DB3305T 253-2022 物聯(lián)中臺安全管理規(guī)范　　

1DB3305湖州市市場監(jiān)督管理局發(fā)布I 2 2本標(biāo)準(zhǔn)旨在指導(dǎo)湖州市物聯(lián)中臺物聯(lián)感知體系規(guī)劃、建設(shè)及改造，夯實全域感知的基中移物聯(lián)網(wǎng)有限公司、中國移動通信集團(tuán)浙江有限公司湖州分公1物聯(lián)中臺安全管理規(guī)范GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)GB/T36951-2018信息安全技術(shù)物聯(lián)網(wǎng)感知終端應(yīng)用安全一接入和集中管理，向上面向第三方應(yīng)用系統(tǒng)提供數(shù)據(jù)推送以及API接口服務(wù)，實現(xiàn)物聯(lián)數(shù)據(jù)統(tǒng)一標(biāo)準(zhǔn)穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性4縮略語GRE：通用路由封裝（GenericRoL2TP：第二層隧道協(xié)議（LayerTwo25.1終端物理安全物聯(lián)網(wǎng)終端選址時，應(yīng)滿足GB∕T36951-2018確立的下列選址5.2終端軟件安全——安裝滿足業(yè)務(wù)安全功能需求的軟件并正確配置及使用；——確保維護(hù)單位對終端固件安全漏洞具備基礎(chǔ)的檢測和響應(yīng)能力；5.3終端接入安全——對于可通過用戶口令直接登錄的終端，需確保用戶口令的復(fù)雜度符合相關(guān)規(guī)定；——可設(shè)置網(wǎng)絡(luò)訪問控制策略，限制非必要主體對終端的網(wǎng)絡(luò)訪問。7.1.1部署平臺的機房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)，機房場地應(yīng)避免設(shè)在建37.1.2部署平臺的機房應(yīng)具備物理訪問控制能力、防盜竊和防破壞能力、防火防雷擊能力、防水和防潮能力、防靜電能力、溫濕度控制能力、電力供應(yīng)保障能力、電磁防護(hù)能7.2.1.3應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便7.2.1.4應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)7.2.1.5應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)7.3.1.1應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求7.3.1.2應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自7.3.1.3當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被7.3.1.4應(yīng)采用口令、密碼技術(shù)等技術(shù)對用戶進(jìn)行7.3.2.1應(yīng)對登錄的用戶分配賬7.3.2.3應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的7.3.2.5應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問7.3.2.6訪問控制的粒度應(yīng)達(dá)到主體為用7.3.2.7應(yīng)對重要主體和客體設(shè)置安全標(biāo)記，7.3.3.1應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要7.3.3.2審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信7.3.3.3應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆7.3.3.4應(yīng)對審計進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授7.3.3.5審計日志能夠依照相關(guān)要求同物聯(lián)感知體系對應(yīng)安全系統(tǒng)進(jìn)行47.3.4.3應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限7.3.4.4應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)7.3.4.5應(yīng)具備安全基線配置和下發(fā)能力，能夠通過安全巡檢發(fā)現(xiàn)安全風(fēng)險，防范入侵事7.3.6.1應(yīng)采用校驗技術(shù)或密碼技術(shù)7.3.6.2應(yīng)采用校驗技術(shù)或密碼技術(shù)7.3.7.1應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)7.3.7.2應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)7.3.8.1應(yīng)僅采集和保存業(yè)務(wù)必需的用戶7.4.1.1應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行7.4.1.2應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或7.4.1.3應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或7.4.1.4應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無7.4.2.1應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受7.4.2.3應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包7.4.2.4應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的7.4.2.5應(yīng)對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流7.4.3.1應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊7.4.3.2應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊57.4.3.3應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分7.4.3.5具備針對網(wǎng)絡(luò)安全攻擊的態(tài)勢分析、預(yù)警和應(yīng)急響應(yīng)7.4.4.1應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進(jìn)行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重7.4.4.2審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信7.4.4.3應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆7.4.4.4應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶7.5.1.1應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并7.5.1.2應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進(jìn)行配置、控制和管理，包括用戶身份、系統(tǒng)資源配7.5.2.1應(yīng)對審計管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計操作，并7.5.2.2應(yīng)通過審計管理員對審計記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計策7.5.3.1應(yīng)對安全管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并7.5.3.2應(yīng)通過安全管理員對系統(tǒng)中的安全策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，主體、客體進(jìn)行統(tǒng)7.5.4.1應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行7.5.4.2應(yīng)能夠建立一條安全的信息傳7.5.4.3應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)