驗和測量技術阻尼振蕩磁場抗擾度試驗

GB/T17626.11電磁兼容試驗和測顯技術電壓暫降、短時中斷和電壓變化的抗擾度試驗

GB/T17626.18甩磁兼容試驗和測量技術阻尼振蕩波抗擾度試驗

GB/T31992電力系統通用告警格式

GB/T36572-2018電力監控系統網絡安全防護導則

3術語和定義

下列術語和定義適用于本文件。

3.1

電力監控系統electricpowersupervisionandcontrolsystem

用于監視和控制電力生產及供應過程的、基于計算機及網絡技術的業務系統及智能設備，以及作為

基礎支撐的通信及數據網絡等。

3.2

網絡安全管理系統cybersecuritymanagementsystem

部署在各級調控中心，由安全監視及告警、安全分析、安全核查、安全審計等功能構成，能夠對電

力監控系統的安全風險和安全事件進行實時監視和在線管理。

3.3

消息總線messagequeue

1

T/CECXXXXX—XXXX

一種跨進程的通信機制，用于在上下游之間傳遞消息，是一種常見的上下游“邏輯解耦+物理解耦”

的消息通信服務，邏輯上和物理上都不用依賴其他服務。

3.4

采集對象acquisitionobject

電力監控系統中，需要進行網絡安全信息采集的服務器、工作站、網絡設備、安防設備、數據庫等

設備或系統。

3.5

網絡安全信息采集裝置cybersecurityinformationacquisitiondevice

部署于電力監控系統局域網網絡中，用于對采集對象的網絡安全信息進行采集、分析、處理，并上

傳至網絡安全管理系統的設備。

3.6

網絡安全信息采集軟件cybersecurityinformationacquisitionsoftware

部署于電力監控系統網絡中，用于對采集對象的網絡安全信息進行采集、分析、處理，并上傳至網

絡安全管理系統的軟件。

3.7

日志協議logprotocol

用于日志數據傳輸的工業標準協議，包括Syslog協議等。

4縮略語

下列縮略語適用于本文件。

NTP：網絡時間協議(NetworkTimeProtocol)

SNTP：簡單網絡時間協議(SimpleNetworkTimeProtocol)

TCP：傳輸控制協議(TransmissionControlProtocol)

UDP：用戶數據報協議(UserDatagramProtocol)

SNMP：簡單網絡管理協議(SimpleNetworkManagementProtocol)

Syslog：系統日志(SystemLog)

IRIG-B：IRIG-B碼(Inter-RangeInstrumentationGroup-B)

SQL：結構化查詢語言(SlrucluredQueryLanguage)

MAC：多址接入信道(MultipleAccessChannel)

IP：網絡之間互連的協議(InternetProtocol)

HTTP：超文本傳輸協議(Hyper-TextTransferProtocol)

HTTPS：超文本傳輸安全協議(HyperTextTransferProtocoloverSecureSocketLayer)

5總則

電力監控系統網絡安全信息采集可以是軟件形態，也可固化于硬件設備中，完成相應功能。電力監

控系統網絡安全信息采集軟件/裝置部署于調度機構、變電站、發電廠等地，實現對電力監控系統網絡

安全信息的數據采集。

6檢測環境及檢測設備要求

6.1檢測環境大氣條件

2

T/CECXXXXX—XXXX

除另有規定外，試驗應在正常試驗大氣條件下進行。

正常試驗大氣環境條件：

a）環境溫度:+15℃?+35℃；

b）相對濕度:45%?75%；

c）大氣壓力:86kpa?10力Pa。

基準條件為：

a）環境溫度：20℃±2℃；

b）相對濕度:45%?75%；

c）大氣壓力:86kPa?106kPa。

6.2檢測環境總體架構

電力監控系統網絡安全信息采集軟件/裝置廠站、主站端測試拓撲結構如圖1、2所示，檢測環境可

根據需要進行擴展。

圖1廠站采集軟件/裝置測試拓撲結構圖

3

T/CECXXXXX—XXXX

入侵檢測防病毒

防火墻

0反向隔離裝置

y口

正向隔離裝置

采集軟件

交換機/裝置

圖2主站采集軟件/裝置測試拓撲結構圖

注1：圖中設備及軟件信息如表1所示。

表1測試環境軟硬件信息列表

序號設備名稱設備類型數量說明

1網絡安全管理系統工作站2用于驗證被測軟件/裝置匕行通信

2網關機網關機1用于信息轉換

3交換機網絡設備2用于組網

4縱向加密認證裝置安防設備1用于數據加密認證

5廠站服務器采集對象1用于驗證被測軟件/裝置與服務器通信

6主站服務器采集對象1用于驗證被測軟件/裝置與服務器通信

7工作站采集對象2用于驗證被測軟件與工作站通信

8數據庫采集對象1用于驗證被測軟件與數據庫通信

9防病毒系統采集對象1用于驗證被測軟件與防病毒系統通信

10入侵檢測系統采集對象1用于驗證被測軟件與入侵檢測系統通信

用于驗證被測軟件。橫向單向安全隔離裝置設備

11橫向單向安全隔離裝叁采集對象4

通信

12縱向加密認證裝置采集對象2用于驗證被測軟件與縱向加密認證裝置設備通信

4

T/CECXXXXX—XXXX

序號設備名稱設備類型數量說明

13防火墻采集對象2用T驗證被測軟件與防火墻設備通信

網絡安全信息

14網絡安全信息采集軟件/裝置采集軟件/裝2被測軟件或裝置

置

15網絡設備采集對象2用于驗證被測軟件與網絡設書通信

6.3檢測設備要求

6.3.1程控交直流電源

檢測采用的程控交直流電源滿足以下要求：

a）交流電源：IV?300V；

b）直流電源：±1.4V?±424L

6.3.2時間同步系統測試儀

檢測采用的時間同步系統測試儀應滿足以下要求：

a）時間同步系統測試儀能（但不限于）提供以下時間同步信號：

1）脈沖信號；

2）IRIG-B信號；

3）串行口對時信號；

4）網絡對時信號；

5）SNTP/NTP監測信號：

b）時間同步系統測試儀能支持配置NTP乒乓協議客戶端利服務器端；

c）時間同步系統測試儀的時間分辨率優于10ns,如果內置標準時間源和頻率源，則它們的精度優

于網絡安全信息采集軟件/裝置標稱的時間準確度的四分之一；

d）宜支持DL/T860通信規約客戶端功能。

6.3.3網絡測試儀

檢測采用的網絡測試儀應滿足以下要求：

a）具有24個以上的100M網口；

b）能夠產生可控流量的單播/組播/廣播流量；

c）抗電磁干擾性能高于級。

6.3.4網絡安全信息采集軟件/裝置測試儀

檢測采用的網絡安全信息采集軟件/裝置測試儀應滿足以下要求：

a）仿真網絡安全管理系統以安全加固協議進行通訊，仿真數量不低于20個；

b）仿真網絡安全信息采集對象以SNMPV2c/V2cTrap、日志協議、基于TCP的應用層協議等進行通

訊，仿真數量不低于1000個：

c）應具備處理256個鏈路并行收發通訊的能力。

7檢測要求

5

T/CECXXXXX—XXXX

7.1版本管理要求

應具備軟件管理功能，軟件版本信息應由產品信息和版本信息兩部分組成，其中產品信息應包含產

品名稱、產品廠商、產品型號；版本信息包括版本號、生成口期和校驗碼，應能杳詢和顯示軟件版本。

版本命名宜遵循圖3格式要求。

圖3命名規范要求示意圖

7.2基本功能要求

7.2.1信息采集

7.2.1.1服務器、工作站等設備信息采集

應支持對服務器、工作站采集對象進行數據采集，采集信息內容應支持登錄成功、退出登錄、登錄

失敗、操作命令、操作回顯、操作系統版本信息、CPU使用率、內存使用率、硬盤空間使用率、USB設備

插入、USB設備拔出、網口UP、網口DOWN；宜支持網卡使用情況、僵尸進程數量、網絡端口監聽情況、

光驅加載、光驅卸載、異常網絡訪問、關鍵文件/目錄變更、用戶權限變更、USB存儲功能開啟、系統

命令調用、網絡服務開啟。

7.2.1.2網絡設備數據信息采集

應支持對網絡設備進行數據采集，采集信息內容應支持用戶登錄信息、用戶操作信息、CPL?使用率、

內存使用率、網口狀態、網口UP、網口DOWN；宜支持運行時長、網絡丟包率、錯包率、接入設備MAC地

址的合法性識別、非法端口被打開。

7.2.1.3防火墻數據信息采集

應支持對防火墻進行數據采集，采集信息內容應支持登錄成功、退出登錄、登錄失敗、修改策略、

CPU使用率、內存使用率、網IIUP、網【IDOWN、不符合安全策略的訪問、攻擊告警。

橫向單向安全隔離裝置數據信息采集

應支持對橫向單向安全隔離裝置進行數據采集，采集信息內容應支持用戶登錄、修改配置、CPU使

用率、內存使用率、不符合安全策略的訪問。

7.2.1.5縱向加密認證裝置信息采集

6

T/CECXXXXX—XXXX

應支持對縱向加密認證裝置進行數據采集，采集信息內容應支持登錄成功、登錄失敗、修改配置、

退出登錄、CPU使用率、內存使用率、網口UP、網口DOWN、備機心跳丟失、明密文數據統計、隧道建立

錯誤、不符合安全策略的訪問。

7.2.1.6防病毒、入侵檢測系統信息采集

應支持對防病毒、入侵檢測系統進行數據采集，采集信息內容應支持病毒日志、入侵事件。

7.2,1.7數據庫信息采集

宜支持對數據庫進行數據采集，采集信息內容宜支持數據庫CPU使用率、數據庫內存使用率、數據

庫磁盤信息一數據文件、數據庫磁盤信息一歸檔文件、數據庫磁盤信息一備份文件、數據庫表空間/數

據庫文件使用情況、數據庫狀態、數據庫運行時常、數據庫操作記錄、數據庫用戶信息變更、數據庫用

戶登錄失敗、鎖表一SQL語句長時間未提交、數據庫計劃任務執行失敗、鎖表一SQL語句執行時間異常、

鎖表一數據庫臟頁面情況。

7.2.2事件上傳

應支持對網絡安全信息采集軟件/裝置自身、服務器、工作站、網絡設備、安全防護設備、數據庫

等采集對象信息進行分析處理，并形成相應的外設接入事件、用戶登錄事件、危險操作事件、狀態異常

事件、異常網絡訪問事件等上傳事件。對于周期性的上傳事件，宜支持可設置統計周期，對重復出現的

事件進行歸并處理。

7.2.3本地管理

本地管理應具備如下功能：

a）應提供本地圖形化界面；

b）應具備自診斷功能，至少包括進程異常、通信異常、硬件異常、CPU占用率過高、存儲空間剩余

容量過低、內存占用率過高等，檢測到異常時應提示告警，診斷結果應記錄日志；

c）應具備用戶管理功能，基于三權分立原則劃分管理員、操作員、審計員等不同角色，并為不同

角色分配不同權限；應滿足不同角色的權限相互制約要求，不應存在擁有所有權限的超級管理

員角色；

d）應具備資產管理功能，包括資產信息的添加、刪除、修改、查看等，資產信息應包括：設備名

稱、設備IP、MAC地址、設備類型、設備廠家、序列號、系統版本等；

e）應支持對監視對象數量、在離線狀態的統計展示；

f）應具備日志審計功能，用于記錄登錄、操作、維護等信息；日志內容應包括日志級別、日志時

間、日志類型、日志內容等信息，日志應具備可讀性；

8）應支持通過本地客戶端對系統參數、通信參數、事件處理參數、資產參數、證書參數進行查看

與配置；應支持參數配置導出功能及同產品的參數配置備份導入功能；

h）通過本地管理進行的修改、更新等操作應自動生效；

i）宜支持采集信息、上傳信息的本地查看；

j）宜支持通過本地實現對服務器、工作站等設備的基線核查功能的調用。

7.2.4時間同步功能

時間同步功能應滿足如下要求：

a）應支持IRIG-B碼、NTP、SNTP或與網絡安全管理系統對時方式；

b）具備守時功能。

7

T/CECXXXXX—XXXX

7.3基本性能要求

7.3.1通信對象數量

應支持采集對象數量2500個。

7.3.2本地存儲能力

應支持保存本地存儲采集信息及上傳信息至少6個月，本地口志審計記錄條數210000條。

7.3.3采集信息吞吐量、報文解析能力

應支持采集信息吞吐量22.4Mbps、報文解析能力應210Mbps.

7.3.4事務處理時間

宜支持上傳事件信息的處理時間W1s。

7.3.5對時精度及守時能力

通過IRIG-B碼同步，對時精度Wlms；通過SNTP同步，對時精度WIOOms：通過網絡安全管理系統對

時，對時精度Wls;在沒有外部時鐘源矯正時，24小時守時誤差應不超過1s。

7.3.6裝置啟動時間

宜支持從上電到正常工作所需時間W120s。

7.3.7網絡通信接口處理能力

網絡安全信息采集裝置的上、下行網絡接口在線速30%的廣播和組播流量下，裝置各項應用功能應

正常，數據傳輸正確，性能不下降。

7.3.8資源利用率

在無負載條件下，CPU、內存利用率均不宜超過30機在正常工作情況下，CPU、內存利用率的變

化應與系統負載的變化趨勢保持一致。

7.4硬件性能要求

若電力監控系統網絡安全信息采集功能固化于硬件設備，則應滿足以下硬件性能要求：

a）接口配置要求：應具備至少4個10M/100M/1000M自適應以太網電口；

b）內存配置要求：網絡安全信息采集裝置內存24GB；

c）存儲配置要求：網絡安全信息采集裝置存儲空間N250GB：

d）電源模塊配置要求：支持雙路交流或直流電源獨立供電；直流電源電壓：可支持110V或220V；

交流電源電壓：220V：允許偏差為-20%?+15%；

e）電磁兼容應滿足GB/T17626標準，具體性能試驗和要求見表7；

f）振動耐久檢測，應能承受嚴酷等級為1級的振動耐久試驗；

g）沖擊耐久檢測，應能承受嚴酷等級為1級的沖擊耐久試驗；

h）硬件設計要求：宜采用非x86低功耗工業級硬件架構、無風扇、無旋轉部件硬件設計；電源模塊

失電信號有硬接點輸出。

8

T/CECXXXXX—XXXX

表2電磁兼容試驗要求

序號試驗名稱引用標準等級要求

1錚電放電抗擾度GB/T17626.2IV級

2射頻電磁場輻射抗擾度GB/T17626.3III級

3電快速瞬變脈沖群抗擾度GB/T17626.4IV級

4浪涌（沖擊）抗擾度GB/T17626.5IV級

b射頻場感應的傳導頻抗抗擾度GB/117626.6111級

6工頻磁場抗擾度GB/T17626.8V級

7脈沖磁場抗擾度GB/T17626.9V級

8阻尼振蕩磁場抗擾度GB/T17626.10IV級

電壓暫降、短時中斷和電壓變化的抗G3/T17626.11

9短時中斷

擾度G3/T17626.29

10振蕩波抗擾度GB/T17626.12II1/IV級

7.5通信協議要求

7.5.1與采集對象通信功能

與采集對象通信應滿足如下要求：

a）應支持采用基于TCP的應用層協議、SNMP,日志協議、代理程序等自定義協議與服務器、工作站

等設備進行通信，采集服務器、工作站信息格式宜參見附錄A；

b）應采用SNMP、SNMPTrap的V2c、V3協議與網絡設備正行通信；應支持通過日志協議采集網絡設

備信息；

c）應支持通過日志協議采集安全防護設備事件信息；

d）宜采用消息總線方式與數據庫設備進行通信。

7.5.2與網絡安全管理系統通信功能

宜采用具備安全認證機制的協議進行通信。

7.6軟件可靠性要求

7.6.1事件補發機制

若網絡安全信息采集軟件/裝置長時間離線，再次上線時，宜支持對累積未上傳事件在行重傳。重

傳應按照以下要求執行：

a）設置重傳分界時間；

b）重傳分界時間以內的全部事件；

c）重傳分界時間以外的“緊急”和“重要”事件，其他級別事件不再上傳；

d）按照事件產生的先后J順序重傳。

7.6.2系統恢復度

當系統遇到未響應、服務停用或崩潰等情況時，宜支持在2分鐘內自恢復。

7.6.3容錯性

9

T/CECXXXXX—XXXX

容錯性宜滿足如下要求：

a）具備非法輸入的容錯性；

b）當網絡安全信息采集裝置遇到異常斷電、物理硬件錯誤等情況時，異常恢復后網絡安全信息采

集裝置/軟件可正常運行。

7.6.4通信鏈路主備功能

通信鏈路主備功能宜滿足如下要求：

a）支持主備鏈路方式實現數據上傳到網絡安全管理系統。主備鏈路均需執行安全認證過程，未完

成安全認證過程的鏈路不得參與主備鏈路的選擇：

b）主備鏈路選擇：在同一分組中完成安全認證過程的鏈路中，選擇優先級最高的一個（若存在多

個，則任意選擇其中一個）作為主鏈路，同一時刻，同一分組中只能有一個主鏈路；

c）鏈路自動切換：當存在主備鏈路時，默認由主鏈路執行數據傳輸過程，備鏈路不執行數據傳輸

過程。當檢測到當前主鏈路異常時，重新選舉出新的主鏈路，新的主鏈路開始執行數據傳輸過

程；

d）同一分組內的主備鏈路必須保證上傳事件信息的連續性，即不存在重復上傳的事件信息。

7.7安全性要求

安全性依照GB/T36572-2018電力監控系統網絡安全防護導則，網絡安全信息采集軟件/裝置應滿

足以下要求：

a）系統應劃分安全員、審計員、操作員三種不同角色，各角色之間職能與責任應相互獨立、相互

制約。審計員具備口志的查看導出權限；操作員具備創建/刪除用戶、用戶與角色關聯的權限,

具備配置及運維權限；安全員具備創建/刪除角色、角色授權的權限；

b）不得內置后門、不存在緩沖區溢出等安全漏洞；

c）應具備抵御各種常見網絡攻擊的能力；

d）應僅開放業務相關的端口；

e）不使用http、https協議進行通信；

f）系統不提供默認賬號，不為新增賬號設置默認密碼；

g）網絡安全信息采集裝置/軟件應采用國產化安全操作系統；

h）宜采用國密算法保證鑒別信息和重要業務數據等敏感信息在傳輸過程中的保密性。

8檢測方法

8.1版本管理檢測

查看并記錄網絡安全信息采集軟件/裝置型號和版本信息，檢測版本命名是否與檢測要求一致。

8.2基本功能檢測

8.2.1信息采集檢測

8.2.1.1服務器、工作站等設備信息采集

服務器、工作站設備信息采集檢測方法如下：觸發服務器、工作站采集對象的事件信息，通過本地

客戶端或網絡安全管理系統查看采集信息是否完整、格式是否正確。

8.2.1.2網絡設備數據信息采集

10

T/CECXXXXX—XXXX

網絡設備信息采集檢測方法如下：觸發網絡設備采集對象的事件信息，通過本地客戶端或網絡安全

管理系統查看采集信息是否完整、格式是否正確。

8.2.1.3防火墻數據信息采集

防火墻信息采集檢測方法如下：觸發防火墻采集對象的事件信息，通過本地客戶端或網絡安全管理

系統查看采集信息是否完整、格式是否正確。

8.2.1.4橫向單向安全隔離數據信息采集

橫向單向隔離裝置信息采集要求和檢測方法如F：觸發橫向單向隔離裝置采集對象的事件信息，通

過本地客戶端或網絡安全管理系統查看采集信息是否完整、格式是否正確。

8.2.1.5縱向加密認證裝置信息采集

縱向加密認證裝置信息采集要求和檢測方法如下：觸發縱向加密認證裝置采集對象的事件信息，通

過本地客戶端或網絡安全管理系統查看采集信息是否完整、格式是否正確。

8.2.1.6防病毒、入侵檢測系統信息采集

防病毒、入侵檢測系統信息采集要求和檢測方法如下：觸發防病毒、入侵檢測系統采集對象的事件

信息，通過本地客戶端或網絡安全管理系統查看采集信息是否完整、格式是否正確。

8.2.1.7數據庫信息采集

數據庫信息采集要求和檢測方法如下：觸發數據庫采集對象的事件信息，通過本地客戶端或網絡安

全管理系統查看采集信息是否完整、格式是否正確。

8.2.2事件上傳檢測

事件上傳檢測方法如下：

a）配置事件上傳方式，觸發服務器、工作站、網絡設備、安全防護設備（防火墻、橫向單向隔離

裝置、縱向加密認證裝置、防病毒系統、入侵檢測系統）、數據庫等采集對象的事件信息，檢

測網絡安全信息采集軟件/裝置上傳事件是否完整、格式是否正確：

b）觸發生成重復的事件信息，檢查歸并的事件是否按照歸并周期進行上傳。

8.2.3本地管理檢測

本地管理功能檢測方法如下：

a）依據廠家提供的本地客戶端程序，部署運行后檢測本地客戶端是否具備圖形化界面；

b）觸發網絡安全信息采集軟件/裝置進程異常、通信異常、硬件異常、CPU占用率過高、存儲空間

剩余容量過低、內存占用率過高等故障，通過本地客戶端查看是否生成相應的告警信息，查詢

日志記錄，檢測告警信息是否在日志中被完整記錄；

c）分別使用管理員、操作員、審計員等不同角色在本地客戶端執行登錄退出操作，且登錄期間執

行用戶管理操作，檢測用戶登錄/退出功能及用戶管理功能是否正確；分別使用管理員、操作員、

審計員等不同角色登錄進行相關操作，檢測不同角色之間是否擁有交叉的權限，是否存在擁有

所有權限的超級管理員角色；

d）通過本地客戶端檢測網絡安全信息采集軟件/裝置是否支持采集信息、上傳信息進行準確統計展

示；檢測網絡安全信息采集軟件/裝置是否支持對采集對象數最、在/離線狀態的準確統計展示；

11

T/CECXXXXX—XXXX

e）分別觸發登錄、操作、維護等事件，通過本地客戶端查看相應日志是否被記錄，且日志的級別、

時間、類型和內容均正確；

f）通過本地客戶端查看系統參數、通信參數、事件處理參數、資產參數，檢測各參數配置項是否

符合要求；通過本地客戶端配置系統參數、通信參數、事件處理參數、資產參數并保存，檢測

配置是否成功并自動生效；

g）通過本地客戶端分別查看采集信息和上傳信息，檢測是否能夠查看到采集信息和上傳信息；設

置不同的時間段、設備類型、事件等級、事件條數等綜合條件對采集信息和上傳信息進行過濾，

檢測過漉結果是否正確；

h）通過本地客戶端對服務器、工作站進行基線核查操作，檢測基線核查功能是否正確。

8.3基本性能檢測

8.3.1通信對象數量檢測

分別配置連接的采集對象數量為設定值，觸發每個采集對象生成事件信息，檢測網絡安全信息采集

軟件/裝置接收到的事件信息與采集對象發送的事件信息是否一致；同理，配置采集對象大于設定值，

重復上述操作，檢測并記錄網絡安全信息采集軟件/裝置的最大采集對象數量。

8.3.2本地存儲能力檢測

本地存儲能力檢測方法如下：

a）觸發采集對象事件信息至本地存儲的采集信息、、上傳事件信息，查看近6個月的采集和上傳事件

信息是否被記錄；

b）觸發采集對象事件信息至本地存儲的采集信息、上傳事件信息條數26300000條，查看最新采集

信息、上傳事件信息是否被記錄；

c）在本地客戶端觸發日志存儲信息條數至10000條，查看最新日志信息是否被記錄。

8.3.3采集信息吞吐量、報文解析能力檢測

采集信息吞吐量檢測方法如下：

分別以檢測要求的速率模擬生成服務器、工作站、網絡設備、安全防護設備等采集對象的事件信息，

持續測試20s,檢測網絡安全信息采集軟件/裝置的采集信息吞吐量、報文解析能力是否達到設定值：檢

查是否上送網絡安全信息管理系統此類事件信息。

8.3.4事務處理時間檢測

事務處理時間檢測方法如下：

按照圖4構建檢測環境，觸發采集對象生成事件信息，通過網絡分析儀抓取網絡安全信息采集軟件/

裝置接收到該事件信息報文并將該時刻記為I】，網絡安全信息采集軟件/裝置發出該事件報文的時刻記

為t2,重復上述操作三次，計算并記錄差值及平均值，檢測網絡安全信息采集軟件/裝置上傳

事件信息處理時間的平均值是否符合檢測要求；

12

T/CECXXXXX—XXXX

tl12

圖4事件處理時間性能檢測

8.3.5對時精度及守時能力檢測

對時精度及守時能力檢測方法如下：

a）將網絡安全信息采集裝置的IR1G-B碼接口連接在時間同步系統測試儀上，檢測裝置對時精度是

否Wlms；將網絡安全信息采集裝置的SNTP接口連接在測試儀上，檢測裝置對時精度是否W100ms；

將網絡安全信息采集裝置/軟件與網絡安全管理系統連接，檢測裝置對時精度是否Wls

b）當網絡安全信息采集裝置與外部時間基準信號同步并進入跟蹤鎖定狀態后，斷開外部對時信號，

使網絡安全信息采集裝置進入守時保持狀態，記錄下網絡安全信息采集裝置此時的對時精度rl,

繼續運行至少24小時后，記錄下網絡安全信息采集裝置此時的對時精度r2,檢測裝置守時誤差

是否不超過1s。

8.3.6裝置啟動時間檢測

接通網絡安全信息采集裝置電源或重啟裝置，檢測裝置從上電到正常工作所需時間是否W120s。

8.3.7網絡通信接口處理能力檢測

分別向網絡女全信息采集裝置的上、下行網絡接口施加線速30席的廣播和組播流量，測試幀長64?

1518字節，每組持續60s,檢測網絡安全信息采集軟件/裝置各項應用功能是否滿足檢測要求，性能是否

有明顯影響。

8.3.8資源利用率檢測

資源利用率檢測方法如下：

a）在裝置開機初始化完成后，檢測無負載條件下網絡安全信息采集裝置的CPU、內存利用率是否滿

足檢測要求；

b）在逐步增加或減少系統負載時，觀察網絡安全信息采集裝置的CPU、內存利用率是否與系統負載

的變化趨勢保持一致。

8.4硬件性能檢測

硬件規格檢測方法如下：

a）查看網絡安全信息采集裝置是否具備至少4個10W100M/1000M自適應以太網電口；

b）查看并記錄網絡安全信息采集裝置內存是否大于4GB,存儲空間配置是否大于250GB；

c）杳看并記錄網絡安全信息采集裝置硬件配置是否為非x86架構；檢查網絡安全信息采集裝置是否

有風扇及其他旋轉部件；檢查網絡安全信息采集裝置是否有失電硬接點輸出；

d）杳看并記錄電源模塊電壓類型、等級以及數量，檢查是否支持雙路交流或直流電源獨立供電：

13

T/CECXXXXX—XXXX

e）模擬裝置電源電壓升高和降低到要求區間，檢查當電壓在上述區間緩慢變化期間，網絡安全信

息采集裝置是否有故障或重啟現象，是否有數據誤發、漏發現象，采集功能是否正常：

f）依照GB/T17626中規定的電磁兼容試驗方法進行試驗，檢查網絡安全信息采集裝置是否有故障

或重啟現象，是否有數據誤發、漏發現象，采集功能是否正常；

g）依照GB/T2423.10中規定的振動試驗方法進行試驗，檢查網絡安全信息采集裝置在試驗過程中

是否改變原來的工作狀態。檢查被測裝置在試驗后是否發生緊固零件松動及機械損壞現象。

8.5通信要求檢測

8.5.1與采集對象通信功能檢測

與采集對象通信功能檢測方法如下：

a）通過網絡安全管理系統查看和配置網絡安全信息采集軟件/裝置的服務器、工作站的參數，同時

抓取報文（TCP自定義協議），檢測報文協議是否符合檢測要求；

b）觸發數據庫事件信息，同時抓取報文（消息總線），檢測報文協議是否符合檢測要求；

c）分別觸發網絡設備的SNMP及日志協議事件信息，同時抓取報文，檢測報文協議是否符合檢測要

求；

d）分別觸發安防設備的日志協議事件信息，同時抓取報文，檢測報文協議是否符合檢測要求。

8.5.2與網絡安全管理系統通信功能檢測

8.5.2.1事件上傳通信協議檢測

網絡安全管理系統與網絡安全信息采集軟件/裝置建立TCP連接，同時抓取認證過程報文，檢測認證

過程報文是否符合檢測要求。

8.6軟件可靠性檢測

8.6.1事件補發機制檢測

斷開網絡安全信息采集軟件/裝置與網絡安全管理系統間的網絡連接，觸發緊急、重要、一般級別

的上傳事件，接著恢復網絡安全信息采集軟件/裝置與網絡安全管理系統間的網絡連接，檢查網絡安全

信息采集軟件/裝置是否按照歷史事件上報分界時間來自動補發上相應級別的事件。

8.6.2系統恢復度檢測

模擬網絡安全信息采集軟件/裝置未響應、服務停用或崩潰等異常現象，檢測信息采集裝置是否能

在2分鐘內恢復正常。

863容錯性檢測

容錯性檢測方法如下：

a）模擬錯誤命令、非法數據、錯誤操作流程等異常現象，檢測網絡安全信息采集軟件/裝置是否能

夠保持正常穩定運行；

b）模擬異常斷電、物理硬件錯誤等現象，當異常恢復后，檢測信息采集裝置是否能夠恢復正常穩

定運行。

8.6.4通信鏈路主備功能檢測

通信鏈路主備功能檢測方法如下：

14

T/CECXXXXX—XXXX

a）配置未完成安全認證過程的網絡安全管理系統，將該網絡安全管理系統1P對應分組號的優先級

改為最高，檢測該網絡安全管理系統是否參與主備鏈路的選擇；

b）將完成安全認證過程的某一分組中1個備鏈路的優先級改為最高值，保存之后檢測網絡安全信息

采集軟件/裝置是否選擇該鏈路作為主鏈路：將完成安全認證過程的某一分組中2個（包含2）以

上備鏈路的優先級同時改為最高值，保存之后檢測網絡安全信息采集軟件/裝置是否任意選擇其

中一個作為主鏈路；

c）當主備鏈路正常時，觸發上傳事件，檢測該上傳事件是否通過主鏈路進行上送；觸發當前主鏈

路A異常，檢測網絡安全信息采集軟件/裝置是否會選擇備鏈路B作為主鏈路，同時上傳事件通過

鏈路B進行上送；

d）查看鏈路A和鏈路B互相切換過程中的上傳事件信息，檢測上傳事件信息是否具備連續性，查看

上送網絡安全管理系統的數據是否有漏發，主站已確認的數據是否有重發。

8.7安全性檢測

安全性檢測方法如下：

a）檢查系統是否劃分安全員、審計員、操作員三種不同角色，查看各角色職能，審計員具備日志

的查看導出權限：操作員具備創建/刪除用戶、用戶與角色關聯的權限，具備配置及運維權限：

安全員具備創建/刪除角色、角色授權的權限；

b）通過工具掃描和人工驗證的方式,對目標軟件源代碼或可執行程序進行漏洞排查，檢測是否存在

代碼邏輯錯誤、數組越界、緩沖區溢出、死循環、未經驗證的輸入、整數溢出、內存泄漏、未

釋放資源、資源注入、命令注入、不安全的優化算法、不明用途的惡意代碼、變量使用未初始

化、弱加密、忽略返回值等安全漏洞；

c）使用測試儀器模擬攻擊設備，與被測設備串接，配置相關攻擊流量模板，模擬攻擊。使用正常

客戶端發包工具或保持正常數據通信，檢測系統能否記錄攻擊事件并生成可讀的「志，攻擊事

件至少包含：ICMPflood、ARPflood%Pingofdeath>Smurf、Land、Teardrop>SYNflood>

LDPflood；

d）使用測試工具掃描端口，對系統內端口情況進行檢測；

e）嘗試采川http、https協議通過web方式登錄系統進行管理操作；查看是否有開放相應端口，存

在隱藏web訪問的代碼、程序；

f）使用工具對被測系統進行默認賬號（guest、admin、root>anonymous等）猜測，如123,root,

toor等常用弱口令，檢查是否可登錄成功。

15

T/CECXXXXX—XXXX

附錄A

（資料性附錄）

電力監控系統采集對象采集信息通信協議

通用采集信息格式

部分被采集對象所應提供的采用信息格式宜采用通用采集信息格式，通用采集信息格式按照GB/T

31992執行，定義為：＜級別X空格〉日期＜空格》時間〈空格》設備或系統〈空格》行為〈空格〉原因，具體要

求如下：

a）當某個字段中出現中文字符時，統一使用UTF8編碼。除原因字段外，其他字段內容中如含有

空格，需在該字段前后添加半角單引號予以標識。原因字段作為整個信息的最后一個字

段，無需在原因字段的前后添加單引號；

b）級別：遵循GB/T31992中定義，級別僅取GB/T31992中所定義級別的個位數，即告警事件的

嚴重程度，省略GB/T31992中級別的十位數電壓等級和百位數所屬電網或調度；

示例：

＜1＞2016-03-1220:12:23svrOlSVR525TCP10.1.1.1409910.2.2.280

c）日期：遵循GB/T31992中定義；

d）時間：遵循GB/T31992中定義，時間取值省略亳秒；

e）設備或系統：表示產生事件的設備標識，可以為設備的主機名、IP地址或IP地址加主機名，

具體由不同采集對象決定；

示例：

＜1＞2016-03-1220:12:23svrOlSVR525TCP10.1.1.1409910.2.2.280

svrOl為服務器名稱標識。

f）行為：字段定義為產生/上傳該事件的設備類型。設備類型定義見表A.1。

表A.1設備類型值定義表

FW防火墻

FID橫向正向隔離裝當

BID橫向反向隔離裝置

SVR服務器

SW交換機

VEAD縱向加密裝置

AV防病擊系統

IDS入侵檢測系統

DB數據庫

DCD網絡安全采集裝置

g）原因:事件的具體內容，由以下幾個字段構成：＜事件類型X空格X事件子類型＞＜空格＞＜內容

注：某些類型的事件不具有子類型。

16

T/CECXXXXX—XXXX

附錄B

（資料性附錄）

電力監控系統網絡安全信息采集架構

B.1網絡安全監視架構

網絡安全信息采集以I型和II型網絡安全監測裝置形態部署于電力監控系統網絡安全信息監視架

構中，如圖B.1所示：

網絡安全管理平臺

圖B.1電力監控系統網絡信息采集架構圖

B.2網絡安全態勢感知采集裝置架構

網絡安全信息采集以網絡安全態勢感知采集裝置形態部署于I區和III區，廠站側態勢感知采集裝

置部署架構如圖B.2所示：

I區網絡安全森

勢用知采集裝置

在以置兩文

投機

安殳HI區

忻*部署的設備II被采泉我善——通也線watt

圖B.2廠站側態勢感知采集裝置部署架構

17

T/CECXXXXX—XXXX

主站側網絡安全態勢感知采集裝置部署架構如圖B.3所示:

■■■■，設備------------?■?

圖B.3主站側態勢感知采集裝置部署架構

18

T/CECXXXXX—XXXX

19

T/CECXXXXX—XXXX

目次

前言......................................................................................II

1寸百圍....................................................................................1

2規范性引用文件..........................................................................1

3術語和定義..............................................................................1

4縮略語..................................................................................2

5總則....................................................................................2

6檢測環境及檢測設備要求.................................................................2

6.1檢測環境大氣條件..................................................................2

6.2檢測環境總體架構...................................................................3

6.3檢測設備要求.......................................................................5

7檢測要求..............................................................