工業(yè)互聯(lián)網(wǎng) 時序數(shù)據(jù)安全網(wǎng)關(guān)技術(shù)要求

工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)技術(shù)要求本文件規(guī)定了工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)的技術(shù)要求，包括功能要求、管理要求、可擴(kuò)展可靠性以及性能要求等。本文件適用于指導(dǎo)工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)的設(shè)計、開發(fā)等。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件工業(yè)互聯(lián)網(wǎng)industrialInternet新一代信息通信技術(shù)與工業(yè)經(jīng)濟(jì)深度融合的新型基礎(chǔ)設(shè)施、應(yīng)用模式和工業(yè)生態(tài)，通過對人、機(jī)、物、系統(tǒng)等的全面連接，構(gòu)建起覆蓋全產(chǎn)業(yè)鏈、全價值鏈的全新制造和服務(wù)體系。時序數(shù)據(jù)timeseriesdata穩(wěn)定頻率或非固定周期頻率持續(xù)產(chǎn)生的一系列基于時間維度的指標(biāo)監(jiān)測數(shù)據(jù)。由時間戳、標(biāo)簽和指標(biāo)三要素組成時序數(shù)據(jù)庫timeseriesdatabase用于保存海量時序數(shù)據(jù)的數(shù)據(jù)庫。安全策略securitypolicy2YD/TxXXXx—xXXx關(guān)于如何在組織及其系統(tǒng)內(nèi)管理、保護(hù)和分發(fā)影響安全及有關(guān)元素資產(chǎn)(包括敏感信息)的一組規(guī)則、指令和實踐，特別是指開啟并已實施的對系統(tǒng)數(shù)字資產(chǎn)(敏感數(shù)據(jù)信息)的規(guī)則、指令和實在網(wǎng)絡(luò)或子網(wǎng)間，或不同安全域內(nèi)的軟件、應(yīng)用系統(tǒng)間，集成多種網(wǎng)絡(luò)技術(shù)手段，旨在根據(jù)給定的安全策略來保護(hù)網(wǎng)絡(luò)或業(yè)務(wù)間的交互的設(shè)備。對事件進(jìn)行記錄和分析，并針對特定事件采取相應(yīng)的動作。[來源：GB/T20945-2013,3.2]向上層業(yè)務(wù)應(yīng)用提供服務(wù)交互時，提供給運營商或者廠家進(jìn)行接入、管理的接口。面向硬件設(shè)備傳輸交互時，提供給低層級網(wǎng)絡(luò)及硬件設(shè)備連接的接口，工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)timeseriesdatasecuritygatewayforindustrialInternet一種用以在不同網(wǎng)絡(luò)環(huán)境中對工業(yè)互聯(lián)網(wǎng)協(xié)議進(jìn)行協(xié)議解析過濾以及在數(shù)據(jù)傳輸、共享過程中并對工業(yè)數(shù)據(jù)中時序數(shù)據(jù)實施安全防護(hù)的網(wǎng)絡(luò)設(shè)備下列縮略語適用于本文件AES高級加密標(biāo)準(zhǔn)AdvancedEneryptionStandardHTTPS超文本安全傳輸協(xié)議HypertextTransferProlocolSecureHTTP超文本傳輸協(xié)議HypertextTransferProtocolIP互聯(lián)網(wǎng)協(xié)議IniernetProtocolIT信息技術(shù)InformationTechnologyJDBCJAVA數(shù)據(jù)庫連接JavnDatubascConnectLSB最低有效位LeastSignificaatBiMAC媒體訪問控制MediaAccessControlMODBUSModicon申行通信協(xié)議ModbusprotocolMQTT消息隊列遙測傳輸協(xié)議MessageQueuingTelemetryTransportODBC開放數(shù)據(jù)庫互聯(lián)OpenDatabaseConnectivity面向過程控制的對象鏈接和嵌ObjectLinkingandEmbeddingfor入統(tǒng)一架構(gòu)ProcessControl-UnifiedArchitecture3YD/TxXXXx—xXXx操作技術(shù)OperationTechn數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)SupervisorControlAndD結(jié)構(gòu)化查詢語句StnucturedQuery安全文件傳輸協(xié)議時序數(shù)據(jù)庫5.1時序數(shù)據(jù)安全網(wǎng)關(guān)部署位置工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)的主要功能包括時序數(shù)據(jù)安全傳輸、時序數(shù)據(jù)的敏感數(shù)據(jù)分類分級管理、安全事件管理、時序數(shù)據(jù)庫安全審計。工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)既可作為服務(wù)端，通過監(jiān)聽蝙口方式采集時序數(shù)據(jù)，也可作為客戶端，通過輪詢方式采集時序數(shù)據(jù)；還可通過流量嗅探方式采集時序數(shù)據(jù)。工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)部署位置可以在IT/OT網(wǎng)絡(luò)之間，也可以在IT網(wǎng)絡(luò)中。部署在IT網(wǎng)絡(luò)中，可實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與管理、以及數(shù)據(jù)傳輸交換時對時序數(shù)據(jù)實施安全防護(hù)等，具備數(shù)據(jù)訪問訂閱、數(shù)據(jù)跨域傳輸、數(shù)據(jù)防泄漏等能力，保障數(shù)據(jù)的安全共享與交換服務(wù)；部署在IT/OT網(wǎng)絡(luò)之間，在0T網(wǎng)絡(luò)中用以對接現(xiàn)場層的工業(yè)設(shè)備，實現(xiàn)工業(yè)協(xié)議轉(zhuǎn)換解析并根據(jù)安全管理中心下發(fā)的安全策略對數(shù)據(jù)的訪問規(guī)則進(jìn)行檢測以及安全審計等功能，工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)部署位置方T方T方ag圖1工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)部署位置圖5.2時序數(shù)據(jù)安全網(wǎng)關(guān)功能參考如圖2所示，工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)的核心安全管理功能主要包括敏感數(shù)據(jù)管理、安全策略管理、安全事件管理、安全審計等，并支持接入控制、身份鑒別、工業(yè)協(xié)議深度解析、敏感數(shù)據(jù)識別處理、安全規(guī)則構(gòu)建、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)水印等功能。工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)和工業(yè)4設(shè)備及工業(yè)系統(tǒng)、傳感器、SCADA、時序數(shù)據(jù)庫等通過對應(yīng)的南向接口進(jìn)行數(shù)據(jù)交互，同時支持北向接口和第三方平臺進(jìn)行對接。口和第三方平臺進(jìn)行對接。制敏圖2工業(yè)互聯(lián)網(wǎng)時序數(shù)據(jù)安全網(wǎng)關(guān)功能參考圖據(jù)第三方平臺pofnc等數(shù)據(jù)交換數(shù)據(jù)交互6.1工業(yè)協(xié)議深度解析時序數(shù)據(jù)安全網(wǎng)關(guān)支持工業(yè)協(xié)議解析、深度過濾，主要包括：a)應(yīng)至少支持識別、深度解析一種工業(yè)控制協(xié)議，識別協(xié)議端口、獲取協(xié)議中交互參數(shù)、交互流程、交互結(jié)果等數(shù)據(jù)和內(nèi)容：b)應(yīng)支持多種狀態(tài)或指令主流格式數(shù)據(jù)以及協(xié)議內(nèi)容的檢查、過濾、交換、阻斷等功能；c)可支持工業(yè)控制私有協(xié)議包括工業(yè)專有協(xié)議和非通用工業(yè)協(xié)議。6.2時序數(shù)據(jù)庫深度解析時序數(shù)據(jù)安全網(wǎng)關(guān)支持通過南向接口對時序數(shù)據(jù)庫協(xié)議進(jìn)行解析、深度過濾，主要包括：a)應(yīng)至少支持識別、深度解析一種時序數(shù)據(jù)庫協(xié)議，識別協(xié)議端口、獲取協(xié)議中交互參數(shù)、交互流程、交互結(jié)果等數(shù)據(jù)和內(nèi)容；b)應(yīng)支持時序數(shù)據(jù)庫管理指令和查詢指令以及報文內(nèi)容的檢查、過濾、交互等功能。6.3時序數(shù)據(jù)安全轉(zhuǎn)發(fā)時序數(shù)據(jù)安全網(wǎng)關(guān)支持對時序數(shù)據(jù)安全轉(zhuǎn)發(fā)功能，主要包括：a)支持將采集到的時序數(shù)據(jù)通過北向接口以加密協(xié)議或安全隧道的方式發(fā)送給第三方系統(tǒng)或平b)北向接口要求見8.2。6.4數(shù)據(jù)存儲安全應(yīng)在數(shù)據(jù)存儲空間耗盡等情況下，采取措施避免最新數(shù)據(jù)丟失。5YD/TxXXXx—xXXx6.5敏感數(shù)據(jù)管理6.5.1敏感數(shù)據(jù)識別時序數(shù)據(jù)安全網(wǎng)關(guān)支持用戶對敏感數(shù)據(jù)定義，根據(jù)敏感數(shù)據(jù)識別配置規(guī)則進(jìn)行敏感數(shù)據(jù)識別，主要包括；a)應(yīng)支持根據(jù)具體工作的環(huán)境及規(guī)則、不同業(yè)務(wù)數(shù)據(jù)格式及特性對敏感數(shù)據(jù)進(jìn)行識別；b)應(yīng)支持用戶設(shè)置敏感數(shù)據(jù)類型，如：基礎(chǔ)信息、工況狀態(tài)、產(chǎn)出數(shù)據(jù)、生產(chǎn)控制、工藝數(shù)據(jù)、品控數(shù)據(jù)、能源數(shù)據(jù)、控制數(shù)據(jù)和其他數(shù)據(jù)等類型：c)應(yīng)支持用戶可根據(jù)自身的需要進(jìn)行規(guī)則增減、修改：d)應(yīng)支持各類運算操作符及其組成的表達(dá)式、函數(shù)等組成的敏感數(shù)據(jù)識別規(guī)則進(jìn)行敏感數(shù)據(jù)檢e)應(yīng)支持根據(jù)數(shù)據(jù)敏感條件、業(yè)務(wù)相關(guān)性，構(gòu)建多類敏感數(shù)據(jù)識別規(guī)則。如；針對全狀態(tài)敏感數(shù)據(jù)可基于特定字段判斷，針對基于條件的狀態(tài)量敏感數(shù)據(jù)可基于單點狀態(tài)或者多點判斷針對條件的模擬量敏感數(shù)據(jù)可基于單模擬量或多模擬量判斷。6.5.2敏感數(shù)據(jù)分類分級管理敏感數(shù)據(jù)分類管理從敏感數(shù)據(jù)本身的角度劃分，用戶或企業(yè)可依據(jù)數(shù)據(jù)類別(如：控制數(shù)據(jù)、基礎(chǔ)信息數(shù)據(jù)、工況數(shù)據(jù)、工藝數(shù)據(jù)等)、數(shù)據(jù)格式、行業(yè)特性等不同維度對時序數(shù)據(jù)中敏感數(shù)據(jù)實施分類管理，其中數(shù)據(jù)格式類型可分為以下三類a)全狀態(tài)敏感數(shù)據(jù)，在整個生產(chǎn)過程中均為墩感信息的數(shù)據(jù)，如：某設(shè)備的參數(shù)值、機(jī)床的切削點、焊接點位及順序等；b)基于條件的狀態(tài)量敏感數(shù)據(jù)，根據(jù)具體的應(yīng)用和業(yè)務(wù)需求，由狀態(tài)量數(shù)據(jù)來表征的業(yè)務(wù)敏感數(shù)據(jù)。c)基于條件的模擬量敏感數(shù)據(jù)，根據(jù)具體的應(yīng)用和業(yè)務(wù)需求，由模擬量數(shù)據(jù)表征的業(yè)務(wù)敏感數(shù)敏感數(shù)據(jù)分級管理敏感數(shù)據(jù)分級管理可根據(jù)工業(yè)數(shù)據(jù)受算改、泄露后對國家安全、行業(yè)發(fā)展、社會秩序等影響的程度和帶來的經(jīng)濟(jì)效益損失程度評判，并結(jié)合業(yè)務(wù)場景下的工業(yè)現(xiàn)場數(shù)據(jù)的訪問特征和各企業(yè)的數(shù)據(jù)管理要求，應(yīng)支持由用戶或企業(yè)對敏感數(shù)據(jù)級別進(jìn)行自定義，附錄A為敏感數(shù)據(jù)根據(jù)共享程度分級的參考示例。6.5.3敏感數(shù)據(jù)違規(guī)處理敏感數(shù)據(jù)違規(guī)處理是實現(xiàn)對敏感數(shù)據(jù)違規(guī)分析和檢測，支持根據(jù)6.5,1的敏感數(shù)據(jù)識別和6.6.1的敏感數(shù)據(jù)識別規(guī)則配置識別出敏感數(shù)據(jù)，支持敏感數(shù)據(jù)按照6.6.2、6.6.3、6.6.4數(shù)據(jù)防護(hù)規(guī)則、安全檢測規(guī)則、訪問控制規(guī)則配置檢測出違規(guī)采集/訪問、越權(quán)采集/訪問、違規(guī)共享、數(shù)據(jù)泄露等安全事YD/TxXXXx—xXXx6.6.1敏感數(shù)據(jù)識別規(guī)則配置時序數(shù)據(jù)安全網(wǎng)關(guān)的敏感數(shù)據(jù)識別規(guī)則配置，主要包括：a)應(yīng)支持絕大多數(shù)的運算操作符操作，如：算術(shù)操作符、關(guān)系運算符、邏輯操作符、位運算符、正則匹配操作符、三元表達(dá)式；b)應(yīng)支持操作符優(yōu)先級設(shè)置：c)應(yīng)支持可擴(kuò)展的自定義或重載操作符d)應(yīng)支持主流時序數(shù)據(jù)類型，如：整數(shù)和浮點數(shù)、字符串、正則表達(dá)式、日期、變量等，支持自動類型轉(zhuǎn)換；e)宜支持滿足時序數(shù)據(jù)庫中數(shù)據(jù)敏感性分析的性能與效果需求：f)宜支持包含多個操作符的復(fù)雜函數(shù)設(shè)計。6.6.2數(shù)據(jù)防護(hù)規(guī)則配置時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持?jǐn)?shù)據(jù)防護(hù)規(guī)則的配置，主要包括：a)應(yīng)支持對數(shù)據(jù)內(nèi)容進(jìn)行加密，具有加密策略的選擇，可支持WebService、SFTP等應(yīng)用程序或協(xié)議方式調(diào)用，輸出具有加密內(nèi)容的數(shù)據(jù)。b)應(yīng)支持對數(shù)據(jù)內(nèi)容設(shè)置脫敏規(guī)則，根據(jù)脫敏規(guī)則進(jìn)行字段篩選、字段條件過濾、字段內(nèi)容處理、以及組合篩選出的內(nèi)容。1)字段篩選：字段篩選可根據(jù)過濾方式輸出字段列表，支持用戶/管理員對輸出字段進(jìn)行篩2)字段條件過濾：字段條件過濾即數(shù)據(jù)表的行過濾，支持兩種過濾規(guī)則；一是字段字典過濾、二是針對數(shù)值類型的字段，根據(jù)數(shù)據(jù)比較表達(dá)式過濾3)字段內(nèi)容處理：字段內(nèi)容支持兩種處理方式。一是對特殊字符進(jìn)行替換、二是對連續(xù)位數(shù)進(jìn)行截取替換。6.6.3安全檢測規(guī)則配置安全檢測規(guī)則配置可提供網(wǎng)絡(luò)、業(yè)務(wù)、內(nèi)容信息的安全檢測規(guī)則的配置，主要包括：a)網(wǎng)絡(luò)安全檢測規(guī)則?？筛鶕?jù)主機(jī)信息設(shè)置的黑自名單機(jī)制進(jìn)行安全訪問網(wǎng)絡(luò)層協(xié)議的規(guī)則檢b)業(yè)務(wù)安全檢測規(guī)則?？筛鶕?jù)數(shù)據(jù)地址映射規(guī)則表中的等級數(shù)據(jù)權(quán)限表對安全域、可信系統(tǒng)、可信主機(jī)進(jìn)行安全訪問業(yè)務(wù)的規(guī)則檢測c)數(shù)據(jù)內(nèi)容安全檢測規(guī)則。可根據(jù)數(shù)據(jù)內(nèi)容限值表中的內(nèi)容、指令信息進(jìn)行數(shù)據(jù)內(nèi)容的安全規(guī)則檢測，支持?jǐn)?shù)據(jù)字典匹配、數(shù)據(jù)范圍檢查、字段長度檢查操作。6.6.4訪問控制規(guī)則配置訪問控制規(guī)則配置應(yīng)提供訪問控制配置界面，根據(jù)網(wǎng)絡(luò)層及應(yīng)用層的訪問控制功能要求配置各種策略規(guī)則。7YD/TxXXXx—xXXx6.7.1敏感數(shù)據(jù)泄露事件時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持當(dāng)敏感數(shù)據(jù)流通范圍超出網(wǎng)關(guān)監(jiān)控范圍時，發(fā)現(xiàn)并監(jiān)控敏感數(shù)據(jù)泄露事件，主要包括：a)應(yīng)支持按照安全事件涉及的設(shè)備與設(shè)備、設(shè)備與系統(tǒng)間的訪問關(guān)系進(jìn)行溯源分析，如數(shù)據(jù)水印方式實施溯源分析：b)應(yīng)支持對敏感數(shù)據(jù)泄露事件告警，如通過生成安全日志等方式：c)宜支持定位出數(shù)據(jù)泄露單位6.7.2數(shù)據(jù)違規(guī)訪問事件時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持由6.6中安全策略管理的訪問規(guī)則來發(fā)現(xiàn)數(shù)據(jù)違規(guī)采集和數(shù)據(jù)越權(quán)訪問等安全事件，并記錄、監(jiān)控和管理數(shù)據(jù)違規(guī)訪問事件，主要包括：a)支持由網(wǎng)絡(luò)訪問規(guī)則、數(shù)據(jù)訪問規(guī)則、數(shù)據(jù)內(nèi)容規(guī)則等不同級別設(shè)置的訪問規(guī)則來發(fā)現(xiàn)數(shù)據(jù)違規(guī)訪問事件；b)支持對數(shù)據(jù)違規(guī)訪問事件告警，如生成安全日志等方式6.7.3時序數(shù)據(jù)庫安全事件時序數(shù)據(jù)安全網(wǎng)關(guān)可根據(jù)數(shù)據(jù)庫安全審計策略對數(shù)據(jù)庫訪問行為進(jìn)行檢測，可檢測SQL注入、漏洞利用、高危SQL語句、賬號異常訪問等數(shù)據(jù)庫危險行為事件。6.7.4安全事件關(guān)聯(lián)分析時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持由5.6中安全策略管理中對時序數(shù)據(jù)安全網(wǎng)關(guān)設(shè)定的安全規(guī)則發(fā)現(xiàn)安全事件，可按照事件發(fā)生的特征、時間、頻次等條件以及各個事件之間的邏輯關(guān)系進(jìn)行關(guān)聯(lián)分析，確定安全事件或發(fā)現(xiàn)新的安全事件。6.7.5用戶自定義安全事件可對工業(yè)協(xié)議日志及數(shù)據(jù)庫會話日志，根據(jù)賬號、權(quán)限、操作行為、業(yè)務(wù)邏輯、指令等條件設(shè)置自定義安全事件規(guī)則，發(fā)現(xiàn)異常事件6.8安全審計6.8.1時序數(shù)據(jù)庫安全審計時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持時序數(shù)據(jù)庫安全審計功能，主要包括a)應(yīng)支持對主流的時序數(shù)據(jù)庫(包括InfluxDB、Prometheus、OpenTSDB等)的各種操作行為進(jìn)行詳細(xì)的、實時的記錄，并以報表等形式呈現(xiàn)；b)應(yīng)支持審計用戶對時序數(shù)據(jù)庫的登錄、注銷、查詢、插入、修改、刪除、創(chuàng)建等訪問行為審c)應(yīng)支持在應(yīng)用層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層通過IP地址、MAC地址、用戶名、中間件的操作語句等方式實現(xiàn)訪問行為審計：d)宜對異常的訪問行為、敏感數(shù)據(jù)泄露、SQL注入、高危SQL語句攻擊等安全事件生成日志并告警；e)宜支持靈活的審計規(guī)則，如黑自名單、正則表達(dá)式等特征規(guī)則、多種條件的關(guān)聯(lián)分析規(guī)則。6.8.2日志審計時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持日志審計功能，主要包括：a)支持對各類用戶的關(guān)鍵操作、訪問行為進(jìn)行記錄，進(jìn)行日志審計：b)用戶操作日志應(yīng)受到保護(hù)，防止日志內(nèi)容被修改。防止未授權(quán)的操作。6.8.3安全審計響應(yīng)時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持對檢測到的安全事件進(jìn)行安全審計響應(yīng)，主要包括a)生成實時報警信息，生成審計日志；b)終止、中斷當(dāng)前違例進(jìn)程和服務(wù)時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持在執(zhí)行與安全功能相關(guān)操作前對操作人員實施身份鑒別，主要包括：a)應(yīng)支持最小特權(quán)原則：b)宜在執(zhí)行任何與安全功能相關(guān)的操作之前鑒別用戶的身份；c)宜支持超時處理機(jī)制，用戶停止操作的時間超過了規(guī)定的時間，應(yīng)終止會話，重新進(jìn)行身份鑒別；d)宜支持多因素鑒別機(jī)制，為用戶提供兩種或兩種以上的組合鑒別機(jī)制。時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)具有對網(wǎng)關(guān)遠(yuǎn)程管理和控制的安全機(jī)制，避免對網(wǎng)關(guān)的非法配置，如：遠(yuǎn)程網(wǎng)管支持連接認(rèn)證、修改管理認(rèn)證默認(rèn)口令、系統(tǒng)日志和安全日志、管理信息傳輸?shù)陌踩珯C(jī)制等6.11數(shù)據(jù)安全防護(hù)時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持在應(yīng)用層根據(jù)數(shù)據(jù)安全防護(hù)規(guī)則實施數(shù)據(jù)安全防護(hù)功能，主要包括a)時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持?jǐn)?shù)據(jù)加密/解密，符合國家相關(guān)密碼政策和標(biāo)準(zhǔn)要求；b)時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)根據(jù)配置的脫敏規(guī)則，對時序數(shù)據(jù)進(jìn)行脫敏處理，如；采用統(tǒng)一替換的方式對敏感時序數(shù)據(jù)進(jìn)行脫敏、采用賦予隨機(jī)值填充替代敏感時序數(shù)據(jù)、對于模擬量型敏感時序數(shù)據(jù)取均值后隨機(jī)分布等：c)時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)提供水印功能，如：基于分組投票、LSB等水印方法，應(yīng)防御不少于5種攻擊，如：數(shù)據(jù)修改、刪除、添加、敏感數(shù)據(jù)還原、數(shù)據(jù)變換等6.12數(shù)據(jù)傳輸安全時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)保護(hù)數(shù)據(jù)在傳輸過程中不被泄露、竊取和算改?？梢愿鶕?jù)傳送的數(shù)據(jù)包類型，實施信息流策略以及數(shù)據(jù)加密措施。6.13管理控制安全6.13.1接入控制功能時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)對接入設(shè)備進(jìn)行網(wǎng)絡(luò)訪問接入控制管理，接入控制功能要求主要包括：a)應(yīng)支持設(shè)置黑或白名單機(jī)制的訪問實現(xiàn)網(wǎng)絡(luò)接入控制功能，可基于時序數(shù)據(jù)中的源、目標(biāo)、雙方IP地址信息、MAC信息等進(jìn)行控制，若處于黑名單中禁止訪問，處于白名單允許訪問；b)應(yīng)支持訪問的自身訪問規(guī)則配置，配置設(shè)備訪問授權(quán)方式包括配置訪問接口、接入方式等：9c)可支持多維度組合控制策略，對接入設(shè)備的時間、IP地址、協(xié)議類型、時間段等不同維度的組合產(chǎn)生控制策略，進(jìn)行接入控制。6.13.2訪問控制功能時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持在網(wǎng)絡(luò)層、應(yīng)用層根據(jù)配置的訪問控制規(guī)則實施匹配處理，訪問控制功能要求主要包括；a)應(yīng)支持白名單的訪問控制，采用白名單的訪問控制策略，即非訪問控制策略明確允許的訪問默認(rèn)為禁止訪問：b)應(yīng)支持網(wǎng)絡(luò)層的訪問控制，如基于五元組等要求進(jìn)行訪問控制：c)應(yīng)支持應(yīng)用層的訪問控制，應(yīng)至少支持對兩種工業(yè)控制協(xié)議的訪問控制。時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持集中管理，提供統(tǒng)一管理功能。7.2安全管理方式時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)具有向授權(quán)管理員提供安全管理的方式，主要包括；a)通過console接口進(jìn)行本地管理；b)通過網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理7.3安全功能管理時序數(shù)據(jù)安全網(wǎng)關(guān)安全功能管理要求，主要包括：a)應(yīng)支持查看、修改相關(guān)安全屬性b)應(yīng)支持啟動全部或部分安全功能、關(guān)閉部分安全功能；c)應(yīng)支持制定和修改安全策略7.4日志管理功能時序數(shù)據(jù)安全網(wǎng)關(guān)應(yīng)支持對訪問日志、系統(tǒng)日志、告警日志、審計日志、安全日志等的日志管理功能，主要包括：a)應(yīng)支持對日志的訪問功能：b)應(yīng)支持對日志的查詢功能：c)應(yīng)支持對日志的刪除功能，如：在存儲空間不足的情況下，可只保留6個月內(nèi)的日志數(shù)據(jù)；d)應(yīng)支持對日志的保存并導(dǎo)出日志功能7.5系統(tǒng)管理系統(tǒng)管理是實現(xiàn)對系統(tǒng)基礎(chǔ)信息的配置，主要包括用戶管理、告警管理、設(shè)備管理等內(nèi)容。a)用戶管理是用戶對自身信息實施增刪改查、用戶角色分類等操作。b)告警管理對網(wǎng)關(guān)提供的實時告警上報功能的管理，上報的告警消息種類與級別可自行配置。應(yīng)具有對告警消息內(nèi)容實現(xiàn)本地保存功能，宜支持以下告警消息級別：YD/TxXXXx—xXXxc)設(shè)備管理應(yīng)提供對設(shè)備名稱、設(shè)備類型、重要程度、所處位置、安全責(zé)任人等設(shè)備信息的管8可擴(kuò)展性與可靠性時序數(shù)據(jù)安全網(wǎng)關(guān)的可靠性應(yīng)支持以下要求：a)應(yīng)支持7×24不間斷的運行處理；b)應(yīng)支持系統(tǒng)災(zāi)難備份與恢復(fù)：c)可具有容錯機(jī)制，如：數(shù)據(jù)庫、日志鏡像、自動恢復(fù)和集群機(jī)制：d)可具有高度的數(shù)據(jù)可靠性、容錯能力、完整性和有效性。時序數(shù)據(jù)安全網(wǎng)關(guān)的可擴(kuò)展性支持以下要求a)數(shù)據(jù)接口可擴(kuò)展：支持不同類型、不同格式的數(shù)據(jù)接入，滿足客戶多種數(shù)據(jù)格式的需求；b)數(shù)據(jù)庫接口可拓展性；如；可擴(kuò)展到以JDBC、00BC相連的數(shù)據(jù)庫；9其他要求時序數(shù)據(jù)安全網(wǎng)關(guān)的吞吐量、延遲要求主要包括：a)延遲：時序數(shù)據(jù)安全網(wǎng)關(guān)的最大廷遲不應(yīng)超過安全閾值：b)吞吐量：在開啟應(yīng)用層防護(hù)的情況下，時序數(shù)據(jù)安全網(wǎng)關(guān)的吞吐量應(yīng)達(dá)到線速運行水平。時序數(shù)據(jù)安全網(wǎng)關(guān)的接口要求包括南向接口、北向接口兩部分內(nèi)容，主要包括：a)北向接口要求主要包括：1)日志接口