ICS35.030CCSL80團 體 標 準T/FJAS020.1—20231Integrationofurbanandruralwatersupply—Digitalwateraffairs—Part1:Securityrequirementfordatatransmission2023-03-24發布 2023-03-24實施福建省標準化協會??發布T/FJAS020.1—2023T/FJAS020.1—2023II目 次前 言 II引 言 I范圍 1規范性引用文件 1術語和定義 1符號和縮略語 1安全技術框架 2安全認證流程 2智能終端設備安全要求 3安全單元要求 3一般要求 3唯一標識 3安全存儲要求 3算法性能要求 4唯一身份標識 4生命周期管理 4敏感數據保密 4時間同步要求 4關鍵操作權限認證 4物理接口安全 4安全通信要求 4AT指令識別 4指令防重放 5通信要求 5證書發行 5平臺安全要求 5證書存儲 5安全通信要求 5日志審計 5性能指標 6統一證書管理系統安全要求 6功能要求 6管理員要求 6性能指標 6參 考 文 獻 7T/FJAS020.1—2023T/FJAS020.1—2023IIII前 言本文件按照GB/T1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規則》的定起草。本文件是T/FJAS1T/FJAS020——第1部分：數據傳輸安全要求。——第2部分：評價規范。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由福建省水投數字科技有限公司提出。本文件由福建省標準化協會歸口。警報中心、福建省計量科學研究院、福建省水利水電科學研究院。本文件主要起草人：鄭文勇、吳永亮、陳斌、劉非男、張旭斌、涂志基、張天辰、戴楓勇、曾力、王博、唐龍、韓勝、蔡麗枝、賴桂春、阮偉芳、張旭、林瑋澤、蔡貴城、蔡文靜、周陳芬。T/FJAS020.1—2023T/FJAS020.1—2023II引 言T/FJAS02021安全要求。2現行有關標準的規定。T/FJAS020.1—2023T/FJAS020.1—2023PAGEPAGE1城鄉供水一體化數字水務第1部分：數據傳輸安全要求范圍本文件適用于數字水務系統水務數據傳輸安全的規劃、建設及管理等。規范性引用文件（包括所有的修改單適用于本文件。GB/T22239-2019信息安全技術網絡安全等級保護基本要求GB/T25056信息安全技術證書認證系統密碼及其相關安全技術規范GB/T25069信息安全技術術語GB/T36951-2018信息安全技術物聯網感知終端應用安全技術要求GB/T37025-2018信息安全技術物聯網數據傳輸安全技術要求GB/T37092-2018信息安全技術密碼模塊安全要求GB/T37093-2018信息安全技術物聯網感知層接入通信網的要求GB/T39786-2021信息安全技術信息系統密碼應用基本要求GM/T0054-2018信息系統密碼應用基本要求RFC5280InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocationList(CRL)Profile術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。AT指令ATCommand應用于終端設備與計算機應用之間的連接與通信的指令。AT即Attention。符號和縮略語下列符號和縮略語適用于本文件。MCU：微控制單元（MicrocontrollerUnit）X.509V3：RFC5280定義的一種公鑰證書的格式標準OCSP：在線證書狀態協議（OnlineCertificateStatusProtocol）PKI：公鑰基礎設施(PublicKeyInfrastructure)RA：注冊機構(RegistrationAuthority)安全技術框架1系統的安全傳輸及終端認證的安全機制組成。智能終端設備，由安全單元、MCU、通信模組構成，通過數據加密、操作權限認證等方式，保障與平臺通信的安全性。等，保障數據傳輸的安全性。數字水務系統的信息安全應符合GB/T22239-20198.18.4密碼算法應滿足GM/T0054-2018中5.1的要求，密鑰管理應滿足GM/T0054-2018中8.4的要求。圖1數字水務數據傳輸安全技術框架示意圖安全認證流程數字水務數據傳輸安全認證流程示意圖如圖2所示。圖2數字水務數據傳輸安全認證流程示意圖流程說明如下：智能終端設備安全要求安全單元要求一般要求智能終端設備宜采用GB/T37092-2018文+MAC唯一標識安全單元初始化時應設置唯一設備可信標識，標識一旦寫入不可修改。安全存儲要求安全單元應具備存儲證書、密鑰、關鍵參數、數據及文件的能力，具體要求如下：a）存儲空間大于200KB；b）25102510e）讀寫性能：雙字讀/字節讀時間<35ns；雙字寫/字節寫時間<30μs；頁寫時間<2ms（1）；頁擦除時間<4ms（1）；自毀時間<20ms。算法性能要求安全單元應支持國家密碼管理部門核準的密碼算法，支持真隨機數產生，支持算法性能要求如下：a）SM1/SM4加解密，速率不低于10Mb/秒；b）SM250/c）SM250/d）SM250/e）SM250/唯一身份標識智能終端設備在數字水務系統中應具備唯一身份標識，應存儲于安全單元中。生命周期管理限將設備生命周期狀態修改為“出廠模式”。模式”。敏感數據保密遠程通信時，敏感數據應由安全單元進行加密，保證敏感數據在傳輸過程中不被篡改。時間同步要求智能終端設備應具備從平臺獲取當前最新時間，并更新智能終端設備內部存儲時間參數的能力。關鍵操作權限認證關鍵參數只接受指定機構認證或簽名的操作指令。用于智能終端設備現場維護的手持終端在沒有權限認證的情況下，僅能讀取設備內的數據。物理接口安全物理接口安全應符合GB/T36951-2018中6.4.7的要求。安全通信要求AT安全單元采用前置化部署方式，支持識別智能終端設備內與通信模組交互的AT指令。對上下行報文ATAT指令防重放重放的報文，有效避免重放攻擊。報文計數（防重因子）應由安全單元進行檢查。通信要求對智能終端設備的通信要求具體如下：a）具備自生成公私鑰的能力，實現終端會話一機一密；b）PKIc）3d）斷電重啟后應能繼續會話；鑰協商；通信過程的數據傳輸完整性應滿足GB/T37025-20187.1通信過程的數據傳輸保密性應滿足GB/T37025-20187.8證書發行安全單元在智能終端設備與平臺進行通信前，應做好證書發行工作，具體如下：臺進行安全通信。平臺安全要求證書存儲系統在線自動同步功能。斷電重啟后應能繼續使用之前協商好的會話密鑰。安全通信要求對平臺的安全通信要求具體如下：GB/T39786-20218.2數據傳輸安全應符合GB/T37093-20186.2.4GB/T39786-20218.4日志審計日志審計應符合GB/T37093-2018中6.2.8的要求。性能指標對平臺的性能要求具體如下：1003000/秒；1000/秒；支持智能終端設備雙向鑒權/2000/秒。統一證書管理系統安全要求功能要求列功能。證書格式符合X.509V3具備對智能終端