光伏逆变器信息安全保护技术要求TCPIA 0070-2024.pdf

ICS29.120.01CCSK 46团体标准T/CPIA 00702024光伏逆变器信息安全保护技术要求Requirements of Information Security Protection for PV inverters2024-08-30 发布2024-09-15 实施中国光伏行业协会发 布T/CPIA 00702024I目次前言.III1范围.12规范性引用文件.13术语和定义.14总则.25网络安全.25.1接入认证授权.25.2用户标识.25.3身份认证和访问控制.25.4边界防护.35.5证书管理.36数据安全.36.1数据通信和传输保护.46.2数据加密及保护.46.3数据安全使用.46.4日志安全保护.46.5用户数据保护.57应用安全.57.1软件开发安全.57.2软件更新和升级保护.57.3安全资料.67.4安全配置.67.5漏洞管理.68控制安全.68.1控制协议安全机制.68.2指令安全审计.68.3时间同步.6附录 A（规范性）密码学算法和安全通信协议.8A.1安全的密码学算法.8A.2安全通信协议.8A.3安全密码套件.9参考文献.11T/CPIA 00702024III前言本文件按照GB/T 1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国光伏行业协会标准化技术委员会提出。本文件由中国光伏行业协会标准化技术委员会归口。本文件起草单位：之江实验室、中国电子技术标准化研究院、浙江省白马湖实验室有限公司、之江奇安科技有限公司、华为数字能源技术有限公司、阳光电源股份有限公司、国网山西省电力公司、国网山西省电力公司电力科学研究院、中国大唐集团科学技术研究院有限公司、杭州安恒信息技术股份有限公司。本文件主要起草人：朱桢、沈曲、陈晓达、庄天奇、李臻、孙务本、张奕鹏、夏俊伟、殷志鹏、杜荣华、赵俊屹、冯磊、李若峰、吴灏。T/CPIA 007020241光伏逆变器信息安全保护技术要求1范围本文件规定了光伏逆变器控制安全、网络安全、数据安全、应用安全等方面的信息安全保护相关技术要求。本文件适用于接入电网的具备通信功能光伏逆变器的设计、研制和验收，其他类型的逆变器、DC直流变换器、储能变流器、数据采集装置也可参照执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 364702018信息安全技术工业控制系统现场测控设备通用安全功能要求GB/T 424562023工业自动化和控制系统信息安全IACS组件的安全技术要求3术语和定义下列术语和定义适用于本文件。3.1信息安全information security保护、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、可靠性等性质。来源：GB/T 250692010，2.1.523.2网络安全network security通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。采取措施包括：通信和传输保护、边界防护、接入认证授权、本地通信保护等。来源：GB/T 222392019，3.1，有修改3.3数据安全data security通过采取必要措施，防止数据在传输过程中被泄露、损毁或丢失的情况发生，保护数据的完整性、保密性、可用性。采取措施包括数据加密及保护、数据缓存、日志安全保护、用户信息数据保护等。来源：GB/T 394772020，3.1，有修改3.4应用安全application securityT/CPIA 007020242通过采取必要措施，防止应用软件及相关组件在处理业务过程时出现数据的泄露、损毁或丢失。采取措施包括身份认证和访问控制、软件开发安全、更新和升级保护等。3.5控制安全control security通过采取必要措施，确保控制系统执行的控制命令来自合法用户正确的执行，控制软件出现的漏洞应被及时的处理，异常控制指令应被及时的发现，防护可预见的危险状况。采取措施包括采取控制协议安全机制、指令安全审计等。3.6个人数据personal data以电子或其他方式记录的能够单独或者与其他信息结合识别特定公民或组织，或者反映特定公民或组织活动情况的各种信息。3.7敏感数据sensitive data敏感数据的具体范围取决于产品的具体应用场景，典型的敏感数据包括认证凭据（如口令、动态令牌卡等）、大批量个人隐私数据等。3.8用户数据user data光伏逆变器上存储