DIRECÇÃO DE SISTEMAS DE INFORMAÇÃO LIGAÇÃO À REDE TELECOMUNICAÇÕES DE SEGURANÇA ESPECIFICAÇÃO TÉCNICA Participação do Consumo nos Serviços de Sistema Anexo 1 à Especificação Técnica: Aplicação SIME Cliente e Utilização do FTP da GGS 2019-01-21
ÍNDICE 1. ÂMBITO... 3 2. ESTRUTURA DO SERVIÇO... 3 3. SISTEMA DE COMUNICAÇÕES... 3 3.1. REQUISITOS DO SERVIÇO DE COMUNICAÇÕES... 4 3.2. PROTOCOLO DE COMUNICAÇÕES... 5 3.3. ENDEREÇAMENTO E ENCAMINHAMENTO DE TRÁFEGO... 5 4. SEGURANÇA... 6 4.1 Configurações de Segurança... 6 4.2 Atualizações de Segurança... 6 4.3 Controlo de acesso... 7 5. NÍVEL DE SERVIÇO (Definição)... 7 6. OPERAÇÃO E MONITORIZAÇÃO... 7 SIGLAS... 9 2
1. ÂMBITO Este documento especifica os requisitos técnicos de comunicações a observar pelos prestadores do Serviço de Participação do Consumo nos Serviços de Sistema (PCSS) ao Operador da Rede de Transporte (ORT), para interligação dos seus equipamentos ao Sistema de Informação do Mercado de Energia (SIME) e à infraestrutura FTP do ORT. 2. ESTRUTURA DO SERVIÇO No contexto da adesão à PCSS, o consumidor de energia elétrica é designado por Agente Fornecedor de Serviço (AFS). A estrutura do sistema de comunicação, execução e controlo do SPCSS é composto pelos seguintes componentes: SIME do ORT, configurado como sistema redundante, acessível via centros de controlo da REN em Sacavém e Vermoim e serviço FTP associado; Equipamento de Participação do Consumo nos Serviços de Sistema (EPCSS) residente nas instalações do AFS para a receção, gestão e execução das ordens de redução de potência; Sistema de comunicações entre o SIME e o EPCSS; Protocolo de comunicações entre o SIME e o EPCSS. 3. SISTEMA DE COMUNICAÇÕES O sistema de comunicações é constituído pelos seguintes componentes: Equipamentos agregadores de comunicações do ORT, designados por front-end de comunicações; Rede privativa de comunicações do ORT para interligação dos equipamentos que constituem o front-end de comunicações e o SIME; Equipamento de comunicações do AFS (parte integrante do EPCSS); Serviços de comunicações para interligação dos equipamentos de comunicações do AFS ao front-end de comunicações do ORT a contratar a um Operador de Comunicações (OC). Na Error! Reference source not found. encontra-se uma representação conceptual dos componentes que constituem o sistema de comunicações associado ao PCSS. 3
ORT Centro de Controlo principal SIME / FTP Rede privativa de comunicações do ORT Centro de Controlo alternativo SIME / FTP Serviços de comunicações entre o AFS e o ORT AFS EPCSS Figura 3.1 Sistema de comunicações do PCSS 3.1. REQUISITOS DO SERVIÇO DE COMUNICAÇÕES O estabelecimento de comunicações entre o equipamento de comunicações do AFS e o front-end de comunicações do ORT é da responsabilidade do AFS, o qual deverá contratar serviços de comunicações a um Operador de Comunicações (OC). Estes serviços deverão cumprir os seguintes requisitos mínimos: Serviço de comunicações privativo de VPN IP Layer3 dedicado e sem ligação à Internet, abrangendo o ponto de presença do AFS e os dois centros de controlo do ORT: o Principal: Rua Cidade de Goa, N.º 4, 2685-056 Sacavém; o Alternativo: Rua Casal Mogos, Vermoim, 4470-259 Maia. Interligação ao front end de comunicações do ORT em tecnologia Ethernet 10/100BaseT em conector RJ45 tanto no front-end de comunicações 1 como no front-end de comunicações 2, com largura de banda mínima de 2Mbps por interligação; Interligação ao equipamento de comunicações do AFS, através de circuito permanente baseada em tecnologia de acesso do tipo ADSL ou fibra óptica, com largura de banda mínima de 2Mbps; 4
O equipamento de comunicações do AFS deverá disponibilizar as interfaces e serviços de comunicações necessárias para a ligação aos restantes componentes do EPCSS e para ligação ao OC por si contratado. Sobre o serviço de VPN IP dedicado deverá ser estabelecido tuneis IPSEC iniciados e terminados entre os equipamentos de firewall de segurança do ORT e do AFS. 3.2. PROTOCOLO DE COMUNICAÇÕES O protocolo de comunicações a estabelecer entre o SIME e o EPCSS pressupõe a utilização da pilha de comunicações TCP/IP. O EPCSS deverá ter a capacidade de estabelecimento simultâneo de sessões TCP para os dois SIME, sendo para tal utilizado os portos 12005, 12006, 12001 e 12002 e 3389. Adicionalmente, o EPCSS deverá suportar o protocolo FTP definido no RFC 959, por sessão TCP no porto 21 e SFTP no porto 22. O EPCSS deverá também suportar ligações ao porto 3389 (Windows Remote Desktop) com origem no ORT. O sentido contrário de comunicação (porto 3389 com origem no EPCC e com destino ao ORT) não deverá ser permitido. Todos os outros portos de comunicação que não se encontram descritos nesta ET devem ser bloqueados nos equipamentos de firewall de segurança do ORT e do AFS. 3.3. ENDEREÇAMENTO E ENCAMINHAMENTO DE TRÁFEGO Deverão ser atendidos os seguintes requisitos: O endereçamento IP a utilizar para os sistemas do ORT e para a rede do EPCSS do AFS será fixo e definido pelo ORT na fase de implementação da interligação; Não obstante outros esquemas de encaminhamentos que possam existir no serviço do OC contratado pelo AFS, no que diz respeito ao interface com o front-end do ORT será estabelecido encaminhamento IP estático; A falha de um front-end do ORT não deverá implicar impossibilidade do AFS comunicar com ambos SIMEs (desde que estes estejam disponíveis), devendo o tráfego nesse caso ser encaminhado através do outro front-end e pela rede privativa de comunicações do ORT; A falha de um dos SIME não deverá implicar impossibilidade do AFS comunicar com o outro SIME que estiver disponível; Os mecanismos de encaminhamentos e alta-disponibilidade no interior da VPN IP do serviço do OC contratado pelo AFS serão da sua responsabilidade. 5
4. SEGURANÇA As comunicações entre o AFS e o ORT serão alvo de inspeção e controlo de tráfego por parte do ORT através dos seus sistemas de segurança instalados na zona de fronteira entre o front-end de comunicações e a sua rede de comunicações interna. A definição de pormenor destas configurações será alvo de detalhe na fase de implementação, tendo em consideração os endereços e protocolos/portos a utilizar. As comunicações entre o SIME e o EPCSS utilizarão assinatura electrónica para garantir a integridade da informação, atuando o ORT como entidade certificadora. O formato do certificado digital cumprirá a recomendação ITU-T X.509. O AFS é responsável pela garantia da segurança e correto funcionamento dos serviços de comunicações associados ao EPCSS, designadamente no que concerne à sua correta configuração, atualização e controlo de acesso de acordo com o detalhado em 4.1, 4.2 e 4.3. 4.1 Configurações de Segurança e Backup Todos os equipamentos utilizados para efeitos de interligação de comunicações do AFS ao front-end de comunicações do ORT devem ser alvo de um Hardening de segurança significando isto a desativação de portos de comunicação e serviços desnecessários ao fim deste serviço. O AFS deverá ainda seguir as melhores práticas e recomendações de segurança ativando/desativando configurações permitidas pelos próprios equipamentos e realizando backups mensais dos seus equipamentos. O acesso à internet por parte destes equipamentos não deve ser permitido exceto para fins de patching destes equipamentos de acordo com o definido em 4.2. 4.2 Atualizações de Segurança Todos os equipamentos utilizados para efeitos de interligação de comunicações do AFS ao front-end de comunicações do ORT devem cumprir com uma política de gestão de vulnerabilidades adequada. Todos os fixes e patches de segurança, seja ao nível do sistema operativo seja ao nível do software que suporte o serviço, devem ser aplicados no prazo máximo de 2 meses após serem disponibilizados pelos fornecedores. É ainda da obrigação dos AFS a instalação de atualizações e/ou versões nos seus equipamentos que permitam a correção de vulnerabilidades críticas, conhecidas ou reportadas pelos fabricantes, dos equipamentos no prazo máximo de 1 mês. 6
4.3 Controlo de acesso Todos os equipamentos utilizados para efeitos de interligação de comunicações do AFS ao front-end de comunicações do ORT devem cumprir com uma política de controlo e segregação de acessos. Tal significa a obrigatoriedade de: - Existência de portais de autenticação para acesso aos equipamentos; - Definição de grupos de utilizadores e respetivos privilégios; - Segregação ao nível da rede de forma a isolar o acesso destes equipamentos a outros cujo acesso à infraestrutura do ORT não seja necessário. 5. NÍVEL DE SERVIÇO (Definição) A disponibilidade mensal e anual do sistema de comunicações entre o EPCSS e os frontend de comunicações do ORT medir-se-á através de um Índice de Qualidade de Serviço (IQS), o qual indica a percentagem do tempo em que o serviço de comunicações esteve disponível, de acordo com: =.º h ç í ê.º h ê =.º h ç í.º h O serviço de comunicações a cargo do AFS deverá garantir um IQS mensal mínimo de 93,33% e um IQS anual mínimo de 98,08%. 6. OPERAÇÃO E MONITORIZAÇÃO A implementação, operação e monitorização do serviço de comunicações do AFS é da sua responsabilidade, devendo notificar o ORT sempre que se verifiquem avarias totais ou parciais no seu serviço de comunicações que possam afetar o PCSS. O AFS deverá notificar previamente o ORT e obter a sua concordância sempre que se verifiquem as seguintes situações: Quando houver necessidade de desligar parcial ou totalmente o EPCSS ou o seu serviço de comunicações; Quando houver necessidade de proceder a alterações de configuração física ou lógica do EPCSS ou do seu serviço de comunicações. 7
8
SIGLAS ADSL Asymmetric Digital Subscriber Line AFS Agente Fornecedor de Serviço EPSS Equipamentos de Participação do Consumo nos Serviços de Sistema OC Operador de Comunicações ORT Operador da Rede de Transporte PCSS Serviço de Participação do Consumo nos Serviços de Sistema REN Rede Elétrica Nacional SIME Sistema de Informação do Mercado de Energia Nota: As siglas convencionadas neste documento têm por objetivo simplificar a redação e interpretação desta especificação, pelo que o seu significado se circunscreve ao âmbito deste documento. Não é de excluir a possibilidade de estas siglas não coincidirem com outras convencionadas para os mesmos fins no âmbito de outros documentos. Excetuam-se as siglas relacionadas com designações padronizadas. 9