《情報板信息安全防護系統(tǒng)技術要求》（征求意見稿）

3情報板信息安全防護系統(tǒng)技術要求要求、硬件配置要求、安全管理要求、系統(tǒng)部署要求、測試評價方法GB/T17901.1-2020信息技術安全技術密鑰管理第1部GB/T21053-2023信息安全技術公鑰基礎設施PKI系統(tǒng)安全技術GB/T22239-2019信息安全技術網(wǎng)絡安全等級保護基GB/T23828-2023高速公路LED可變信息GB/T25070-2019信息安全技術網(wǎng)絡安全等級保護安全設計技術GB/T29832.3-2013系統(tǒng)與軟件可靠性第3部分：測試GB/T37092-2018信息安全技術密碼模塊安全GB/T39477-2020信息安全技術政務信息共享數(shù)據(jù)安全技術要求T/CECSG:Q75-01-2020公路可變情報板信息發(fā)布聯(lián)網(wǎng)技術3.1可變情報板changeablemessage3.2密鑰管理和認證子系統(tǒng)keymanagementandauthenticationsub密鑰管理和認證子系統(tǒng)是指功能包括但不限于密鑰管理和安全認證的信息化平臺，可為其他系統(tǒng)3.33.443.53.6信息聯(lián)網(wǎng)發(fā)布成功率是指本文件涉及的系統(tǒng)在情報板信息發(fā)布過程中成功發(fā)布信息的比例，通過計算成功發(fā)布的次數(shù)占總發(fā)布次數(shù)的百分比4基本規(guī)定4,1所使用的密碼算法應符合法律、法規(guī)的規(guī)定和密碼相關國家標準、行業(yè)標準的有關要求；4.2所使用的密碼技術應遵循密碼4.3所使用的密碼產(chǎn)品、密碼服務應符合法律法規(guī)的相關要求；4,4應采用密碼技術確保數(shù)據(jù)在傳輸、存儲、處理過程中的保密性、完整性和可用性，防止數(shù)據(jù)被竊取或篡改，數(shù)據(jù)包括但不限于密鑰、數(shù)字證書、口令、發(fā)布信息、4.5若有相關國家、行業(yè)等保要求，按相關規(guī)定要求執(zhí)行；4.6信息等保要求應符合GB/T22239-2019的有關規(guī)定；情報板信息發(fā)布子系統(tǒng)：能與一體機進行雙向56.1.2.2應具備基礎設備數(shù)據(jù)管理，6.2情報板信息發(fā)布子系統(tǒng)6.2.3.1應構建發(fā)布信息庫，宜支持發(fā)布內容入庫前進行敏感詞校驗、人工審核功能，發(fā)布操作僅允6.2.3.2信息庫應支持對不同類型信息進行分組管理，便于用戶檢索和管理信息；66.2.5.1應具備一體機身份認證功能：情報板信息發(fā)布子系統(tǒng)應通過數(shù)字證書與一體機進行雙向身份6.3一體機6.3.1.2應支持從情報板信息發(fā)布子系統(tǒng)同步情報板設備基礎數(shù)6.3.2.1應支持對防護終端進行管理操作，操作包括但不限于如激活、狀態(tài)監(jiān)測、身份認證、定時巡6.3.2.2應支持包括但不限于遠程重啟、復位、斷電等6.3.3.2信息發(fā)布操作宜支持敏感詞6.3.4.1應具備從情報板信息發(fā)布子系統(tǒng)同步信息庫的6.3.5.1應具備信息篡改攻擊實時防護功能：在情報板信息發(fā)布與傳輸過程中，系統(tǒng)自動檢測每個環(huán)6.3.5.2應具備暴力攻擊實時防護功能：系統(tǒng)應實現(xiàn)對暴力攻擊的檢測與防護，保障系統(tǒng)的安全性；6.3.5.3宜具備安全威脅入侵檢測預警功能：系統(tǒng)應能主動識別潛在的安全威脅，并及時發(fā)出預警；6.3.5.6當信息篡改攻擊、暴力攻擊、安全6.3.7.1應具備防護終端身份認證功能：防護終端應通過數(shù)字證書認證授權后方可接入，數(shù)字證書應76.3.7.3應具備登錄失敗處理功能:能配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自6.3.8.1應對登錄的用戶分配賬戶和6.3.8.3宜及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存6.3.8.4宜授予管理用戶所需的6.3.9.1應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；6.3.9.2審計記錄應包括但不限于事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計6.3.9.4應設置嚴格的訪問權限，并能對登錄用戶進行身份標識和鑒6.4.1.1應具備與可變情報板進行數(shù)據(jù)交互的6.4.1.4應使用包括但不限于SM2、SM4等國密算法6.4.1.5應具備數(shù)據(jù)內容安全防護功能，發(fā)布內容推送到可變情報板之前，應進行實時的近端內容安6.4.1.6應具備數(shù)據(jù)備份能力，可備份保存包括但不限于情報板信息發(fā)布記錄、阻斷記錄、校驗規(guī)則6.4.1.11宜具備語義理解和合規(guī)性判斷攔截功能，并向一體機告警；6.4.1.12宜具備自動巡檢功能，發(fā)現(xiàn)違法違規(guī)信息時自動執(zhí)行黑屏操作。7.2可靠性7.3發(fā)布性能87,4并發(fā)性能8.1.5硬件加密卡：應支持國密SM2/3/4等多種加密算8.2防護終端8.2.14除符合以上性能條件外，宜優(yōu)先采用安可名錄或信創(chuàng)名錄方案。9.1.1情報板信息發(fā)布子系統(tǒng)與一體機，交互前應通過數(shù)字證書進行雙向身份認證。9.2.1在情報板發(fā)布信息數(shù)據(jù)在不同系統(tǒng)間傳輸時，應采用國密算法對數(shù)據(jù)進行加密傳輸，防止數(shù)據(jù)9.3.1應支持對數(shù)據(jù)的備份操作，確保在數(shù)據(jù)丟失或損壞時能夠及時恢復數(shù)據(jù)，宜采用密碼技術安全9.3.2應支持對數(shù)據(jù)加密存儲，數(shù)據(jù)包括但不限于密鑰、數(shù)字證書、口令、發(fā)布信息、黑白名單。911.1.2預期結果:11.2可靠性11.3發(fā)布性能11.3.2預期結果:11.4并發(fā)性能11.4.2預期結果:A.1通信方式一體機與防護終端間數(shù)據(jù)接口傳輸采用以太網(wǎng)通訊方式，傳輸協(xié)議可選擇TCP協(xié)議，采用JSON作為傳輸?shù)妮d體，每次傳輸一條JSON數(shù)據(jù)。在傳輸過程中對發(fā)布內容、重要信息進行算A.2數(shù)字證書的獲取以及校驗A.2.1獲取數(shù)字證書A.2.2校驗數(shù)字證書對一體機推送的數(shù)據(jù)進行完整性校驗、簽名