DB21 T 3726-2023 基于蜂窝网络的工业无线通信安全规范.pdf

1、ICS 25.040CCS N 10DB21辽宁省地方标准DB21/T 37262023基于蜂窝网络的工业无线通信安全规范2023-05-30 发布2023-06-30 实施辽宁省市场监督管理局发 布DB21/T 37262023I目次1 范围.12 规范性引用文件.13 术语和定义.54 缩略语.65 总体安全要求.76 物理环境安全.86.1 室外控制设备物理防护.86.2 蜂窝网络接入节点的物理位置.87 通信网络安全.87.1 网络架构.87.2 通信传输.98 区域边界安全.98.1 边界保护.98.2 蜂窝网络使用控制.98.3 接入控制.98.4 入侵防范.108.5 安全审计.

2、109 计算环境安全.109.1 工业蜂窝网络控制设备安全.109.2 终端节点设备安全.119.3 网关节点设备安全.129.4 抗数据重放.129.5 边缘计算.129.6 安全审计.129.7 数据完整性保护.1210 建设运维安全.1310.1 产品采购和使用.1310.2 外包软件开发.1310.3 运维.1310.4 安全检查及响应措施.13附录 A(资料性)5G 蜂窝网络安全要求.15参考文献.21DB21/T 37262023II前言本文件按照GB/T 1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发

3、布机构不承担识别专利的责任。本文件由辽宁省工业和信息化厅提出并归口。本文件起草单位：东北大学、沈阳华睿博信息技术有限公司、沈阳工业大学、辽宁省先进装备制造业基地建设工程中心、鞍钢集团信息产业有限公司、沈阳鼓风机集团股份有限公司、国网辽宁省电力有限公司、宁波和利时信息安全研究院有限公司、恒安嘉新(北京)科技股份公司、三六零安全科技股份有限公司、北京神州绿盟科技有限公司、中国联合网络通信有限公司沈阳市分公司、北京理工大学、北京圣博润高新技术股份有限公司、南京佶合信息科技有限公司。本文件主要起草人：姚羽、邵华、张晓玲、郭剑峰、陈莹、翟宝鹏、郝玉明、周小明、金阳、梁艳、苗向阳、黄晓波、李士炜、李冬妮、

4、李小川、李昊、杨巍、李慧玲、刘可欣。本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，我们将及时答复并认真处理，根据实际情况依法进行评估及复审。本文件起草单位通讯地址和联系电话：通讯地址：辽宁省沈阳市和平区文化路三巷11号，联系电话：024-83687392。本文件归口部门通讯地址和联系电话：通讯地址：辽宁省沈阳市皇姑区北陵大街45-2号，联系电话：024-86913384。DB21/T 372620231基于蜂窝网络的工业无线通信安全规范1范围本文件规定了基于蜂窝网络的工业无线通信总体安全要求、物理环境安全、通信网络安全、区域边界安全、计算环境安全和建设

5、运维安全等。本文件适用于以应用场景为重点的工业蜂窝网络安全的建设运维和监督管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 17626（所有部分）电磁兼容试验和测量技术GB/T 17799.1-2017电磁兼容通用标准居住、商业和轻工业环境中的抗扰度GB/T 17799.2-2003电磁兼容通用标准工业环境中的抗扰度试验GB 17799.3-2012电磁兼容通用标准居住、商业和轻工业环境中的发射GB 17799.4-2012电磁兼

6、容通用标准工业环境中的发射GB/T 17799.5-2012电磁兼容通用标准室内设备高空电磁脉冲(HEMP)抗扰度GB/T 18268.1-2010测量、控制和实验室用的电设备 电磁兼容性要求 第 1 部分：通用要求GB/T 19286-2015电信网络设备的电磁兼容性要求及测量方法GB/T 19287-2016电信设备的抗扰度通用要求GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 22240-2020信息安全技术网络安全等级保护定级指南GB/T 22451-2008无线通信设备电磁兼容性通用要求GB/T 35673-2017工业通信网络网络和系统安全系统安全要求和

7、安全等级GB/T 41780.1-2022物联网边缘计算第 1 部分：通用要求GB/T 42126.1-2022基于蜂窝网络的工业无线通信规范第 1 部分:通用技术要求YD/T 2910-2015LTE/SAE 安全技术要求DB21/T 372620232CISPR 16-1-1无线电骚扰和抗扰度测量设备规范和测量方法第 1 部分骚扰和抗扰度测量设备(Specification for radio disturbance and immunity measuring apparatus and methods Part 1-1:Radio disturbance and immunity me

8、asuring apparatus Measuring apparatus)CISPR 16-2-1无线电骚扰和抗扰度测量设备规范和测量方法第 2 部分骚扰和抗扰度测量方法(Specification for radio disturbance and immunity measuring apparatus and methods-Part 2-1:Methods of measurement of disturbances and immunity-Conducted disturbance measurements)ISO/IEC 27001信息技术安全技术信息安全管理系统要求（Info

9、rmation technology-Security techniques-Information security management systems-Requirements）ISO/IEC 27002信息技术安全技术信息安全管理实践规范（Information technologySecurity techniquesCode of practice for information security controls）ISO/IEC 27005信息技术安全技术信息安全风险管理（Information technologySecuritytechniquesInformation se

10、curity risk management）IEC 61000-4-1第 4 部分试验与测量技术抗扰度试验总论(Electromagnetic compatibility(EMC)-Part 4-1:Testing and measurement techniques-Overview of IEC 61000-4 series)IEC 61000-4-2第 4 部 分试 验 与 测 量 技 术静 电 放 电 抗 扰 度 试 验(Electromagneticcompatibility(EMC)-Part 4-2:Testing and measurement techniques-Elec

11、trostatic dischargeimmunity test)IEC 61000-4-3第 4 部分试验与测量技术射频电磁场辐射抗扰度试验(Electromagneticcompatibility(EMC)-Part 4-3:Testing and measurement techniques-Radiated,radio-frequency,electromagnetic field immunity test)IEC 61000-4-4第 4 部分试验与测量技术电快速瞬变脉冲群抗扰度试验(Electromagneticcompatibility(EMC)-Part 4-4:Testin

12、g and measurement techniques-Electrical fasttransient/burst immunity test)IEC 61000-4-5第 4 部分试验与测量技术浪涌(冲击)抗扰度试验(Electromagneticcompatibility(EMC)-Part 4-5:Testing and measurement techniques-Surge immunity test)IEC 61000-4-6第 4 部分试验与测量技术射频场感应的传导骚扰抗扰度(Electromagneticcompatibility(EMC)-Part 4-6:Testing

13、 and measurement techniques-Immunity to conducteddisturbances,induced by radio-frequency fields)DB21/T 372620233IEC 61000-4-7第 4 部分试验与测量技术供电系统及所连设备谐波及谐间波的测量和仪表通用指南(Electromagnetic compatibility(EMC)-Part 4-7:Testing and measurement techniques-General guide on harmonicsand interharmonics measurements

14、 and instrumentation,for powersupplysystems and equipment connected thereto)IEC 61000-4-8第 4 部 分试 验 与 测 量 技 术工 频 磁 场 抗 扰 度 试 验(Electromagneticcompatibility(EMC)Part 4-8:Testing and measurement techniques Power frequencymagnetic field immunity test)IEC 61000-4-9第 4 部 分试 验 与 测 量 技 术脉 冲 磁 场 抗 扰 度 试 验(E

15、lectromagneticcompatibility(EMC)-Part 4-9:Testing and measurement techniques-Impulse magnetic fieldimmunity test)IEC 61000-4-10第 4 部分试验与测量技术阻尼振荡磁场抗扰度试验(Electromagneticcompatibility(EMC)-Part 4-10:Testing Damped Oscillatory Magnetic Field Immunity Testing)IEC 61000-4-11第 4 部分试验与测量技术电压暂降、短期中断和电压变化抗扰度试

16、验(Electromagnetic compatibility(EMC)-Part 4-11:Testing and measurement techniques-voltacedips,short interruptions and voltace variations immunity tesst)IEC 61000-4-12第 4 部 分试 验 与 测 量 技 术振 荡 波 抗 扰 度 试 验(Electromagneticcompatibility(EMC)-Part 4-12:Testing And Measurement Techniques-Ring Wave Immunity

17、Test)IEC 61000-6-1第6 部分通用标准住宅区、商业区和轻工业环境的抗扰度标准（Electromagneticcompatibility(EMC)-Part 6-1:Generic standards-Immunity standard for residential,commercial and light-industrial environments）IEC 61000-6-2第 6 部分通用标准工业环境的抗扰度标准（Electromagnetic compatibility(EMC)-Part 6-2:Generic standards-Immunity standard

18、 for industrial environments）IEC 61000-6-3第 6 部分通用标准住宅区、商业区和轻工业 环境的发射标准（Electromagneticcompatibility(EMC)-Part 6-3:Generic standards-Emission standard for equipment inresidential environments）IEC 61000-6-4第6 部分通用标准工业环境的发射标准（Electromagnetic compatibility(EMC)-Part 6-4:Generic standards-Emission stand

19、ard for industrial environments）IEC TS 62443-1-1:2009工业通信网络网络和系统安全第 1-1 部分：术语、概念和模型DB21/T 372620234（Industrial communication networks-Network and system security-Part 1-1:Terminology,concepts and models）IEC 62443-2-1:2010工业通信网络网络和系统安全第 2-1 部分：工业自动化和控制系统建设安全程序（Industrial communication networks-Networ

20、k and system security-Part 2-1:Establishing an industrial automation and control system security program）IEC TR 62443-2-3:2015工业自动化和控制系统安全第 2-3 部分：IACS 环境补丁管理（Securityfor industrial automation and control systems-Part 2-3:Patch management in the IACSenvironment）IEC 62443-2-4:2015工业自动化和控制系统安全第 2-4 部分

21、：IACS 服务提供商安全程序要求（Security for industrial automation and control systems-Part 2-4:Security programrequirements for IACS service providers）IEC 62443-2-4:2015+AMD1:2017 CSV工业自动化和控制系统安全第 2-4 部分：IACS 服务提供商安全程序要求（Security for industrial automation and control systems-Part 2-4:Securityprogram requirements

22、 for IACS service providers）IEC 62443-2-4:2015/AMD1:2017修改件 1工业自动化和控制系统安全第 2-4 部分：IACS 服务提供商安全程序要求（Amendment 1-Security for industrial automation and control systems-Part 2-4:Security program requirements for IACS service providers）IEC 62443-2-4:2015/COR1:2015勘误表 1工业自动化和控制系统安全第 2-4 部分：IACS 服务提供商安全程序

23、要求（Corrigendum 1-Security for industrial automation and control systems-Part 2-4:Security program requirements for IACS service providers）IEC TR 62443-3-1:2009工业通信网络网络和系统安全第 3-1 部分：工业自动化和控制系统安全技术（Industrial communication networks-Network and system security-Part 3-1:Securitytechnologies for industri

24、al automation and control systems）IEC 62443-3-2:2020工业自动化和控制系统安全第3-2 部分：系统设计安全风险评估（Securityfor industrial automation and control systems-Part 3-2:Security risk assessment for systemdesign）IEC 62443-3-3:2013工业通信网络网络和系统安全第 3-3 部分：系统安全要求和安全等级（Industrial communication networks-Network and system securit

25、y-Part 3-3:System securityDB21/T 372620235requirements and security levels）IEC 62443-3-3:2013/COR1:2014勘误表 1工业通信网络网络和系统安全第 3-3 部分：系统安全要求和安全等级（Corrigendum 1-Industrial communication networks-Network and systemsecurity-Part 3-3:System security requirements and security levels）IEC 62443-4-1:2018工业自动化和控

26、制系统的安全性第 4-1 部分：安全产品开发生命周期要求（Security for industrial automation and control systems-Part 4-1:Secure product developmentlifecycle requirements）IEC 62443-4-2:2019工业自动化和控制系统安全第 4-2 部分：IACS 部件技术安全要求（Security for industrial automation and control systems-Part 4-2:Technical securityrequirements for IACS c

27、omponents）3GPP TS 33.310网络域安全性（NDS）；认证框架（AF）(Network Domain Security(NDS);Authentication Framework(AF)3GPP TS 24.501用于 5G 系统的非接入层（NAS）协议（5GS）；阶段 3(Technical SpecificationGroup Core Network and Terminals;Non-Access-Stratum(NAS)protocol for 5G System(5GS);Stage3;)3GPP TS 33.5015G 系统安全架构和过程（5G;Security

28、 architecture and procedures for 5GSystem）3术语和定义GB/T 22239-2019、GB/T 22240-2020、GB/T 35673-2017、GB/T 41780.1-2022界定的及以下术语和定义适用于本文件。3.1蜂窝网络cellular network又称移动网络（mobile network）是一种移动通信硬件架构，分为模拟蜂窝网络和数字蜂窝网络。由于构成网络覆盖的各通信基地台的信号覆盖呈六边形，从而使整个网络像一个蜂窝而得名。3.2DB21/T 372620236工业蜂窝网络industrial cellular network基于蜂

29、窝网络的工业无线通信网络。3.3网络切片network slice网络切片是一种按需组网的方式，可以让运营商在统一的基础设施上分离出多个虚拟的端到端网络，每个网络切片从无线接入网、承载网再到核心网上进行逻辑隔离，以适配各种各样类型的应用。4缩略语下列缩略语适用于本文件。AKA：身份验证和密钥协议（Authentication and Key Agreement）AMF：接入及移动性管理功能（Access and mobile management function）API：应用编程接口（Application programming Interface）AUSF：认证服务器功能（Authent

30、ication server function）CPU：中央处理器（Central Processing Unit）DDos：分布式拒绝服务攻击（Distributed Denial of Service）DN：数据网络（Data Network）EPS：演进分组系统（Evolved Packet System）FTP：文件传输协议（File Transfer Protocol）gNB：基站协议功能实体（gNodeB）IP：互联网协议（Internet Protocol）IPv4：互联网协议第4版（Internet Protocol version 4）IPv6：互联网协议第4版（Intern

31、et Protocol version 6）IoT：物联网（Internet of Things）LAN：局域网（Local Area Network）LAN-VN：局域网-虚拟网络（Local Area Network-Virtual Network）MANO：管理和编排（Management and Orchestration）MEC：多接入边缘计算（Multi-access Edge Computing）DB21/T 372620237NAS：非接入层（Non-Access Stratum）PLMN：公共陆地移动网（Public Land Mobile Network）QoS：服务质量（

32、Quality of Service）RAN：无线接入网络（Radio Access Network）SEAF：安全锚功能（Safety anchor function）SEPP：安全边缘保护代理（Security Edge Protection Proxy）SLA：服务等级协议（Service Level Agreement）TLS：传输层安全（Transport Layer Security）UDM：统一数据管理（Unied Data Management）UE：用户设备（User Equipment）URLLC：超高可靠性与超低时延通信（Ultra Reliable&Low Latenc

33、y Communication）USB：通用串行总线（Universal serial bus）USIM：全球用户识别卡（Universal Subscriber Identity Module）3GPP：第三代合作伙伴计划（Third Generation Partnership Project）5GC：5G核心网络（5G Core Network）5总体安全要求工业蜂窝网络安全要求涉及工业蜂窝网络基本要求、蜂窝网络安全要求、工业蜂窝网络设备电磁兼容性要求及工业蜂窝网络应用场景的安全要求。工业蜂窝网络基本要求应满足GB/T 42126.1-2022中的要求；4G蜂窝网络安全应满足YD/T 2

34、910-2015中的要求；5G蜂窝网络安全要求参考附录A。工业蜂窝网络设备电磁兼容性应满足GB/T 17626（所有部分）、GB/T 17799.1-2017、GB/T17799.2-2003、GB 17799.3-2012、GB 17799.4-2012、GB/T 17799.5-2012、GB/T 18268.1-2010、GB/T19286-2015、GB/T 19287-2016、GB/T 22451-2008、CISPR 16-1-1、CISPR 16-2-1、IEC 61000-4-1、IEC 61000-4-2、IEC 61000-4-3、IEC 61000-4-4、IEC 61

35、000-4-5、IEC 61000-4-6、IEC 61000-4-7、IEC 61000-4-8、IEC 61000-4-9、IEC 61000-4-10、IEC 61000-4-11、IEC 61000-4-12、IEC 61000-6-1、IEC 61000-6-2、IEC 61000-6-3、IEC 61000-6-4等标准中的要求。DB21/T 372620238工业蜂窝网络应用场景应首先满足工业网络信息安全的规定，如IEC TS 62443-1-1:2009，IEC62443-2-1:2010，IEC TR 62443-2-3:2015，IEC 62443-2-4:2015，IEC

36、 62443-2-4:2015+AMD1:2017 CSV，IEC 62443-2-4:2015/AMD1:2017，IEC 62443-2-4:2015/COR1:2015，IEC 62443-3-2:2020，IEC TR62443-3-1:2009，IEC 62443-3-3:2013，IEC 62443-3-3:2013/COR1:2014，IEC 62443-4-1:2018，IEC62443-4-2:2019，ISO 27001，ISO/IEC 27002，ISO/IEC 27005等标准中的要求，以及网络安全等级保护的要求，如GB/T 22240-2020、GB/T 22239-

37、2019等标准中的要求。此外，还应满足本文件所提出的物理环境安全、通信网络安全、区域边界安全、计算环境安全以及建设运维安全等要求。6物理环境安全6.1室外控制设备物理防护室外控制设备物理防护应满足如下要求：a）室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固；b）箱体或装置具有透风、散热、防盗、防雨和防火能力等；c）室外控制设备放置应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修，保证设备正常运行。6.2蜂窝网络接入节点的物理位置应为蜂窝网络接入设备的安装选择合理位置，避免过度覆盖和电磁干扰。7通信网络安全7.1网络架构工业控制系统网络架构应满足如下要求：a

38、）工业控制系统与企业其他系统之间应划分为不同区域，区域间应采用技术手段实现安全隔离；工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术手段实现安全隔离；b）涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离；DB21/T 372620239c）对重要生产系统，应在无线蜂窝网络的边界采用屏蔽或干扰手段，隔离物理边界外对无线蜂窝网络的访问；d）应在工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的 E-Mail，Web、Telnet、Rlogin 及 FTP 等通用网络服务

39、；e）应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警；f）蜂窝网络接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证；g）对重要生产系统，宜采用单向隔离数据交换产品。7.2通信传输在工业控制系统内使用工业生产网络进行控制指令或相关数据交换的应采用加密技术手段实现身份认证、访问控制和数据加密传输。8区域边界安全8.1边界保护应保证有线网络与蜂窝网络边界之间的访问和数据流通过无线接入网关设备。8.2蜂窝网络使用控制工业蜂窝网络使用控制应满足如下要求：a）应对所有参与蜂窝网络通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别；b

40、）应对所有参与蜂窝网络通信的用户（人员、软件进程或者设备）进行授权以及执行使用进行限制；c）应对蜂窝网络通信采取传输加密的安全措施，实现传输报文的机密性保护；d）对采用蜂窝网络通信技术进行控制的工业控制系统，应能识别其物理环境中发射的未经授权的蜂窝网络设备，报告未经授权试图接入或干扰控制系统的行为。8.3接入控制应保证只有授权的终端节点可以接入。DB21/T 37262023108.4入侵防范工业网络入侵防范应满足如下要求：a）终端节点应能够限制与终端节点通信的目标地址，以避免对陌生环境的攻击行为；b）终端节点应能够限制与网关节点通信的目标地址，以避免对陌生环境的攻击行为；c）应能够检测到非授

41、权蜂窝网络接入设备和非授权移动终端的接入行为；d）应能够检测到针对蜂窝网络接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为；e）应能够阻断非授权蜂窝接入设备或非授权移动终端；f）对重要生产系统应采用探针和异常检测技术对网络行为进行实时检测；g）对重要生产系统宜部署态势感知及蜜罐系统进行持续监控，并对网络攻击行为进行捕获。8.5安全审计工业蜂窝网络区域边界安全审计应满足如下要求：a）应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计；b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）

42、应对审计记录进行保护,定期备份，避免受到未预期的删除、修改或覆盖等；d）应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。9计算环境安全9.1工业蜂窝网络控制设备安全工业蜂窝网络控制设备应满足如下要求：a）控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求，如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制；b）应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作；DB21/T 3726202311c）应关闭或拆除控制设备的软盘驱动、光盘驱动、USB 接

43、口、串行口或多余网口等，确需保留的应通过相关的技术措施实施严格的监控管理；d）应使用专用设备和专用软件对控制设备进行更新；e）应保证控制设备在上线前经过安全性检测，避免控制设备固件中存在恶意代码程序。避免设备中存在未授权的无线网络通信模块；f）控 制 设备 的 电 磁兼 容 性 应 满足 GB/T 17626（所 有部 分）、GB/T 17799.1-2017、GB/T17799.2-2003、GB 17799.3-2012、GB 17799.4-2012、GB/T 17799.5-2012、GB/T 18268.1-2010、GB/T 19286-2015、GB/T 19287-2016、G

44、B/T 22451-2008、CISPR 16-1-1、CISPR 16-2-1、IEC61000-4-1、IEC 61000-4-2、IEC 61000-4-3、IEC 61000-4-4、IEC 61000-4-5、IEC 61000-4-6、IEC 61000-4-7、IEC 61000-4-8、IEC 61000-4-9、IEC 61000-4-10、IEC 61000-4-11、IEC61000-4-12、IEC 61000-6-1、IEC 61000-6-2、IEC 61000-6-3、IEC 61000-6-4 等标准中的要求。9.2终端节点设备安全工业蜂窝网络终端节点设备应满足

45、如下要求：a）终端节点设备应保证只有授权的用户可以对终端节点设备上的软件应用进行配置或变更；b）终端节点设备应具有对其连接的网关节点设备进行身份标识和鉴别的能力；c）终端节点设备应具有对其连接的其他终端节点设备进行身份标识和鉴别的能力；d）对重要生产系统，当终端节点设备通过非可信网络访问（例如远程访问）控制系统时，控制系统应为其提供多因子认证的能力；e）控制系统应具备对经由不可信网络访问控制系统的访问控制限制的方法，例如可限制未授权的IP 地址接入。f）终端节点设备的电磁兼容性应满足 GB/T 17626（所有部分）、GB/T 17799.1-2017、GB/T17799.2-2003、GB

46、17799.3-2012、GB 17799.4-2012、GB/T 17799.5-2012、GB/T 18268.1-2010、GB/T 19286-2015、GB/T 19287-2016、GB/T 22451-2008、CISPR 16-1-1、CISPR 16-2-1、IEC61000-4-1、IEC 61000-4-2、IEC 61000-4-3、IEC 61000-4-4、IEC 61000-4-5、IEC 61000-4-6、IEC 61000-4-7、IEC 61000-4-8、IEC 61000-4-9、IEC 61000-4-10、IEC 61000-4-11、IEC610

47、00-4-12、IEC 61000-6-1、IEC 61000-6-2、IEC 61000-6-3、IEC 61000-6-4 等标准中的要求。DB21/T 37262023129.3网关节点设备安全工业蜂窝网络网关节点设备应满足如下要求：a）网关节点设备应具备对合法连接设备进行标识和鉴别的能力；b）网关节点设备应具备过滤非法节点和伪造节点所发送的数据的能力；c）授权用户应能够在设备使用过程中对关键密钥进行在线更新；d）授权用户应能够在设备使用过程中对关键配置参数进行在线更新；e）网关节点设备的电磁兼容性应满足 GB/T 17626（所有部分）、GB/T 17799.1-2017、GB/T17

48、799.2-2003、GB 17799.3-2012、GB 17799.4-2012、GB/T 17799.5-2012、GB/T 18268.1-2010、GB/T 19286-2015、GB/T 19287-2016、GB/T 22451-2008、CISPR 16-1-1、CISPR 16-2-1、IEC61000-4-1、IEC 61000-4-2、IEC 61000-4-3、IEC 61000-4-4、IEC 61000-4-5、IEC 61000-4-6、IEC 61000-4-7、IEC 61000-4-8、IEC 61000-4-9、IEC 61000-4-10、IEC 610

49、00-4-11、IEC61000-4-12、IEC 61000-6-1、IEC 61000-6-2、IEC 61000-6-3、IEC 61000-6-4 等标准中的要求。9.4抗数据重放工业蜂窝网络终端节点设备抗数据重放应满足如下要求：a）终端节点设备应能够鉴别数据的时效性，避免历史数据的重放攻击；b）终端节点设备应能够鉴别对历史数据的非法修改，避免数据的修改重放攻击。9.5边缘计算边缘计算节点的设计、开发和应用应满足GB/T 41780.1-2022中的要求。9.6安全审计工业蜂窝网络计算环境安全审计应满足如下要求：a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件

50、进行审计；b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）应对审计记录进行保护，定期备份，避免收到未预期的删除、修改或覆盖等；d）应对审计进程进行保护，防止未经授权的中断。9.7数据完整性保护DB21/T 3726202313工业蜂窝网络计算环境数据完整性保护应满足如下要求：a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据