1ICS35.100.05 CCSL79 团 体 标 准 T/CI094-2023 公共基础服务业云边协同技术标准 第2部分：安全协同 TechnicalStandardsforCloudEdgeCollaborationinPublic BasicServiceIndustry Part2：SafeCollaboration 2023-07-13发布 2023-07-13实施 中国国际科技促进会发布 全国团体标准信息平台 2目次 前言.......................................................................3 1范围.......................................................................4 2规范性引用文件.............................................................4 3术语和定义.................................................................4 4关系型数据库加密与查询能力要求.............................................5 5多维数据对象集的查询与更新能力要求.........................................6 6基于安全网关的云桌面管理及安全访问控制能力要求.............................6 7云边数据加密传输能力要求...................................................6 8云端数字水印加密显示算法能力要求...........................................7 全国团体标准信息平台 3前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》 的规定起草。 本文件编制《公共基础服务业云边协同技术标准第2部分：安全协同》，弥补现有标准 中对跨域云边应用中安全协同进行系统归纳整理的缺项。 本文件由中国国际科技促进会标准化工作委员会提出。 本文件由中国国际科技促进会归口。 本文件的发布机构提请注意，声明符合本文件时，请注意本文件的某些内容可能涉及专 利。本文件的发布机构不承担识别这些专利的责任。 所涉及专利持有人已向本文件的发布机构保证，他愿意同任何申请人在合理且无歧视的 条款和条件下，就专利授权许可进行谈判。所涉及专利持有人的声明已在本文件的发布机构 备案。 相关信息可以通过以下联系方式获得： 专利持有人姓名：贵州海誉科技股份有限公司 地址：贵州省贵阳市贵阳国家高新技术产业开发区黔灵山路357号德福中心A5栋2 单元14层1、2、5、6号 本文件起草单位：陕西思极科技有限公司、国网思极网安科技（北京）有限公司、江西 电信信息产业有限公司、国网陕西省电力有限公司、国网江西省电力有限公司、贵州海誉科 技股份有限公司、南京壹进制信息科技有限公司、中国电子科技集团公司第十五研究所、国 网甘肃省电力公司电力科学研究院、田禾信息科技（上海）有限公司、江西师范大学、重庆 大学、电子科技大学、西安电子科技大学、北京理工大学、贵州大学、暨南大学、长安大学、 西北工业大学、北京工业大学、北京交通大学、合肥商贸科技学校。 本文件主要起草人：戴光、殷树刚、马勇、何美斌、张小松、刘锋、许永刚、房涛、王 琪、王利斌、沈玉龙、刘驰、田有亮、刘志全、张有成、邵诗韵、李海鹏、陈明亮、李凡、 马慧生、李博嘉、黄明峰、郭晶晶、王琪、夏云霓、牛新征、李发根、梁良、陶俊、李国政、 赵涵、戴梦轩、马志程、鄂驰、杨仕博、马菁、张烨、蔡国强、张德涵、俞伦华、朱远旦。 本文件为首次发布。 全国团体标准信息平台 4公共基础服务业云边协同技术标准第2部分：安全协同 1范围 本文件规定了《公共基础服务业云边协同技术标准第2部分：安全协同》的术语和定义，并提供 了完整的技术解决方案，以确保跨域云边数据的访问安全、显示安全和数据传输安全等核心问题。本文 件适用于公共服务基础行业跨域云边数据的访问安全、显示安全和数据传输安全。 本文件适用于公共基础服务行业跨域云边数据的访问安全、显示安全和数据传输安全。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T32399-2015信息技术云计算参考架构 GB/T32400-2015信息技术云计算概览与词汇 T/CI093-2023公共基础服务业云边协同技术标准第1部分：总则 3术语和定义 GB/T32399-2015、GB/T32400-2015、T/CI093-2023中有关术语适用于本文件。 下列术语和定义适用于本文件。 3.1 云计算CloudComputing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。 3.2 云服务CloudService 通过云计算(3.1)已定义的接口提供的一种或多种能力。 3.3 云计算基础设施CloudComputingInfrastructure 由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施，包括为云服务客户提供计算资源、 存储资源、网络资源、安全资源所需的软硬件设备及云管理平台。 3.4 云计算环境CloudComputingEnvironment 将分布在互联网上的计算机等终端设备相互整合,借助某种网络计算方式,实现软硬件资源共享和协 调调度的一种虚拟计算系统。 3.5 边缘节点EdgeNode 在靠近用户的网络边缘侧构建的业务平台，提供存储、计算、网络等资源节点。 3.6 全国团体标准信息平台 5关系型数据库RelationalDatabase 采用关系模型来组织数据的数据库，其以行和列的形式存储数据，以便于用户理解，关系型数据库 这一系列的行和列被称为表，一组表组成数据库。 3.7 隐蔽通道ConvertChannel 一种攻击类型，即计算机安全策略不允许的情况下，在进程之间传输信息对象。 3.8 封闭式网络ClosedNetwork 一种限制网络连接和访问的环境，外部访问和连接受到限制，只有经过授权的用户或设备才能进入 该网络。 3.9 公共基础服务业PublicBasicServiceIndustry 提供基础性服务和基础设施的行业，通常由政府或公共机构提供或监管，以确保全民平等享有服务， 并维护社会的整体利益，包括交通、能源、通信、政务、教育、住房、救援等与公众生活息息相关的基 础服务。 图1公共基础服务业云边协同技术标准—安全协同关系图 4关系型数据库加密与查询能力要求 全国团体标准信息平台 6具体指标包含但不限于以下项目： a)应至少包括一个计算机可连接到至少一个封闭式及非封闭式网络； b)应至少存在两个操作系统且操作系统之间能够互相切换； c)应使用关系型数据库保证数据的存储安全； d)应具备切换操作系统时自动关闭已启动任务的功能； e)应限制操作系统间同时进行激活或网络连接。 5多维数据对象集的查询与更新能力要求 5.1安全多目标数据对象查询方法 该方法应具备对安全多目标数据对象查询的功能。 具体指标包含但不限于以下项目： a)应兼顾多目标数据查询和安全需求； b)初始数据集可包括至少一个具有维度的明文数据对象； c)应具备对明文数据加密的能力； d)应建立加密数据集之间的映射关系； e)应具备对数据集的查询，排序等功能。 5.2适用于安全多目标数据集的动态查询方法 该方法应具备对变更的安全多维数据对象集查询的功能。 具体指标包含但不限于以下项目： a)应至少获取一个具有两个维度以上的密文数据对象的安全多维数据对象集； b)应可通过对安全多维数据对象集进行多目标数据对象查询，得到查询结果集； c)应可根据动态变更信息，更新安全多维数据对象集； d)应可根据当前动态变更信息中的指令，得到动态变更后的查询结果。 6基于安全网关的云桌面管理及安全访问控制能力要求 该方法应具备支持云桌面管理及安全访问控制的功能。 具体指标包含但不限于以下项目： a)应拥有安全网关的云桌面管理系统，保证在应用云桌面管理系统时必须具备安全网关的能力； b)应提供统一安全入口，屏蔽内部网络； c)应具备安全网关对虚拟机远程管理连接的集中访问控制功能； d)应支持集群由管理节点调度分发请求； e)应具有管理接口，通过管理接口中断客户端的接入连接； f)应保证客户端接入的可管理性，且客户端与应用服务器之间具备网络隔离的能力。 7云边数据加密传输能力要求 7.1一种国密可信传输方法 该方法应具备支持建立国密可信传输通道的功能。 全国团体标准信息平台 7具体指标包含但不限于以下项目： a)应构建相关环境，改造相应客户端； b)应对登陆用户进行鉴权，获取该登陆用户下所关联的主机状态信息； c)应可从秘钥库中取出用于传输加密的密钥，具备对加密随机码进行解密的功能； d)应可使用国密算法对数据、指令、消息进行加解密并分发至客户端； e)应支持国密算法进行加密代理传输。 7.2基于人工智能的云平台存储型隐蔽通道检测方法及系统 该方法应具备对云平台隐蔽通道流量的高精度、高响应检测的功能。 具体指标包含但不限于以下项目： a)应可获取云平台流量样本构建数据集，并对样本进行预处理； b)应选