數(shù)字水利水務(wù)數(shù)據(jù)安全要求

數(shù)字水利水務(wù)數(shù)據(jù)安全規(guī)范本文件規(guī)定了數(shù)字水利水務(wù)數(shù)據(jù)安全的技術(shù)框架的幾大組成部分（智能終端設(shè)備、平臺(tái)、統(tǒng)一證書管理系統(tǒng)）的安全要求。其中，智能終端設(shè)備限定于低數(shù)據(jù)量業(yè)務(wù)的終端。本文件適用于數(shù)字水利系統(tǒng)水務(wù)數(shù)據(jù)安全建設(shè)、規(guī)劃、驗(yàn)收等。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T37092-2018信息安全技術(shù)密碼模塊安全要求GB/T37093-2018信息安全技術(shù)物聯(lián)網(wǎng)感知層接入通信網(wǎng)的要求GB/T36951-2018信息安全技術(shù)物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求RFC5280InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocationList(CRL)Profile3術(shù)語(yǔ)和定義GB/T25069界定的術(shù)語(yǔ)和定義適用于本文件。4符號(hào)和縮略語(yǔ)下列符號(hào)和縮略語(yǔ)適用于本文件。MCU：微控制單元（MicrocontrollerUnit）x.509V3：RFC5280定義的一種公鑰證書的格式標(biāo)準(zhǔn)OCSP：在線證書狀態(tài)協(xié)議（OnlineCertificateStatusProtocol）PKI：公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)RA：注冊(cè)機(jī)構(gòu)(RegistrationAuthority)5安全技術(shù)框架數(shù)字水利水務(wù)數(shù)據(jù)安全技術(shù)框架示意圖如下圖1所示，主要由智能終端設(shè)備、平臺(tái)、統(tǒng)一證書管理系統(tǒng)的內(nèi)部安全機(jī)制以及相互間數(shù)據(jù)交互的安全機(jī)制組成。智能終端設(shè)備，由安全單元、MCU、通信模組構(gòu)成，通過數(shù)據(jù)加密、操作權(quán)限認(rèn)證等方式，實(shí)現(xiàn)與平臺(tái)通信的安全性。平臺(tái)，負(fù)責(zé)對(duì)智能終端的接入進(jìn)行身份認(rèn)證，并保證數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性、新鮮性等安全性。統(tǒng)證書統(tǒng)證書管理系統(tǒng)證書模塊審計(jì)組織權(quán)限管理管理-證書簽發(fā)簽名驗(yàn)簽設(shè)備接簽名驗(yàn)簽設(shè)備接入認(rèn)證密鑰管理加密/解密業(yè)務(wù)管理平臺(tái) 傳輸 傳輸-證書簽發(fā)安全單元通信模組安全單元通信模組MCU智能終端設(shè)備圖1數(shù)字水利水務(wù)數(shù)據(jù)安全技術(shù)框架示意圖6安全業(yè)務(wù)流程智能終端設(shè)備統(tǒng)一證書管理系統(tǒng)平臺(tái)1.1.平臺(tái)證書發(fā)行2.終端證書發(fā)行3.身份認(rèn)證4.證書在線驗(yàn)證5.密文傳輸圖2數(shù)字水利水務(wù)數(shù)據(jù)安全業(yè)務(wù)流程示意圖數(shù)字水利水務(wù)數(shù)據(jù)安全業(yè)務(wù)流程示意圖如圖2所示。流程說(shuō)明：1)初始化流程，統(tǒng)一證書管理系統(tǒng)向平臺(tái)進(jìn)行證書發(fā)行操作；2)初始化流程，統(tǒng)一證書管理系統(tǒng)向智能終端設(shè)備進(jìn)行證書發(fā)行操作；3)連接認(rèn)證流程，智能終端設(shè)備接入平臺(tái)時(shí)，由平臺(tái)負(fù)責(zé)對(duì)終端的接入進(jìn)行身份認(rèn)證；4)連接認(rèn)證流程，平臺(tái)接收到終端的身份信息后，向統(tǒng)一證書管理系統(tǒng)發(fā)起證書在線驗(yàn)證；5)連接認(rèn)證流程結(jié)束后，終端與平臺(tái)間進(jìn)行密文傳輸。7數(shù)據(jù)分類分級(jí)7.1分類分級(jí)原則按照法律法規(guī)和相關(guān)標(biāo)準(zhǔn)要求，綜合考慮水利水務(wù)數(shù)據(jù)的類別屬性和使用目的，對(duì)數(shù)據(jù)進(jìn)行分類。在數(shù)據(jù)分類基礎(chǔ)上，對(duì)每一類數(shù)據(jù)，結(jié)合數(shù)據(jù)的重要性及敏感程度、安全保護(hù)需求以及一旦遭到篡改、破壞、泄露而造成的危害程度等，進(jìn)行數(shù)據(jù)分級(jí)。對(duì)不同分類分級(jí)的數(shù)據(jù)應(yīng)設(shè)置不同的安全管理要求和技術(shù)保障。7.2數(shù)據(jù)分類水利水務(wù)數(shù)據(jù)分類見如下表1所示：表1水利水務(wù)數(shù)據(jù)分類7.3數(shù)據(jù)分級(jí)水利水務(wù)數(shù)據(jù)分級(jí)為：非敏感數(shù)據(jù)、涉及用戶隱私數(shù)據(jù)、國(guó)家核心數(shù)據(jù)。非敏感數(shù)據(jù)，可無(wú)條件共享與開放。涉及用戶隱私數(shù)據(jù)，在政府部門內(nèi)有條件共享；在不違反國(guó)家法律法規(guī)的條件下，予以脫敏開放。國(guó)家核心數(shù)據(jù)，在政府部門內(nèi)有條件共享或不予共享；對(duì)于部分需要開放的數(shù)據(jù)，需要進(jìn)行脫敏處理，并且控制數(shù)據(jù)分析類型。注：凡列入政府部門有條件共享的數(shù)據(jù)，必須提供正當(dāng)理由或依據(jù)，且由同級(jí)政府?dāng)?shù)據(jù)資源行政主管部門審查確定。8智能終端設(shè)備安全要求8.1安全單元要求8.1.1一般要求智能終端設(shè)備宜采用GB/T37092-2018中規(guī)定的三級(jí)及以上密碼模塊或通過國(guó)家密碼管理部門核準(zhǔn)的硬件密碼產(chǎn)品實(shí)現(xiàn)密碼運(yùn)算和密鑰管理。安全單元應(yīng)支持多種安全訪問方式和權(quán)限；支持安全數(shù)據(jù)傳輸，包括密文+MAC、密文+簽名的傳輸方式；支持侵入式、半侵入式和非侵入式防護(hù)機(jī)制。8.1.2唯一標(biāo)識(shí)安全單元初始化時(shí)應(yīng)設(shè)置唯一設(shè)備可信標(biāo)識(shí)，標(biāo)識(shí)一旦寫入不可修改。8.1.3安全存儲(chǔ)要求安全單元應(yīng)具備存儲(chǔ)證書、密鑰、關(guān)鍵參數(shù)、數(shù)據(jù)及文件的能力，具體要求如下：a）存儲(chǔ)空間大于200KB；b）在25℃的工作溫度下，最小擦寫次數(shù)不小于10萬(wàn)次；c）在25℃的工作溫度下，最短數(shù)據(jù)保持時(shí)間不小于10年；d）支持多種文件類型：透明二進(jìn)制文件、記錄文件、密鑰文件；●雙字讀/字節(jié)讀時(shí)間<35ns；●雙字寫/字節(jié)寫時(shí)間<30us；●頁(yè)寫時(shí)間<2ms（1次寫加校驗(yàn)）；●頁(yè)擦除時(shí)間<4ms（1次擦除加校驗(yàn)）；8.1.4算法性能要求安全單元應(yīng)支持國(guó)家密碼管理部門核準(zhǔn)的密碼算法，支持真隨機(jī)數(shù)產(chǎn)生，支持算法性能要求如下：a）SM1/SM4加解密，速率不低于10Mb/秒；b）SM2加密，速率不低于50次/秒；c）SM2解密，速率不低于50次/秒；d）SM2簽名，速率不低于50次/秒；e）SM2驗(yàn)簽，速率不低于50次/秒。8.1.5功耗要求智能終端設(shè)備應(yīng)能控制安全單元的上電以及下電，安全單元只有在運(yùn)行時(shí)產(chǎn)生功耗，其余時(shí)間處于休眠或者斷電狀態(tài)，具備長(zhǎng)期穩(wěn)定使用的能力。具體功耗要求如下：a）正常工作模式，平均電流≤15mA；b）峰值電流≤40mA；c）深度休眠模式，平均電流≤200uA；d）斷電狀態(tài)，平均電流≤0.2uA。8.2唯一身份標(biāo)識(shí)智能終端設(shè)備在數(shù)字水利系統(tǒng)中應(yīng)具備唯一身份標(biāo)識(shí)，應(yīng)存儲(chǔ)于安全單元中。8.3生命周期管理智能終端設(shè)備宜具有“廠內(nèi)模式“和”出廠模式”兩種生命周期狀態(tài)。生命周期狀態(tài)應(yīng)存儲(chǔ)在安全單元中，由安全單元提供專用指令進(jìn)行修改。在“廠內(nèi)模式”下，設(shè)備生產(chǎn)廠商具有權(quán)限明文修改設(shè)備內(nèi)的關(guān)鍵參數(shù)、標(biāo)識(shí)信息等數(shù)據(jù)，并有權(quán)限將設(shè)備生命周期狀態(tài)修改為“出廠模式”。在“出廠模式”下，需要有水務(wù)企業(yè)管理系統(tǒng)簽名的指令才能將設(shè)備具生命周期狀態(tài)修改回“廠內(nèi)8.4敏感數(shù)據(jù)保密遠(yuǎn)程通信時(shí)，敏感數(shù)據(jù)應(yīng)由安全單元進(jìn)行加密，保證敏感數(shù)據(jù)在傳輸過程中不被非法竊聽。8.5時(shí)間同步要求智能終端設(shè)備應(yīng)能從平臺(tái)獲取當(dāng)前最新時(shí)間，并更新智能終端設(shè)備內(nèi)部存儲(chǔ)的時(shí)間參數(shù)。8.6關(guān)鍵操作權(quán)限認(rèn)證智能終端設(shè)備的關(guān)鍵參數(shù)應(yīng)存儲(chǔ)在安全單元的內(nèi)部安全存儲(chǔ)區(qū)中，由安全單元認(rèn)證修改指令后直接由安全單元執(zhí)行修改操作。當(dāng)認(rèn)證失敗時(shí)，安全單元應(yīng)拒絕對(duì)關(guān)鍵參數(shù)的修改動(dòng)作。對(duì)于法規(guī)性相關(guān)的修正系數(shù)、補(bǔ)償模式等關(guān)鍵參數(shù)，設(shè)備出廠后只接受檢定機(jī)構(gòu)簽名的參數(shù)修改指令。其他關(guān)鍵操作，只接受水務(wù)企業(yè)管理系統(tǒng)認(rèn)證或簽名的操作指令。用于智能終端設(shè)備現(xiàn)場(chǎng)維護(hù)的手持終端在沒有權(quán)限認(rèn)證的情況下，僅能讀取設(shè)備內(nèi)的數(shù)據(jù)。8.7物理接口安全物理接口安全應(yīng)符合GB/T36951-2018中6.4.7的要求。8.8安全通信要求8.8.1AT指令識(shí)別安全單元采用前置化部署方式，支持識(shí)別智能終端設(shè)備內(nèi)與通信模組交互的AT指令。對(duì)上下行報(bào)文AT指令，進(jìn)行安全處理傳輸；對(duì)其余配置類AT指令，進(jìn)行透?jìng)鳌?.8.2指令防重放通過在協(xié)議中設(shè)計(jì)報(bào)文計(jì)數(shù)，以及使用周期更新的會(huì)話密鑰的機(jī)制。一方面，智能終端設(shè)備生成的報(bào)文不會(huì)重復(fù)。另一方面智能終端設(shè)備能夠識(shí)別并過濾掉重放的報(bào)文，有效避免重放攻擊。報(bào)文計(jì)數(shù)（防重因子）應(yīng)由安全單元進(jìn)行維護(hù)和檢查。8.8.3通信要求對(duì)智能終端設(shè)備的通信要求具體如下：a）具備自生成公私鑰對(duì)的能力，實(shí)現(xiàn)終端會(huì)話一機(jī)一密；b）基于PKI公鑰證書認(rèn)證體系與平臺(tái)進(jìn)行雙向身份認(rèn)證；c）當(dāng)日密鑰協(xié)商失敗次數(shù)達(dá)到3次后，需等次日再重新進(jìn)行密鑰協(xié)商；d）斷電重啟后應(yīng)能繼續(xù)使用之前協(xié)商好的會(huì)話密鑰；e）會(huì)話密鑰生命周期由平臺(tái)決定，生命周期結(jié)束則由平臺(tái)發(fā)送通知并與智能終端設(shè)備重新進(jìn)行密f）通信過程應(yīng)使用國(guó)家密碼管理部門規(guī)定的算法來(lái)保證信息傳輸?shù)谋Ｃ苄砸约巴暾砸蟆?.8.4證書發(fā)行安全單元在智能終端設(shè)備與平臺(tái)進(jìn)行通信前，應(yīng)做好證書發(fā)行工作，具體如下：a）安全單元自生成公私鑰對(duì)，統(tǒng)一證書管理系統(tǒng)對(duì)其進(jìn)行證書發(fā)行操作后將智能終端設(shè)備與平臺(tái)的公鑰證書一并發(fā)送給安全單元進(jìn)行存儲(chǔ)。安全單元具備對(duì)公鑰證書進(jìn)行識(shí)別和解析的能力，確保能與平臺(tái)進(jìn)行安全通信。b）未發(fā)行過證書的安全單元，可由人工操作上位機(jī)軟件對(duì)安全單元進(jìn)行證書發(fā)行，證書發(fā)行成功后，上位機(jī)軟件顯示證書發(fā)行成功提示，安全單元應(yīng)關(guān)閉證書發(fā)行功能。9平臺(tái)安全要求9.1證書存儲(chǔ)具備自生成公私鑰對(duì)的能力，公鑰證書可采用手動(dòng)申請(qǐng)、線下導(dǎo)入的方式，也可支持與統(tǒng)一證書管理系統(tǒng)在線自動(dòng)同步功能。具備安全數(shù)據(jù)庫(kù)，用于存儲(chǔ)所有智能終端設(shè)備的公鑰證書信息，智能終端設(shè)備的公鑰證書信息從統(tǒng)一證書管理系統(tǒng)下載后通過線下的方式導(dǎo)入到平臺(tái)中，用于通信過程中的智能終端設(shè)備身份驗(yàn)證。斷電重啟后應(yīng)能繼續(xù)使用之前協(xié)商好的會(huì)話密鑰。9.2安全通信要求對(duì)平臺(tái)的安全通信要求具體如下：a）網(wǎng)絡(luò)和通信安全應(yīng)滿足GB/T39786-2021中8.2的要求；b）應(yīng)用和數(shù)據(jù)安全應(yīng)滿足GB/T39786-2021中8.4的要求；c）數(shù)據(jù)傳輸安全應(yīng)符合GB/T37093-2018中6.2.4的要求。日志審計(jì)應(yīng)符合GB/T37093-2018中6.2.8的要求。9.4性能指標(biāo)對(duì)平臺(tái)的性能要求具體如下：a）支持最大安全終端連接數(shù)量不小于100萬(wàn)，具備擴(kuò)容能力；b）支持最大安全并發(fā)連接數(shù)量不低于3000次連接/秒；c）支持臨時(shí)會(huì)話密鑰生成速度不低于1000次/秒；d）支持智能終端設(shè)備雙向鑒權(quán)/認(rèn)證速度不低于2000次/秒。10統(tǒng)一證書管理系統(tǒng)安全要求10.1功能要求統(tǒng)一證書管理系統(tǒng)應(yīng)具備證書模塊、日志審計(jì)、組織權(quán)限管理、策略管理四大模塊功能，實(shí)現(xiàn)證書申請(qǐng)、證書審核、證書管理、人員權(quán)限管理、業(yè)務(wù)與日志的安全審計(jì)、策略配置等一系列功能。證書格式符合x.509V3證書標(biāo)準(zhǔn)，證書模板采用簽名證書。具備對(duì)智能終端設(shè)備以及平臺(tái)簽發(fā)公鑰證書的能力。發(fā)行操作應(yīng)具備日志記錄。10.2角色劃分統(tǒng)一證書管理系統(tǒng)根據(jù)應(yīng)用場(chǎng)景應(yīng)分為管理員、RA操作員和普通用戶三種不同賬戶權(quán)限的角色，所有角色均具備證書查詢/驗(yàn)證的功能，且各類用戶操作均形成審計(jì)日志。三種角色具體要求如下：a）管理員功能要求：●負(fù)責(zé)生成或者導(dǎo)入根證書；●設(shè)置完成根證書后，可對(duì)根證書進(jìn)行查看、下載等操作；●設(shè)置完成根證書后，應(yīng)為根證書生成二級(jí)證書，二級(jí)證書需綁定指定的RA操作員；●可根據(jù)證書編號(hào)等信息查詢證書或上傳證書驗(yàn)證詳情；●可為二級(jí)證書設(shè)置通過/駁回的自動(dòng)化策略，以自動(dòng)通過/駁回指定用戶的證書簽發(fā)申請(qǐng)；●可對(duì)策略進(jìn)行啟用、停用、編輯、刪除等操作；●具備對(duì)RA操作員賬戶進(jìn)行創(chuàng)建、編輯、刪除等操作的權(quán)力。b）RA操作員功能要求：●負(fù)責(zé)對(duì)證書申請(qǐng)審批，執(zhí)行通過或駁回操作；●可查看證書申請(qǐng)?jiān)斍椋弧窨筛鶕?jù)證書編號(hào)等信息查詢證書或上傳證書驗(yàn)證詳情；●可為證書設(shè)置通過/駁回的自動(dòng)化策略，以自動(dòng)通過/駁回指定用戶的證書簽發(fā)申請(qǐng)；●可對(duì)策略進(jìn)行啟用、