2024工業(yè)互聯(lián)網(wǎng)平臺安全防護要求

1圍 12規(guī)范性引用文件 13縮略語 14術(shù)語和定義 15工業(yè)互聯(lián)網(wǎng)平臺架構(gòu)簡介 26工業(yè)互聯(lián)網(wǎng)平臺安全防護需求 37工業(yè)互聯(lián)網(wǎng)平臺安全防護總體要求 1圍 12規(guī)范性引用文件 13縮略語 14術(shù)語和定義 15工業(yè)互聯(lián)網(wǎng)平臺架構(gòu)簡介 26工業(yè)互聯(lián)網(wǎng)平臺安全防護需求 37工業(yè)互聯(lián)網(wǎng)平臺安全防護總體要求 47.1工業(yè)互聯(lián)網(wǎng)平臺安全防護總體原則 47.2工業(yè)互聯(lián)網(wǎng)平臺安全防護范圍 47.3工業(yè)互聯(lián)網(wǎng)平臺安全防護內(nèi)容 48基本級安全防護要求 58.1邊緣層安全防護要求 58.2臺IaaS層全防要求 68.3平臺PaaS層全防要求 118.4平臺SaaS層全防要求 159增強級安全防護要求 219.1邊緣層安全防護要求 21平臺IaaS層全防要求 229.3平臺PaaS層全防要求 269.4平臺SaaS層全防要求 27參考文獻 302工業(yè)互聯(lián)網(wǎng)平臺安全防護要求范圍PaaS層安全、平臺SaaS層安全等。規(guī)范性引用文件AII/002-2017工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟報告YD/T2439-2012工業(yè)互聯(lián)網(wǎng)平臺可信服務(wù)評估評測要求工業(yè)互聯(lián)網(wǎng)平臺白皮書(2017)移動互聯(lián)網(wǎng)惡意程序描述格式縮略語IaaS工業(yè)互聯(lián)網(wǎng)平臺安全防護要求范圍PaaS層安全、平臺SaaS層安全等。規(guī)范性引用文件AII/002-2017工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟報告YD/T2439-2012工業(yè)互聯(lián)網(wǎng)平臺可信服務(wù)評估評測要求工業(yè)互聯(lián)網(wǎng)平臺白皮書(2017)移動互聯(lián)網(wǎng)惡意程序描述格式縮略語IaaSPaaSInfrastructureasaServicePlatformasaServiceSoftwareasaServiceApplication基礎(chǔ)設(shè)施即服務(wù)平臺即服務(wù)軟件即服務(wù)應(yīng)用程序APP術(shù)語和定義—1—4.1工互網(wǎng)臺 IndustrialInternetPlatform工業(yè)互聯(lián)網(wǎng)平臺架構(gòu)簡介根據(jù)《工業(yè)互聯(lián)網(wǎng)平臺白皮書(2017)》中的定義，工業(yè)互聯(lián)網(wǎng)平臺是面向4.1工互網(wǎng)臺 IndustrialInternetPlatform工業(yè)互聯(lián)網(wǎng)平臺架構(gòu)簡介根據(jù)《工業(yè)互聯(lián)網(wǎng)平臺白皮書(2017)》中的定義，工業(yè)互聯(lián)網(wǎng)平臺是面向平臺(工業(yè)PaaS)、應(yīng)用三大核心層級?？梢哉J為，工業(yè)互聯(lián)網(wǎng)平臺是工業(yè)云平1—2—安全管理體系，這些構(gòu)成了工業(yè)互聯(lián)網(wǎng)平臺的基礎(chǔ)支撐和重要保障。安全管理體系，這些構(gòu)成了工業(yè)互聯(lián)網(wǎng)平臺的基礎(chǔ)支撐和重要保障。工業(yè)互聯(lián)網(wǎng)平臺安全防護需求全。—3—算資源和網(wǎng)絡(luò)資源實現(xiàn)對工業(yè)互聯(lián)網(wǎng)平臺重要資源的訪問控制和管理,防止非法訪問。工業(yè)互聯(lián)網(wǎng)平臺安全防護總體要求7.1 工業(yè)互聯(lián)網(wǎng)平臺安全防護總體原則本標準規(guī)定的工業(yè)互聯(lián)網(wǎng)平臺安全防護要求按照平臺的功能和安全要求的強度，分為基本級要求和增強級要求。工業(yè)互聯(lián)網(wǎng)平臺用戶根據(jù)自身業(yè)務(wù)需求及存儲的信息敏感程度選擇相應(yīng)安平臺。7.2 工業(yè)互聯(lián)網(wǎng)平臺安全防護范圍7.3 工業(yè)互聯(lián)網(wǎng)平臺安全防護內(nèi)容算資源和網(wǎng)絡(luò)資源實現(xiàn)對工業(yè)互聯(lián)網(wǎng)平臺重要資源的訪問控制和管理,防止非法訪問。工業(yè)互聯(lián)網(wǎng)平臺安全防護總體要求7.1 工業(yè)互聯(lián)網(wǎng)平臺安全防護總體原則本標準規(guī)定的工業(yè)互聯(lián)網(wǎng)平臺安全防護要求按照平臺的功能和安全要求的強度，分為基本級要求和增強級要求。工業(yè)互聯(lián)網(wǎng)平臺用戶根據(jù)自身業(yè)務(wù)需求及存儲的信息敏感程度選擇相應(yīng)安平臺。7.2 工業(yè)互聯(lián)網(wǎng)平臺安全防護范圍7.3 工業(yè)互聯(lián)網(wǎng)平臺安全防護內(nèi)容邊緣層力及邊緣計算能力等。平臺IaaS層—4—平臺PaaS層平臺SaaS層包括面向各類工業(yè)應(yīng)用場景的業(yè)務(wù)應(yīng)用及其配套應(yīng)用程序等?；炯壈踩雷o要求網(wǎng)絡(luò)架構(gòu)8.1.2 能夠?qū)Ψ鞘跈?quán)設(shè)備的接入行為進行告警。8.1.3 a)接入網(wǎng)絡(luò)邊界網(wǎng)關(guān)只開放接入服務(wù)相關(guān)的端口；b)平臺PaaS層平臺SaaS層包括面向各類工業(yè)應(yīng)用場景的業(yè)務(wù)應(yīng)用及其配套應(yīng)用程序等?；炯壈踩雷o要求網(wǎng)絡(luò)架構(gòu)8.1.2 能夠?qū)Ψ鞘跈?quán)設(shè)備的接入行為進行告警。8.1.3 a)接入網(wǎng)絡(luò)邊界網(wǎng)關(guān)只開放接入服務(wù)相關(guān)的端口；b)ACL口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)進出。8.1.4 a)b)在發(fā)生嚴重入侵事件時應(yīng)能夠告警。身份鑒別認證—25—c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登陸次數(shù)和自動退出等措施。d)應(yīng)采用安全方式防止用戶鑒別認證信息泄露而造成身份冒用。8.2.1.2 訪問控制a)b)c)應(yīng)關(guān)閉服務(wù)器不使用的端口，防止非法訪問。理用戶所需的最小權(quán)限。8.2.1.3 資源控制a) b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定。8.2.1.4 惡意代碼防范c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登陸次數(shù)和自動退出等措施。d)應(yīng)采用安全方式防止用戶鑒別認證信息泄露而造成身份冒用。8.2.1.2 訪問控制a)b)c)應(yīng)關(guān)閉服務(wù)器不使用的端口，防止非法訪問。理用戶所需的最小權(quán)限。8.2.1.3 資源控制a) b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定。8.2.1.4 惡意代碼防范8.2.1.5 入侵防范a)序，保持系統(tǒng)補丁及時得到更新。b)應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻數(shù)據(jù)產(chǎn)生數(shù)據(jù)產(chǎn)生時，應(yīng)根據(jù)數(shù)據(jù)的敏感度進行分類。8.2.2.2 數(shù)據(jù)傳輸—25—數(shù)據(jù)傳輸應(yīng)符合以下要求：a)應(yīng)采用技術(shù)措施保證鑒別信息(指用于鑒定用戶身份是否合法的信息，如用戶登錄各種業(yè)務(wù)系統(tǒng)的賬號和密碼、服務(wù)密碼等)傳輸?shù)谋Ｃ苄浴)c)應(yīng)支持用戶實現(xiàn)對關(guān)鍵業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?.2.2.3 數(shù)據(jù)存儲a)b)c)d)應(yīng)支持用戶實現(xiàn)對關(guān)鍵業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)的存儲保密性。應(yīng)提供有效的磁盤保護方法或數(shù)據(jù)碎片化存儲等措施，保證及時磁盤竊e)8.2.2.4 數(shù)據(jù)使用8.2.2.5 數(shù)據(jù)遷移a)b)c)數(shù)據(jù)傳輸應(yīng)符合以下要求：a)應(yīng)采用技術(shù)措施保證鑒別信息(指用于鑒定用戶身份是否合法的信息，如用戶登錄各種業(yè)務(wù)系統(tǒng)的賬號和密碼、服務(wù)密碼等)傳輸?shù)谋Ｃ苄?。b)c)應(yīng)支持用戶實現(xiàn)對關(guān)鍵業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?.2.2.3 數(shù)據(jù)存儲a)b)c)d)應(yīng)支持用戶實現(xiàn)對關(guān)鍵業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)的存儲保密性。應(yīng)提供有效的磁盤保護方法或數(shù)據(jù)碎片化存儲等措施，保證及時磁盤竊e)8.2.2.4 數(shù)據(jù)使用8.2.2.5 數(shù)據(jù)遷移a)b)c)應(yīng)保證數(shù)據(jù)在不同虛擬機之間遷移不影響業(yè)務(wù)應(yīng)用的連續(xù)性。8.2.2.6數(shù)據(jù)銷毀a)定。b)應(yīng)提供手段清除數(shù)據(jù)的所有副本。8.2.2.7 備份和恢復(fù)—25—網(wǎng)絡(luò)區(qū)域劃分隔離8.2.3.2 訪問控制a) 應(yīng)在(子)網(wǎng)絡(luò)或網(wǎng)段邊界部署訪問控制設(shè)備并啟用訪問控制功能，或通過安全組設(shè)置訪問控制策略。)力度到主機級。8.2.3.3 安全審計a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、管理員和運維人員行為等進行日志記錄。b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。c)d)網(wǎng)絡(luò)區(qū)域劃分隔離8.2.3.2 訪問控制a) 應(yīng)在(子)網(wǎng)絡(luò)或網(wǎng)段邊界部署訪問控制設(shè)備并啟用訪問控制功能，或通過安全組設(shè)置訪問控制策略。)力度到主機級。8.2.3.3 安全審計a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、管理員和運維人員行為等進行日志記錄。b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。c)d)應(yīng)對審計記錄進行保護，有效期內(nèi)避免受到非授權(quán)的訪問、篡改、覆蓋或刪除等。e)8.2.3.4 惡意代碼防范8.2.3.5 a)b)c)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制?！?5—d)身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換。8.2.3.6 網(wǎng)絡(luò)安全監(jiān)測要求網(wǎng)絡(luò)安全監(jiān)測應(yīng)符合以下要求：a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、管理員和運維人員行為等進行監(jiān)測，識別和記錄異常狀態(tài)。b)應(yīng)根據(jù)用戶需求支持對持續(xù)大流量攻擊進行識別、報警和阻斷的能力。c)拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。d)在發(fā)生嚴重入侵事件時應(yīng)提供報警。虛擬機安全a)b)d)身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換。8.2.3.6 網(wǎng)絡(luò)安全監(jiān)測要求網(wǎng)絡(luò)安全監(jiān)測應(yīng)符合以下要求：a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、管理員和運維人員行為等進行監(jiān)測，識別和記錄異常狀態(tài)。b)應(yīng)根據(jù)用戶需求支持對持續(xù)大流量攻擊進行識別、報警和阻斷的能力。c)拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。d)在發(fā)生嚴重入侵事件時應(yīng)提供報警。虛擬機安全a)b)c)d)應(yīng)支持虛擬機部署防病毒軟件。應(yīng)支持對虛擬機脆弱性進行檢測的能力。8.2.4.2 虛擬網(wǎng)絡(luò)安全a)應(yīng)部署一定的訪問控制安全策略，以實現(xiàn)虛擬機之間、虛擬機與虛擬機管理平臺之間、虛擬機與外部網(wǎng)絡(luò)之間的安全訪問控制。)離。c)應(yīng)支持不同租戶之間的網(wǎng)絡(luò)隔離。8.2.4.3 )確保某個虛擬機崩潰后不影響虛擬機監(jiān)控器及其他虛擬機。b)應(yīng)保證不同虛擬機之間的虛擬CPU指令隔離?！?5—c)應(yīng)保證不同虛擬機之間的內(nèi)存隔離，內(nèi)存被釋放或再分配給其他虛擬機前得到完全釋放。d)應(yīng)保證虛擬機只能訪問分配給該虛擬機的存儲空間(包括內(nèi)存空間和磁盤空間)。e)f)應(yīng)支持發(fā)現(xiàn)虛擬化平臺漏洞的能力，支持漏洞修復(fù)。數(shù)據(jù)挖掘a)針對不同接入方式的數(shù)據(jù)挖掘用戶，應(yīng)采用不同的認證方式。需要檢查使用數(shù)據(jù)的合法性和有效性。b)和可靠性提供必要的驗證與測試方案。c)式、數(shù)據(jù)內(nèi)容等進行監(jiān)控。d)禁止挖掘算法對數(shù)據(jù)存儲區(qū)域內(nèi)的原始數(shù)據(jù)進行增加、修改、刪除等操c)應(yīng)保證不同虛擬機之間的內(nèi)存隔離，內(nèi)存被釋放或再分配給其他虛擬機前得到完全釋放。d)應(yīng)保證虛擬機只能訪問分配給該虛擬機的存儲空間(包括內(nèi)存空間和磁盤空間)。e)f)應(yīng)支持發(fā)現(xiàn)虛擬化平臺漏洞的能力，支持漏洞修復(fù)。數(shù)據(jù)挖掘a)針對不同接入方式的數(shù)據(jù)挖掘用戶，應(yīng)采用不同的認證方式。需要檢查使用數(shù)據(jù)的合法性和有效性。b)和可靠性提供必要的驗證與測試方案。c)式、數(shù)據(jù)內(nèi)容等進行監(jiān)控。d)禁止挖掘算法對數(shù)據(jù)存儲區(qū)域內(nèi)的原始數(shù)據(jù)進行增加、修改、刪除等操作，以保證原始數(shù)據(jù)的可用性和完整性。e)戶操作數(shù)據(jù)的情況，統(tǒng)一管理數(shù)據(jù)使用權(quán)限。f)ECA產(chǎn)生數(shù)據(jù)泄露。g)應(yīng)對挖掘內(nèi)容、過程、結(jié)果、用戶進行安全審計。主要包括挖掘內(nèi)容的性。h)約束的濫用。i)保護用戶隱私不被泄露?！?5—8.3.1.2 數(shù)據(jù)輸出a)的可追溯。b)應(yīng)對所有輸出的數(shù)據(jù)內(nèi)容都進行合規(guī)性審計，審計范圍包括數(shù)據(jù)的真實性、一致性、完整性、歸屬權(quán)、使用范圍等。c)應(yīng)對數(shù)據(jù)輸出的接口進行規(guī)范管理，管理內(nèi)容包括數(shù)據(jù)輸出接口類型、加密方式、傳輸周期、使用用途、認證方式等。d)確保輸出的數(shù)據(jù)滿足約定的要求且不泄露敏感信息。e)應(yīng)對所有審計行為留有記錄并獨立存儲，嚴禁在任何情況下開放對審計結(jié)果的修改與刪除權(quán)限。身份鑒別a)b)管理微服務(wù)組件的用戶身份標識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換。c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登陸次數(shù)和自動退出等措施。d)8.3.1.2 數(shù)據(jù)輸出a)的可追溯。b)應(yīng)對所有輸出的數(shù)據(jù)內(nèi)容都進行合規(guī)性審計，審計范圍包括數(shù)據(jù)的真實性、一致性、完整性、歸屬權(quán)、使用范圍等。c)應(yīng)對數(shù)據(jù)輸出的接口進行規(guī)范管理，管理內(nèi)容包括數(shù)據(jù)輸出接口類型、加密方式、傳輸周期、使用用途、認證方式等。d)確保輸出的數(shù)據(jù)滿足約定的要求且不泄露敏感信息。e)應(yīng)對所有審計行為留有記錄并獨立存儲，嚴禁在任何情況下開放對審計結(jié)果的修改與刪除權(quán)限。身份鑒別a)b)管理微服務(wù)組件的用戶身份標識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換。c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登陸次數(shù)和自動退出等措施。d)應(yīng)采用安全方式防止用戶鑒別認證信息泄露而造成身份冒用。8.3.2.2 訪問控制限。e)應(yīng)支持按用戶需求提供與其相關(guān)的審計信息及審計分析報告。8.3.2.3 開放接口a)微服務(wù)組件應(yīng)有與外部組件或應(yīng)用之間開放接口的安全管控措施，接口b)應(yīng)對開放接口調(diào)用有認證措施?！?5—c)d)應(yīng)用開放接口生成的業(yè)務(wù)應(yīng)用或應(yīng)用程序在供用戶下載之前應(yīng)通過安全檢測。e)身份鑒別a)對保留用戶個人信息或用戶服務(wù)信息的業(yè)務(wù)，應(yīng)對登錄用戶進行身份標識和鑒別。b)采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。c)別信息復(fù)雜度檢查功能，保證身份鑒別信息不易被冒用。d)應(yīng)采用加密方式存儲用戶的賬號和口令信息。8.3.3.2 訪問控制d)相關(guān)審計記錄應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等，并且保留一定期限(具體期限應(yīng)符合相關(guān)法律法規(guī)要求)。c)d)應(yīng)用開放接口生成的業(yè)務(wù)應(yīng)用或應(yīng)用程序在供用戶下載之前應(yīng)通過安全檢測。e)身份鑒別a)對保留用戶個人信息或用戶服務(wù)信息的業(yè)務(wù)，應(yīng)對登錄用戶進行身份標識和鑒別。b)采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。c)別信息復(fù)雜度檢查功能，保證身份鑒別信息不易被冒用。d)應(yīng)采用加密方式存儲用戶的賬號和口令信息。8.3.3.2 訪問控制d)相關(guān)審計記錄應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等，并且保留一定期限(具體期限應(yīng)符合相關(guān)法律法規(guī)要求)。8.3.3.3 資源控制8.3.3.4信息保護a)同意，不能擅自收集、修改、泄漏用戶相關(guān)敏感信息。b)應(yīng)保護相關(guān)信息的安全，避免相關(guān)數(shù)據(jù)和頁面被篡改和破壞。c)應(yīng)禁止不必要的內(nèi)嵌網(wǎng)絡(luò)服務(wù)，應(yīng)禁止在用戶端自動安裝惡意軟件和插件?！?5—d)e)應(yīng)對通信過程中的敏感信息字段進行加密。應(yīng)對敏感信息(如用戶信息、訂單信息、應(yīng)用軟件下載路徑等)進行加密存儲。f)應(yīng)對開發(fā)環(huán)境相關(guān)功能的關(guān)鍵數(shù)據(jù)(如業(yè)務(wù)數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、管理員操作維護記錄、用戶信息、業(yè)務(wù)應(yīng)用與應(yīng)用程序購買、下載信息等)應(yīng)有必要的容災(zāi)各份。g)應(yīng)能對詐騙、虛假廣告等信息建立處理機制，防止類似信息的擴散。8.3.3.6 上線前檢測a)開發(fā)環(huán)境應(yīng)在業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序上線前對其進行安全審核，以確d)e)應(yīng)對通信過程中的敏感信息字段進行加密。應(yīng)對敏感信息(如用戶信息、訂單信息、應(yīng)用軟件下載路徑等)進行加密存儲。f)應(yīng)對開發(fā)環(huán)境相關(guān)功能的關(guān)鍵數(shù)據(jù)(如業(yè)務(wù)數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、管理員操作維護記錄、用戶信息、業(yè)務(wù)應(yīng)用與應(yīng)用程序購買、下載信息等)應(yīng)有必要的容災(zāi)各份。g)應(yīng)能對詐騙、虛假廣告等信息建立處理機制，防止類似信息的擴散。8.3.3.6 上線前檢測a)開發(fā)環(huán)境應(yīng)在業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序上線前對其進行安全審核，以確b)開發(fā)環(huán)境可提供用戶數(shù)據(jù)同步功能，但開發(fā)環(huán)境同步的用戶數(shù)據(jù)不應(yīng)保存在位于境外的服務(wù)器上。c)，繼而被安裝到終端上.d)應(yīng)用與工業(yè)應(yīng)用程序撥測應(yīng)采用自動撥測與人工撥測相結(jié)合的方式進行。e)APIAPI范圍之外的API。身份鑒別8.4.1.2 訪問控制—25—a)應(yīng)嚴格限制用戶的訪問權(quán)限，按安全策略要求控制用戶對業(yè)務(wù)應(yīng)用的訪問。b)應(yīng)嚴格限制應(yīng)用與應(yīng)用之間相互調(diào)用的權(quán)限，按照安全策略要求控制應(yīng)用對其他應(yīng)用里用戶數(shù)據(jù)或特權(quán)指令等資源的調(diào)用。8.4.1.3 安全審計a)審計范圍應(yīng)覆蓋到用戶在業(yè)務(wù)應(yīng)用中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件。b)應(yīng)對審計記錄進行保護，有效期內(nèi)避免受到非授權(quán)的訪問、篡改、覆蓋或刪除等。c)d)應(yīng)支持按用戶需求提供與其相關(guān)的審計信息及審計分析報告。8.4.1.4 資源控制a)b)c)應(yīng)提供資源控制不當?shù)膱缶绊憫?yīng)。a)應(yīng)嚴格限制用戶的訪問權(quán)限，按安全策略要求控制用戶對業(yè)務(wù)應(yīng)用的訪問。b)應(yīng)嚴格限制應(yīng)用與應(yīng)用之間相互調(diào)用的權(quán)限，按照安全策略要求控制應(yīng)用對其他應(yīng)用里用戶數(shù)據(jù)或特權(quán)指令等資源的調(diào)用。8.4.1.3 安全審計a)審計范圍應(yīng)覆蓋到用戶在業(yè)務(wù)應(yīng)用中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件。b)應(yīng)對審計記錄進行保護，有效期內(nèi)避免受到非授權(quán)的訪問、篡改、覆蓋或刪除等。c)d)應(yīng)支持按用戶需求提供與其相關(guān)的審計信息及審計分析報告。8.4.1.4 資源控制a)b)c)應(yīng)提供資源控制不當?shù)膱缶绊憫?yīng)。邏輯安全8.4.2.1.1 身份鑒別a)應(yīng)提供專門的登錄控制模塊對登錄用戶進行身份標識和鑒別，戶身份標識的唯一性。并保證用)c)應(yīng)提供并啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。d)應(yīng)采用加密方式存儲用戶的登錄口令信息。8.4.2.1.2 訪問控制—25—a)按安全策略要求控制用戶對業(yè)務(wù)、數(shù)據(jù)、網(wǎng)絡(luò)資源等的訪問。b)應(yīng)嚴格設(shè)置登錄策略，按安全策略要求具備防范賬戶暴力破解攻擊措施標志信息進行密碼重新設(shè)定或者憑有效證件進行設(shè)定)。c)當進行業(yè)務(wù)權(quán)限更改時(如密碼重置、密碼找回等)，應(yīng)設(shè)置相關(guān)策略，防止暴力破解攻擊。d)業(yè)務(wù)訂購、變更、退訂流程應(yīng)根據(jù)實際業(yè)務(wù)需求，應(yīng)采用“認證碼”或8.4.2.1.3 安全審計審計范圍應(yīng)覆蓋到每個用戶的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況a)等重要事件(如普通用戶異常登錄、發(fā)布惡意代碼、異常修改賬號信息應(yīng)保護審計記錄，保證無法刪除、修改或覆蓋等。b)c)業(yè)務(wù)相關(guān)審計記錄應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。d)應(yīng)具備對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。8.4.2.1.4 其他a)按安全策略要求控制用戶對業(yè)務(wù)、數(shù)據(jù)、網(wǎng)絡(luò)資源等的訪問。b)應(yīng)嚴格設(shè)置登錄策略，按安全策略要求具備防范賬戶暴力破解攻擊措施標志信息進行密碼重新設(shè)定或者憑有效證件進行設(shè)定)。c)當進行業(yè)務(wù)權(quán)限更改時(如密碼重置、密碼找回等)，應(yīng)設(shè)置相關(guān)策略，防止暴力破解攻擊。d)業(yè)務(wù)訂購、變更、退訂流程應(yīng)根據(jù)實際業(yè)務(wù)需求，應(yīng)采用“認證碼”或8.4.2.1.3 安全審計審計范圍應(yīng)覆蓋到每個用戶的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況a)等重要事件(如普通用戶異常登錄、發(fā)布惡意代碼、異常修改賬號信息應(yīng)保護審計記錄，保證無法刪除、修改或覆蓋等。b)c)業(yè)務(wù)相關(guān)審計記錄應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。d)應(yīng)具備對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。8.4.2.1.4 其他a)當工業(yè)應(yīng)用程序和平臺服務(wù)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話。b)應(yīng)能對含有惡意代碼鏈接的信息建立發(fā)現(xiàn)和處理機制，防止類似信息的擴散。c)務(wù)功能(如定位等)。8.4.2.2原生應(yīng)用及后臺系統(tǒng)安全8.4.2.2.1 輸入驗證—25—8.4.2.2.2 身份認證a)b)軟件的用戶身份鑒別模塊應(yīng)對用戶身份鑒別信息進行保護，防止泄露。會話管理8.4.2.2.38.4.2.2.4 數(shù)據(jù)存儲應(yīng)確保工業(yè)應(yīng)用程序配置信息、用戶認證信息等敏感數(shù)據(jù)采用加密方式存儲。8.4.2.2.5 日志記錄a)后臺日志記錄范圍應(yīng)覆蓋到每個用戶的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件(如普通用戶異常登錄、發(fā)布惡意代碼、異常修改b)應(yīng)禁止在后臺以及客戶端日志中記錄用戶登錄口令等敏感信息，如果確實需要記錄敏感信息，則應(yīng)進行模糊化處理。c)則需要進行嚴格校驗，防止日志欺騙攻擊。d)后臺日志記錄進行簽名來實現(xiàn)防篡改。8.4.2.2.6 其他a)工業(yè)應(yīng)用程序不應(yīng)含有移動互聯(lián)網(wǎng)惡意程序。移動互聯(lián)網(wǎng)惡意程序的判8.4.2.2.2 身份認證a)b)軟件的用戶身份鑒別模塊應(yīng)對用戶身份鑒別信息進行保護，防止泄露。會話管理8.4.2.2.38.4.2.2.4 數(shù)據(jù)存儲應(yīng)確保工業(yè)應(yīng)用程序配置信息、用戶認證信息等敏感數(shù)據(jù)采用加密方式存儲。8.4.2.2.5 日志記錄a)后臺日志記錄范圍應(yīng)覆蓋到每個用戶的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件(如普通用戶異常登錄、發(fā)布惡意代碼、異常修改b)應(yīng)禁止在后臺以及客戶端日志中記錄用戶登錄口令等敏感信息，如果確實需要記錄敏感信息，則應(yīng)進行模糊化處理。c)則需要進行嚴格校驗，防止日志欺騙攻擊。d)后臺日志記錄進行簽名來實現(xiàn)防篡改。8.4.2.2.6 其他a)工業(yè)應(yīng)用程序不應(yīng)含有移動互聯(lián)網(wǎng)惡意程序。移動互聯(lián)網(wǎng)惡意程序的判定依據(jù)見YD/T2439-2012的相關(guān)要求。b)存等。c)應(yīng)確保軟件不非法操作與自身功能不相關(guān)的文件(如圖片、通信錄、其他應(yīng)用軟件等)。d)客戶端軟件應(yīng)進行代碼變量隱藏。WebWeb—25—8.4.2.3.1 輸入驗證a)URL都可能包含惡意信息，并盡量使用白名單驗證方法。b)c)應(yīng)在服務(wù)器端進行輸入驗證，避免客戶端輸入驗證被繞過。篡改。8.4.2.3.2 身份認證)全。b)應(yīng)禁止在數(shù)據(jù)庫或文件系統(tǒng)中明文存儲用戶密碼，可采用單向散列值在數(shù)據(jù)庫中存儲用戶密碼，降低存儲的用戶密碼被字典攻擊的風險。c)8.4.2.3.1 輸入驗證a)URL都可能包含惡意信息，并盡量使用白名單驗證方法。b)c)應(yīng)在服務(wù)器端進行輸入驗證，避免客戶端輸入驗證被繞過。篡改。8.4.2.3.2 身份認證)全。b)應(yīng)禁止在數(shù)據(jù)庫或文件系統(tǒng)中明文存儲用戶密碼，可采用單向散列值在數(shù)據(jù)庫中存儲用戶密碼，降低存儲的用戶密碼被字典攻擊的風險。c)d)應(yīng)禁止在COOKIE中保存明文用戶密碼。應(yīng)采取措施防止暴力破解、惡意注冊、惡意占用資源等行為。e)密碼取回問題及答案、綁定手機號碼等)，避免用戶身份被冒用。f)應(yīng)避免認證錯誤提示泄露信息，在認證失敗時，應(yīng)向用戶提供通用的錯誤提示信息(如不應(yīng)區(qū)分是賬號錯誤還是密碼錯誤)，避免這些錯誤提示信息被攻擊者利用。g)長度、復(fù)雜度、更換周期等，特別是業(yè)務(wù)系統(tǒng)的管理員密碼。h)應(yīng)支持賬號鎖定功能，系統(tǒng)應(yīng)限制連續(xù)登錄失敗次數(shù)，在客戶端多次嘗置解鎖時長。i)應(yīng)確保用戶不能訪問到未授權(quán)的功能和數(shù)據(jù)，未經(jīng)授權(quán)的用戶試圖訪問受限資源時，系統(tǒng)應(yīng)予以拒絕或提示用戶進行身份鑒權(quán)。8.4.2.3.3 會話管理a)應(yīng)確保會話的安全創(chuàng)建。在用戶認證成功后，應(yīng)為用戶創(chuàng)建新的會話并者猜測；會話與IP地址可綁定，降低會話被盜用的風險?！?5—b)應(yīng)確保會話數(shù)據(jù)的存儲安全。用戶登錄成功后所生成的會話數(shù)據(jù)應(yīng)存儲c)d)Webe)f)應(yīng)限制會話并發(fā)連接數(shù)，限制同一用戶的會話并發(fā)連接數(shù)，避免惡意用戶創(chuàng)建多個并發(fā)的會話來消耗系統(tǒng)資源，影響業(yè)務(wù)的可用性。)b)應(yīng)確保會話數(shù)據(jù)的存儲安全。用戶登錄成功后所生成的會話數(shù)據(jù)應(yīng)存儲c)d)Webe)f)應(yīng)限制會話并發(fā)連接數(shù)，限制同一用戶的會話并發(fā)連接數(shù)，避免惡意用戶創(chuàng)建多個并發(fā)的會話來消耗系統(tǒng)資源，影響業(yè)務(wù)的可用性。)求偽造等攻擊。8.4.2.3.4 數(shù)據(jù)存儲a)對于不同類別的數(shù)據(jù)，比如日志記錄和業(yè)務(wù)數(shù)據(jù)，應(yīng)采取相應(yīng)的隔離措施和安全保護措施。b)c)禁止在客戶端本地存儲用戶敏感數(shù)據(jù)，如用戶密碼、身份信息等。應(yīng)避免在代碼中硬編碼密碼(即在代碼中直接嵌入密碼，會導致密碼修改困難，甚至密碼的泄露)，可從配置文件載入密碼。d)外部系統(tǒng)接口認證密碼等。8.4.2.3.5 數(shù)據(jù)傳輸應(yīng)確保通信信道的安全，在客戶端與Web服務(wù)器之間使用并正確配置1288.4.2.3.6 日志記錄—25—a)后臺日志記錄范圍應(yīng)覆蓋到每個用戶的關(guān)鍵操作、重要行為、業(yè)務(wù)資源應(yīng)禁止在后臺日志中記錄用戶密碼等敏感信息，如果確實需要記錄敏感需要進行嚴格校驗，防止日志欺騙攻擊。)限制日志數(shù)據(jù)的訪問權(quán)限，可對日志記錄進行簽名來實現(xiàn)防篡改。8.4.2.3.7 其他a)Web遲、解析錯誤等情況，并有應(yīng)急處理能力。b)a)后臺日志記錄范圍應(yīng)覆蓋到每個用戶的關(guān)鍵操作、重要行為、業(yè)務(wù)資源應(yīng)禁止在后臺日志中記錄用戶密碼等敏感信息，如果確實需要記錄敏感需要進行嚴格校驗，防止日志欺騙攻擊。)限制日志數(shù)據(jù)的訪問權(quán)限，可對日志記錄進行簽名來實現(xiàn)防篡改。8.4.2.3.7 其他a)Web遲、解析錯誤等情況，并有應(yīng)急處理能力。b)應(yīng)避免存在常見的Web漏洞(如SQL注入、跨站腳本、跨站請求偽造等)。c)Web增強級安全防護要求網(wǎng)絡(luò)架構(gòu)9.1.2 傳輸保護應(yīng)保證通信過程中的關(guān)鍵信息的保密性。9.1.3 邊界防護a)能夠?qū)Ψ鞘跈?quán)設(shè)備的接入行為進行告警和阻斷?！?5—b)對于有線和無線接入，確保通過受控的邊界防護設(shè)備或者其上的指定端口接入網(wǎng)絡(luò)。9.1.4 訪問控制a)b)采用白名單控制方式，只允許合法設(shè)備接入網(wǎng)絡(luò)c)PC機、智能終端等設(shè)備進行注冊認證。d)權(quán)通信。e)在一個非活動時間周期后，可以通過自動方式或者手動方式終止用戶遠程連接。9.1.5 入侵防范b)對于有線和無線接入，確保通過受控的邊界防護設(shè)備或者其上的指定端口接入網(wǎng)絡(luò)。9.1.4 訪問控制a)b)采用白名單控制方式，只允許合法設(shè)備接入網(wǎng)絡(luò)c)PC機、智能終端等設(shè)備進行注冊認證。d)權(quán)通信。e)在一個非活動時間周期后，可以通過自動方式或者手動方式終止用戶遠程連接。9.1.5 入侵防范9.1.6 安全審計服務(wù)器安全防護要求身份鑒別認證9.2.1.2訪問控制9.2.1.3 安全審計—25—a)b)c)9.2.1.4應(yīng)保護審計進程，避免受到未預(yù)期的中斷。資源控制應(yīng)對重要服務(wù)器進行性能監(jiān)測，包括服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況，發(fā)現(xiàn)異常情況提供告警，并進行相應(yīng)處置。9.2.1.5 惡意代碼防范9.2.1.6 入侵防范存儲安全防護要求數(shù)據(jù)產(chǎn)生9.2.2.2 數(shù)據(jù)傳輸a)b)c)9.2.1.4應(yīng)保護審計進程，避免受到未預(yù)期的中斷。資源控制應(yīng)對重要服務(wù)器進行性能監(jiān)測，包括服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況，發(fā)現(xiàn)異常情況提供告警，并進行相應(yīng)處置。9.2.1.5 惡意代碼防范9.2.1.6 入侵防范存儲安全防護要求數(shù)據(jù)產(chǎn)生9.2.2.2 數(shù)據(jù)傳輸9.2.2.3 數(shù)據(jù)存儲a)應(yīng)能夠檢測到數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。b)c)應(yīng)支持用戶選擇第三方加密及密鑰管理機制對用戶關(guān)鍵數(shù)據(jù)進行加密。應(yīng)提供有效的虛擬機鏡像文件加載保護機制，保證即使虛擬機鏡像被竊取，非法用戶也無法直接在其計算資源上進行掛卷運行。9.2.2.4 數(shù)據(jù)使用—25—9.2.2.5 數(shù)據(jù)遷移9.2.2.6 數(shù)據(jù)銷毀a)應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除。b)應(yīng)確保文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。c)9.2.2.7 備份和恢復(fù)a)9.2.2.5 數(shù)據(jù)遷移9.2.2.6 數(shù)據(jù)銷毀a)應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除。b)應(yīng)確保文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。c)9.2.2.7 備份和恢復(fù)a)應(yīng)急切換，保持業(yè)務(wù)連續(xù)運行。b)應(yīng)建立異地災(zāi)難備份中心，提供異地實時備份功能，配備災(zāi)難恢復(fù)所需網(wǎng)絡(luò)安全防護要求網(wǎng)絡(luò)區(qū)域劃分隔離9.2.3.2 訪問控制9.2.3.3 安全審計—25—應(yīng)能匯聚服務(wù)范圍內(nèi)的審計數(shù)據(jù)，支持第三方審計。9.2.3.4 惡意代碼防范9.2.3.5 網(wǎng)絡(luò)設(shè)備防護a)當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。b)做到最小授權(quán)。9.2.3.6 網(wǎng)絡(luò)安全監(jiān)測要求a)b)應(yīng)支持對違法和不良信息或非法域名的檢測發(fā)現(xiàn)并告警。c)頭。應(yīng)能匯聚服務(wù)范圍內(nèi)的審計數(shù)據(jù)，支持第三方審計。9.2.3.4 惡意代碼防范9.2.3.5 網(wǎng)絡(luò)設(shè)備防護a)當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。b)做到最小授權(quán)。9.2.3.6 網(wǎng)絡(luò)安全監(jiān)測要求a)b)應(yīng)支持對違法和不良信息或非法域名的檢測發(fā)現(xiàn)并告警。c)頭。d)應(yīng)在網(wǎng)絡(luò)邊界處部署異常流量和對未知威脅的識別、監(jiān)控和防護機制，9.2.4 虛擬化安全防護要求9.2.4.1虛擬機安全a)應(yīng)保證虛擬機遷移過程中數(shù)據(jù)和內(nèi)存的安全可靠，保證遷入虛擬機的完整性和遷移前后安全配置環(huán)境的一致性。)保虛擬機實現(xiàn)安全啟動。c)應(yīng)對虛擬機鏡像文件進行完整性校驗，確保虛擬機鏡像不被篡改?！?5—應(yīng)提供最新版本的虛擬機鏡像和補丁版本。9.2.4.2 虛擬網(wǎng)絡(luò)安全a)b)c)應(yīng)對虛擬機網(wǎng)絡(luò)出口帶寬進行限制。9.2.4.3 虛擬化平臺安全數(shù)據(jù)分析服務(wù)安全防護要求9.3.2 微服務(wù)組件安全防護要求平臺應(yīng)用開發(fā)環(huán)境安全防護要求身份鑒別應(yīng)提供最新版本的虛擬機鏡像和補丁版本。9.2.4.2 虛擬網(wǎng)絡(luò)安全a)b)c)應(yīng)對虛擬機網(wǎng)絡(luò)出口帶寬進行限制。9.2.4.3 虛擬化平臺安全數(shù)據(jù)分析服務(wù)安全防護要求9.3.2 微服務(wù)組件安全防護要求平臺應(yīng)用開發(fā)環(huán)境安全防護要求身份鑒別操作、管理、瀏覽等)提供有效的保護措施(如對用戶注冊口令進行強度檢查、9.3.3.2 訪問控制9.3.3.3 安全審計9.3.3.4 資源控制—26—a)