6信息安全要求
6.1 用戶管理
危險廢物物聯網智能監控設備用戶管理應符合以下要求:
a)軟件系統應具有?戶身份鑒別措施,并在每次?戶登錄系統時進?鑒別;
b)軟件系統應具有合適的身份認證?式,支持用戶名密碼或輸入驗證碼登錄,?戶密碼或驗證碼不可見、不可復制。
6.2?權限管理
危險廢物物聯網智能監控設備權限管理應符合以下要求:
a)軟件系統應明確區分系統中不同?戶權限,系統不會因?戶的權限的改變造成混
亂;
b)軟件系統應具有對未授權?戶?法訪問的控制能力。
6.3 審計跟蹤管理
危險廢物物聯網智能監控設備審計跟蹤管理應符合以下要求:
a)軟件系統應具有在請求的情況下為數據接收者、數據原發者提供數據接收證據的功能;
b)軟件系統應具備完整且?法篡改的審計記錄,確保?戶操作可經過審計及追蹤;
c)軟件系統應記錄電子地磅每次稱重原始數據信息包,包括時間、重量、數據來源等信息,能夠追蹤歷史數據,保障數據的完整性和不可篡改性,形成完整的證據鏈。
7數據安全要求
7.1 數據源管理
危險廢物物聯網智能監控設備數據源管理應符合以下要求:
a)應采用數據分級手段,參考《固體廢物信息化管理通則》對數據結構規范的要求,建立數據分級分類管理機制;
b)應采用基于傳輸加密、數字水印等技術對數據源進行身份鑒別和記錄,防止惡意篡改;
c)通過惡意數據過濾技術,對數據中可能存在的含偏樣本、偽造樣本、對抗樣本實現過濾,從而保障數據生產安全。
7.2?數據存儲管理
危險廢物物聯網智能監控設備數據存儲管理應符合以下要求:
a)應按生態環境主管部門的相關要求,對危險廢物類別、產生時間、稱重數據、產生單位等敏感數據進行加密,加密過程使用的密碼技術應符合國家密碼管理局相關密碼技術要求,確保數據的安全性及完整性;
b)應及時對數據進行備份,或提供外部備份方案,防止重要數據被破壞或丟失。
7.3?數據加密傳輸管理
危險廢物物聯網智能監控設備數據加密傳輸管理應符合以下要求:
a)加密過程使用的密碼技術應符合國家密碼管理局相關密碼技術要求;
b)充分保護私鑰的機密性,防止竊取者偽造密鑰持有人的簽名;
c)根據數據的敏感程度,確定簽名算法的類型、屬性以及所用的密鑰長度;
d)用于數字簽名的密鑰應不同于用于加密的密鑰;
e)確保數據傳輸過程中可溯源、可追蹤、可關聯,以保障傳輸數據的正確性。
7.4?數據使用管理
危險廢物物聯網智能監控設備數據使用管理應符合以下要求:
a)應制定健全、可操作的安全管理制度,明確數據使用界限、明確責權;
b)應記錄登錄登出、電子地磅數據信息獲取、數據直報等日志記錄,日志記錄不少于?6?個月;
c)對操作人員進行權限管理,采用多角色分權管理方式,使各人員都在一個可控的范圍內完成相關職責,對于重要操作應采用多操作員共同授權、同時操作的方法提高安全性。
7.5?數據接口管理
危險廢物物聯網智能監控設備數據接口的安全管理應符合以下要求:
a)應具備可追溯性。任何一個數據接口的安全管理都需要采集和保存數據接口傳輸的所有數據信息,包括數據接口使用方的身份信息、數據接口傳輸的數據內容、使用時間等相關信息;
b)應有完善的用戶權限管理機制,只有擁有對應權限的用戶才能夠使用數據接口。
8試驗方法
8.1 外觀檢查
用目測法和檢測工具進行外觀檢查。
8.2?功能性檢查
采用黑盒測試方法,在對軟件的各項功能逐一進行測試時,對被測試軟件的可選擇目和輸入數據用等價類劃分和邊界值分析方法進行分類,每一個等價類和邊界值都要分別設計測試用例。
8.3?系統時間誤差
設備通電并運行正常后,按照說明書對危險廢物物聯網智能監控設備進行對時,同步北京授時時間,讀取危險廢物物聯網智能監控設備系統時鐘顯示時間?T?和北京授時時間?T?,系統時間誤差Δt?按照公式(1)計算,公式如下:
Δt=|T?-T?|………………………………………………………………………(1)
式中:
Th—危險廢物物聯網智能監控設備系統時鐘顯示時間;
Ts—北京授時時間。
8.4?內部存儲容量
使用軟件驗證產品的內部存儲容量。
8.5 數據查詢響應時間
通過操作,記錄從發送查詢請求到接收到查詢結果所需的時間。
8.6?絕緣阻抗
按照?GB/T?24343?在正常環境下,在關閉受試產品電路狀態時,采用計量檢定合格的阻抗計(直流?500?V?絕緣阻抗計)測量電源相與機殼(接地端)之間的絕緣阻抗。
8.7?工作溫度
8.7.1 工作溫度上下限試驗
按照?GB/T?6587?規定進行工作溫度上下限試驗試驗,試驗期間,受試產品應正常工作。
8.8 工作濕度
8.8.1?工作濕度上下限試驗
按照?GB/T?6587?規定進行試驗,試驗期間,受試產品應正常工作。
8.9 振動試驗
根據?GB/T?6587?規定,進行振動試驗,x、y、z?三個軸向均進行試驗。在試驗過程中受試產品不應有機械上的損壞和機內調整,緊固件不應有松動現象;試驗后,受試產品應能正常開機,工作應正常。
8.10?沖擊試驗
根據?GB/T?6587?規定,進行沖擊試驗。試驗后檢查外觀應符合?4.2?的要求,受試產品應能正常開機,工作應正常。
8.11?傾斜跌落試驗
根據?GB/T?6587?規定,進行傾斜跌落試驗。試驗后,檢查外觀應符合?4.2?的要求,受試產品應能正常開機,工作應正常。
8.12?抗電磁干擾試驗
根據?GB/T?17626.2、GB/T?17626.4、GB/T?17626.5?規定,進行抗電磁干擾試驗。試驗期間,受試產品應正常工作。
8.13?通訊測試
通過操作,檢查產品是否具有?2/3/4/5G、Wi-Fi、藍牙等通訊方式,并可以與外設進行無線通訊。
產品應具有有線通訊接口,通過操作,產品應能夠與外設進行有線通訊。
8.14?接口測試
依據《固體廢物信息化管理通則》,企業物聯網信息系統應至少滿足國家系統及企業所在地地方固體廢物信息系統的相關數據報送要求,企業可根據自身管理要求擴展相應內容。
8.14.1?數據加密傳輸說明
數據對接接口應用通過?SM4?加密傳輸,國家平臺為每一個自建系統下發獨立密鑰,通過密鑰驗證數據來源和準確性。
8.14.2?通用屬性
通用接口輸入項字段的數據類型及長度,應符合?GB/T?18142?的要求。
