IEC 62351

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 9. Mai 2016 um 16:49 Uhr durch Unscheinbar (Diskussion | Beiträge) (Änderungen von Sebastian2888 (Diskussion) auf die letzte Version von Früchtebrot zurückgesetzt). Sie kann sich erheblich von der aktuellen Version unterscheiden.
Zur Navigation springen Zur Suche springen
Dieser Artikel oder Abschnitt ist nicht allgemeinverständlich formuliert. Die Mängel sind unter Diskussion:IEC 62351 beschrieben. Wenn du diesen Baustein entfernst, begründe dies bitte auf der Artikeldiskussionsseite und ergänze den automatisch erstellten Projektseitenabschnitt Wikipedia:Unverständliche Artikel #IEC 62351 um {{Erledigt|1=~~~~}}.

Die Norm IEC 62351 wurde von der Arbeitsgruppe WG15/IEC TC57 entwickelt. Es werden Mechanismen definiert, um die Sicherheit in den Protokollen der TC 57 zu gewährleisten, was die Protokolle der Reihe IEC 60870-5, IEC 60870-6, IEC 61850, IEC 61970 und IEC 61968 einschließt. Die sicherheitsrelevanten Maßnahmen umfassen unter anderem die Authentifizierung des Datentransfers durch digitale Signaturen, Rechtezuordnung durch Benutzer-/Service-Authentifizierung für berechtigten Datenzugriff, Unterbindung von Abhören der Daten und Replay-Angriffen, sowie Einsatz von Intrusion-Detection-Systemen.

Übersicht der Einzelnormen

  • IEC 62351-1 – Übersicht über das Gesamtdokument IEC 62351 und Einführung in die informationstechnischen Sicherheitsaspekte für den Betrieb von Stromversorgungsanlagen.
  • IEC 62351-2 – Glossar der verwendeten Begriffe und Abkürzungen.
  • IEC 62351-3 – Ende-zu-Ende-Absicherung des Datenverkehrs für TCP/IP-basierte Verbindungen durch Verwendung von TLS gemäß RFC 5246 mit erforderlicher gegenseitiger Authentifizierung von Client und Server auf Basis von X.509-Zertifikaten.
  • IEC 62351-4 – Sicherheitsmaßnahme für MMS-basierte Protokolle (z. B. ICCP-basierte IEC 60870-6, IEC 61850) durch Absicherung der Transportschicht gemäß IEC 62351-3 und Definition eines Authentifizierungsmechanismus „SECURE“ auf der Anwenderschicht für MMS-Assoziationen unter Verwendung von X.509-Zertifikaten.
  • IEC 62351-5 – Sicherheit für IEC 60870-5 und abgeleitete Protokolle (z. B. IEC 60870-5-104/IEC 60870-5-101/DNP3) auf der Anwenderschicht mittels Zugriffsberechtigung auf kritische Ressourcen einer Unterstation unter Verwendung von Rollen-basierten Zugriffsbeschränkungen RBAC und Erfassung sicherheitsrelevanter Ereignisse in Statistiken.
  • IEC 62351-6 – Sicherheit für das IEC 61850-Protokoll durch Einsatz von VLAN-Markierungen und X.509-Signaturen bei GOOSE- und SMV-Telegrammen, sowie Anwendung von Authentifizierungsmechanismen für SNTP.
  • IEC 62351-7 – Sicherheit durch Einsatz von Tools zur Netzwerk- und Systemverwaltung, um eine Überwachung der Stromnetz-Infrastruktur zu ermöglichen, z. B. unter Verwendung von Management Information Base MIB-Definitionen für IEDs, die herstellerunabhängige relevante Systeminformationen bezüglich des Gerätes und der Kommunikationslinien über das SNMP-Protokoll in einer standardisierten Art bereitstellen.
  • IEC 62351-8 – Definition von Methoden zur Verarbeitung und Verwaltung von Zugriffsrechten für Benutzer und Dienste auf Basis eines Rollen-basierten Zugriffskontrollsystems (RBAC). Die Identitätsinformation sowie der Rollenname wird in einem Zugriff-Token (ASN.1-Syntax) abgelegt, der mit Hilfe verschiedener Transportmechanismen (X.509-Zertifikate, X.509-Attribut-Zertifikate, Software-Token) auf eine kryptographisch sichere Art zwischen den Systemen ausgetauscht wird. Die zentrale Verwaltung der Zugangsdaten erfolgt über ein LDAP-System, das den Zugriff (PUSH-/PULL-Mechanismus) auf die Identitätsinformation des Kommunikationspartners ermöglicht. Zudem werden vordefinierte Standard-Rollen eingeführt und die Zugriffsrechte im Kontext von IEC 61850 (z. B. Auflistung aller Objekte in einem „Logischen Gerät“) definiert.
  • IEC 62351-9 – „Cyber Security“, das Schlüssel-Management für Stromversorgungsanlagen, behandelt den korrekten und sicheren Umgang mit sicherheitskritischen Parametern, z. B. Passwörter, Verschlüsselungsschlüssel und den gesamten Lebenszyklus von kryptografischer Information (Anmeldung, Erstellung, Verbreitung, Installation, Verwendung, Lagerung sowie der Entfernung). Für asymmetrische Verschlüsselungsverfahren wird der Umgang mit digitalen Zertifikaten (öffentlicher/privater Schlüssel), die notwendige Infrastruktur (PKI, X.509-Zertifikate) sowie Mechanismen bezüglich verschiedener Management-Aspekte, z. B. Zertifikatsanforderung (SCEP, CMP), Zertifikatssperrung (CRL, OCSP) definiert. Bei Verwendung von symmetrischen Schlüsseln (z. B. Sitzungsschlüssel) wird ein Mechanismus zur sicheren Verteilung, basierend auf GDOI [RFC6407] und IKEv2 [RFC7427], vorgestellt.
  • IEC 62351-10 – Die Norm erläutert Sicherheits-Architekturen für die gesamte IT-Infrastruktur, mit zusätzlichem Fokus auf spezielle Sicherheitsanforderungen aus dem Umfeld der Stromerzeugung. Es werden kritische Stellen in der Kommunikationsarchitektur (z. B. Leitstelle zum Umspannwerk, Umspannwerk-Automatisierung) identifiziert und geeignete Sicherheitsmechanismen (z. B. Datenverschlüsselung, Benutzerauthentifizierung) vorgeschlagen. Die Anwendung des Mechanismus' aus IEC 62351 und bewährte Standards aus dem IT-Bereich (z. B. VPN-Tunnel, Secure FTP, HTTPS) werden kombiniert, um den Sicherheitsanforderungen gerecht zu werden.
  • IEC 62351-11 – Sicherheit für XML-Dateien durch Einbettung des originalen XML-Inhalts in einen XML-Container, der wahlweise Verschlüsselung, X.509-Signatur für die Authentizität der XML-Daten, Erstellungszeitpunkt und Zugriffskontrolle für XML-Daten ermöglicht.

Weblinks

Abgerufen von „https://de.wikipedia.org/w/index.php?title=IEC_62351&oldid=154228921