《情報板信息安全防護系統(tǒng)技術(shù)要求》（征求意見稿）

3情報板信息安全防護系統(tǒng)技術(shù)要求要求、硬件配置要求、安全管理要求、系統(tǒng)部署要求、測試評價方法GB/T17901.1-2020信息技術(shù)安全技術(shù)密鑰管理第1部GB/T21053-2023信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全技術(shù)GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基GB/T23828-2023高速公路LED可變信息GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)GB/T29832.3-2013系統(tǒng)與軟件可靠性第3部分：測試GB/T37092-2018信息安全技術(shù)密碼模塊安全GB/T39477-2020信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求T/CECSG:Q75-01-2020公路可變情報板信息發(fā)布聯(lián)網(wǎng)技術(shù)3.1可變情報板changeablemessage3.2密鑰管理和認證子系統(tǒng)keymanagementandauthenticationsub密鑰管理和認證子系統(tǒng)是指功能包括但不限于密鑰管理和安全認證的信息化平臺，可為其他系統(tǒng)3.33.443.53.6信息聯(lián)網(wǎng)發(fā)布成功率是指本文件涉及的系統(tǒng)在情報板信息發(fā)布過程中成功發(fā)布信息的比例，通過計算成功發(fā)布的次數(shù)占總發(fā)布次數(shù)的百分比4基本規(guī)定4,1所使用的密碼算法應(yīng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標準、行業(yè)標準的有關(guān)要求；4.2所使用的密碼技術(shù)應(yīng)遵循密碼4.3所使用的密碼產(chǎn)品、密碼服務(wù)應(yīng)符合法律法規(guī)的相關(guān)要求；4,4應(yīng)采用密碼技術(shù)確保數(shù)據(jù)在傳輸、存儲、處理過程中的保密性、完整性和可用性，防止數(shù)據(jù)被竊取或篡改，數(shù)據(jù)包括但不限于密鑰、數(shù)字證書、口令、發(fā)布信息、4.5若有相關(guān)國家、行業(yè)等保要求，按相關(guān)規(guī)定要求執(zhí)行；4.6信息等保要求應(yīng)符合GB/T22239-2019的有關(guān)規(guī)定；情報板信息發(fā)布子系統(tǒng)：能與一體機進行雙向56.1.2.2應(yīng)具備基礎(chǔ)設(shè)備數(shù)據(jù)管理，6.2情報板信息發(fā)布子系統(tǒng)6.2.3.1應(yīng)構(gòu)建發(fā)布信息庫，宜支持發(fā)布內(nèi)容入庫前進行敏感詞校驗、人工審核功能，發(fā)布操作僅允6.2.3.2信息庫應(yīng)支持對不同類型信息進行分組管理，便于用戶檢索和管理信息；66.2.5.1應(yīng)具備一體機身份認證功能：情報板信息發(fā)布子系統(tǒng)應(yīng)通過數(shù)字證書與一體機進行雙向身份6.3一體機6.3.1.2應(yīng)支持從情報板信息發(fā)布子系統(tǒng)同步情報板設(shè)備基礎(chǔ)數(shù)6.3.2.1應(yīng)支持對防護終端進行管理操作，操作包括但不限于如激活、狀態(tài)監(jiān)測、身份認證、定時巡6.3.2.2應(yīng)支持包括但不限于遠程重啟、復(fù)位、斷電等6.3.3.2信息發(fā)布操作宜支持敏感詞6.3.4.1應(yīng)具備從情報板信息發(fā)布子系統(tǒng)同步信息庫的6.3.5.1應(yīng)具備信息篡改攻擊實時防護功能：在情報板信息發(fā)布與傳輸過程中，系統(tǒng)自動檢測每個環(huán)6.3.5.2應(yīng)具備暴力攻擊實時防護功能：系統(tǒng)應(yīng)實現(xiàn)對暴力攻擊的檢測與防護，保障系統(tǒng)的安全性；6.3.5.3宜具備安全威脅入侵檢測預(yù)警功能：系統(tǒng)應(yīng)能主動識別潛在的安全威脅，并及時發(fā)出預(yù)警；6.3.5.6當(dāng)信息篡改攻擊、暴力攻擊、安全6.3.7.1應(yīng)具備防護終端身份認證功能：防護終端應(yīng)通過數(shù)字證書認證授權(quán)后方可接入，數(shù)字證書應(yīng)76.3.7.3應(yīng)具備登錄失敗處理功能:能配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自6.3.8.1應(yīng)對登錄的用戶分配賬戶和6.3.8.3宜及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存6.3.8.4宜授予管理用戶所需的6.3.9.1應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；6.3.9.2審計記錄應(yīng)包括但不限于事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計6.3.9.4應(yīng)設(shè)置嚴格的訪問權(quán)限，并能對登錄用戶進行身份標識和鑒6.4.1.1應(yīng)具備與可變情報板進行數(shù)據(jù)交互的6.4.1.4應(yīng)使用包括但不限于SM2、SM4等國密算法6.4.1.5應(yīng)具備數(shù)據(jù)內(nèi)容安全防護功能，發(fā)布內(nèi)容推送到可變情報板之前，應(yīng)進行實時的近端內(nèi)容安6.4.1.6應(yīng)具備數(shù)據(jù)備份能力，可備份保存包括但不限于情報板信息發(fā)布記錄、阻斷記錄、校驗規(guī)則6.4.1.11宜具備語義理解和合規(guī)性判斷攔截功能，并向一體機告警；6.4.1.12宜具備自動巡檢功能，發(fā)現(xiàn)違法違規(guī)信息時自動執(zhí)行黑屏操作。7.2可靠性7.3發(fā)布性能87,4并發(fā)性能8.1.5硬件加密卡：應(yīng)支持國密SM2/3/4等多種加密算8.2防護終端8.2.14除符合以上性能條件外，宜優(yōu)先采用安可名錄或信創(chuàng)名錄方案。9.1.1情報板信息發(fā)布子系統(tǒng)與一體機，交互前應(yīng)通過數(shù)字證書進行雙向身份認證。9.2.1在情報板發(fā)布信息數(shù)據(jù)在不同系統(tǒng)間傳輸時，應(yīng)采用國密算法對數(shù)據(jù)進行加密傳輸，防止數(shù)據(jù)9.3.1應(yīng)支持對數(shù)據(jù)的備份操作，確保在數(shù)據(jù)丟失或損壞時能夠及時恢復(fù)數(shù)據(jù)，宜采用密碼技術(shù)安全9.3.2應(yīng)支持對數(shù)據(jù)加密存儲，數(shù)據(jù)包括但不限于密鑰、數(shù)字證書、口令、發(fā)布信息、黑白名單。911.1.2預(yù)期結(jié)果:11.2可靠性11.3發(fā)布性能11.3.2預(yù)期結(jié)果:11.4并發(fā)性能11.4.2預(yù)期結(jié)果:A.1通信方式一體機與防護終端間數(shù)據(jù)接口傳輸采用以太網(wǎng)通訊方式，傳輸協(xié)議可選擇TCP協(xié)議，采用JSON作為傳輸?shù)妮d體，每次傳輸一條JSON數(shù)據(jù)。在傳輸過程中對發(fā)布內(nèi)容、重要信息進行算A.2數(shù)字證書的獲取以及校驗A.2.1獲取數(shù)字證書A.2.2校驗數(shù)字證書對一體機推送的數(shù)據(jù)進行完整性校驗、簽名