IEC 62351

IEC 62351 ist der aktuellste Standard für Sicherheit in Energiemanagementsystemen und zugehörigem Datenaustausch und beschreibt Maßnahmen zur Erfüllung der vier Grundforderungen an sichere Datenkommunikation / Datenverarbeitung: Vertraulichkeit, Datenintegrität, Authentifizierung und Unleugbarkeit.

IEC 62351 besteht aus folgenden Einzelnormen:

  • IEC 62351-1
    Übersicht über das Gesamtdokument IEC 62351 und Einführung in die informationstechnischen Sicherheitsaspekte für den Betrieb von Stromversorgungsanlagen
  • IEC 62351-2
    Glossar der verwendeten Begriffe und Abkürzungen
  • IEC 62351-3
    Ende-zu-Ende Absicherung des Datenverkehrs für TCP/IP-basierte Verbindungen durch Verwendung von TLS [RFC5246] mit erforderlicher gegenseitiger Authentifizierung von Client und Server auf Basis von X.509-Zertifikaten
  • IEC 62351-4
    Sicherheitsmaßnahme für MMS-basierte Protokolle (z.B. IEC 60870-6, IEC 61850) durch Absicherung der Transportschicht gemäß IEC 62351-3 und Definition eines Authentifizierungsmechanismus "SECURE" auf der Anwenderschicht für MMS-Assoziationen unter Verwendung von X.509-Zertifikaten
  • IEC 62351-5
    Sicherheit für IEC 60870-5 und abgeleitete Protokolle (z.B. IEC 60870-5-104 / IEC 60870-5-101 / DNP 3.0) auf der Anwenderschicht mittels Zugriffsberechtigung auf kritische Ressourcen einer Unterstation auf Basis von Rollen-basierten Zugriffsbeschränkungen (RBAC) und Erfassung sicherheitsrelevanter Ereignisse in Statistiken.
  • IEC 62351-6
    Sicherheit für das IEC61850-Protokoll durch Einsatz von VLAN-Markierungen und X.509-Signaturen bei GOOSE- und SMV-Telegrammen
  • IEC 62351-7
    Sicherheit durch Einsatz von Tools zur Netzwerk- und Systemverwaltung, um eine Überwachung der Stromnetz-Infrastruktur zu ermöglichen, z.B. unter Verwendung von MIB-Definitionen für IEDs, die herstellerunabhängige relevante Systeminformationen bezüglich des Gerätes und der Kommunikationslinien über das SNMP-Protokoll in einer standardisierten Art bereitstellen
  • IEC 62351-8
    Definition von Methoden zur Verarbeitung und Verwaltung von Zugriffsrechten für Benutzer und Dienste auf Basis eines Rollen-basierten Zugriffskontrollsystems (RBAC). Die Identitätsinformation sowie der Rollenname wird in einem Zugriff-Token (ASN.1-Syntax) abgelegt, der mit Hilfe verschiedener Transportmechanismen (X.509-Zertifikate, X.509-Attribut-Zertifikate, Software-Token) auf eine kryptographisch sichere Art zwischen den Systemen ausgetauscht wird. Die zentrale Verwaltung der Zugangsdaten erfolgt über ein LDAP-System, das den Zugriff (PUSH- / PULL-Mechanismus) auf die Identitätsinformation des Kommunikationspartners ermöglicht. Zudem werden vordefinierte Standard-Rollen eingeführt (siehe folgende Tabelle) und die Zugriffsrechte im Kontext von IEC 61850 (z.B. Auflistung aller Objekte in einem "Logischen Gerät") definiert.
    vordefinierte Rollenprofile
    Tabelle: vordefinierte Rollenprofile
  • IEC 62351-9
    "Cyber Security", das Schlüssel-Management für Stromversorgungsanlagen, behandelt den korrekten und sicheren Umgang mit sicherheitskritischen Parametern, z.B. Passwörter, Verschlüsselungsschlüssel und den gesamten Lebenszyklus von kryptografischer Information (Anmeldung, Erstellung, Verbreitung, Installation, Verwendung, Lagerung sowie der Entfernung). Für asymmetrische Verschlüsselungsverfahren wird der Umgang mit digitalen Zertifikaten (öffentlicher / privater Schlüssel), die notwendige Infrastruktur (PKI, X.509-Zertifikate) sowie Mechanismen bezüglich verschiedener Management-Aspekte, z.B. Zertifikatsanforderung (SCEP, CMP), Zertifikatssperrung (CRL, OCSP) definiert. Bei Verwendung von symmetrischen Schlüsseln (z.B. Sitzungsschlüssel) wird ein Mechanismus zur sicheren Verteilung basierend auf GDOI [RFC6407] und IKEv2 [RFC7427] vorgestellt.
  • IEC 62351-10
    Die Norm erläutert Sicherheits-Architekturen für die gesamte IT-Infrastruktur, mit zusätzlichem Fokus auf spezielle Sicherheitsanforderungen aus dem Umfeld der Stromerzeugung. Es werden kritische Stellen in der Kommunikationsarchitektur (z.B. Leitstelle zum Umspannwerk, Umspannwerk-Automatisierung) identifiziert und geeignete Sicherheitsmechanismen (z.B. Datenverschlüsselung, Benutzerauthentifizierung) vorgeschlagen. Die Anwendung des Mechanismus' aus IEC 62351 und bewährte Standards aus dem IT-Bereich (z.B. VPN Tunnel, Secure FTP, HTTPS) werden kombinierte, um den Sicherheitsanforderungen gerecht zu werden.
  • IEC 62351-11
    Sicherheit für XML-Dateien durch Einbettung des originalen XML-Inhalts in einen XML-Container, der wahlweise Verschlüsselung, X.509-Signatur für die Authentizität der XML-Daten, Erstellungszeitpunkt und Zugriffskontrolle für XML-Daten ermöglicht.

Die Zuordnung der verschiedenen Einzelnormen aus IEC 62351 auf standardisierte Protokolle im Bereich der Energiewirtschaft wird in folgender Grafik dargestellt:

Relevanz der IEC 62351 Einzelnormen für die Protokolle der Arbeitsgruppe IEC TC 57
Abbildung: Relevanz der IEC 62351 Einzelnormen für die Protokolle der Arbeitsgruppe IEC TC 57

ISO/OSI Modell

7 Anwenderschicht IEC62351-11
IEC62351-9 (X.509 certificates)
6 Darstellungsschicht N/A
5 Sitzungsschicht IEC62351-5
IEC62351-6 (signatures)
IEC62351-8 (LDAP accesses)
IEC62351-9 (SCEP)
4 Transportschicht IEC62351-3 (TLS)
IEC62351-4 (TLS and MSS authentication)
3 Vermittlungsschicht N/A
2 Sicherungsschicht IEC62351-6 (VLAN)
1 Bitübertragungsschicht N/A

Verfügbare Protokollstacks

DNP V3.00, Master

DNP V3.00, Slave

IEC 60870-5-104, Master

IEC 60870-5-104, Slave

IEC 61850, Client

IEC 61850, Server

Geeignete Produkte

  • ipConv
    ipConv

    Universeller Protokollkonverter für höchste Ansprüche an Flexiblität

Referenzen

  • Projekt CFE
    Projekt CFE, Mexiko

    Produkte: ipConv
    Protokollstacks: Conitel-2020, Slave DNP V3.00, Slave DNP V3.00, Master Harris-5000/6000, Slave Recon, Slave Indactic 33/41, 2033, Slave Fuji, Slave XMAT, Master

  • ELIA
    ELIA, Belgien

    Produkte: ipConv
    Protokollstacks: Modbus TCP/IP, Master IEC 60870-5-104, Slave Telegyr 065, Master Telegyr 102, Master Telegyr 809, Master Tracec 32, 62, 92, 92P, 122, 130 & 142 Master

  • Storebælt
    Storebælt, Daenemark

    Produkte: ipConv
    Protokollstacks: IEC 60870-5-104, Master IEC 60870-5-104, Slave Simatic TDC, Master Modbus TCP/IP, Master

  • SEC SVC
    SEC SVC, Saudi Arabien

    Produkte: ipConv
    Protokollstacks: IEC 60870-5-101, Slave IEC 60870-5-104, Slave IEC 61850, Client Simatic TDC, Master

  • HGÜ
    HGÜ, Neuseeland

    Produkte: ipConv ipConvLite
    Protokollstacks: DNP V3.00, Slave DNP V3.00, Master TASE.2, Server TASE.2, Client Modbus, Master Simatic TDC, Master

  • BLS Lötschbergtunnel II
    BLS Lötschbergtunnel II, Schweiz

    Produkte: ipConv ipRoute
    Protokollstacks: IEC 60870-5-104, Master IEC 60870-5-104, Slave SNMP, Client

  • BLS AlpTransit - Lötschbergtunnel
    BLS AlpTransit - Lötschbergtunnel, Schweiz

    Produkte: ipConv ipRoute
    Protokollstacks: OPC DA 3.0, Server IEC 60870-5-104, Slave IEC 60870-5-101, Master IEC 60870-5-104, Master SNMP, Client

  • BASSLINK HVDC Victoria / Tasmanien
    BASSLINK HVDC Victoria / Tasmanien, Australien

    Produkte: ipConv
    Protokollstacks: DNP V3.00, Slave Simatic TDC, Master