DB42/T 1666-2021 标准规范下载简介
DB42/T 1666-2021 智能电网移动终端安全防护规范.pdf简介:
DB42/T 1666-2021《智能电网移动终端安全防护规范》是一份关于智能电网领域中移动终端安全的行业标准。这份标准主要规定了智能电网环境下,移动终端(如智能手机、平板电脑等)在数据传输、存储、使用过程中的安全要求和防护策略。它涵盖了移动终端的身份认证、数据加密、访问控制、安全更新、隐私保护等方面,旨在保障智能电网系统的安全稳定运行,防止数据泄露、设备被攻击等风险。
该标准适用于智能电网的建设和运营中,对移动终端的使用者、设备供应商、系统集成商等都具有指导意义,有助于提升整个智能电网系统的安全防护能力,符合国家和行业的信息安全政策。
DB42/T 1666-2021 智能电网移动终端安全防护规范.pdf部分内容预览:
湖北省市场监督管理局
省市场监督管理局 发
前言.· 范围 规范性引用文件 术语和定义 总体要求 移动终端安全 接入安全 服务端安全, 参考文献
本文件规定了智能电网移动终端安全防护总体要求、移动终端安全、接入安全、服务端安全。 业信息内网安全接入要求
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件【6层】6138.76平米框架综合办公楼毕业设计(开题报告、实习报告、计算书、建筑、结构图),其最新版本(包括所有的修改单)适用于本 文件。 GB4943.1信息技术设备安全第1部分:通用要求; GB/T20518 信息安全技术公钥基础设施数字证书格式 GB/T30284 信息安全技术移动通信智能终端操作系统安全技术要求; GB/T37729 信息技术智能移动终端应用软件(APP)技术要求 GM/T0009 SM2密码算法使用规范 GM/T0010 SM2密码算法加密签名消息语法规范 GM/T0015 基于SM2密码算法的数字证书格式规范
终端安全专控软件是部署在移动终端上的安全防护软件,可保障移动终端的数据安全、网络安全、 系统安全。
移动终端包括各种接入终端,如PDA、智能手机、PC、笔记本、监测采集终端等,主要由安全软、 硬件模块组成。
智能电网移动终端的应用场景如图1所示 智能电网移动终端安全防护规范主要由安全终端层、 道层、安全接入层、安全业务访问层四大层次组成。在移动终端侧、安全接入网关侧部署数字证书 入网关侧针对特定移动终端设定不同的访问控制权限策略,对访问后台服务的IP地址、端口等进 同时在数据交换系统侧进行安全数据交换规则设置
图1移动终端典型应用场景
终端初次连接时,后动安全专控软件,和安全接人网关进行基于数学证书的双向身份验证,彼此验 正成功后,建立基于SSL协议的专用加密隧道,非对称算法使用RSA算法,对称算法使用SM1算法,均由 终端侧、接入网关侧的加密TF卡实现。 终端通过安全专控软件扫描模块对终端进行硬件特征标识扫描,并提交到安全接入网关、身份认证 系统进行硬件信息在线注册,同时断开加密连接,等待管理员批准授权。 管理员检查硬件信息合法性后,批准该终端进行安全接入,终端才能重新进行加密连接建立与加密 隧道协商,对通讯数据进行专用硬件算法加密。
0015的要求 5.2.2移动终端应使用由国网统一数字证书系统颁发的数字证书。
5. 3 安全 TF 卡
移动终端安全TF卡技术要求包括: a)安全TF卡应通过国家密码管理局产品认证,用于移动终端接入时的数据加密存储; b)安全TF卡应支持国产SM2非对称密码算法,SM2密钥长度应至少256位,如果不支持SM2算 法,应支持2048位RSA非对称密码算法,用于移动终端接入时的身份认证; 安全TF卡应提供措施确保密钥在密钥产生、密钥协商、密钥存储、密钥使用或更换、密钥销 毁整个生命周期内的安全,确保私有密钥在全生命周期内免受未授权的获取、修改和替换; 安全TF卡应支持业务数据信息加密存储,且存储容量不小于2GB; 安全TF卡应使用国网统一数字证书系统颁发的证书,并在使用前经管理员检查硬件信息合法 性后,确保非对称密码算法与国网CA系统的证书运算兼容。
5.4安全专控软件客户端
实现移动电力业务办公时对移动终端的安全管理,具体要求包括: a)应符合GB/T37729的要求; 应具有网络访问控制功能,非经配置充许的网络地址或者地址段禁止访问: 应具有进程控制功能,非经配置允许的进程禁止启动; 在终端使用过程中如果发生网络断开、访问业务系统出现异常、安全专控软件运行异常、安 全TF卡运行异常的情况,安全专控软件应记录日志; e 移动终端启动时,如果绑定使用的安全TF卡、SIM卡、数字证书三者有至少一个与在安全接 入平台注册时不同,安全专控软件应向接入台发出告警信息,阻止电力业务软件启动,并记 录日志; f)应在与安全接入平台建立连接后,将记录的日志发送至安全接入平台:
g)应具备防御卸载机制,当安全专控软件客户端被卸载时,需由管理员给予授权码才允许卸载, 且本地电力业务数据将被自动删除
业务软件客户端应支持以下功能: a) 应符合GB/T37729的要求; 应在启动时进行登录口令认证,口令输入应防止输入劫持DB23/T 2575-2020 智慧城市建设运营管理与运行维护,防止键盘记录; C 应支持人脸识别、指纹识别等功能,可实现专人专用; d) 应在启动时检查系统文件是否缺失或被非法篡改,配置是否被修改; e) 应对关键数据在安全TF卡中加密备份; f 应记录业务访问异常数据并实时上报服务端。
网络防护要求包括: a) 终端使用的SIM卡应绑定唯一APN网络通信通道,不允许访问其他APN网络和互联网; 应在终端和服务端之间建立基于SSL协议的专用加密隧道,非对称算法使用RSA算法,对称 算法使用SM1算法数据加密传输通道,
5. 7 运行环境隔离
移动终端的运行环境隔离要求包: a)应采用软硬件环境隔离技术保证移动办公应用与个人应用运行环境的有效隔离 b)应在移动办公应用关闭时同时清理临时文件等剩余敏感信息。
接入认证网关的要求包括: a 应支持国家密码主管部门认可的密码算法; b 密钥协商数据的加密保护应采用非对称密码算法(如SM2),报文数据的加密保护应采用对称 密码算法(如SM1或SM4); C 应支持SSL/TLS或IPSec等网络安全协议; d 应支持基于用户账户和权限分配的细粒度访问控制,支持仅授权用户才能访问特定资源; e) 应支持网关运行情况的集中监控。
5.2.1业务软件启动时应先调用安全专控软件,安全专控软件与服务端基于数字证书的双向身份认证JG∕T 93-1999 滑模液压提升机, 人证成功后业务软件与服务端建立加密通道,并利用加密通道进行数据传输。 6.2.2应含有国密局专用加密芯片,提供非对称算法(RSA)、对称算法(SM1)运算功能,并提供符合 标准X.509格式的数字证书安全存储。 6.2.3网络通道应包括各种有线专线、无线(GPRS/CDMA)专线APN通道等,经由安全通道在安全终端 层和安全接入平台层建立二次加密隧道连接。 6.2.4应支持SSL/TLS或IPSec等网络安全协议。
应支持以下访问控制策略配置功能: a 仅允许授权终端对业务平台进行访问; b) 授权终端对业务平台进行访问的内容不能超出安全策略的范围; C 授权终端对业务平台进行访问的操作(如对文件、文件夹进行读、写、复制、下载等操作) 不能超出预定义的范围: 授权终端对业务平台进行访问的时间不能超出预定义的范围; e 授权终端通过网络对业务平台进行访问时,该终端所使用的移动终端的序列号/地址不能超出 预定义的范围: 授权终端对业务平台进行访问的次数不能超出预定义的范围
业务平台的要求包括: a)应支持对业务客户端软件的发布、下载及自动推送更新服务 应支持业务数据的分级分类管理,并设置用户的访问权限; 应支持向已授权的移动终端分发或推送业务信息; 应支持对移动终端作业操作的日志记录; e)应支持对移动作业数据的加解密。