DOCUMENTO EDICIÓN DE DICIEMBRE DE 2011 · e) Debe tener Listas de acceso, extendidas, WebVPN,...

MÉXICO

EQUIPO PARA SEGURIDAD DE REDES EN SUBESTACIONES ELÉCTRICAS DE CFE TRANSMISIÓN

ESPECIFICACIÓN CFE G0100-12

OCTUBRE 2018 REVISA Y SUSTITUYE A LA

EDICIÓN DE DICIEMBRE DE 2011

DOCUMENTO EN PERIODO D

E ENTRADA EN VIGOR


E ENTRADA EN VIGOR

9AJF5

Texto escrito a máquina

9AJF5


190102

9AJF5


9AJF5


9AJF5


181030

EQUIPO PARA SEGURIDAD DE REDES EN SUBESTACIONES ELÉCTRICAS DE

CFE TRANSMISIÓN ESPECIFICACIÓN

G0100-12

1 de 9

111223 Rev 181030

1 OBJETIVO Describir las características de los equipos para la Seguridad de la Red de Datos en un Sistema de Automatización de Subestaciones de Potencia, que serán utilizados para controlar el acceso o rechazos de usuarios a equipos que se encuentran dentro de la zona segura, como parte de la confiabilidad cibernética de los equipos instalados en una subestación. 2 CAMPO DE APLICACIÓN Aplica en la seguridad cibernética en redes de datos de Subestaciones Eléctricas. 3 NORMAS QUE APLICAN Para la correcta utilización de esta especificación, es necesario consultar y aplicar las Normas Oficiales Mexicanas, Normas Internacionales, Normas de Referencia y Especificaciones de la CFE.

NOM-008-SCFI-2002 Sistema General de Unidades de Medidas.

IEC 60068-2-1-2007 Environmental Testing - Part 2-1: Tests - Test A: Cold.

IEC 60068-2-2-2007 Environmental Testing - Part 2-2: Tests -Test B: Dry Heat.

IEC 60068-2-6-2007 Environmental Testing - Part 2-6: Tests - Test Fc: Vibration (Sinusoidal).

IEC 60068-2-30-2005 Environmental Testing – Part 2-30: Tests – Test Db: Damp Heat, Cyclic (12 h + 12 h cycle).

IEC 60068-2-78-2001 Environmental testing -Part 2-78: Tests - Test Cab: Damp Heat, Steady State.

IEC 60255-21-1-1988 Electrical Relays – Part 21: Vibration, Shock, Bump and Seismic Tests on Measuring Relays and Protection Equipment – Section One: Vibration Tests (Sinusoidal).

IEC 60255-27-2013 Measuring Relays and Protection Equipment - Part

27: Product Safety Requirements.

IEC 61000-4-2-2008 Electromagnetic Compatibility (EMC) - Part 4-2: Testing and Measurement Techniques - Electrostatic Discharge Immunity Test.


E ENTRADA EN VIGOR



G0100-12

2 de 9

111223 Rev 181030

IEC 61000-4-3-2010 Electromagnetic Compatibility (EMC) - Part 4-3: Testing and Measurement Techniques - Radiated, Radio-Frequency, Electromagnetic Field Immunity Test.

IEC 61000-4-4-2012 Electromagnetic Compatibility (EMC) – Part 4-4:

Testing and Measurement Techniques – Electrical Fast Transient/Burst Immunity Test.

IEC 61000-4-11-2017 Electromagnetic Compatibility (EMC) - Part 4-11:

Testing and Measurement Techniques - Voltage Dips, Short Interruptions and Voltage Variations Immunity Tests.

IEC 61000-4-12-2017 Electromagnetic Compatibility (EMC) - Part 4-11: Testing and Measurement Techniques - Voltage Dips, Short Interruptions and Voltage Variations Immunity Tests.

IEC 61850-3-2013 Communication Networks and Systems for Power Utility Automation - Part 3: General Requirements.

NOTA.- En caso de que los documentos anteriores sean revisados o modificados, debe utilizarse la edición vigente en la fecha de

publicación de la convocatoria de licitación, salvo que se indique otra cosa.

4 DEFINICIONES 4.1 Dispositivo Electrónico Inteligente (DEI) Dispositivo que contiene uno o más procesadores con la capacidad de recibir y/o enviar información de o a una fuente externa. 4.2 Filtrado de paquetes Se emplea para implementar distintas políticas de seguridad en una red. 4.3 NTP Protocolo de Internet para la sincronización de los relojes de sistemas de información a través del enrutamiento de paquetes en redes con latencia variable. 4.4 Protocolo Conjunto de reglas que determinan el comportamiento funcional de la comunicación entre dispositivos. 4.5 Protocolo Abierto Conjunto de reglas que determinan el comportamiento funcional de la comunicación entre dispositivos las cuales sus especificaciones están estandarizadas y disponibles públicamente.


E ENTRADA EN VIGOR



G0100-12

3 de 9

111223 Rev 181030

4.6 Protocolo Propietario Conjunto de reglas que determinan el comportamiento funcional de la comunicación entre dispositivos que sus especificaciones no están disponibles públicamente. 4.7 Proxy Aplicación para filtrar las conexiones a servicios. 4.8 Servicio Conjunto formado por un protocolo de comunicación y el puerto o puertos en que se establecerá el intercambio de datos. 4.9 Software propietario Aplicaciones que sus especificaciones no están disponibles públicamente. 4.10 Redundancia Consiste en asegurar la disponibilidad de la Zona Segura ante un fallo, proporcionando rutas de datos alternativas cuando se produce un fallo de enlace. 5 SÍMBOLOS Y ABREVIATURAS BGP Protocolo de Puerta Enlace de Frontera.

ECMP Igual Costo de Múltiples Caminos.

FTP Protocolo de Transferencia de Archivos.

HTTPS Protocolo Seguro de Transferencia de Hipertexto.

ICMP Protocolo de Mensajes de Control de Internet.

IDS Sistema de Detección de Intrusiones.

IMAP Protocolo de Acceso a Mensajes de Internet.

IPS Sistema de Prevención de Intrusos.

LAN Red de Área Local.

MAC Control de Acceso al Medio.

MTBF Tiempo Medio Entre Fallos.

NAT Traducción de Direcciones de Red.

OSI Interconexión de Sistemas Abiertos.

OSPF Primer Camino Abierto Más Corto.

RADIUS Autorización Remota para Aplicaciones de Acceso a la Red ó Movilidad IP.

RIP Protocolo de Información de Encaminamiento.

SMTP Protocolo para Transferencia Simple de Correo.

SNMP Protocolo Simple de Administración de Red.

SPI Inspección de Estado de Paquetes.

SSH Protocolo de Comunicación Segura.

TCP/IP Protocolo de Control de Transmisión/Protocolo de Internet.

TFTP Protocolo de Transferencia de Archivos Trivial.

UDP Protocolo de Datagramas de Usuario.


E ENTRADA EN VIGOR

9AJF5




G0100-12

4 de 9

111223 Rev 181030

VLAN Red de Área Local Virtual.

VPN Red Privada Virtual.

6 CARACTERÍSTICAS Y CONDICIONES GENERALES 6.1 Características generales El Equipos debe tener ambientes críticos dentro de una subestación eléctrica que cumpla el estándar IEC 61850-3, sin ventiladores, ni partes móviles, grado subestación. La administración y configuración del equipo debe permitir controlar el acceso de usuarios a equipos y sus aplicaciones dentro de la zona segura con mecanismos para habilitar – deshabilitar el bloqueo de servicios TCP/IP por dirección IP y dirección MAC, así como el manejo de proxys. El equipo debe permitir su configuración mediante un puerto de administración. Debe contar con las siguientes Características Generales:

4 puertos Ethernet RJ/45 10/100/1000 Base T como mínimo.

1 puerto para la administración local RJ45 10/100/1000

Deberá contar con la configuración de la interfaz CLI seguro que por lo menos requiera

identificación y clave de acceso.

4GB de RAM como mínimo.

16 GB de memoria flash como mínimo.

Alimentación de 125 Vcd

Deberá contar con LED de indicación de sus puertos para monitoreo visual

6.2 Funciones 6.2.1 Equipo de Seguridad de Redes El equipo de Seguridad para Redes debe contar con las siguientes funciones:

a) Detección de pérdida de conexión de red.

b) Deberá contar con un throughput mínimo de 1.5 Gbps.

c) Deberá contar con la capacidad de generar 25 túneles IPsec como mínimo.

d) Deberá contar con la capacidad de tener 1,000 direcciones MAC como mínimo.

e) Soporte infraestructura DMZ con DHCP, DNS, AAA y con servicios de ruteo de IP.

f) Múltiples interfaces de red por zona de seguridad.

g) Protección Denial of Service (DoS).

h) Túneles simples IPv4 y IPv6.

i) ACLs. Listas de control de acceso.

j) Deberá tomar en cuenta dirección IP origen, dirección IP destino y servicio de la comunicación


E ENTRADA EN VIGOR



G0100-12

5 de 9

111223 Rev 181030

que se está analizando, así como los puertos TCP/UDP de servicios asociados, para al menos brindar la capacidad de aceptar, bloquear o rechazar la comunicación, teniendo capacidad de establecer limitantes y/o vigencia con base en tiempo, sea por hora, días de la semana o meses.

k) Deberá tener y filtrar protocolos SCADA (MMS, DNP 3 como mínimo).

6.2.2 Red privada virtual

a) Método de autenticación por contraseña debe ser Radius.

b) Base de datos interna para usuarios.

c) Debe permitir establecer conexiones VPN bajo el protocolo de IPSec.

d) Debe tener los siguientes algoritmos de encriptación: 3DES, AES y SHA-1.

e) Se deberá contar con la posibilidad de establecer VPN’s sitio a sitio con IP dinámicas.

6.2.3 Ruteo

a) Debe tener NAT translation bidireccional.

b) Debe tener Static NAT.

c) Debe tener Dynamic NAT.

d) Debe tener Identity NAT.

e) Debe tener Listas de acceso, extendidas, WebVPN, Dinamicas, para usuarios y grupos de

usuarios.

f) Debe tener listas de control de acceso para descargar.

g) Debe tener listas de control de acceso en capa 2 y capa 3.

h) Debe tener listas de control de acceso en Full stateful inspection.

i) Protocolos de ruteo: OSPFv2 y v3

j) Debe contar con la funcionalidad de IPS Registro de detección de intrusos con generación

atomática de logs y envío de emails.

k) Debe contar con la funcionalidad de IDS.

l) Debe tener el escaneo por dirección, sea capaz de detectar y escanear archivos que se mueven

en una dirección particular.

6.2.4 Protección Anti-Malware

a) Soporte de protección antivirus y “antimalware” en tiempo real.

- Para proteger, escanear y eliminar “malware” que viajan por protocolos: FTP, SMTP,

TFTP, NBT, IMAP, HTTP y puertos UDP y TCP.

- Para todas las entradas de archivos hacia la zona segura.

b) Debe tener detección de firmas para la protección de tráfico.

6.2.5 Redundancia


E ENTRADA EN VIGOR



G0100-12

6 de 9

111223 Rev 181030

Por medio de dos dispositivos se requiere:

a) Debe tener un esquema de alta disponibilidad Activo/Activo o Activo/Pasivo.

b) Debe tener las siguientes funcionalidades:

- Tabla de traducción NAT

- Estados de conexión TCP

- Estados de conexión UDP

- La tabla ARP

- Los estados de conexión HTTP

- Señalización de sesiones SIP.

- Protocolo de enrutamiento dinámico.

- Tabla de IPsec.

6.2.6 Sincronización de Tiempo

a) Sincronización por NTP.

b) Soporte para el cambio automático de horario de verano, configurable por el usuario (habilitación/deshabilitación y fecha de inicio – término).

6.2.7 Administración El equipo debe permitir su administración desde los siguientes puntos de acceso:

a) Acceso HTTPS, Deberá contar con una herramienta de gestión vía web embebida en el equipo

b) Administración remota desde consola central (SSH). c) Bitácora interna con facilidad de ser enviada algún dispositivo externo.

d) Bitácoras (logs) locales.

Debe disponer de registro de eventos y adquisición de eventos mediante el protocolo Syslog o MIB´s utilizado sobre una VPN y a través de SNMP v3 en modo seguro. 6.2.8 Diagnóstico Deben realizar un autodiagnóstico en el encendido, durante el diagnostico por el canal de administración, debe permitir realizar funciones tales como inicialización y configuración del sistema, análisis de paquetes de datos, procesamiento de protocolo, administración de red, mostrar el estado actual de módulos, tarjetas, puertos, chips y tareas del sistema, visualizar la comprobación de espacio en memoria, tabla de direcciones, buffer de paquetes, capacidad de memoria flash, número actual de mensajes y colas. 6.3 Licencias El equipo debe tener los derechos de uso de las licencias de todo el software suministrado para la explotación legal de los equipos, con objeto de respetar las leyes internacionales en materia de los derechos de autor, el equipo debe


E ENTRADA EN VIGOR



G0100-12

7 de 9

111223 Rev 181030

tener las licencias originales del software empleado, así como los discos compactos, medios ópticos y manuales correspondientes en forma electrónica. Se debe proporcionar el software para realizar modificaciones, configuraciones y adiciones en las funciones disponibles. 6.4 Capacitación El proveedor debe incluir un programa de capacitación en sitio, dirigido a personal técnico en el cual necesariamente se deben abarcar como mínimo el alcance y temas listados a continuación:

a) Descripción de los componentes de equipo y programación.

b) Operación del sistema.

c) Interconectividad y enlaces de red.

d) Configuración local y remota.

e) Mecanismos de seguridad.

f) Mantenimiento y servicio.

g) Herramientas de desarrollo.

h) Incluyendo documentación por persona, simulación y práctica.

7 CONDICIONES DE OPERACIÓN El firewall debe estar diseñado para trabajar en ambientes de alta interferencia electromagnética típicos en subestaciones eléctricas de hasta 400 kV, debe ser del tipo industrial y de operación continua, instalado en un gabinete vertical en rack de 482.6mm (19”), debe ofrecer un MTBF de cuando menos 50.000 h. 8 CONDICIONES DE DESARROLLO SUSTENTABLE No aplica. 9 CONDICIONES DE SEGURIDAD INDUSTRIAL No aplica. 10 CONTROL DE CALIDAD El Firewall debe cumplir con las características y pruebas prototipo indicadas en esta especificación. Los equipos deben tener certificación IEC 61850-3 por un laboratorio certificado y cumplir con la tabla 1 Pruebas tecnológicas de prototipo. Debe incluir el protocolo de pruebas del párrafo anterior junto con los manuales. 10.1 Pruebas Prototipo Pruebas tecnológicas de prototipo de los equipos de seguridad en la red LAN.


E ENTRADA EN VIGOR



G0100-12

8 de 9

111223 Rev 181030

TABLA 1 - Pruebas tecnológicas de prototipo

Prueba Normas y/o

especificaciones Nivel de severidad requerido

Ambientales 1 Temperatura

IEC 60068-2-1 (baja)

IEC 60068-2-2

(alta)

- 20 ºC 12 h

70 ºC 12 h

2 Temperatura y

Humedad IEC 60068-2-30

25 ºC a + 55 ºC con 95 % HR, 6 ciclos (6 días)

Mecánicas 3 Vibración IEC 60255-21-1

0.5 g @ 10 Hz < F< 150 Hz 1 ciclos/eje con equipo

energizado 2 g @ 10 Hz < F< 150 Hz 20 ciclos con el equipo sin

energizar

Compatibilidad electromagnética

4 Onda oscilatoria

amortiguada IEC 61000-4-12

1 MHz < f < 1.5 MHz 2.5 kV < kV < 3.0 kV

de cresta de primer ciclo

5 Transitorios rápidos IEC 61000-4-4 ± 4 kV a ± 5 kV

5/50 ns

6 Inmunidad a campos

electromagnéticos radiados

IEC 61000-4-3 10 V/m a 1 kHz; (80 a 1 000) MHz

7 Pruebas de interferencia

electromagnética IEC 61000-4-22

Medición de los valores de interferencia que generan los equipos con referencia en las

normas IEC.

8 Interrupciones y

caídas de tensión IEC 61000-4-11

Interrupciones 95 % / 5 s

Caídas 30 % / 10 ms 60 % / 100 ms

9 Descargas

electrostáticas IEC 61000-4-2

Nivel 4 8 kV contacto

15 kV aire

Aislamiento 10 Tensión de impulso IEC 60255-5

5 kV (valor pico) 1.2/50 µs

tres impulsos positivos y tres impulsos negativos.


E ENTRADA EN VIGOR



G0100-12

9 de 9

111223 Rev 181030

11 MARCADO Los equipos deben contar con los siguientes datos de placa:

a) Marca.

b) Modelo.

c) Número de Serie.

d) Tensión de alimentación.

e) Corriente nominal.

f) Fecha de fabricación.


E ENTRADA EN VIGOR

DOCUMENTO EDICIÓN DE DICIEMBRE DE 2011 · e) Debe tener Listas de acceso, extendidas, WebVPN,...

Documents

Transcript of DOCUMENTO EDICIÓN DE DICIEMBRE DE 2011 · e) Debe tener Listas de acceso, extendidas, WebVPN,...