《數(shù)字水利水務(wù)數(shù)據(jù)安全要求》

ICS點(diǎn)擊此處添加ICS號(hào)

CCS點(diǎn)擊此處添加CCS號(hào)

T/FJAS

福建省標(biāo)準(zhǔn)化協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)

T/FJASXXX—XXXX

數(shù)字水利水務(wù)數(shù)據(jù)安全要求

Datasecurityrequirementfordigitalwaterconservancyandwateraffairs

（征求意見(jiàn)稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

福建省標(biāo)準(zhǔn)化協(xié)會(huì)??發(fā)布

T/FJASXXX—XXXX

數(shù)字水利水務(wù)數(shù)據(jù)安全規(guī)范

1范圍

本文件規(guī)定了數(shù)字水利水務(wù)數(shù)據(jù)安全的技術(shù)框架的幾大組成部分（智能終端設(shè)備、平臺(tái)、統(tǒng)一證書(shū)

管理系統(tǒng)）的安全要求。其中，智能終端設(shè)備限定于低數(shù)據(jù)量業(yè)務(wù)的終端。

本文件適用于數(shù)字水利系統(tǒng)水務(wù)數(shù)據(jù)安全建設(shè)、規(guī)劃、驗(yàn)收等。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/T37092-2018信息安全技術(shù)密碼模塊安全要求

GB/T37093-2018信息安全技術(shù)物聯(lián)網(wǎng)感知層接入通信網(wǎng)的要求

GB/T36951-2018信息安全技術(shù)物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求

GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

RFC5280InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocation

List(CRL)Profile

3術(shù)語(yǔ)和定義

GB/T25069界定的術(shù)語(yǔ)和定義適用于本文件。

4符號(hào)和縮略語(yǔ)

下列符號(hào)和縮略語(yǔ)適用于本文件。

MCU：微控制單元（MicrocontrollerUnit）

x.509V3：RFC5280定義的一種公鑰證書(shū)的格式標(biāo)準(zhǔn)

OCSP：在線證書(shū)狀態(tài)協(xié)議（OnlineCertificateStatusProtocol）

PKI：公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)

RA：注冊(cè)機(jī)構(gòu)(RegistrationAuthority)

5安全技術(shù)框架

數(shù)字水利水務(wù)數(shù)據(jù)安全技術(shù)框架示意圖如下圖1所示，主要由智能終端設(shè)備、平臺(tái)、統(tǒng)一證書(shū)管理

系統(tǒng)的內(nèi)部安全機(jī)制以及相互間數(shù)據(jù)交互的安全機(jī)制組成。

智能終端設(shè)備，由安全單元、MCU、通信模組構(gòu)成，通過(guò)數(shù)據(jù)加密、操作權(quán)限認(rèn)證等方式，實(shí)現(xiàn)與

平臺(tái)通信的安全性。

1

T/FJASXXX—XXXX

平臺(tái)，負(fù)責(zé)對(duì)智能終端的接入進(jìn)行身份認(rèn)證，并保證數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性、新鮮性等安全性。

統(tǒng)一證書(shū)管理系統(tǒng),負(fù)責(zé)對(duì)平臺(tái)以及智能終端設(shè)備簽發(fā)公鑰證書(shū)并對(duì)所簽發(fā)的證書(shū)進(jìn)行全生命周期

的安全管理。

圖1數(shù)字水利水務(wù)數(shù)據(jù)安全技術(shù)框架示意圖

6安全業(yè)務(wù)流程

圖2數(shù)字水利水務(wù)數(shù)據(jù)安全業(yè)務(wù)流程示意圖

數(shù)字水利水務(wù)數(shù)據(jù)安全業(yè)務(wù)流程示意圖如圖2所示。流程說(shuō)明：

1)初始化流程，統(tǒng)一證書(shū)管理系統(tǒng)向平臺(tái)進(jìn)行證書(shū)發(fā)行操作；

2)初始化流程，統(tǒng)一證書(shū)管理系統(tǒng)向智能終端設(shè)備進(jìn)行證書(shū)發(fā)行操作；

3)連接認(rèn)證流程，智能終端設(shè)備接入平臺(tái)時(shí)，由平臺(tái)負(fù)責(zé)對(duì)終端的接入進(jìn)行身份認(rèn)證；

4)連接認(rèn)證流程，平臺(tái)接收到終端的身份信息后，向統(tǒng)一證書(shū)管理系統(tǒng)發(fā)起證書(shū)在線驗(yàn)證；

5)連接認(rèn)證流程結(jié)束后，終端與平臺(tái)間進(jìn)行密文傳輸。

7數(shù)據(jù)分類分級(jí)

2

T/FJASXXX—XXXX

7.1分類分級(jí)原則

按照法律法規(guī)和相關(guān)標(biāo)準(zhǔn)要求，綜合考慮水利水務(wù)數(shù)據(jù)的類別屬性和使用目的，對(duì)數(shù)據(jù)進(jìn)行分類。

在數(shù)據(jù)分類基礎(chǔ)上，對(duì)每一類數(shù)據(jù)，結(jié)合數(shù)據(jù)的重要性及敏感程度、安全保護(hù)需求以及一旦遭到篡改、

破壞、泄露而造成的危害程度等，進(jìn)行數(shù)據(jù)分級(jí)。對(duì)不同分類分級(jí)的數(shù)據(jù)應(yīng)設(shè)置不同的安全管理要求和

技術(shù)保障。

7.2數(shù)據(jù)分類

水利水務(wù)數(shù)據(jù)分類見(jiàn)如下表1所示：

表1水利水務(wù)數(shù)據(jù)分類

分類分類1信息說(shuō)明

采集數(shù)據(jù)水利系統(tǒng)設(shè)備所采集的各類參數(shù)數(shù)據(jù)。

水利系統(tǒng)設(shè)備實(shí)時(shí)運(yùn)行中的相關(guān)狀態(tài)與配置數(shù)據(jù)。包括設(shè)備的故障狀態(tài)、

設(shè)備數(shù)據(jù)狀態(tài)與配置數(shù)據(jù)

配置的采集、上報(bào)周期等。

日志數(shù)據(jù)水利系統(tǒng)設(shè)備運(yùn)行過(guò)程生成的日志。包括運(yùn)維操作日志等。

水利系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的與控制相關(guān)的數(shù)據(jù)。包括系統(tǒng)分析結(jié)果、控制

控制類數(shù)據(jù)

指令、告警數(shù)據(jù)等。

系統(tǒng)應(yīng)用數(shù)據(jù)

配置數(shù)據(jù)水利系統(tǒng)運(yùn)行所需配置的數(shù)據(jù)。包括系統(tǒng)賬號(hào)信息等。

日志數(shù)據(jù)水利系統(tǒng)運(yùn)行過(guò)程生成的日志。包括運(yùn)維操作日志等。

基礎(chǔ)信息數(shù)據(jù)包括企業(yè)名稱等信息。

企業(yè)數(shù)據(jù)

運(yùn)營(yíng)數(shù)據(jù)包括用戶權(quán)限等信息。

用戶個(gè)人數(shù)據(jù)/包括用戶身份信息、鑒權(quán)信息、日志信息和內(nèi)容信息等。

7.3數(shù)據(jù)分級(jí)

水利水務(wù)數(shù)據(jù)分級(jí)為：非敏感數(shù)據(jù)、涉及用戶隱私數(shù)據(jù)、國(guó)家核心數(shù)據(jù)。

非敏感數(shù)據(jù)，可無(wú)條件共享與開(kāi)放。

涉及用戶隱私數(shù)據(jù)，在政府部門(mén)內(nèi)有條件共享；在不違反國(guó)家法律法規(guī)的條件下，予以脫敏開(kāi)放。

國(guó)家核心數(shù)據(jù)，在政府部門(mén)內(nèi)有條件共享或不予共享；對(duì)于部分需要開(kāi)放的數(shù)據(jù)，需要進(jìn)行脫敏處

理，并且控制數(shù)據(jù)分析類型。

注：凡列入政府部門(mén)有條件共享的數(shù)據(jù)，必須提供正當(dāng)理由或依據(jù)，且由同級(jí)政府?dāng)?shù)據(jù)資源行政主

管部門(mén)審查確定。

8智能終端設(shè)備安全要求

8.1安全單元要求

8.1.1一般要求

智能終端設(shè)備宜采用GB/T37092-2018中規(guī)定的三級(jí)及以上密碼模塊或通過(guò)國(guó)家密碼管理部門(mén)核準(zhǔn)

的硬件密碼產(chǎn)品實(shí)現(xiàn)密碼運(yùn)算和密鑰管理。安全單元應(yīng)支持多種安全訪問(wèn)方式和權(quán)限；支持安全數(shù)據(jù)傳

輸，包括密文+MAC、密文+簽名的傳輸方式；支持侵入式、半侵入式和非侵入式防護(hù)機(jī)制。

3

T/FJASXXX—XXXX

8.1.2唯一標(biāo)識(shí)

安全單元初始化時(shí)應(yīng)設(shè)置唯一設(shè)備可信標(biāo)識(shí)，標(biāo)識(shí)一旦寫(xiě)入不可修改。

8.1.3安全存儲(chǔ)要求

安全單元應(yīng)具備存儲(chǔ)證書(shū)、密鑰、關(guān)鍵參數(shù)、數(shù)據(jù)及文件的能力，具體要求如下：

a）存儲(chǔ)空間大于200KB；

b）在25℃的工作溫度下，最小擦寫(xiě)次數(shù)不小于10萬(wàn)次；

c）在25℃的工作溫度下，最短數(shù)據(jù)保持時(shí)間不小于10年；

d）支持多種文件類型：透明二進(jìn)制文件、記錄文件、密鑰文件；

e）讀寫(xiě)性能：

雙字讀/字節(jié)讀時(shí)間<35ns；

雙字寫(xiě)/字節(jié)寫(xiě)時(shí)間<30us；

頁(yè)寫(xiě)時(shí)間<2ms（1次寫(xiě)加校驗(yàn)）；

頁(yè)擦除時(shí)間<4ms（1次擦除加校驗(yàn)）；

自毀時(shí)間<20ms。

8.1.4算法性能要求

安全單元應(yīng)支持國(guó)家密碼管理部門(mén)核準(zhǔn)的密碼算法，支持真隨機(jī)數(shù)產(chǎn)生，支持算法性能要求如下：

a）SM1/SM4加解密，速率不低于10Mb/秒；

b）SM2加密，速率不低于50次/秒；

c）SM2解密，速率不低于50次/秒；

d）SM2簽名，速率不低于50次/秒；

e）SM2驗(yàn)簽，速率不低于50次/秒。

8.1.5功耗要求

智能終端設(shè)備應(yīng)能控制安全單元的上電以及下電，安全單元只有在運(yùn)行時(shí)產(chǎn)生功耗，其余時(shí)間處于

休眠或者斷電狀態(tài)，具備長(zhǎng)期穩(wěn)定使用的能力。具體功耗要求如下：

a）正常工作模式，平均電流≤15mA；

b）峰值電流≤40mA；

c）深度休眠模式，平均電流≤200uA；

d）斷電狀態(tài)，平均電流≤0.2uA。

8.2唯一身份標(biāo)識(shí)

智能終端設(shè)備在數(shù)字水利系統(tǒng)中應(yīng)具備唯一身份標(biāo)識(shí)，應(yīng)存儲(chǔ)于安全單元中。

8.3生命周期管理

智能終端設(shè)備宜具有“廠內(nèi)模式“和”出廠模式”兩種生命周期狀態(tài)。生命周期狀態(tài)應(yīng)存儲(chǔ)在安全

單元中，由安全單元提供專用指令進(jìn)行修改。

在“廠內(nèi)模式”下，設(shè)備生產(chǎn)廠商具有權(quán)限明文修改設(shè)備內(nèi)的關(guān)鍵參數(shù)、標(biāo)識(shí)信息等數(shù)據(jù)，并有權(quán)

限將設(shè)備生命周期狀態(tài)修改為“出廠模式”。

在“出廠模式”下，需要有水務(wù)企業(yè)管理系統(tǒng)簽名的指令才能將設(shè)備具生命周期狀態(tài)修改回“廠內(nèi)

模式”。

4

T/FJASXXX—XXXX

8.4敏感數(shù)據(jù)保密

遠(yuǎn)程通信時(shí)，敏感數(shù)據(jù)應(yīng)由安全單元進(jìn)行加密，保證敏感數(shù)據(jù)在傳輸過(guò)程中不被非法竊聽(tīng)。

8.5時(shí)間同步要求

智能終端設(shè)備應(yīng)能從平臺(tái)獲取當(dāng)前最新時(shí)間，并更新智能終端設(shè)備內(nèi)部存儲(chǔ)的時(shí)間參數(shù)。

8.6關(guān)鍵操作權(quán)限認(rèn)證

智能終端設(shè)備的關(guān)鍵參數(shù)應(yīng)存儲(chǔ)在安全單元的內(nèi)部安全存儲(chǔ)區(qū)中，由安全單元認(rèn)證修改指令后直接

由安全單元執(zhí)行修改操作。當(dāng)認(rèn)證失敗時(shí)，安全單元應(yīng)拒絕對(duì)關(guān)鍵參數(shù)的修改動(dòng)作。

對(duì)于法規(guī)性相關(guān)的修正系數(shù)、補(bǔ)償模式等關(guān)鍵參數(shù)，設(shè)備出廠后只接受檢定機(jī)構(gòu)簽名的參數(shù)修改指

令。其他關(guān)鍵操作，只接受水務(wù)企業(yè)管理系統(tǒng)認(rèn)證或簽名的操作指令。

用于智能終端設(shè)備現(xiàn)場(chǎng)維護(hù)的手持終端在沒(méi)有權(quán)限認(rèn)證的情況下，僅能讀取設(shè)備內(nèi)的數(shù)據(jù)。

8.7物理接口安全

物理接口安全應(yīng)符合GB/T36951-2018中6.4.7的要求。

8.8安全通信要求

8.8.1AT指令識(shí)別

安全單元采用前置化部署方式，支持識(shí)別智能終端設(shè)備內(nèi)與通信模組交互的AT指令。對(duì)上下行報(bào)

文AT指令，進(jìn)行安全處理傳輸；對(duì)其余配置類AT指令，進(jìn)行透?jìng)鳌?/p>

8.8.2指令防重放

通過(guò)在協(xié)議中設(shè)計(jì)報(bào)文計(jì)數(shù)，以及使用周期更新的會(huì)話密鑰的機(jī)制。一方面，智能終端設(shè)備生成的

報(bào)文不會(huì)重復(fù)。另一方面智能終端設(shè)備能夠識(shí)別并過(guò)濾掉重放的報(bào)文，有效避免重放攻擊。

報(bào)文計(jì)數(shù)（防重因子）應(yīng)由安全單元進(jìn)行維護(hù)和檢查。

8.8.3通信要求

對(duì)智能終端設(shè)備的通信要求具體如下：

a）具備自生成公私鑰對(duì)的能力，實(shí)現(xiàn)終端會(huì)話一機(jī)一密；

b）基于PKI公鑰證書(shū)認(rèn)證體系與平臺(tái)進(jìn)行雙向身份認(rèn)證；

c）當(dāng)日密鑰協(xié)商失敗次數(shù)達(dá)到3次后，需等次日再重新進(jìn)行密鑰協(xié)商；

d）斷電重啟后應(yīng)能繼續(xù)使用之前協(xié)商好的會(huì)話密鑰；

e）會(huì)話密鑰生命周期由平臺(tái)決定，生命周期結(jié)束則由平臺(tái)發(fā)送通知并與智能終端設(shè)備重新進(jìn)行密

鑰協(xié)商；

f）通信過(guò)程應(yīng)使用國(guó)家密碼管理部門(mén)規(guī)定的算法來(lái)保證信息傳輸?shù)谋Ｃ苄砸约巴暾砸蟆?/p>

8.8.4證書(shū)發(fā)行

安全單元在智能終端設(shè)備與平臺(tái)進(jìn)行通信前，應(yīng)做好證書(shū)發(fā)行工作，具體如下：

a）安全單元自生成公私鑰對(duì)，統(tǒng)一證書(shū)管理系統(tǒng)對(duì)其進(jìn)行證書(shū)發(fā)行操作后將智能終端設(shè)備與平臺(tái)

的公鑰證書(shū)一并發(fā)送給安全單元進(jìn)行存儲(chǔ)。安全單元具備對(duì)公鑰證書(shū)進(jìn)行識(shí)別和解析的能力，確保能與

平臺(tái)進(jìn)行安全通信。

b）未發(fā)行過(guò)證書(shū)的安全單元，可由人工操作上位機(jī)軟件對(duì)安全單元進(jìn)行證書(shū)發(fā)行，證書(shū)發(fā)行成功

5

T/FJASXXX—XXXX

后，上位機(jī)軟件顯示證書(shū)發(fā)行成功提示，安全單元應(yīng)關(guān)閉證書(shū)發(fā)行功能。

9平臺(tái)安全要求

9.1證書(shū)存儲(chǔ)

具備自生成公私鑰對(duì)的能力，公鑰證書(shū)可采用手動(dòng)申請(qǐng)、線下導(dǎo)入的方式，也可支持與統(tǒng)一證書(shū)管

理系統(tǒng)在線自動(dòng)同步功能。

具備安全數(shù)據(jù)庫(kù)，用于存儲(chǔ)所有智能終端設(shè)備的公鑰證書(shū)信息，智能終端設(shè)備的公鑰證書(shū)信息從統(tǒng)

一證書(shū)管理系統(tǒng)下載后通過(guò)線下的方式導(dǎo)入到平臺(tái)中，用于通信過(guò)程中的智能終端設(shè)備身份驗(yàn)證。

斷電重啟后應(yīng)能繼續(xù)使用之前協(xié)商好的會(huì)話密鑰。

9.2安全通信要求

對(duì)平臺(tái)的安全通信要求具體如下：

a）網(wǎng)絡(luò)和通信安全應(yīng)滿足GB/T39786-2021中8.2的要求；

b）應(yīng)用和數(shù)據(jù)安全應(yīng)滿足GB/T39786-2021中8.4的要求；

c）數(shù)據(jù)傳輸安全應(yīng)符合GB/T37093-2018中6.2.4的要求。

9.3日志審計(jì)

日志審計(jì)應(yīng)符合GB/T37093-2018中6.2.8的要求。

9.4性能指標(biāo)

對(duì)平臺(tái)的性能要求具體如下：

a）支持最大安全終端連接數(shù)量不小于100萬(wàn)，具備擴(kuò)容能力；

b）支持最大安全并發(fā)連接數(shù)量不低于3000次連接/秒；

c）支持臨時(shí)會(huì)話密鑰生成速度不低于1000次/秒；

d）支持智能終端設(shè)備雙向鑒權(quán)/認(rèn)證速度不低于2000次/秒。

10統(tǒng)一證書(shū)管理系統(tǒng)安全要求

10.1功能要求

統(tǒng)一證書(shū)管理系統(tǒng)應(yīng)具備證書(shū)模塊、日志審計(jì)、組織權(quán)限管理、策略管理四大模塊功能，實(shí)現(xiàn)證書(shū)

申請(qǐng)、證書(shū)審核、證書(shū)管理、人員權(quán)限管理、業(yè)務(wù)與日志的安全審計(jì)、策略配置等一系列功能。證書(shū)格

式符合x(chóng).509V3證書(shū)標(biāo)準(zhǔn)，證書(shū)模板采用簽名證書(shū)。

具備對(duì)智能終端設(shè)備以及平臺(tái)簽發(fā)公鑰證書(shū)的能力。

發(fā)行操作應(yīng)具備日志記錄。

10.2角色劃分

統(tǒng)一證書(shū)管理系統(tǒng)根據(jù)應(yīng)用場(chǎng)景應(yīng)分為管理員、RA操作員和普通用戶三種不同賬戶權(quán)限的角色，

所有角色均具備證書(shū)查詢/驗(yàn)證的功能，且各類用戶操作均形成審計(jì)日志。三種角色具體要求如下：

a）管理員功能要求：

負(fù)責(zé)生成或者導(dǎo)入根證書(shū)；

設(shè)置完成根證書(shū)后，可對(duì)根證書(shū)進(jìn)行查看、下載等操作；

6

T/FJASXXX—XXXX

設(shè)置完成根證書(shū)后，應(yīng)為根證書(shū)生成二級(jí)證書(shū)，二級(jí)證書(shū)需綁定指定的RA操作員；

可根據(jù)證書(shū)編號(hào)等信息查詢證書(shū)或上傳證書(shū)驗(yàn)證詳情；

可為二級(jí)證書(shū)設(shè)置通過(guò)/駁回的自動(dòng)化策略，以自動(dòng)通過(guò)/駁回指定用戶的證書(shū)簽發(fā)申請(qǐng)；

可對(duì)策略進(jìn)行啟用、停用、編輯、刪除等操作；