《数字水利水务数据安全要求》

ICS点击此处添加ICS号

CCS点击此处添加CCS号

T/FJAS

福建省标准化协会团体标准

T/FJASXXX—XXXX

数字水利水务数据安全要求

Datasecurityrequirementfordigitalwaterconservancyandwateraffairs

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

福建省标准化协会  发布

T/FJASXXX—XXXX

数字水利水务数据安全规范

1范围

本文件规定了数字水利水务数据安全的技术框架的几大组成部分（智能终端设备、平台、统一证书

管理系统）的安全要求。其中，智能终端设备限定于低数据量业务的终端。

本文件适用于数字水利系统水务数据安全建设、规划、验收等。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

GB/T37092-2018信息安全技术密码模块安全要求

GB/T37093-2018信息安全技术物联网感知层接入通信网的要求

GB/T36951-2018信息安全技术物联网感知终端应用安全技术要求

GB/T39786-2021信息安全技术信息系统密码应用基本要求

RFC5280InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocation

List(CRL)Profile

3术语和定义

GB/T25069界定的术语和定义适用于本文件。

4符号和缩略语

下列符号和缩略语适用于本文件。

MCU：微控制单元（MicrocontrollerUnit）

x.509V3：RFC5280定义的一种公钥证书的格式标准

OCSP：在线证书状态协议（OnlineCertificateStatusProtocol）

PKI：公钥基础设施(PublicKeyInfrastructure)

RA：注册机构(RegistrationAuthority)

5安全技术框架

数字水利水务数据安全技术框架示意图如下图1所示，主要由智能终端设备、平台、统一证书管理

系统的内部安全机制以及相互间数据交互的安全机制组成。

智能终端设备，由安全单元、MCU、通信模组构成，通过数据加密、操作权限认证等方式，实现与

平台通信的安全性。

1

T/FJASXXX—XXXX

平台，负责对智能终端的接入进行身份认证，并保证数据传输的机密性、完整性、新鲜性等安全性。

统一证书管理系统,负责对平台以及智能终端设备签发公钥证书并对所签发的证书进行全生命周期

的安全管理。

图1数字水利水务数据安全技术框架示意图

6安全业务流程

图2数字水利水务数据安全业务流程示意图

数字水利水务数据安全业务流程示意图如图2所示。流程说明：

1)初始化流程，统一证书管理系统向平台进行证书发行操作；

2)初始化流程，统一证书管理系统向智能终端设备进行证书发行操作；

3)连接认证流程，智能终端设备接入平台时，由平台负责对终端的接入进行身份认证；

4)连接认证流程，平台接收到终端的身份信息后，向统一证书管理系统发起证书在线验证；

5)连接认证流程结束后，终端与平台间进行密文传输。

7数据分类分级

2

T/FJASXXX—XXXX

7.1分类分级原则

按照法律法规和相关标准要求，综合考虑水利水务数据的类别属性和使用目的，对数据进行分类。

在数据分类基础上，对每一类数据，结合数据的重要性及敏感程度、安全保护需求以及一旦遭到篡改、

破坏、泄露而造成的危害程度等，进行数据分级。对不同分类分级的数据应设置不同的安全管理要求和

技术保障。

7.2数据分类

水利水务数据分类见如下表1所示：

表1水利水务数据分类

分类分类1信息说明

采集数据水利系统设备所采集的各类参数数据。

水利系统设备实时运行中的相关状态与配置数据。包括设备的故障状态、

设备数据状态与配置数据

配置的采集、上报周期等。

日志数据水利系统设备运行过程生成的日志。包括运维操作日志等。

水利系统运行过程中产生的与控制相关的数据。包括系统分析结果、控制

控制类数据

指令、告警数据等。

系统应用数据

配置数据水利系统运行所需配置的数据。包括系统账号信息等。

日志数据水利系统运行过程生成的日志。包括运维操作日志等。

基础信息数据包括企业名称等信息。

企业数据

运营数据包括用户权限等信息。

用户个人数据/包括用户身份信息、鉴权信息、日志信息和内容信息等。

7.3数据分级

水利水务数据分级为：非敏感数据、涉及用户隐私数据、国家核心数据。

非敏感数据，可无条件共享与开放。

涉及用户隐私数据，在政府部门内有条件共享；在不违反国家法律法规的条件下，予以脱敏开放。

国家核心数据，在政府部门内有条件共享或不予共享；对于部分需要开放的数据，需要进行脱敏处

理，并且控制数据分析类型。

注：凡列入政府部门有条件共享的数据，必须提供正当理由或依据，且由同级政府数据资源行政主

管部门审查确定。

8智能终端设备安全要求

8.1安全单元要求

8.1.1一般要求

智能终端设备宜采用GB/T37092-2018中规定的三级及以上密码模块或通过国家密码管理部门核准

的硬件密码产品实现密码运算和密钥管理。安全单元应支持多种安全访问方式和权限；支持安全数据传

输，包括密文+MAC、密文+签名的传输方式；支持侵入式、半侵入式和非侵入式防护机制。

3

T/FJASXXX—XXXX

8.1.2唯一标识

安全单元初始化时应设置唯一设备可信标识，标识一旦写入不可修改。

8.1.3安全存储要求

安全单元应具备存储证书、密钥、关键参数、数据及文件的能力，具体要求如下：

a）存储空间大于200KB；

b）在25℃的工作温度下，最小擦写次数不小于10万次；

c）在25℃的工作温度下，最短数据保持时间不小于10年；

d）支持多种文件类型：透明二进制文件、记录文件、密钥文件；

e）读写性能：

双字读/字节读时间<35ns；

双字写/字节写时间<30us；

页写时间<2ms（1次写加校验）；

页擦除时间<4ms（1次擦除加校验）；

自毁时间<20ms。

8.1.4算法性能要求

安全单元应支持国家密码管理部门核准的密码算法，支持真随机数产生，支持算法性能要求如下：

a）SM1/SM4加解密，速率不低于10Mb/秒；

b）SM2加密，速率不低于50次/秒；

c）SM2解密，速率不低于50次/秒；

d）SM2签名，速率不低于50次/秒；

e）SM2验签，速率不低于50次/秒。

8.1.5功耗要求

智能终端设备应能控制安全单元的上电以及下电，安全单元只有在运行时产生功耗，其余时间处于

休眠或者断电状态，具备长期稳定使用的能力。具体功耗要求如下：

a）正常工作模式，平均电流≤15mA；

b）峰值电流≤40mA；

c）深度休眠模式，平均电流≤200uA；

d）断电状态，平均电流≤0.2uA。

8.2唯一身份标识

智能终端设备在数字水利系统中应具备唯一身份标识，应存储于安全单元中。

8.3生命周期管理

智能终端设备宜具有“厂内模式“和”出厂模式”两种生命周期状态。生命周期状态应存储在安全

单元中，由安全单元提供专用指令进行修改。

在“厂内模式”下，设备生产厂商具有权限明文修改设备内的关键参数、标识信息等数据，并有权

限将设备生命周期状态修改为“出厂模式”。

在“出厂模式”下，需要有水务企业管理系统签名的指令才能将设备具生命周期状态修改回“厂内

模式”。

4

T/FJASXXX—XXXX

8.4敏感数据保密

远程通信时，敏感数据应由安全单元进行加密，保证敏感数据在传输过程中不被非法窃听。

8.5时间同步要求

智能终端设备应能从平台获取当前最新时间，并更新智能终端设备内部存储的时间参数。

8.6关键操作权限认证

智能终端设备的关键参数应存储在安全单元的内部安全存储区中，由安全单元认证修改指令后直接

由安全单元执行修改操作。当认证失败时，安全单元应拒绝对关键参数的修改动作。

对于法规性相关的修正系数、补偿模式等关键参数，设备出厂后只接受检定机构签名的参数修改指

令。其他关键操作，只接受水务企业管理系统认证或签名的操作指令。

用于智能终端设备现场维护的手持终端在没有权限认证的情况下，仅能读取设备内的数据。

8.7物理接口安全

物理接口安全应符合GB/T36951-2018中6.4.7的要求。

8.8安全通信要求

8.8.1AT指令识别

安全单元采用前置化部署方式，支持识别智能终端设备内与通信模组交互的AT指令。对上下行报

文AT指令，进行安全处理传输；对其余配置类AT指令，进行透传。

8.8.2指令防重放

通过在协议中设计报文计数，以及使用周期更新的会话密钥的机制。一方面，智能终端设备生成的

报文不会重复。另一方面智能终端设备能够识别并过滤掉重放的报文，有效避免重放攻击。

报文计数（防重因子）应由安全单元进行维护和检查。

8.8.3通信要求

对智能终端设备的通信要求具体如下：

a）具备自生成公私钥对的能力，实现终端会话一机一密；

b）基于PKI公钥证书认证体系与平台进行双向身份认证；

c）当日密钥协商失败次数达到3次后，需等次日再重新进行密钥协商；

d）断电重启后应能继续使用之前协商好的会话密钥；

e）会话密钥生命周期由平台决定，生命周期结束则由平台发送通知并与智能终端设备重新进行密

钥协商；

f）通信过程应使用国家密码管理部门规定的算法来保证信息传输的保密性以及完整性要求。

8.8.4证书发行

安全单元在智能终端设备与平台进行通信前，应做好证书发行工作，具体如下：

a）安全单元自生成公私钥对，统一证书管理系统对其进行证书发行操作后将智能终端设备与平台

的公钥证书一并发送给安全单元进行存储。安全单元具备对公钥证书进行识别和解析的能力，确保能与

平台进行安全通信。

b）未发行过证书的安全单元，可由人工操作上位机软件对安全单元进行证书发行，证书发行成功

5

T/FJASXXX—XXXX

后，上位机软件显示证书发行成功提示，安全单元应关闭证书发行功能。

9平台安全要求

9.1证书存储

具备自生成公私钥对的能力，公钥证书可采用手动申请、线下导入的方式，也可支持与统一证书管

理系统在线自动同步功能。

具备安全数据库，用于存储所有智能终端设备的公钥证书信息，智能终端设备的公钥证书信息从统

一证书管理系统下载后通过线下的方式导入到平台中，用于通信过程中的智能终端设备身份验证。

断电重启后应能继续使用之前协商好的会话密钥。

9.2安全通信要求

对平台的安全通信要求具体如下：

a）网络和通信安全应满足GB/T39786-2021中8.2的要求；

b）应用和数据安全应满足GB/T39786-2021中8.4的要求；

c）数据传输安全应符合GB/T37093-2018中6.2.4的要求。

9.3日志审计

日志审计应符合GB/T37093-2018中6.2.8的要求。

9.4性能指标

对平台的性能要求具体如下：

a）支持最大安全终端连接数量不小于100万，具备扩容能力；

b）支持最大安全并发连接数量不低于3000次连接/秒；

c）支持临时会话密钥生成速度不低于1000次/秒；

d）支持智能终端设备双向鉴权/认证速度不低于2000次/秒。

10统一证书管理系统安全要求

10.1功能要求

统一证书管理系统应具备证书模块、日志审计、组织权限管理、策略管理四大模块功能，实现证书

申请、证书审核、证书管理、人员权限管理、业务与日志的安全审计、策略配置等一系列功能。证书格

式符合x.509V3证书标准，证书模板采用签名证书。

具备对智能终端设备以及平台签发公钥证书的能力。

发行操作应具备日志记录。

10.2角色划分

统一证书管理系统根据应用场景应分为管理员、RA操作员和普通用户三种不同账户权限的角色，

所有角色均具备证书查询/验证的功能，且各类用户操作均形成审计日志。三种角色具体要求如下：

a）管理员功能要求：

负责生成或者导入根证书；

设置完成根证书后，可对根证书进行查看、下载等操作；

6

T/FJASXXX—XXXX

设置完成根证书后，应为根证书生成二级证书，二级证书需绑定指定的RA操作员；

可根据证书编号等信息查询证书或上传证书验证详情；

可为二级证书设置通过/驳回的自动化策略，以自动通过/驳回指定用户的证书签发申请；

可对策略进行启用、停用、编辑、删除等操作；