【儀表網 儀表標準】根據中國儀器儀表行業協會下發的中儀協[2020]48號文件,《計量終端信息安全技術要求》 被列入2021年中國儀器儀表行業協會團體標準制定計劃項目。現已完成該項團體標準的征求意見稿,特向社會公開征求意見,歡迎社會各界對標準內容提出建議和修改意見。
隨著電力電子技術的迅猛發展,計量裝置的制造本身、儲存的電能量數據及用戶安全等方面存在一定的網絡安全風險,也越來越受到國家重視。本文件的制訂計量終端信息安全技術要求以及對應的驗證思路,進一步規范計量終端的設計、制造、檢驗及應用,為促進電能計量技術進步和產業發展提供了標準支撐。
本文件按照GB/T 1.1—2020《標準化工作導則 第1部分:標準化文件的結構和起草規則》的規定起草。除參考GB/Z 25320.2-2013、GB/T 22080-2016的相關內容外,主要在計量終端信息安全的制造、檢測、使用和驗收等方面提出了技術要求,并給出了相應的驗證方法。
標準主要內容中范圍、技術要求、檢驗規則依據:
范圍
本文件規定了計量終端信息安全的技術要求。本文件適用于計量終端的制造、檢測、使用和驗收。計量終端信息安全的技術要求主要包括一般要求、安全審計要求、系統備份要求、軟件升級管理要求、訪問控制與驗證要求、身份認證要求、用戶數據安全防護要求。
技術要求:
一般要求
文件規定了計量終端信息安全相關基本要求,規定的計量終端需具備安全升級功能、資源管理功能、備份功能、軟件升級功能和抵御攻擊的能力。
安全審計要求
計量終端信息安全相關安全審計要求主要包括登錄行為等重要安全事件、配置參數、業務數據、終端內部核心參數調整和相關業務交互等;文件明確了各類事件的具體審計要求。
資源管理要求
在資源管理方面,計量終端信息安全可通過限制登錄方式、限制最大連接數和配套服務資源優先級設定等三個方面的具體要求。
系統備份要求
計量終端操作系統備份參照GB/T 22081-2016規定對操作系統變更參數備份、應用模塊變更和自動備份等三個方面做出具體要求。
軟件升級管理要求
軟件升級管理主要包括系統白名單設置、軟件升級備用容量儲備、系統穩定性、應用軟件認證及校驗等多個方面要求。
訪問控制與驗證要求
參照GB/T 25069-2010、GB/T 25069-2010等對計量終端訪問控制進行了訪問權限限制、訪問頻度限制、入侵防御、危險應用識別及過濾、安全事件日志記錄。同步對相關要求進行了配套驗證要求。
身份認證要求
文中規定了身份認證的要求,明確了口令認證、安全芯片認證、數字證書認證、生物特征認證方式的基本規范,并給出了相應的驗證方法。
用戶數據安全防護要求
文中規定了計量終端用戶數據安全防護要求,主要包括靜態數據保護、數據儲存、通信參數保護、內部配置參數保護、安全日志保護、管理要求等,并明確了具體實現思路。
所有評論僅代表網友意見,與本站立場無關。