DB42/T 1666-2021 智能电网移动终端安全防护规范.pdf
- word版文件下载:
-
特别提醒:word版是本站通过人工智能从pdf转换成的word版本,正确率只有90%左右(正在通过训练继续提高准确率),排版恢复的也并不完全准确,没有进行任何人工校对,VIP会员直接免费下载即可,普通会员无法通过点数下载,算是给VIP的活动。
特别提醒:word版是不完美的,错误较多,只能参考,有需要的可以少打一些字,别下载了找我们说word内容有问题,这是送给VIP会员的。
- 文档部分内容预览:
0015的要求 5.2.2移动终端应使用由国网统一数字证书系统颁发的数字证书。
5. 3 安全 TF 卡
移动终端安全TF卡技术要求包括: a)安全TF卡应通过国家密码管理局产品认证,用于移动终端接入时的数据加密存储; b)安全TF卡应支持国产SM2非对称密码算法,SM2密钥长度应至少256位,如果不支持SM2算 法,应支持2048位RSA非对称密码算法,用于移动终端接入时的身份认证; 安全TF卡应提供措施确保密钥在密钥产生、密钥协商、密钥存储、密钥使用或更换、密钥销 毁整个生命周期内的安全,确保私有密钥在全生命周期内免受未授权的获取、修改和替换; 安全TF卡应支持业务数据信息加密存储,且存储容量不小于2GB; 安全TF卡应使用国网统一数字证书系统颁发的证书,并在使用前经管理员检查硬件信息合法 性后,确保非对称密码算法与国网CA系统的证书运算兼容。
5.4安全专控软件客户端
实现移动电力业务办公时对移动终端的安全管理,具体要求包括: a)应符合GB/T37729的要求; 应具有网络访问控制功能,非经配置充许的网络地址或者地址段禁止访问: 应具有进程控制功能,非经配置允许的进程禁止启动; 在终端使用过程中如果发生网络断开、访问业务系统出现异常、安全专控软件运行异常、安 全TF卡运行异常的情况,安全专控软件应记录日志; e 移动终端启动时,如果绑定使用的安全TF卡、SIM卡、数字证书三者有至少一个与在安全接 入平台注册时不同,安全专控软件应向接入台发出告警信息,阻止电力业务软件启动,并记 录日志; f)应在与安全接入平台建立连接后,将记录的日志发送至安全接入平台:
g)应具备防御卸载机制,当安全专控软件客户端被卸载时,需由管理员给予授权码才允许卸载, 且本地电力业务数据将被自动删除
业务软件客户端应支持以下功能: a) 应符合GB/T37729的要求; 应在启动时进行登录口令认证,口令输入应防止输入劫持,防止键盘记录; C 应支持人脸识别、指纹识别等功能,可实现专人专用; d) 应在启动时检查系统文件是否缺失或被非法篡改,配置是否被修改; e) 应对关键数据在安全TF卡中加密备份; f 应记录业务访问异常数据并实时上报服务端。
网络防护要求包括: a) 终端使用的SIM卡应绑定唯一APN网络通信通道,不允许访问其他APN网络和互联网; 应在终端和服务端之间建立基于SSL协议的专用加密隧道,非对称算法使用RSA算法,对称 算法使用SM1算法数据加密传输通道,
5. 7 运行环境隔离
移动终端的运行环境隔离要求包: a)应采用软硬件环境隔离技术保证移动办公应用与个人应用运行环境的有效隔离 b)应在移动办公应用关闭时同时清理临时文件等剩余敏感信息。
接入认证网关的要求包括: a 应支持国家密码主管部门认可的密码算法; b 密钥协商数据的加密保护应采用非对称密码算法(如SM2),报文数据的加密保护应采用对称 密码算法(如SM1或SM4); C 应支持SSL/TLS或IPSec等网络安全协议; d 应支持基于用户账户和权限分配的细粒度访问控制,支持仅授权用户才能访问特定资源; e) 应支持网关运行情况的集中监控。
5.2.1业务软件启动时应先调用安全专控软件,安全专控软件与服务端基于数字证书的双向身份认证, 人证成功后业务软件与服务端建立加密通道,并利用加密通道进行数据传输。 6.2.2应含有国密局专用加密芯片,提供非对称算法(RSA)、对称算法(SM1)运算功能,并提供符合 标准X.509格式的数字证书安全存储。 6.2.3网络通道应包括各种有线专线、无线(GPRS/CDMA)专线APN通道等水泥标准规范范本,经由安全通道在安全终端 层和安全接入平台层建立二次加密隧道连接。 6.2.4应支持SSL/TLS或IPSec等网络安全协议。
应支持以下访问控制策略配置功能: a 仅允许授权终端对业务平台进行访问; b) 授权终端对业务平台进行访问的内容不能超出安全策略的范围; C 授权终端对业务平台进行访问的操作(如对文件、文件夹进行读、写、复制、下载等操作) 不能超出预定义的范围: 授权终端对业务平台进行访问的时间不能超出预定义的范围; e 授权终端通过网络对业务平台进行访问时,该终端所使用的移动终端的序列号/地址不能超出 预定义的范围: 授权终端对业务平台进行访问的次数不能超出预定义的范围
安全专控服务端的应用访问控制要求包括: a)应支持移动应用黑白名单策略,并设置移动作业的用户访问权限; 应支持移动终端的远程擦除数据、锁屏、定位等功能,并可在终端遗失或被盗的情况下,快 速实现上述操作; 应支持对移动终端的安全准入检查,不合规的移动终端不应注册; 应支持对移动终端的软硬件环境、运行状态及安全事件的持续监控、安全审计及预警; e 移动终端违规操作时,系统应采取包括限制访问、警告、锁定、禁用、系统还原、数据擦除 等不同级别的处理功能
业务平台的要求包括: a)应支持对业务客户端软件的发布、下载及自动推送更新服务 应支持业务数据的分级分类管理,并设置用户的访问权限; 应支持向已授权的移动终端分发或推送业务信息; 应支持对移动终端作业操作的日志记录; e)应支持对移动作业数据的加解密。
....- 相关专题: 移动终端