DIN EN 62351-3-2015 Power systems management and associated information exchange - Data and communications security - Part 3 Communication network and system security - Profiles in.pdf

1、Juni 2015DEUTSCHE NORM DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDEPreisgruppe 14DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 35.

2、040; 33.200!%AY.“2305411www.din.deDDIN EN 62351-3Datenmodelle, Schnittstellen und Informationsaustausch fr Planungund Betrieb von Energieversorgungsunternehmen Daten- und Kommunikationssicherheit Teil 3: Sicherheit von Kommunikationsnetzen und Systemen Profileeinschlielich TCP/IP (IEC 62351-3:2014);

3、Deutsche Fassung EN 62351-3:2014Power systems management and associated information exchange Data and communications security Part 3: Communication network and system security Profiles including TCP/IP(IEC 62351-3:2014);German version EN 62351-3:2014Gestion des systmes de puissance et changes dinfor

4、mations associs Scurit des communications et des donnes Partie 3: Scurit des rseaux et des systmes de communication Profils comprenantTCP/IP (CEI 62351-3:2014);Version allemande EN 62351-3:2014Alleinverkauf der Normen durch Beuth Verlag GmbH, 10772 Berlin www.beuth.deGesamtumfang 17 SeitenDIN EN 623

5、51-3:2015-06 2 Anwendungsbeginn Anwendungsbeginn fr die von CENELEC am 2014-12-02 angenommene Europische Norm als DIN-Norm ist 2015-06-01. Nationales Vorwort Vorausgegangener Norm-Entwurf: E DIN EN 62351-3:2014-02. Fr dieses Dokument ist das nationale Arbeitsgremium K 952 Netzleittechnik“ der DKE De

6、utsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE (www.dke.de) zustndig. Die enthaltene IEC-Publikation wurde vom TC 57 Power systems management and associated information exchange“ erarbeitet. Das IEC-Komitee hat entschieden, dass der Inhalt dieser Publikation bis zu de

7、m Datum (stability date) unverndert bleiben soll, das auf der IEC-Website unter http:/webstore.iec.ch“ zu dieser Publikation angegeben ist. Zu diesem Zeitpunkt wird entsprechend der Entscheidung des Komitees die Publikation besttigt, zurckgezogen, durch eine Folgeausgabe ersetzt oder gendert. Fr den

8、 Fall einer undatierten Verweisung im normativen Text (Verweisung auf eine Norm ohne Angabe des Ausgabedatums und ohne Hinweis auf eine Abschnittsnummer, eine Tabelle, ein Bild usw.) bezieht sich die Verweisung auf die jeweils neueste gltige Ausgabe der in Bezug genommenen Norm. Fr den Fall einer da

9、tierten Verweisung im normativen Text bezieht sich die Verweisung immer auf die in Bezug genommene Ausgabe der Norm. Der Zusammenhang der zitierten Normen mit den entsprechenden Deutschen Normen ergibt sich, soweit ein Zusammenhang besteht, grundstzlich ber die Nummer der entsprechenden IEC-Publikat

10、ion. Beispiel: IEC 60068 ist als EN 60068 als Europische Norm durch CENELEC bernommen und als DIN EN 60068 ins Deutsche Normenwerk aufgenommen. EN 62351-3 Dezember 2014 EUROPISCHE NORM EUROPEAN STANDARD NORME EUROPENNE ICS 33.200 Deutsche Fassung Datenmodelle, Schnittstellen und Informationsaustausc

11、h fr Planung und Betrieb von Energieversorgungsunternehmen Daten- und Kommunikationssicherheit Teil 3: Sicherheit von Kommunikationsnetzen und Systemen Profile einschlielich TCP/IP (IEC 62351-3:2014) Power systems management and associated information exchange Data and communications security Part 3

12、: Communication network and system security Profiles including TCP/IP (IEC 62351-3:2014) Gestion des systmes de puissance et changes dinformations associs Scurit des communications et des donnes Partie 3: Scurit des rseaux et des systmes de communication Profils comprenant TCP/IP (CEI 62351-3:2014)

13、Diese Europische Norm wurde von CENELEC am 2014-12-02 angenommen. CENELEC-Mitglieder sind gehalten, die CEN/CENELEC-Geschftsordnung zu erfllen, in der die Bedingungen festgelegt sind, unter denen dieser Europischen Norm ohne jede nderung der Status einer nationalen Norm zu geben ist. Auf dem letzten

14、 Stand befindliche Listen dieser nationalen Normen mit ihren bibliographischen Angaben sind beim CEN-CENELEC Management Centre oder bei jedem CENELEC-Mitglied auf Anfrage erhltlich. Diese Europische Norm besteht in drei offiziellen Fassungen (Deutsch, Englisch, Franzsisch). Eine Fassung in einer and

15、eren Sprache, die von einem CENELEC-Mitglied in eigener Verantwortung durch bersetzung in seine Landessprache gemacht und dem CEN-CENELEC Management Centre mitgeteilt worden ist, hat den gleichen Status wie die offiziellen Fassungen. CENELEC-Mitglieder sind die nationalen elektrotechnischen Komitees

16、 von Belgien, Bulgarien, Dnemark, Deutschland, der ehemaligen jugoslawischen Republik Mazedonien, Estland, Finnland, Frankreich, Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, den Niederlanden, Norwegen, sterreich, Polen, Portugal, Rumnien, Schweden, der Schwei

17、z, der Slowakei, Slowenien, Spanien, der Tschechischen Republik, der Trkei, Ungarn, dem Vereinigten Knigreich und Zypern. CENELEC Europisches Komitee fr Elektrotechnische Normung European Committee for Electrotechnical Standardization Comit Europen de Normalisation Electrotechnique CEN-CENELEC Manag

18、ement Centre: Avenue Marnix 17, B-1000 Brssel 2014 CENELEC Alle Rechte der Verwertung, gleich in welcher Form und in welchem Verfahren, sind weltweit den Mitgliedern von CENELEC vorbehalten. Ref. Nr. EN 62351-3:2014 DDIN EN 62351-3:2015-06 EN 62351-3:2014 Vorwort Der Text des Dokuments 57/1498/FDIS,

19、 zuknftige 1. Ausgabe der IEC 62351-3, erarbeitet vom IEC/TC 57 Power systems management and associated information exchange“, wurde zur parallelen IEC-CENELEC-Abstimmung vorgelegt und von CENELEC als EN 62351-3:2014 angenommen. Nachstehende Daten wurden festgelegt: sptestes Datum, zu dem dieses Dok

20、ument auf nationaler Ebene durch Verffentlichung einer identischen nationalen Norm oder durch Anerkennung bernommen werden muss (dop): 2015-09-02 sptestes Datum, zu dem nationale Normen, die diesem Dokument entgegenstehen, zurckgezogen werden mssen (dow): 2017-12-02 Es wird auf die Mglichkeit hingew

21、iesen, dass einige Elemente dieses Dokuments Patentrechte berhren knnen. CENELEC und/oder CEN sind nicht dafr verantwortlich, einige oder alle diesbezglichen Patentrechte zu identifizieren. Anerkennungsnotiz Der Text der Internationalen Norm IEC 62351-3:2014 wurde von CENELEC ohne irgendeine Abnderu

22、ng als Europische Norm angenommen. 2 DIN EN 62351-3:2015-06 EN 62351-3:2014 Inhalt SeiteVorwort .2 1 Anwendungsbereich.4 1.1 Anwendungsbereich.4 1.2 Zielgruppe 4 2 Normative Verweisungen.4 3 Begriffe und Abkrzungen5 3.1 Begriffe und Abkrzungen5 3.2 Zustzliche Abkrzungen.5 4 Sicherheitsfragen im Sinn

23、e dieser Norm .5 4.1 Operative Anforderungen, die die Nutzung von TLS in der Fernwirkumgebung beeinflussen5 4.2 Sicherheitsbedrohungen, denen entgegengewirkt wird.6 4.3 Angriffsverfahren, denen entgegengewirkt wird.6 5 Zwingende Anforderungen.7 5.1 Missbilligung von Verschlsselungssuiten.7 5.2 Versi

24、onsaushandlung.7 5.3 Sitzungswiederaufnahme.7 5.4 Sitzungsneuaushandlung.8 5.5 Nachrichtenauthentifizierungscode8 5.6 Zertifikatuntersttzung9 5.7 Koexistenz mit unsicherem Protokollverkehr.12 6 Untersttzung optionaler Sicherheitsmanahmen.12 7 Anforderungen verweisender Normen .12 8 bereinstimmung .1

25、3 Literaturhinweise 14 Anhang ZA (normativ) Normative Verweisungen auf internationale Publikationen mit ihren entsprechenden europischen Publikationen15 3 DIN EN 62351-3:2015-06 EN 62351-3:2014 1 Anwendungsbereich 1.1 Anwendungsbereich Dieser Teil von IEC 62351 legt fest, wie Vertraulichkeit, Integr

26、ittsschutz und Authentifizierung auf Nachrichtenebene fr SCADA und Fernwirkprotokolle, die TCP/IP als Nachrichtentransportschicht nutzen, vorgesehen werden kann, wenn im Netz Datensicherheit erforderlich ist. Obwohl es mehrere mgliche Lsungen gibt, um TCP/IP zu schtzen, liegt der besondere Anwendung

27、s-bereich dieses Teils darin, fr die Sicherheit zwischen den kommunizierenden Einheiten an jedem Ende einer TCP/IP-Verbindung innerhalb der kommunizierenden Einheiten zu sorgen. Die Benutzung und Festlegung dazwischenliegender externer Sicherheitseinrichtungen (z. B. bump-in-the-wire“) fallen nicht

28、in den Anwendungsbereich dieser Norm. Dieser Teil von IEC 62351 legt fest, wie die auf TCP/IP basierenden Protokolle durch Nebenbedingungen, die fr die Festlegung von Nachrichten, Prozeduren und von Algorithmen der Transportschichtsicherheit (TLS) (en: Transport Layer Security) (festgelegt in RFC 52

29、46) gelten, zu schtzen sind, so dass sie fr die Fernwirkumgebung nach IEC anwendbar sind. TLS wird angewendet, um die TCP-Kommunikation zu schtzen. Diese Norm sollte in anderen IEC-Normen als normativ in Bezug genommen werden, die fr ihre auf TCP/IP basierenden Protokolle Sicherheit bieten mssen. Je

30、doch liegt die Entscheidung zur Bezugnahme auf diese Norm bei den einzelnen Protokollsicherheitsinitiativen. Dieser Teil der IEC 62351 spiegelt die Sicherheitsanforderungen der IEC-Protokolle fr das Management von Systemen der Energietechnik wider. Sollten andere Normen neue Anforderungen stellen, s

31、o kann eine berarbeitung dieser Norm erforderlich sein. 1.2 Zielgruppe Erste Zielgruppe fr diese Norm sind die Spezialisten, welche die IEC-Protokolle fr das Management von Systemen der Energietechnik und den damit verbundenen Datenaustausch entwickeln oder anwenden. Damit die in dieser Norm beschri

32、ebenen Manahmen wirksam werden, mssen sie durch die Protokollspezifikationen selbst, sofern die TCP/IP-Sicherheitsprotokolle verwendet werden, akzeptiert und in Bezug genommen werden. Dieses Dokument wurde geschrieben, um diesen Prozess in Gang zu setzen. Als anschlieende Zielgruppe fr diese Norm si

33、nd Produktentwickler vorgesehen, die diese Protokolle in die Praxis umsetzen. Teile dieser Norm knnen auch fr Manager und Fhrungskrfte hilfreich sein, um den Zweck und die Anforderungen der Arbeit zu verstehen. 2 Normative Verweisungen Die folgenden Dokumente, die in diesem Dokument teilweise oder a

34、ls Ganzes zitiert werden, sind fr die Anwendung dieses Dokuments erforderlich. Bei datierten Verweisungen gilt nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte Ausgabe des in Bezug genommenen Dokuments (einschlielich aller nderungen). IEC TS 62351-1:2007, Power system

35、s management and associated information exchange Data and communications security Part 1: Communication network and system security Introduction to security issues IEC TS 62351-2:2008, Power systems management and associated information exchange Data and communications security Part 2: Glossary of t

36、erms 4 DIN EN 62351-3:2015-06 EN 62351-3:2014 IEC TS 62351-9, Power systems management and associated information exchange Data and communications security Part 9: Key Management1)ISO/IEC 9594-8, Information technology Open Systems Interconnection The Directory: Public-key and attribute certificate

37、frameworks RFC 4492:2006, Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) RFC 5246:2008, The TLS Protocol Version 1.22)RFC 5280:2008, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile RFC 5746:2010, Transport Layer S

38、ecurity (TLS) Renegotiation Indication Extension RFC 6066:2006, Transport Layer Security Extensions RFC 6176:2011, Prohibiting Secure Sockets Layer (SSL) Version 2.0 3 Begriffe und Abkrzungen 3.1 Begriffe und Abkrzungen Fr die Anwendung dieses Dokuments gelten die Begriffe und Abkrzungen nach IEC 62

39、351-2. 3.2 Zustzliche Abkrzungen CRL Zertifikatssperrliste (en: Certificate Revocation List) DER ausgezeichnete Verschlsselungsregeln (en: Distinguished Encoding Rules) ECDSA digitaler Signatur-Algorithmus mit elliptischen Kurven (en: Elliptic Curve Digital Signature Algorithm) ECGDSA deutscher digi

40、taler Signatur-Algorithmus mit elliptischen Kurven (siehe ISO/IEC 15946-2) (en: Elliptic Curve German Digital Signature Algorithm) OCSP Online-Zertifikatsstatus-Protokoll (siehe RFC 2560) (en: Online Certificate Status Protocol) PIXIT Zusatzinformationen zur Prfung der Protokollimplementierung (en:

41、Protocol Implementation eXtra Information for Testing) 4 Sicherheitsfragen im Sinne dieser Norm 4.1 Operative Anforderungen, die die Nutzung von TLS in der Fernwirkumgebung beeinflussen Die IEC-Fernwirkumgebung hat aufgrund zahlreicher Protokolle der Informationstechnik (IT), die TLS fr den sicheren

42、 Schutz anwenden, eine Reihe unterschiedlicher operativer Anforderungen. Hinsichtlich der Sicherheit ist das wichtigste Unterscheidungsmerkmal die Dauer der TCP/IP-Verbindung, fr die die Sicherheit aufrechterhalten werden muss. 1)In Bearbeitung. 2)Dies wird blicherweise als SSL/TLS bezeichnet. 5 DIN

43、 EN 62351-3:2015-06 EN 62351-3:2014 Viele IT-Protokolle haben Verbindungen von kurzer Dauer, die eine Neuaushandlung der Verschlsselungs-algorithmen bei einer Verbindungswiederherstellung zulassen. Jedoch tendieren die Verbindungen innerhalb einer Fernwirkumgebung dazu, lnger zu dauern, und bestehen

44、 oftmals dauerhaft“. Die Langlebigkeit der Verbindungen macht beim Management von Systemen der Energietechnik und dem damit verbundenen Datenaustausch die besondere Betrachtung notwendig. In dieser Hinsicht und um Vertraulichkeit der dauerhaften“ Verbindungen vorzusehen, wird in dieser Norm ein Mech

45、anismus zur Aktualisierung des Sitzungsschlssels festgelegt, der auf TLS-Funktionen zur Sitzungswiederaufnahme und Sitzungsneuaus-handlung beruht, wobei ebenfalls die Beziehung mit den Statusinformationen zum Sperren von Zertifikaten bercksichtigt wird. Ein anderes Thema, das in dieser Norm angespro

46、chen wird, ist die Herstellung der Interoperabilitt zwischen verschiedenen Implementierungen. TLS zieht eine Reihe von zu untersttzenden Verschlsselungssuites in Betracht, die bei Verbindungsaufbau ausgehandelt werden. Es ist jedoch denkbar, dass zwei Implemen-tierungen sich gegenseitig ausschlieend

47、e Reihen von Verschlsselungssuites untersttzen knnten. Diese Norm legt fest, dass verweisende Normen zumindest eine gemeinsame Verschlsselungssuite und einen Satz von TLS-Parametern angeben mssen, die Interoperabilitt gestatten. Zustzlich legt diese Norm die Benutzung von besonderen TLS-Leistungsmer

48、kmalen fest, mit denen spezifischen Sicherheitsbedrohungen begegnet werden kann. Zu beachten ist, dass TLS fr die Authentifizierung X.509-Zertifikate verwendet (siehe ISO/IEC 9594-8 oder RFC 5280). In dieser Norm bezieht sich der Begriff Zertifikate immer auf ffentliche Schlsselzertifikate (im Gegen

49、satz zu Attributzertifikaten). ANMERKUNG Das fr die TLS notwendige Zertifikatsmanagement ist gem IEC TS 62351-9 festzulegen. 4.2 Sicherheitsbedrohungen, denen entgegengewirkt wird Siehe IEC TS 62351-1 zur Diskussion von Sicherheitsbedrohungen und Angriffsverfahren. TCP/IP und die Sicherheitsspezifikationen in diesem Teil der IEC 62351 gelten nur fr die Kommunikations-tra