DB3305T 253-2022物聯(lián)中臺安全管理規(guī)范

CCSA1浙江DB3305省湖州市地方標(biāo)準(zhǔn)DB/T253—2022dard湖州市市場監(jiān)督管理局發(fā)布 前言接入、數(shù)據(jù)轉(zhuǎn)發(fā)以及安全等相關(guān)活動。州市大數(shù)據(jù)發(fā)展管理局提出并歸口。移物聯(lián)網(wǎng)有限公司、中國移動通信集團(tuán)浙江有限公司湖州分公司。終端安全物聯(lián)中臺安全管理規(guī)范傳輸安全、平臺安全等相關(guān)內(nèi)容。息安全參考。范性引用文件，GBT2239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GBT6951-2018信息安全技術(shù)物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求定義InternetofThingsPlatform一接入和集中管理，向上面向第三方應(yīng)用系統(tǒng)提供數(shù)據(jù)推送以及API接口服務(wù)，實現(xiàn)物聯(lián)數(shù)據(jù)統(tǒng)一標(biāo)準(zhǔn)ity靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。4縮略語GRE：通用路由封裝(GenericRoutingEncapsulation)IP：網(wǎng)際互連協(xié)議(InternetProtocol)IPSec：互聯(lián)網(wǎng)安全協(xié)議(InternetProtocolSecurity)L2TP：第二層隧道協(xié)議(LayerTwoTunnelingProtocol)5.1終端物理安全BT部署的要求；等方面滿足部署環(huán)境的要求。5.2終端軟件安全終端在軟件安全方面，應(yīng)滿足下列要求：安裝經(jīng)授權(quán)的軟件；——安裝滿足業(yè)務(wù)安全功能需求的軟件并正確配置及使用；——確保維護(hù)單位對終端固件安全漏洞具備基礎(chǔ)的檢測和響應(yīng)能力；5.3終端接入安全應(yīng)保證密鑰存儲和交換安全；——對于可通過用戶口令直接登錄的終端，需確保用戶口令的復(fù)雜度符合相關(guān)規(guī)定；安全日志。5.4網(wǎng)絡(luò)訪問控制可禁用業(yè)務(wù)需求以外的通信端口；安全傳輸保密性保傳輸數(shù)據(jù)的保密性。傳輸安全審計安全物理環(huán)境7.1.1部署平臺的機(jī)房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)，機(jī)房場地應(yīng)避免設(shè)在建或地下室，否則應(yīng)加強(qiáng)防水和防潮措施。7.1.2部署平臺的機(jī)房應(yīng)具備物理訪問控制能力、防盜竊和防破壞能力、防火防雷擊能力、防水和防能力、防靜電能力、溫濕度控制能力、電力供應(yīng)保障能力、電磁防護(hù)能力。安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)處理能力滿足業(yè)務(wù)高峰期需要。帶寬滿足業(yè)務(wù)高峰期需要。安全計算環(huán)境身份鑒別7.3.1.2應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自1.4應(yīng)采用口令、密碼技術(shù)等技術(shù)對用戶進(jìn)行身份鑒別。訪問控制1234567的用戶分配賬戶和權(quán)限。默認(rèn)口令。理用戶的權(quán)限分離。授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級。安全審計12345括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信物聯(lián)感知體系對應(yīng)安全系統(tǒng)進(jìn)行對接。入侵防范務(wù)、默認(rèn)共享和高危端口。.3.4.3應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。7.3.4.4應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè).3.4.5應(yīng)具備安全基線配置和下發(fā)能力，能夠通過安全巡檢發(fā)現(xiàn)安全風(fēng)險，防范入侵事件。惡意代碼防范數(shù)據(jù)完整性在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、要視頻數(shù)據(jù)和重要個人信息等。在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、要視頻數(shù)據(jù)和重要個人信息等。數(shù)據(jù)保密性7.3.7.1應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)個人信息等。7.3.7.2應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)個人信息等。個人信息保護(hù)8.1應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息。法使用用戶個人信息。安全區(qū)域邊界邊界防護(hù)4.1.1應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信。4.1.2應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。4.1.3應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。絡(luò)。訪問控制絕所有通信。4.2.3應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出。4.2.4應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。入侵防范4.3.1應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。4.3.2應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。.4.3.3應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。P供報警。4.3.5具備針對網(wǎng)絡(luò)安全攻擊的態(tài)勢分析、預(yù)警和應(yīng)急響應(yīng)能力。安全審計行審計。7.4.4.2審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進(jìn)行行為審計和數(shù)據(jù)分析。安全管理中心系統(tǒng)管理作進(jìn)行審計。常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。審計管理作進(jìn)行審計。、區(qū)塊鏈等技術(shù)確保審計記錄不被篡改。安全管理作進(jìn)行審計。集中管控5.4.1應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控。輸路徑，對網(wǎng)絡(luò)中的安