T/ZDL 019-2023
電力供給企業向けのネットワーク セキュリティ管理仕様 (英語版)

規格番号

T/ZDL 019-2023

言語

中国語版, 英語で利用可能

制定年

2023

出版団体

Group Standards of the People's Republic of China

最新版

T/ZDL 019-2023

範囲

5 計画と設計の管理 5.1 計画と管理 5.1.1  ネットワーク セキュリティ戦略を策定し、継続的に改善する必要があり、ネットワーク セキュリティを確保するための基本要件と主な目標を明確に定義し、ネットワーク セキュリティのタスクと対策を明確に定義する必要があります。 主要な分野での提案が必要です。 5.1.2  ネットワークを計画および設計するときは、セキュリティ対策の計画、構築、および使用が同時に行われるように、セキュリティ保護要件を明確に定義する必要があります。 5.1.3  ネットワーク セキュリティ資金保証制度を確立し、ネットワーク セキュリティへの投資が情報化投資総額の 5% 以上となるように特別なネットワーク セキュリティ予算を編成する必要があります。 5.1.4  ビジネス システム カテゴリに基づいて、ネットワークを生産管理エリア、管理情報エリア、インターネット エリアに分割する必要があります。 生産管理領域は管理領域と非管理領域に分割する必要があり、生産管理領域のセキュリティに影響を与えることなく、各企業の異なるセキュリティ要件に従って管理情報領域を安全領域に分割することができます。 5.1.5  生産管理領域と管理情報領域は専用の水平一方向電気安全分離装置により物理的に分離され、管理情報領域とインターネット領域は情報ネットワークセキュリティ分離装置により論理的に分離されます。 インターネット領域 ファイアウォールなどの一般的なセキュリティ保護装置によって、インターネットから論理的に分離されています。 5.2 設計管理 5.2.1  情報システムの実現可能性調査段階では、国家ネットワークセキュリティレベル保護システムおよび標準に従って、システムの保護レベルと保護要件を明確にし、グレーディングレポートを作成する必要があります。 、情報システムの格付けを申請するために関係部門に提出され、格付けの審査と承認が行われ、関係機関が発行する出願証明書を取得します。 5.2.2  システム セキュリティ保護計画は、システム セキュリティ保護レベルに従って、関連する国家レベルの保護基準と規制、およびネットワーク セキュリティの規則と規制を参照して作成する必要があります。 5.2.3  システムに障害が発生した場合に、重要な顧客や重要なビジネスの通常の使用を確保することを優先できるように、主要な機能の分離設計を実行する必要があります。 5.2.4  システムの復旧後にビジネスとデータの一貫性と整合性を確保できるように、サービスが異常に中断された場合のデータ保護機能を十分に考慮する必要があります。 5.2.5  生産管理領域、管理情報領域、インターネット領域が相互作用する情報システムについては、業務システムの設計・開発において、分離デバイスの特性を十分に考慮し、最適化によりネットワークをまたがる大規模な競合を軽減する必要がある。 システム アーキテクチャとビジネス プロセス ゾーン スワップの頻度。 5.2.6  業務システムと生産管理エリアの端末間の垂直通信には、電力供給データネットワークなどの特別なデータネットワークを使用する必要があり、通信に無線通信ネットワークまたは非電力供給データネットワークが使用される場合は、安全なアクセス領域を確立し、セキュリティ隔離、アクセス制御、セキュリティ認証、データ暗号化などのセキュリティ対策を採用する必要があります。 5.2.7  リモート制御機能（システム保護、正確な負荷制限など）を備えた企業は、人員、機器、手順の身元認証を採用し、データ暗号化などのセキュリティ技術対策を講じる必要があります。 5.2.8  脆弱なパスワードの検証、定期的なパスワード変更、タイムアウト終了、不正ログイン回数の制限、アカウントの自動ログインの禁止などの機能を備えたアカウント権限モジュールを設定し、システム管理者やビジネスをサポートする必要があります。 設定者、システム監査者、ユーザーアカウントの役割分担と実名管理。 6 構築管理 6.1 ネットワーク構築 6.1.1  法律、行政法規および国家標準の必須要件に従ってシステムセキュリティ保護計画を実施し、セキュリティ領域の分割、セキュリティ製品の展開、およびセキュリティ保護計画を実行します。 統合、境界セキュリティ保護、セキュリティ構成の強化、アプリケーションシステムのセキュリティ保護、コンピュータルーム環境の変革、ネットワークセキュリティ管理システムの改善、その他のセキュリティ構築および修正作業。 6.1.2  各ネットワークエリア間の境界で安全に隔離するために特別な隔離デバイスを使用する必要があります。 生産管理エリアのネットワークの拡張は厳密に制御され、キーボード、モニター、およびマウス (KVM) 機能の使用は禁止されます。 遠隔地では厳密に管理する必要があります。 6.1.3  生産管理エリアおよび管理情報エリアでは無線ネットワークを使用しないでください。 6.1.4  ワイヤレス ネットワークを使用して大規模なインターネット エリアを構築する場合は、ネットワーク アクセス制御、ID 認証および動作監査を有効にし、高強度の暗号化アルゴリズムを使用し、ワイヤレス ネットワーク名の識別を非表示にし、ワイヤレス ネットワーク名を非表示にする必要があります。 無線ネットワークへの外部からのアクセスを防ぐため、ブロードキャストを禁止する必要があり、攻撃者は無線ネットワークのセキュリティを確保するために不法侵入します。 6.1.5  ビジネス アプリケーションを構築する際、生産管理領域および管理情報領域にアクセスするためにワイヤレス プライベート ネットワークを使用する必要がある場合は、ネットワーク境界に統合セキュリティ アクセス保護手段を導入し、専用の暗号化された伝送チャネルを使用する必要があります。 確立される。 6.1.6  ネットワーク境界では、セキュリティ保護要件に従ってセキュリティ保護装置を導入し、署名データベースを定期的にアップグレードし、セキュリティ保護戦略をタイムリーに調整し、日常検査、運用監視、およびセキュリティ監査を強化する必要があります。 6.2 システム構築 6.2.1  情報システム構築段階では、研究開発環境、コード保護、セキュリティテスト、サポートサービス、人材管理などのセキュリティ保護対策を研究開発セキュリティ要件に従って実施する必要があります。 6.2.2  情報システムの開発は専用環境で行われるべきであり、開発環境は実際の運用環境やオフィス環境から安全に隔離されなければならず、開発環境に対するセキュリティアクセス制御とセキュリティ保護対策が講じられるべきである。 を強化し、アクセスポリシーと権限管理を厳密に管理する必要があります。 6.2.3  情報システムの開発段階では、単体テスト、回帰テスト、統合テストなどとともに、セキュリティ機能テスト、コードセキュリティテストなどのセキュリティテストを実施する必要があります。 6.2.4  情報システムの開発段階では、コードのセキュリティ管理を強化し、セキュリティ プログラミング標準に厳密に従ってコードを記述し、コードのセキュリティ テストを包括的に実行し、悪意のあるプログラムや機能的に無関係なプログラムを実行すべきではありません。 コードに設定します。 6.2.5  情報システム開発段階では、企業のポートセキュリティ管理要件に従ってビジネスポートを設定し、各ポートの目的を明確にする必要があります。 6.2.6  情報システムをオンライン化し、バージョンアップを段階的に行う前に、セキュリティ、信頼性、パフォーマンス、保守性、運用監視、使いやすさなどの側面を評価し、修正して合格する必要があります。 6.2.7  情報システムをオンラインにする前に、システム アクセス ポリシー、操作権限、一時アカウント、および一時データを包括的にクリーンアップし、アカウント権限を確認し、開いているポートとポリシーを検証し、あらゆる種類のユーザーとアカウントの権限は最小限に抑える必要があり、原則として、ビジネス要件または機能要件のみを満たす必要があります。 7 テストと評価の管理 7.1 テスト管理 7.1.1  システム セキュリティ保護評価、ネットワーク セキュリティ レベル保護評価、重要な情報インフラストラクチャのネットワーク セキュリティ検出とリスク評価、商用パスワード アプリケーションのセキュリティは、次の規則に従って実行する必要があります。 安全性評価やネットワークセキュリティレビューなどの作業が必要な場合、要件が満たされていない場合は、適時に修正を行う必要があります。 7.1.2  ネットワークレベル保護評価は、レベル保護要件に従って定期的に実施する必要があり、新しく構築されたネットワークは、レベル保護評価に合格した後に運用を開始する必要があります。 7.1.3  ネットワーク セキュリティ レベルの保護評価作業は、評価の繰り返しを避けるために、システム セキュリティ保護評価、重要な情報インフラストラクチャのネットワーク セキュリティの検出と評価、および商用パスワード アプリケーションのセキュリティ評価と関連付ける必要があります。 7.1.4  情報システムを立ち上げる前に、第三者テストを実施するために、ネットワーク セキュリティテスト機関または CNAS (中国国家適合性評価サービス) によって認定されたネットワーク セキュリティ関連研究所を選択する必要があります。 企業の研究開発セキュリティテスト基準に従う テストを実施し、テストレポートを発行する。 7.1.5  システムの大幅なアップグレード、変更、または移行後は、すぐに評価を実施する必要があります。 7.1.6  ネットワーク機能、サービス範囲、サービス対象および処理データに大きな変更が発生した場合、システムのセキュリティ保護レベルが調整される場合、法律に従ってシステムのセキュリティ保護レベルを変更する必要があります。 オフライン、ネットワークの撤退、または変更があった場合は、セキュリティ保護レベルを調整する必要があり、最初に届出を受理した公安当局に登録の取り消しまたは変更の手続きを行い、業界の管轄当局に報告します。 7.2 評価管理 7.2.1  ネットワーク セキュリティ リスク評価は、関連する国内規制に従って実施され、ネットワーク セキュリティ リスク評価の自己評価および検査および評価システムが確立および改善され、ネットワーク セキュリティが強化される必要があります。 リスク管理メカニズムを改善する必要がある。 7.2.2   安全で信頼できるネットワーク製品とサービスを購入する必要があり、関連要件に従ってリスク予測を実行し、重要な情報インフラストラクチャのセキュリティ、電力生産のセキュリティ、国家安全保障への導入後の影響の可能性を考慮する必要があります。 使用を評価し、評価報告書を作成する必要があります。 7.2.3  ご自身で、またはネットワーク セキュリティ サービス機関に委託して、ネットワーク セキュリティと潜在的なリスクについて年に一度の検査と評価を実施することをお勧めします。

T/ZDL 019-2023 発売履歴

• 2023 T/ZDL 019-2023 電力供給企業向けのネットワーク セキュリティ管理仕様