T_CI 094-2023 公共基础服务业云边协同技术标准 第2部分：安全协同.pdf

1、1ICS 35.100.05CCS L79团体标准T/CI 094-2023公共基础服务业云边协同技术标准第 2 部分：安全协同Technical Standards for Cloud Edge Collaboration in PublicBasic Service IndustryPart2：Safe Collaboration2023-07-13 发布2023-07-13 实施中国国际科技促进会发布2目次前言.31 范围.42 规范性引用文件.43 术语和定义.44 关系型数据库加密与查询能力要求.55 多维数据对象集的查询与更新能力要求.66 基于安全网关的云桌面管理及安全访问控制能

2、力要求.67 云边数据加密传输能力要求.68 云端数字水印加密显示算法能力要求.73前言本文件按照GB/T 1.12020 标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件编制公共基础服务业云边协同技术标准 第2部分：安全协同，弥补现有标准中对跨域云边应用中安全协同进行系统归纳整理的缺项。本文件由中国国际科技促进会标准化工作委员会提出。本文件由中国国际科技促进会归口。本文件的发布机构提请注意，声明符合本文件时，请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。所涉及专利持有人已向本文件的发布机构保证，他愿意同任何申请人在合理且无歧视的条款和条件

3、下，就专利授权许可进行谈判。所涉及专利持有人的声明已在本文件的发布机构备案。相关信息可以通过以下联系方式获得：专利持有人姓名：贵州海誉科技股份有限公司地址：贵州省贵阳市贵阳国家高新技术产业开发区黔灵山路 357 号德福中心 A5 栋 2单元 14 层 1、2、5、6 号本文件起草单位：陕西思极科技有限公司、国网思极网安科技（北京）有限公司、江西电信信息产业有限公司、国网陕西省电力有限公司、国网江西省电力有限公司、贵州海誉科技股份有限公司、南京壹进制信息科技有限公司、中国电子科技集团公司第十五研究所、国网甘肃省电力公司电力科学研究院、田禾信息科技（上海）有限公司、江西师范大学、重庆大学、电子科技

4、大学、西安电子科技大学、北京理工大学、贵州大学、暨南大学、长安大学、西北工业大学、北京工业大学、北京交通大学、合肥商贸科技学校。本文件主要起草人：戴光、殷树刚、马勇、何美斌、张小松、刘锋、许永刚、房涛、王琪、王利斌、沈玉龙、刘驰、田有亮、刘志全、张有成、邵诗韵、李海鹏、陈明亮、李凡、马慧生、李博嘉、黄明峰、郭晶晶、王琪、夏云霓、牛新征、李发根、梁良、陶俊、李国政、赵涵、戴梦轩、马志程、鄂驰、杨仕博、马菁、张烨、蔡国强、张德涵、俞伦华、朱远旦。本文件为首次发布。4公共基础服务业云边协同技术标准 第 2 部分：安全协同1范围本文件规定了公共基础服务业云边协同技术标准 第 2 部分：安全协同的术语和

5、定义，并提供了完整的技术解决方案，以确保跨域云边数据的访问安全、显示安全和数据传输安全等核心问题。本文件适用于公共服务基础行业跨域云边数据的访问安全、显示安全和数据传输安全。本文件适用于公共基础服务行业跨域云边数据的访问安全、显示安全和数据传输安全。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 32399-2015信息技术 云计算 参考架构GB/T 32400-2015信息技术 云计算 概览与词汇T/CI 093-2023公共基础服务业云边协同技术标准 第 1

6、 部分：总则3术语和定义GB/T 32399-2015、GB/T 32400-2015、T/CI 093-2023 中有关术语适用于本文件。下列术语和定义适用于本文件。3.1云计算 Cloud Computing一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。3.2云服务 Cloud Service通过云计算(3.1)已定义的接口提供的一种或多种能力。3.3云计算基础设施 Cloud Computing Infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施，包括为云服务客户提供计算资源、存储资源、网络资源、安全资源所需的软硬件设

7、备及云管理平台。3.4云计算环境 Cloud Computing Environment将分布在互联网上的计算机等终端设备相互整合,借助某种网络计算方式,实现软硬件资源共享和协调调度的一种虚拟计算系统。3.5边缘节点 Edge Node在靠近用户的网络边缘侧构建的业务平台，提供存储、计算、网络等资源节点。3.65关系型数据库 Relational Database采用关系模型来组织数据的数据库，其以行和列的形式存储数据，以便于用户理解，关系型数据库这一系列的行和列被称为表，一组表组成数据库。3.7隐蔽通道 Convert Channel一种攻击类型，即计算机安全策略不允许的情况下，在进程之间传

8、输信息对象。3.8封闭式网络 Closed Network一种限制网络连接和访问的环境，外部访问和连接受到限制，只有经过授权的用户或设备才能进入该网络。3.9公共基础服务业 Public Basic Service Industry提供基础性服务和基础设施的行业，通常由政府或公共机构提供或监管，以确保全民平等享有服务，并维护社会的整体利益，包括交通、能源、通信、政务、教育、住房、救援等与公众生活息息相关的基础服务。图1 公共基础服务业云边协同技术标准安全协同关系图4关系型数据库加密与查询能力要求6具体指标包含但不限于以下项目：a)应至少包括一个计算机可连接到至少一个封闭式及非封闭式网络；b)应

9、至少存在两个操作系统且操作系统之间能够互相切换；c)应使用关系型数据库保证数据的存储安全；d)应具备切换操作系统时自动关闭已启动任务的功能；e)应限制操作系统间同时进行激活或网络连接。5多维数据对象集的查询与更新能力要求5.1 安全多目标数据对象查询方法该方法应具备对安全多目标数据对象查询的功能。具体指标包含但不限于以下项目：a)应兼顾多目标数据查询和安全需求；b)初始数据集可包括至少一个具有维度的明文数据对象；c)应具备对明文数据加密的能力；d)应建立加密数据集之间的映射关系；e)应具备对数据集的查询，排序等功能。5.2 适用于安全多目标数据集的动态查询方法该方法应具备对变更的安全多维数据对

10、象集查询的功能。具体指标包含但不限于以下项目：a)应至少获取一个具有两个维度以上的密文数据对象的安全多维数据对象集；b)应可通过对安全多维数据对象集进行多目标数据对象查询，得到查询结果集；c)应可根据动态变更信息，更新安全多维数据对象集；d)应可根据当前动态变更信息中的指令，得到动态变更后的查询结果。6基于安全网关的云桌面管理及安全访问控制能力要求该方法应具备支持云桌面管理及安全访问控制的功能。具体指标包含但不限于以下项目：a)应拥有安全网关的云桌面管理系统，保证在应用云桌面管理系统时必须具备安全网关的能力；b)应提供统一安全入口，屏蔽内部网络；c)应具备安全网关对虚拟机远程管理连接的集中访问

11、控制功能；d)应支持集群由管理节点调度分发请求；e)应具有管理接口，通过管理接口中断客户端的接入连接；f)应保证客户端接入的可管理性，且客户端与应用服务器之间具备网络隔离的能力。7云边数据加密传输能力要求7.1 一种国密可信传输方法该方法应具备支持建立国密可信传输通道的功能。7具体指标包含但不限于以下项目：a)应构建相关环境，改造相应客户端；b)应对登陆用户进行鉴权，获取该登陆用户下所关联的主机状态信息；c)应可从秘钥库中取出用于传输加密的密钥，具备对加密随机码进行解密的功能；d)应可使用国密算法对数据、指令、消息进行加解密并分发至客户端；e)应支持国密算法进行加密代理传输。7.2 基于人工智

12、能的云平台存储型隐蔽通道检测方法及系统该方法应具备对云平台隐蔽通道流量的高精度、高响应检测的功能。具体指标包含但不限于以下项目：a)应可获取云平台流量样本构建数据集，并对样本进行预处理；b)应选择训练模型对数据集进行学习训练及预测；c)应选取必要特征构建特征集合；d)应对备选云平台隐蔽通道流量检测器进行检测评价，并获取评价指标；e)应根据评价指标和附加信息形成可视化检测报告。8云端数字水印加密显示算法能力要求该方法应具备云端数字水印加密显示的功能。具体指标包含但不限于以下项目：a)应具备水印预处理模块，采用置乱算法对水印图像进行置乱处理，得到置乱后的水印；b)应具备预处理模块，能对宿主图像进行色道分离；c)应具备嵌入模块，用于水印嵌入分解最大值元素提高抗外界干扰性；d)应具备生成模块,用于水印图像生成,得到含水印的彩色图像；e)应具备鲁棒性，可应用于智能设备，提高含水印图像保真性。