T/CABEE 051-2023 智慧建筑楼宇控制系统安全技术要求

　　ICS 35.240.01

　　中国建筑节能协会团体标准

　　L70 T/CABEE 051-2023

　　智慧建筑楼宇控制系统安全

　　技术要求

　　Technical Requirements for Safety of Building Control System in

　　Smart Building

　　2023-11-06 发布 2024-01-01 实施

　　中国建筑节能协会团体标准

　　智慧建筑楼宇控制系统安全技术要求

　　Technical Requirements for Safety of Building Control System in Smart Building

　　T/CABEE 051-2023

　　批准部门：中国建筑节能协会

　　施行日期：2024 年 1 月 1 日

　　

　　中国建筑节能协会文件

　　国建节协[2023] 24 号

　　关于发布《智慧建筑楼宇控制系统安全技术要求》

　　团体标准的公告

　　现批准《智慧建筑楼宇控制系统安全技术要求》为中国建筑节能协会团体标准，标准编号为：T/CABEE 051-2023， 自2024 年 1 月 1 日起实施。现予公告。

　　中国建筑节能协会

　　2023 年 11 月 6 日

　　前 言

　　本文件按照GB/T 1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

　　本文件由中国建筑节能协会提出并归口管理。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件负责起草单位：中外建设信息有限责任公司

　　本文件参加起草单位：北京海林自控科技股份有限公司、青岛海信网络科技股份有限公司、太原罗克佳华工业有限公司、浙江省二建建设集团有限公司、腾讯云计算(北京)有限责任公司、上海复旦微电子集团股份有限公司、同方泰德国际科技(北京)有限公司、北京海林物联数据安全技术有限公司、海纳云物联科技有限公司、北京和欣运达科技有限公司、北京易运达科技有限公司、复旦大学。

　　本文件主要起草人：张永刚、马虹、谢跃文、林星原、尚治宇、王鑫、樊静静、于文龙、付雪青、蒲忠强、赵常强、董继贤、陆春雷、王焱栋、李永韬、鲁静、王小军、张国辉、王辉、陈新辉、孙云雷、张青、秘松波、周小林、尹志强。

　　本文件主要审查人员：王毅、席时葭、程卫东、罗淑湘、彭洪涛、李智虎、董晶晶。

　　智慧建筑楼宇控制系统安全技术要求

　　1 范围

　　本文件规定了智慧建筑楼宇控制系统的总体要求、安全要求、加解密部件要求、系统安全运维要求。

　　本文件适用于智慧建筑楼宇控制系统安全的规划设计、建设部署、运行维护，也可以指导智慧建筑楼宇控制系统安全的测试评估。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 22186 信息安全技术 具有中央处理器的 IC 卡芯片安全技术要求

　　GB/T 22239 信息安全技术 网络安全等级保护基本要求

　　GB/T 25069 信息安全技术 术语

　　GB/T 28181 公共安全视频监控联网系统信息传输、交换、控制技术要求

　　GB/T 28827.1 信息技术服务 运行维护 第 1 部分：通用要求

　　GB/T 28827.2 信息技术服务 运行维护 第 2 部分：交付规范

　　GB/T 28827.3 信息技术服务 运行维护 第 3 部分：应急响应规范

　　GB/T 28847.5 建筑自动化和控制系统 第 5 部分：数据通信协议

　　GB/T 39786 信息安全技术 信息系统密码应用基本要求

　　GB 50314 智能建筑设计标准

　　GA/T 1400.4 公安视频图像信息应用系统 第4部分：接口协议要求

　　GA/T 1781 公共安全社会视频资源安全联网设备技术要求

　　GM/T 0002 SM4分组密码算法

　　GM/T 0003 SM2椭圆曲线公钥密码算法

　　GM/T 0004 SM3密码杂凑算法

　　GM/T 0005 随机性检测规范

　　GM/T 0008 安全芯片密码检测准则

　　GM/T 0009 SM2 密码算法使用规范

　　GM/T 0010 SM2 密码算法加密签名消息语法规范

　　GM/T 0026 安全认证网关产品规范

　　GM/T 0028 密码模块安全技术要求

　　GM/Z 4001 密码术语

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　3.1

　　密钥 key

　　控制密码算法运算的关键信息或参数。

　　[来源：GM/Z 4001—2013，2.63]

　　3.2

　　加密 encipherment/encryption

　　对数据进行密码变换以产生密文的过程。

　　[来源：GB/T 25069—2022，3.278]

　　3.3

　　解密 decipherment/decryption

　　加密对应的逆过程。

　　[来源：GB/T 25069—2022，3.305]

　　3.4

　　算法 algorithm

　　通过准确而完整的指令，实现解决问题的策略机制。

　　3.5

　　加解密部件 encryption and decryption components

　　加解密部件包括对网络数据信息的加密和解密两个部分，即将网络数据从明文数据加密为密文数据或从密文数据解密为明文数据，加解密部件可以根据实际需要对IP数据进行加密和解密处理。

　　4 缩略语

　　下列缩略语适用于本文件：

　　API：应用程序接口(Application Programming Interface)

　　DISP：数字身份安全服务平台(Digital Identity Service Platform)

　　SE：安全芯片(Secure Element)

　　5 总体要求

　　5.1 安全体系架构

　　智慧建筑楼宇控制系统安全涉及云端楼宇控制系统管理平台和本地楼宇控制系统管理平台间的交

　　互，以及本地管理平台中相关子系统与终端设备的交互，分别通过密码服务平台和密码模块实现对数据的安全保护，安全体系框架示意图见图 1。

　　图 1 智慧建筑楼宇控制系统安全体系框架示意图

　　5.2 基本要求

　　智慧建筑楼宇控制系统安全除应符合GB 50314和GB/T 39786的要求外，还应符合下列要求：

　　a) 智慧建筑楼宇控制系统通过配置加解密部件强化安全，加解密部件包括密码服务平台和密码模块;

　　b) 管理平台端配置密码服务功能，实现本地平台与云端平台的加密通讯，对输入、输出网络的身份鉴别信息、密钥数据等重要数据和敏感数据进行实时加密或解密处理;

　　c) 终端设备中加载密码模块，实现楼宇内部使用的 IP 局域网络或智能化 IP 专网通信加密;

　　d) 终端设备到平台使用双向认证、加解密等技术手段实现安全防护，确保平台所传递数据的机密性、完整性和不可抵赖性。

　　6 安全要求

　　6.1 楼宇控制平台

　　云端楼宇控制平台与本地楼宇控制平台除应符合GB/T 22239、GB/T 39786的相关要求外，还应满足下列要求：

　　a) 配置具有对控制命令和参数设置指令进行签名功能的密码服务平台;

　　b) 平台和设备之间采用双向认证机制，实现两者之间的身份鉴别，确保与设备层报文的机密性和完整性;

　　c) 平台在设备注册前，通过安全服务完成平台的认证，认证信息包括平台应用领域、业务类型等;

　　d) 平台第一次配置密码服务平台后，完成相关认证(证书、密钥等)凭证的获取，保证每次调用安全服务的身份认证;

　　e) 平台相关的参数信息包括设备地址、通讯端口等， 以密文方式存储;

　　f) 平台记录信息包括用户信息、设备状态、采集时间等， 以密文方式存储。

　　6.2 网络传输安全

　　终端设备与平台之间通信网络安全应符合下列要求：

　　a) 网络的传输/交换/控制协议与接口符合 GA/T 1781、GA/T 1400.4、GB/T 28181、GB/T 28847.5的相关规定;

　　b) 终端设备与本地楼宇控制平台端之间进行身份认证与数据加密传输时，符合 GB/T 22239 和GB/T 39786 的有关规定;

　　c) 使用的商用密码技术符合 GB/T 39786 的规定。

　　6.3 终端设备安全

　　智慧楼宇系统终端设备应满足不同应用场景的安全需求，且应符合如下要求：

　　a) 具备硬件安全能力，提供外部接口;

　　b) 具备设备认证能力，实现基于数字证书的身份认证，采用国产密码算法;

　　c) 配置具有双向认证、防篡改、加解密功能的密码模块，密码模块符合 GM/T 0028 的相关要求。

　　7 加解密部件要求

　　7.1 功能要求

　　7.1.1 加解密部件包括对网络数据信息的加密和解密两个部分，即将网络数据从明文数据加密为密文

　　数据或从密文数据解密为明文数据，加解密部件可以根据实际需要对 IP 数据进行加密和解密处理，加解密部件功能示意图见图 2。

　　图 2 加解密部件功能示意图

　　7.1.2 加解密部件应具备动态更换密钥的能力。

　　7.1.3 加解密部件应满足多场景的加解密需要，并满足下列要求：

　　a) 用于互联网的加解密部件，应满足点对点、点对多点的主从通讯方式应用场景的加解密要求;

　　b) 用于本地楼宇控制系统内部的加解密部件，应满足点对点、点对多点、对等通讯方式应用场景的加解密要求;

　　c) 本地管理平台与云端管理平台，通过密码服务平台提供身份认证和数据安全传输服务。

　　7.1.4 加解密部件的密钥安全符合下列要求：

　　a) 密码协议和密钥管理应符合 GM/T 0026 的规定;

　　b) 应支持随机数发生，随机数应符合 GM/T 0005 及 NIST 随机数检测标准;

　　c) 应支持非对称密码，符合 GM/T 0003 SM2 椭圆曲线公钥密码算法的要求，实现签名/验证以及密钥交换;

　　d) 应支持杂凑密码，符合 GM/T 0004 SM3 密码杂凑算法的要求，实现待签名消息的摘要运算;

　　e) 应支持对称密码，符合 GM/T 0002 SM4 分组密码算法的要求，实现数据加解密及消息认证;

　　f) 实体的加解密部件应内置安全芯片，安全芯片技术应遵守本文件附录 A 的规定。

　　7.2 双向认证要求

　　终端设备中的加解密部件应与平台之间建立端到端的双向认证，并符合下列要求：

　　a) 双向认证过程中的关键数据元参与签名运算;

　　b) 双向认证中设置随机数和时间戳等信息;

　　c) 会话密钥采用动态协商的方式确保密钥安全性;

　　d) 终端设备可根据业务需求配置对应的认证策略。

　　7.3 加解密部件基本要求

　　加解密部件应满足以下基本要求：

　　a) 网速大于等于 100MHz;

　　b) 网络延迟小于等于 30ms;

　　c) 丢包率小于等于 10-4。

　　8 系统安全运维

　　8.1 物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全方面的密码应用技术以及管理制度、人员管理、建设运行、应急处置的密码应用管理应符合 GB/T 39786 的要求。

　　8.2 平台运行维护应满足以下要求：

　　a) 平台运行维护的基本要求符合 GB/T 28827.1 的要求;

　　b) 平台运行维护的交付符合 GB/T 28827.2 的要求;

　　c) 平台运行维护的应急响应符合 GB/T 28827.3 的要求;

　　d) 通过加密信道进行平台管理;

　　e) 建立内部流量汇聚点，监控网络动态和流量;

　　f) 系统数据宜支持多种数据容灾备份方式，关键数据存储采用高安全性的数据备份保护机制;

　　g) 对物理机、主机的中央处理器、带宽、磁盘进行监控，识别异常信息并实时告警。

　　附 录 A

　　(规范性)

　　安全芯片技术要求

　　A.1 基本要求

　　安全芯片应满足下列要求：

　　a) 符合 GM/T 0008 安全等级二级要求;

　　b) 符合 GB/T 22186 要求;

　　c) 符合 GM/T 0028 中 5.5 规定的安全二级要求;

　　d) 随机数应用符合 GM/T 0005 中规定的 NIST 随机数检测标准;

　　e) 符合 GM/T 0003.1 相关要求，实现签名/验证以及密钥交换;

　　f) SM2 算法应用符合 GM/T 0010、GM/T 0009 要求;

　　g) 符合 GM/T 0004 要求，实现待签名消息的摘要运算;

　　h) 符合 GM/T 0002 要求，实现数据加密解密及消息认证。

　　A.1.2 安全芯片文件结构

　　A.1.2.1 文件结构图

　　安全芯片文件结构如图 A.1 所示。

　　图 A.1 安全芯片文件结构

　　A.1.2.2 文件结构表

　　安全芯片文件结构如表 A.1。

　　表 A.1 安全芯片文件结构

　　A.1.2.3 文件结构详细说明

　　A.1.2.3.1 卡片信息文件说明如表A.2。

　　表 A.2 卡片信息文件说明

　　表 A.2 卡片信息文件说明(续)

　　A.1.2.3.2 应用信息文件说明如表A.3。

　　表 A.3 应用信息文件说明

　　A.1.2.3.3 通用安全应用下CA公钥证书文件说明如表A.4。

　　表 A.4 CA公钥证书文件说明

　　A.1.2.3.4 通用安全应用下SE公钥证书文件说明如表A.5。

　　表 A.5 SE公钥证书文件说明

　　A.1.2.3.5 通用安全应用下签名公钥证书文件说明如表A.6。

　　表 A.6 签名公钥证书文件说明

　　A.2 应用指令

　　安全芯片可实现对称及非对称加解密运算、安全存储、身份认证等功能，具体应用指令说明如表A.7。

　　表 A.7 安全芯片应用指令说明

　　表 A.7 安全芯片应用指令说明(续)