《數(shù)字水利水務數(shù)據(jù)安全要求》

ICS點擊此處添加ICS號

CCS點擊此處添加CCS號

T/FJAS

福建省標準化協(xié)會團體標準

T/FJASXXX—XXXX

數(shù)字水利水務數(shù)據(jù)安全要求

Datasecurityrequirementfordigitalwaterconservancyandwateraffairs

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

福建省標準化協(xié)會??發(fā)布

T/FJASXXX—XXXX

數(shù)字水利水務數(shù)據(jù)安全規(guī)范

1范圍

本文件規(guī)定了數(shù)字水利水務數(shù)據(jù)安全的技術框架的幾大組成部分（智能終端設備、平臺、統(tǒng)一證書

管理系統(tǒng)）的安全要求。其中，智能終端設備限定于低數(shù)據(jù)量業(yè)務的終端。

本文件適用于數(shù)字水利系統(tǒng)水務數(shù)據(jù)安全建設、規(guī)劃、驗收等。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術術語

GB/T37092-2018信息安全技術密碼模塊安全要求

GB/T37093-2018信息安全技術物聯(lián)網(wǎng)感知層接入通信網(wǎng)的要求

GB/T36951-2018信息安全技術物聯(lián)網(wǎng)感知終端應用安全技術要求

GB/T39786-2021信息安全技術信息系統(tǒng)密碼應用基本要求

RFC5280InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocation

List(CRL)Profile

3術語和定義

GB/T25069界定的術語和定義適用于本文件。

4符號和縮略語

下列符號和縮略語適用于本文件。

MCU：微控制單元（MicrocontrollerUnit）

x.509V3：RFC5280定義的一種公鑰證書的格式標準

OCSP：在線證書狀態(tài)協(xié)議（OnlineCertificateStatusProtocol）

PKI：公鑰基礎設施(PublicKeyInfrastructure)

RA：注冊機構(RegistrationAuthority)

5安全技術框架

數(shù)字水利水務數(shù)據(jù)安全技術框架示意圖如下圖1所示，主要由智能終端設備、平臺、統(tǒng)一證書管理

系統(tǒng)的內(nèi)部安全機制以及相互間數(shù)據(jù)交互的安全機制組成。

智能終端設備，由安全單元、MCU、通信模組構成，通過數(shù)據(jù)加密、操作權限認證等方式，實現(xiàn)與

平臺通信的安全性。

1

T/FJASXXX—XXXX

平臺，負責對智能終端的接入進行身份認證，并保證數(shù)據(jù)傳輸?shù)臋C密性、完整性、新鮮性等安全性。

統(tǒng)一證書管理系統(tǒng),負責對平臺以及智能終端設備簽發(fā)公鑰證書并對所簽發(fā)的證書進行全生命周期

的安全管理。

圖1數(shù)字水利水務數(shù)據(jù)安全技術框架示意圖

6安全業(yè)務流程

圖2數(shù)字水利水務數(shù)據(jù)安全業(yè)務流程示意圖

數(shù)字水利水務數(shù)據(jù)安全業(yè)務流程示意圖如圖2所示。流程說明：

1)初始化流程，統(tǒng)一證書管理系統(tǒng)向平臺進行證書發(fā)行操作；

2)初始化流程，統(tǒng)一證書管理系統(tǒng)向智能終端設備進行證書發(fā)行操作；

3)連接認證流程，智能終端設備接入平臺時，由平臺負責對終端的接入進行身份認證；

4)連接認證流程，平臺接收到終端的身份信息后，向統(tǒng)一證書管理系統(tǒng)發(fā)起證書在線驗證；

5)連接認證流程結束后，終端與平臺間進行密文傳輸。

7數(shù)據(jù)分類分級

2

T/FJASXXX—XXXX

7.1分類分級原則

按照法律法規(guī)和相關標準要求，綜合考慮水利水務數(shù)據(jù)的類別屬性和使用目的，對數(shù)據(jù)進行分類。

在數(shù)據(jù)分類基礎上，對每一類數(shù)據(jù)，結合數(shù)據(jù)的重要性及敏感程度、安全保護需求以及一旦遭到篡改、

破壞、泄露而造成的危害程度等，進行數(shù)據(jù)分級。對不同分類分級的數(shù)據(jù)應設置不同的安全管理要求和

技術保障。

7.2數(shù)據(jù)分類

水利水務數(shù)據(jù)分類見如下表1所示：

表1水利水務數(shù)據(jù)分類

分類分類1信息說明

采集數(shù)據(jù)水利系統(tǒng)設備所采集的各類參數(shù)數(shù)據(jù)。

水利系統(tǒng)設備實時運行中的相關狀態(tài)與配置數(shù)據(jù)。包括設備的故障狀態(tài)、

設備數(shù)據(jù)狀態(tài)與配置數(shù)據(jù)

配置的采集、上報周期等。

日志數(shù)據(jù)水利系統(tǒng)設備運行過程生成的日志。包括運維操作日志等。

水利系統(tǒng)運行過程中產(chǎn)生的與控制相關的數(shù)據(jù)。包括系統(tǒng)分析結果、控制

控制類數(shù)據(jù)

指令、告警數(shù)據(jù)等。

系統(tǒng)應用數(shù)據(jù)

配置數(shù)據(jù)水利系統(tǒng)運行所需配置的數(shù)據(jù)。包括系統(tǒng)賬號信息等。

日志數(shù)據(jù)水利系統(tǒng)運行過程生成的日志。包括運維操作日志等。

基礎信息數(shù)據(jù)包括企業(yè)名稱等信息。

企業(yè)數(shù)據(jù)

運營數(shù)據(jù)包括用戶權限等信息。

用戶個人數(shù)據(jù)/包括用戶身份信息、鑒權信息、日志信息和內(nèi)容信息等。

7.3數(shù)據(jù)分級

水利水務數(shù)據(jù)分級為：非敏感數(shù)據(jù)、涉及用戶隱私數(shù)據(jù)、國家核心數(shù)據(jù)。

非敏感數(shù)據(jù)，可無條件共享與開放。

涉及用戶隱私數(shù)據(jù)，在政府部門內(nèi)有條件共享；在不違反國家法律法規(guī)的條件下，予以脫敏開放。

國家核心數(shù)據(jù)，在政府部門內(nèi)有條件共享或不予共享；對于部分需要開放的數(shù)據(jù)，需要進行脫敏處

理，并且控制數(shù)據(jù)分析類型。

注：凡列入政府部門有條件共享的數(shù)據(jù)，必須提供正當理由或依據(jù)，且由同級政府數(shù)據(jù)資源行政主

管部門審查確定。

8智能終端設備安全要求

8.1安全單元要求

8.1.1一般要求

智能終端設備宜采用GB/T37092-2018中規(guī)定的三級及以上密碼模塊或通過國家密碼管理部門核準

的硬件密碼產(chǎn)品實現(xiàn)密碼運算和密鑰管理。安全單元應支持多種安全訪問方式和權限；支持安全數(shù)據(jù)傳

輸，包括密文+MAC、密文+簽名的傳輸方式；支持侵入式、半侵入式和非侵入式防護機制。

3

T/FJASXXX—XXXX

8.1.2唯一標識

安全單元初始化時應設置唯一設備可信標識，標識一旦寫入不可修改。

8.1.3安全存儲要求

安全單元應具備存儲證書、密鑰、關鍵參數(shù)、數(shù)據(jù)及文件的能力，具體要求如下：

a）存儲空間大于200KB；

b）在25℃的工作溫度下，最小擦寫次數(shù)不小于10萬次；

c）在25℃的工作溫度下，最短數(shù)據(jù)保持時間不小于10年；

d）支持多種文件類型：透明二進制文件、記錄文件、密鑰文件；

e）讀寫性能：

雙字讀/字節(jié)讀時間<35ns；

雙字寫/字節(jié)寫時間<30us；

頁寫時間<2ms（1次寫加校驗）；

頁擦除時間<4ms（1次擦除加校驗）；

自毀時間<20ms。

8.1.4算法性能要求

安全單元應支持國家密碼管理部門核準的密碼算法，支持真隨機數(shù)產(chǎn)生，支持算法性能要求如下：

a）SM1/SM4加解密，速率不低于10Mb/秒；

b）SM2加密，速率不低于50次/秒；

c）SM2解密，速率不低于50次/秒；

d）SM2簽名，速率不低于50次/秒；

e）SM2驗簽，速率不低于50次/秒。

8.1.5功耗要求

智能終端設備應能控制安全單元的上電以及下電，安全單元只有在運行時產(chǎn)生功耗，其余時間處于

休眠或者斷電狀態(tài)，具備長期穩(wěn)定使用的能力。具體功耗要求如下：

a）正常工作模式，平均電流≤15mA；

b）峰值電流≤40mA；

c）深度休眠模式，平均電流≤200uA；

d）斷電狀態(tài)，平均電流≤0.2uA。

8.2唯一身份標識

智能終端設備在數(shù)字水利系統(tǒng)中應具備唯一身份標識，應存儲于安全單元中。

8.3生命周期管理

智能終端設備宜具有“廠內(nèi)模式“和”出廠模式”兩種生命周期狀態(tài)。生命周期狀態(tài)應存儲在安全

單元中，由安全單元提供專用指令進行修改。

在“廠內(nèi)模式”下，設備生產(chǎn)廠商具有權限明文修改設備內(nèi)的關鍵參數(shù)、標識信息等數(shù)據(jù)，并有權

限將設備生命周期狀態(tài)修改為“出廠模式”。

在“出廠模式”下，需要有水務企業(yè)管理系統(tǒng)簽名的指令才能將設備具生命周期狀態(tài)修改回“廠內(nèi)

模式”。

4

T/FJASXXX—XXXX

8.4敏感數(shù)據(jù)保密

遠程通信時，敏感數(shù)據(jù)應由安全單元進行加密，保證敏感數(shù)據(jù)在傳輸過程中不被非法竊聽。

8.5時間同步要求

智能終端設備應能從平臺獲取當前最新時間，并更新智能終端設備內(nèi)部存儲的時間參數(shù)。

8.6關鍵操作權限認證

智能終端設備的關鍵參數(shù)應存儲在安全單元的內(nèi)部安全存儲區(qū)中，由安全單元認證修改指令后直接

由安全單元執(zhí)行修改操作。當認證失敗時，安全單元應拒絕對關鍵參數(shù)的修改動作。

對于法規(guī)性相關的修正系數(shù)、補償模式等關鍵參數(shù)，設備出廠后只接受檢定機構簽名的參數(shù)修改指

令。其他關鍵操作，只接受水務企業(yè)管理系統(tǒng)認證或簽名的操作指令。

用于智能終端設備現(xiàn)場維護的手持終端在沒有權限認證的情況下，僅能讀取設備內(nèi)的數(shù)據(jù)。

8.7物理接口安全

物理接口安全應符合GB/T36951-2018中6.4.7的要求。

8.8安全通信要求

8.8.1AT指令識別

安全單元采用前置化部署方式，支持識別智能終端設備內(nèi)與通信模組交互的AT指令。對上下行報

文AT指令，進行安全處理傳輸；對其余配置類AT指令，進行透傳。

8.8.2指令防重放

通過在協(xié)議中設計報文計數(shù)，以及使用周期更新的會話密鑰的機制。一方面，智能終端設備生成的

報文不會重復。另一方面智能終端設備能夠識別并過濾掉重放的報文，有效避免重放攻擊。

報文計數(shù)（防重因子）應由安全單元進行維護和檢查。

8.8.3通信要求

對智能終端設備的通信要求具體如下：

a）具備自生成公私鑰對的能力，實現(xiàn)終端會話一機一密；

b）基于PKI公鑰證書認證體系與平臺進行雙向身份認證；

c）當日密鑰協(xié)商失敗次數(shù)達到3次后，需等次日再重新進行密鑰協(xié)商；

d）斷電重啟后應能繼續(xù)使用之前協(xié)商好的會話密鑰；

e）會話密鑰生命周期由平臺決定，生命周期結束則由平臺發(fā)送通知并與智能終端設備重新進行密

鑰協(xié)商；

f）通信過程應使用國家密碼管理部門規(guī)定的算法來保證信息傳輸?shù)谋Ｃ苄砸约巴暾砸蟆?/p>

8.8.4證書發(fā)行

安全單元在智能終端設備與平臺進行通信前，應做好證書發(fā)行工作，具體如下：

a）安全單元自生成公私鑰對，統(tǒng)一證書管理系統(tǒng)對其進行證書發(fā)行操作后將智能終端設備與平臺

的公鑰證書一并發(fā)送給安全單元進行存儲。安全單元具備對公鑰證書進行識別和解析的能力，確保能與

平臺進行安全通信。

b）未發(fā)行過證書的安全單元，可由人工操作上位機軟件對安全單元進行證書發(fā)行，證書發(fā)行成功

5

T/FJASXXX—XXXX

后，上位機軟件顯示證書發(fā)行成功提示，安全單元應關閉證書發(fā)行功能。

9平臺安全要求

9.1證書存儲

具備自生成公私鑰對的能力，公鑰證書可采用手動申請、線下導入的方式，也可支持與統(tǒng)一證書管

理系統(tǒng)在線自動同步功能。

具備安全數(shù)據(jù)庫，用于存儲所有智能終端設備的公鑰證書信息，智能終端設備的公鑰證書信息從統(tǒng)

一證書管理系統(tǒng)下載后通過線下的方式導入到平臺中，用于通信過程中的智能終端設備身份驗證。

斷電重啟后應能繼續(xù)使用之前協(xié)商好的會話密鑰。

9.2安全通信要求

對平臺的安全通信要求具體如下：

a）網(wǎng)絡和通信安全應滿足GB/T39786-2021中8.2的要求；

b）應用和數(shù)據(jù)安全應滿足GB/T39786-2021中8.4的要求；

c）數(shù)據(jù)傳輸安全應符合GB/T37093-2018中6.2.4的要求。

9.3日志審計

日志審計應符合GB/T37093-2018中6.2.8的要求。

9.4性能指標

對平臺的性能要求具體如下：

a）支持最大安全終端連接數(shù)量不小于100萬，具備擴容能力；

b）支持最大安全并發(fā)連接數(shù)量不低于3000次連接/秒；

c）支持臨時會話密鑰生成速度不低于1000次/秒；

d）支持智能終端設備雙向鑒權/認證速度不低于2000次/秒。

10統(tǒng)一證書管理系統(tǒng)安全要求

10.1功能要求

統(tǒng)一證書管理系統(tǒng)應具備證書模塊、日志審計、組織權限管理、策略管理四大模塊功能，實現(xiàn)證書

申請、證書審核、證書管理、人員權限管理、業(yè)務與日志的安全審計、策略配置等一系列功能。證書格

式符合x.509V3證書標準，證書模板采用簽名證書。

具備對智能終端設備以及平臺簽發(fā)公鑰證書的能力。

發(fā)行操作應具備日志記錄。

10.2角色劃分

統(tǒng)一證書管理系統(tǒng)根據(jù)應用場景應分為管理員、RA操作員和普通用戶三種不同賬戶權限的角色，

所有角色均具備證書查詢/驗證的功能，且各類用戶操作均形成審計日志。三種角色具體要求如下：

a）管理員功能要求：

負責生成或者導入根證書；

設置完成根證書后，可對根證書進行查看、下載等操作；

6

T/FJASXXX—XXXX

設置完成根證書后，應為根證書生成二級證書，二級證書需綁定指定的RA操作員；

可根據(jù)證書編號等信息查詢證書或上傳證書驗證詳情；

可為二級證書設置通過/駁回的自動化策略，以自動通過/駁回指定用戶的證書簽發(fā)申請；

可對策略進行啟用、停用、編輯、刪除等操作；