《情报板信息安全防护系统技术要求》（征求意见稿）

3情报板信息安全防护系统技术要求要求、硬件配置要求、安全管理要求、系统部署要求、测试评价方法GB/T17901.1-2020信息技术安全技术密钥管理第1部GB/T21053-2023信息安全技术公钥基础设施PKI系统安全技术GB/T22239-2019信息安全技术网络安全等级保护基GB/T23828-2023高速公路LED可变信息GB/T25070-2019信息安全技术网络安全等级保护安全设计技术GB/T29832.3-2013系统与软件可靠性第3部分：测试GB/T37092-2018信息安全技术密码模块安全GB/T39477-2020信息安全技术政务信息共享数据安全技术要求T/CECSG:Q75-01-2020公路可变情报板信息发布联网技术3.1可变情报板changeablemessage3.2密钥管理和认证子系统keymanagementandauthenticationsub密钥管理和认证子系统是指功能包括但不限于密钥管理和安全认证的信息化平台，可为其他系统3.33.443.53.6信息联网发布成功率是指本文件涉及的系统在情报板信息发布过程中成功发布信息的比例，通过计算成功发布的次数占总发布次数的百分比4基本规定4,1所使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；4.2所使用的密码技术应遵循密码4.3所使用的密码产品、密码服务应符合法律法规的相关要求；4,4应采用密码技术确保数据在传输、存储、处理过程中的保密性、完整性和可用性，防止数据被窃取或篡改，数据包括但不限于密钥、数字证书、口令、发布信息、4.5若有相关国家、行业等保要求，按相关规定要求执行；4.6信息等保要求应符合GB/T22239-2019的有关规定；情报板信息发布子系统：能与一体机进行双向56.1.2.2应具备基础设备数据管理，6.2情报板信息发布子系统6.2.3.1应构建发布信息库，宜支持发布内容入库前进行敏感词校验、人工审核功能，发布操作仅允6.2.3.2信息库应支持对不同类型信息进行分组管理，便于用户检索和管理信息；66.2.5.1应具备一体机身份认证功能：情报板信息发布子系统应通过数字证书与一体机进行双向身份6.3一体机6.3.1.2应支持从情报板信息发布子系统同步情报板设备基础数6.3.2.1应支持对防护终端进行管理操作，操作包括但不限于如激活、状态监测、身份认证、定时巡6.3.2.2应支持包括但不限于远程重启、复位、断电等6.3.3.2信息发布操作宜支持敏感词6.3.4.1应具备从情报板信息发布子系统同步信息库的6.3.5.1应具备信息篡改攻击实时防护功能：在情报板信息发布与传输过程中，系统自动检测每个环6.3.5.2应具备暴力攻击实时防护功能：系统应实现对暴力攻击的检测与防护，保障系统的安全性；6.3.5.3宜具备安全威胁入侵检测预警功能：系统应能主动识别潜在的安全威胁，并及时发出预警；6.3.5.6当信息篡改攻击、暴力攻击、安全6.3.7.1应具备防护终端身份认证功能：防护终端应通过数字证书认证授权后方可接入，数字证书应76.3.7.3应具备登录失败处理功能:能配置并启用结束会话、限制非法登录次数和当登录连接超时自6.3.8.1应对登录的用户分配账户和6.3.8.3宜及时删除或停用多余的、过期的账户，避免共享账户的存6.3.8.4宜授予管理用户所需的6.3.9.1应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；6.3.9.2审计记录应包括但不限于事件的日期和时间、用户、事件类型、事件是否成功及其他与审计6.3.9.4应设置严格的访问权限，并能对登录用户进行身份标识和鉴6.4.1.1应具备与可变情报板进行数据交互的6.4.1.4应使用包括但不限于SM2、SM4等国密算法6.4.1.5应具备数据内容安全防护功能，发布内容推送到可变情报板之前，应进行实时的近端内容安6.4.1.6应具备数据备份能力，可备份保存包括但不限于情报板信息发布记录、阻断记录、校验规则6.4.1.11宜具备语义理解和合规性判断拦截功能，并向一体机告警；6.4.1.12宜具备自动巡检功能，发现违法违规信息时自动执行黑屏操作。7.2可靠性7.3发布性能87,4并发性能8.1.5硬件加密卡：应支持国密SM2/3/4等多种加密算8.2防护终端8.2.14除符合以上性能条件外，宜优先采用安可名录或信创名录方案。9.1.1情报板信息发布子系统与一体机，交互前应通过数字证书进行双向身份认证。9.2.1在情报板发布信息数据在不同系统间传输时，应采用国密算法对数据进行加密传输，防止数据9.3.1应支持对数据的备份操作，确保在数据丢失或损坏时能够及时恢复数据，宜采用密码技术安全9.3.2应支持对数据加密存储，数据包括但不限于密钥、数字证书、口令、发布信息、黑白名单。911.1.2预期结果:11.2可靠性11.3发布性能11.3.2预期结果:11.4并发性能11.4.2预期结果:A.1通信方式一体机与防护终端间数据接口传输采用以太网通讯方式，传输协议可选择TCP协议，采用JSON作为传输的载体，每次传输一条JSON数据。在传输过程中对发布内容、重要信息进行算A.2数字证书的获取以及校验A.2.1获取数字证书A.2.2校验数字证书对一体机推送的数据进行完整性校验、签名