ICS35.240.50 CCSF07 团体标准 T/CERS0100—2025 电力信息系统入网安全测试技术要求 Technicalrequirementsfornetworkaccesssecuritytestofelectricpowerinformation system 2025-9-27发布 2025-9-27实施 中国能源研究会发布 全国团体标准信息平台 T/CERS0100—2025 I目  次 前  言..............................................................................II 引  言.............................................................................III 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4缩略语...............................................................................1 5测试方法.............................................................................2 5.1方法要求.........................................................................2 5.2现场访谈.........................................................................2 5.3配置检查.........................................................................2 5.4漏洞扫描.........................................................................2 5.5渗透测试.........................................................................2 6测试要求.............................................................................2 6.1入网安全测试总体要求.............................................................2 6.2基础网络安全测试要求.............................................................3 6.3操作系统安全测试要求.............................................................4 6.4数据库安全测试要求...............................................................5 6.5中间件安全测试要求...............................................................6 6.6应用系统安全测试要求.............................................................6 6.7移动应用安全测试要求.............................................................9 6.8数据安全测试要求................................................................10 附录A（规范性）测试记录表.......................................................1 附录B（资料性）测试流程.........................................................6 附录C（资料性）电力信息系统入网安全测试报告.....................................9 参考文献...........................................................................11 全国团体标准信息平台 T/CERS0100—2025 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的 规则起草。 请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。 本文件由中国能源研究会提出。 本文件由中国能源研究会标准工作办公室归口。 本文件起草单位：国网河南省电力公司信息通信分公司、云南电网有限责任公司信息中心、河南 能汇信息科技有限公司、中能国研（北京）信息通信科技有限公司、中能国研(北京)电力科学研究院。 本文件主要起草人：巩锐、梅林、宋宁希、胡健、高峰、刘凯伦、郭曼、蔡頔、李璟瑜、肖鹏、 宋瑞敏、刘佳峰、崔曼曼、陈何雄、刘静、梁志琴、黄慕夏。 本文件为首次发布。 本文件在执行过程中的意见或建议反馈至中国能源研究会。 相关意见反馈联系方式：中国能源研究会标准执行办公室（E-mail:[email protected]；电话： 010-56284696）。 全国团体标准信息平台 T/CERS0100—2025 III引  言 为贯彻落实国家相关网络安全政策法规要求，建立电力信息系统入网安全测试的技术要求，对电 力信息系统的网络架构、操作系统、数据库、中间件、应用系统、移动应用和数据安全等方面提出了 覆盖主要技术领域的安全测试要求，检验电力信息系统的网络架构、安全策略、设备配置等是否具备 入网安全条件，在信息系统入网前减少和消除安全隐患，确保接入公司网络的电力信息系统及其相关 软硬件安全、可靠，保障电力系统整体网络安全，保障电力信息基础设施安全、可靠、稳定、高效的 运行，特制定本技术要求。 全国团体标准信息平台 T/CERS0100—2025 1电力信息系统入网安全测试技术要求 1范围 本文件规定了电力信息系统入网安全测试方法和测试技术要求。 本文件适用于新建、改建和扩建的电力信息系统安全规划设计和入网安全测试工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T22239—2019信息安全技术网络安全等级保护基本要求 3术语和定义 下列术语和定义适用于本文件。 3.1 安全风险securityrisk 指各类应用系统及其赖以运行的基础网络、处理的数据和信息，因潜在威胁利用其软硬件缺陷、 系统集成缺陷或安全管理薄弱环节，导致安全事件发生的可能性及可能造成的损失程度。 [来源：GB/T25069—2022，3.164，有修改] 3.2 入网安全测试networkaccesssecuritytest 由具有相关网络安全专业服务资质的第三方机构，在系统上线投运前于最终运行环境组织实施的 安全测试、评估，以验证产品符合安全需求定义。 3.3 电力信息系统electricpowerinformationsystem 与电力企业的生产、运营、管理、控制相关的信息系统。 注：根据信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素，可分为管理信息系统和电力监 控系统。 [来源：GB/T37138—2018] 4缩略语 全国团体标准信息平台 T/CERS0100—2025 2下列缩略语适用于本文件。 API：应用程序编程接口（ApplicationProgrammingInterface） APT：高级持续性威胁（AdvancedPersistentThreat） CPU：中央处理器（CentralProcessingUnit） DLL：动态链接库（DynamicLinkLibrary） HTTPS：安全的超文本传输协议（HyperTextTransferProtocolSecure） IP：网际互连协议（InternetProtocol） IPSec：互联网安全协议（InternetProtocolSecurity） PTES：渗透测试执行标准（PenetrationTestingExecutionStandard） SAM：安全账号管理器（SecurityAccountManager） SSH：安全外壳协议（SecureShell） SSL/TLS：安全套接层（SecureSocketLayer/Tr