1圍 12規(guī)范性引用文件 13縮略語 14術語和定義 15工業(yè)互聯(lián)網平臺架構簡介 26工業(yè)互聯(lián)網平臺安全防護需求 37工業(yè)互聯(lián)網平臺安全防護總體要求 1圍 12規(guī)范性引用文件 13縮略語 14術語和定義 15工業(yè)互聯(lián)網平臺架構簡介 26工業(yè)互聯(lián)網平臺安全防護需求 37工業(yè)互聯(lián)網平臺安全防護總體要求 47.1工業(yè)互聯(lián)網平臺安全防護總體原則 47.2工業(yè)互聯(lián)網平臺安全防護范圍 47.3工業(yè)互聯(lián)網平臺安全防護內容 48基本級安全防護要求 58.1邊緣層安全防護要求 58.2臺IaaS層全防要求 68.3平臺PaaS層全防要求 118.4平臺SaaS層全防要求 159增強級安全防護要求 219.1邊緣層安全防護要求 21平臺IaaS層全防要求 229.3平臺PaaS層全防要求 269.4平臺SaaS層全防要求 27參考文獻 302工業(yè)互聯(lián)網平臺安全防護要求范圍PaaS層安全、平臺SaaS層安全等。規(guī)范性引用文件AII/002-2017工業(yè)互聯(lián)網產業(yè)聯(lián)盟報告YD/T2439-2012工業(yè)互聯(lián)網平臺可信服務評估評測要求工業(yè)互聯(lián)網平臺白皮書(2017)移動互聯(lián)網惡意程序描述格式縮略語IaaS工業(yè)互聯(lián)網平臺安全防護要求范圍PaaS層安全、平臺SaaS層安全等。規(guī)范性引用文件AII/002-2017工業(yè)互聯(lián)網產業(yè)聯(lián)盟報告YD/T2439-2012工業(yè)互聯(lián)網平臺可信服務評估評測要求工業(yè)互聯(lián)網平臺白皮書(2017)移動互聯(lián)網惡意程序描述格式縮略語IaaSPaaSInfrastructureasaServicePlatformasaServiceSoftwareasaServiceApplication基礎設施即服務平臺即服務軟件即服務應用程序APP術語和定義—1—4.1工互網臺 IndustrialInternetPlatform工業(yè)互聯(lián)網平臺架構簡介根據(jù)《工業(yè)互聯(lián)網平臺白皮書(2017)》中的定義，工業(yè)互聯(lián)網平臺是面向4.1工互網臺 IndustrialInternetPlatform工業(yè)互聯(lián)網平臺架構簡介根據(jù)《工業(yè)互聯(lián)網平臺白皮書(2017)》中的定義，工業(yè)互聯(lián)網平臺是面向平臺(工業(yè)PaaS)、應用三大核心層級?？梢哉J為，工業(yè)互聯(lián)網平臺是工業(yè)云平1—2—安全管理體系，這些構成了工業(yè)互聯(lián)網平臺的基礎支撐和重要保障。安全管理體系，這些構成了工業(yè)互聯(lián)網平臺的基礎支撐和重要保障。工業(yè)互聯(lián)網平臺安全防護需求全?！?—算資源和網絡資源實現(xiàn)對工業(yè)互聯(lián)網平臺重要資源的訪問控制和管理,防止非法訪問。工業(yè)互聯(lián)網平臺安全防護總體要求7.1 工業(yè)互聯(lián)網平臺安全防護總體原則本標準規(guī)定的工業(yè)互聯(lián)網平臺安全防護要求按照平臺的功能和安全要求的強度，分為基本級要求和增強級要求。工業(yè)互聯(lián)網平臺用戶根據(jù)自身業(yè)務需求及存儲的信息敏感程度選擇相應安平臺。7.2 工業(yè)互聯(lián)網平臺安全防護范圍7.3 工業(yè)互聯(lián)網平臺安全防護內容算資源和網絡資源實現(xiàn)對工業(yè)互聯(lián)網平臺重要資源的訪問控制和管理,防止非法訪問。工業(yè)互聯(lián)網平臺安全防護總體要求7.1 工業(yè)互聯(lián)網平臺安全防護總體原則本標準規(guī)定的工業(yè)互聯(lián)網平臺安全防護要求按照平臺的功能和安全要求的強度，分為基本級要求和增強級要求。工業(yè)互聯(lián)網平臺用戶根據(jù)自身業(yè)務需求及存儲的信息敏感程度選擇相應安平臺。7.2 工業(yè)互聯(lián)網平臺安全防護范圍7.3 工業(yè)互聯(lián)網平臺安全防護內容邊緣層力及邊緣計算能力等。平臺IaaS層—4—平臺PaaS層平臺SaaS層包括面向各類工業(yè)應用場景的業(yè)務應用及其配套應用程序等?；炯壈踩雷o要求網絡架構8.1.2 能夠對非授權設備的接入行為進行告警。8.1.3 a)接入網絡邊界網關只開放接入服務相關的端口；b)平臺PaaS層平臺SaaS層包括面向各類工業(yè)應用場景的業(yè)務應用及其配套應用程序等。基本級安全防護要求網絡架構8.1.2 能夠對非授權設備的接入行為進行告警。8.1.3 a)接入網絡邊界網關只開放接入服務相關的端口；b)ACL口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)進出。8.1.4 a)b)在發(fā)生嚴重入侵事件時應能夠告警。身份鑒別認證—25—c)應啟用登錄失敗處理功能，可采取結束會話、限制非法登陸次數(shù)和自動退出等措施。d)應采用安全方式防止用戶鑒別認證信息泄露而造成身份冒用。8.2.1.2 訪問控制a)b)c)應關閉服務器不使用的端口，防止非法訪問。理用戶所需的最小權限。8.2.1.3 資源控制a) b)應根據(jù)安全策略設置登錄終端的操作超時鎖定。8.2.1.4 惡意代碼防范c)應啟用登錄失敗處理功能，可采取結束會話、限制非法登陸次數(shù)和自動退出等措施。d)應采用安全方式防止用戶鑒別認證信息泄露而造成身份冒用。8.2.1.2 訪問控制a)b)c)應關閉服務器不使用的端口，防止非法訪問。理用戶所需的最小權限。8.2.1.3 資源控制a) b)應根據(jù)安全策略設置登錄終端的操作超時鎖定。8.2.1.4 惡意代碼防范8.2.1.5 入侵防范a)序，保持系統(tǒng)補丁及時得到更新。b)應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻數(shù)據(jù)產生數(shù)據(jù)產生時，應根據(jù)數(shù)據(jù)的敏感度進行分類。8.2.2.2 數(shù)據(jù)傳輸—25—數(shù)據(jù)傳輸應符合以下要求：a)應采用技術措施保證鑒別信息(指用于鑒定用戶身份是否合法的信息，如用戶登錄各種業(yè)務系統(tǒng)的賬號和密碼、服務密碼等)傳輸?shù)谋Ｃ苄?。b)c)應支持用戶實現(xiàn)對關鍵業(yè)務數(shù)據(jù)和管理數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?.2.2.3 數(shù)據(jù)存儲a)b)c)d)應支持用戶實現(xiàn)對關鍵業(yè)務數(shù)據(jù)和管理數(shù)據(jù)的存儲保密性。應提供有效的磁盤保護方法或數(shù)據(jù)碎片化存儲等措施，保證及時磁盤竊e)8.2.2.4 數(shù)據(jù)使用8.2.2.5 數(shù)據(jù)遷移a)b)c)數(shù)據(jù)傳輸應符合以下要求：a)應采用技術措施保證鑒別信息(指用于鑒定用戶身份是否合法的信息，如用戶登錄各種業(yè)務系統(tǒng)的賬號和密碼、服務密碼等)傳輸?shù)谋Ｃ苄浴)c)應支持用戶實現(xiàn)對關鍵業(yè)務數(shù)據(jù)和管理數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?.2.2.3 數(shù)據(jù)存儲a)b)c)d)應支持用戶實現(xiàn)對關鍵業(yè)務數(shù)據(jù)和管理數(shù)據(jù)的存儲保密性。應提供有效的磁盤保護方法或數(shù)據(jù)碎片化存儲等措施，保證及時磁盤竊e)8.2.2.4 數(shù)據(jù)使用8.2.2.5 數(shù)據(jù)遷移a)b)c)應保證數(shù)據(jù)在不同虛擬機之間遷移不影響業(yè)務應用的連續(xù)性。8.2.2.6數(shù)據(jù)銷毀a)定。b)應提供手段清除數(shù)據(jù)的所有副本。8.2.2.7 備份和恢復—25—網絡區(qū)域劃分隔離8.2.3.2 訪問控制a) 應在(子)網絡或網段邊界部署訪問控制設備并啟用訪問控制功能，或通過安全組設置訪問控制策略。)力度到主機級。8.2.3.3 安全審計a)應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、管理員和運維人員行為等進行日志記錄。b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。c)d)網絡區(qū)域劃分隔離8.2.3.2 訪問控制a) 應在(子)網絡或網段邊界部署訪問控制設備并啟用訪問控制功能，或通過安全組設置訪問控制策略。)力度到主機級。8.2.3.3 安全審計a)應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、管理員和運維人員行為等進行日志記錄。b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。c)d)應對審計記錄進行保護，有效期內避免受到非授權的訪問、篡改、覆蓋或刪除等。e)8.2.3.4 惡意代碼防范8.2.3.5 a)b)c)應對網絡設備的管理員登錄地址進行限制?！?5—d)身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換。8.2.3.6 網絡安全監(jiān)測要求網絡安全監(jiān)測應符合以下要求：a)應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、管理員和運維人員行為等進行監(jiān)測，識別和記錄異常狀態(tài)。b)應根據(jù)用戶需求支持對持續(xù)大流量攻擊進行識別、報警和阻斷的能力。c)拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。d)在發(fā)生嚴重入侵事件時應提供報警。虛擬機安全a)b)d)身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換。8.2.3.6 網絡安全監(jiān)測要求網絡安全監(jiān)測應符合以下要求：a)應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、管理員和運維人員行為等進行監(jiān)測，識別和記錄異常狀態(tài)。b)應根據(jù)用戶需求支持對持續(xù)大流量攻擊進行識別、報警和阻斷的能力。c)拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。d)在發(fā)生嚴重入侵事件時應提供報警。虛擬機安全a)b)c)d)應支持虛擬機部署防病毒軟件。應支持對虛擬機脆弱性進行檢測的能力。8.2.4.2 虛擬網絡安全a)應部署一定的訪問控制安全策略，以實現(xiàn)虛擬機之間、虛擬機與虛擬機管理平臺之間、虛擬機與外部網絡之間的安全訪問控制。)離。c)應支持不同租戶之間的網絡隔離。8.2.4.3 )確保某個虛擬機崩潰后不影響虛擬機監(jiān)控器及其他虛擬機。b)應保證不同虛擬機之間的虛擬CPU指令隔離?！?5—c)應保證不同虛擬機之間的內存隔離，內存被釋放或再分配給其他虛擬機前得到完全釋放。d)應保證虛擬機只能訪問分配給該虛擬機的存儲空間(包括內存空間和磁盤空間)。e)f)應支持發(fā)現(xiàn)虛擬化平臺漏洞的能力，支持漏洞修復。數(shù)據(jù)挖掘a)針對不同接入方式的數(shù)據(jù)挖掘用戶，應采用不同的認證方式。需要檢查使用數(shù)據(jù)的合法性和有效性。b)和可靠性提供必要的驗證與測試方案。c)式、數(shù)據(jù)內容等進行監(jiān)控。d)禁止挖掘算法對數(shù)據(jù)存儲區(qū)域內的原始數(shù)據(jù)進行增加、修改、刪除等操c)應保證不同虛擬機之間的內存隔離，內存被釋放或再分配給其他虛擬機前得到完全釋放。d)應保證虛擬機只能訪問分配給該虛擬機的存儲空間(包括內存空間和磁盤空間)。e)f)應支持發(fā)現(xiàn)虛擬化平臺漏洞的能力，支持漏洞修復。數(shù)據(jù)挖掘a)針對不同接入方式的數(shù)據(jù)挖掘用戶，應采用不同的認證方式。需要檢查使用數(shù)據(jù)的合法性和有效性。b)和可靠性提供必要的驗證與測試方案。c)式、數(shù)據(jù)內容等進行監(jiān)控。d)禁止挖掘算法對數(shù)據(jù)存儲區(qū)域內的原始數(shù)據(jù)進行增加、修改、刪除等操作，以保證原始數(shù)據(jù)的可用性和完整性。e)戶操作數(shù)據(jù)的情況，統(tǒng)一管理數(shù)據(jù)使用權限。f)ECA產生數(shù)據(jù)泄露。g)應對挖掘內容、過程、結果、用戶進行安全審計。主要包括挖掘內容的性。h)約束的濫用。i)保護用戶隱私不被泄露。—25—8.3.1.2 數(shù)據(jù)輸出a)的可追溯。b)應對所有輸出的數(shù)據(jù)內容都進行合規(guī)性審計，審計范圍包括數(shù)據(jù)的真實性、一致性、完整性、歸屬權、使用范圍等。c)應對數(shù)據(jù)輸出的接口進行規(guī)范管理，管理內容包括數(shù)據(jù)輸出接口類型、加密方式、傳輸周期、使用用途、認證方式等。d)確保輸出的數(shù)據(jù)滿足約定的要求且不泄露敏感信息。e)應對所有審計行為留有記錄并獨立存儲，嚴禁在任何情況下開放對審計結果的修改與刪除權限。身份鑒別a)b)管理微服務組件的用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換。c)應啟用登錄失敗處理功能，可采取結束會話、限制非法登陸次數(shù)和自動退出等措施。d)8.3.1.2 數(shù)據(jù)輸出a)的可追溯。b)應對所有輸出的數(shù)據(jù)內容都進行合規(guī)性審計，審計范圍包括數(shù)據(jù)的真實性、一致性、完整性、歸屬權、使用范圍等。c)應對數(shù)據(jù)輸出的接口進行規(guī)范管理，管理內容包括數(shù)據(jù)輸出接口類型、加密方式、傳輸周期、使用用途、認證方式等。d)確保輸出的數(shù)據(jù)滿足約定的要求且不泄露敏感信息。e)應對所有審計行為留有記錄并獨立存儲，嚴禁在任何情況下開放對審計結果的修改與刪除權限。身份鑒別a)b)管理微服務組件的用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換。c)應啟用登錄失敗處理功能，可采取結束會話、限制非法登陸次數(shù)和自動退出等措施。d)應采用安全方式防止用戶鑒別認證信息泄露而造成身份冒用。8.3.2.2 訪問控制限。e)應支持按用戶需求提供與其相關的審計信息及審計分析報告。8.3.2.3 開放接口a)微服務組件應有與外部組件或應用之間開放接口的安全管控措施，接口b)應對開放接口調用有認證措施?！?5—c)d)應用開放接口生成的業(yè)務應用或應用程序在供用戶下載之前應通過安全檢測。e)身份鑒別a)對保留用戶個人信息或用戶服務信息的業(yè)務，應對登錄用戶進行身份標識和鑒別。b)采取結束會話、限制非法登錄次數(shù)和自動退出等措施。c)別信息復雜度檢查功能，保證身份鑒別信息不易被冒用。d)應采用加密方式存儲用戶的賬號和口令信息。8.3.3.2 訪問控制d)相關審計記錄應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等，并且保留一定期限(具體期限應符合相關法律法規(guī)要求)。c)d)應用開放接口生成的業(yè)務應用或應用程序在供用戶下載之前應通過安全檢測。e)身份鑒別a)對保留用戶個人信息或用戶服務信息的業(yè)務，應對登錄用戶進行身份標識和鑒別。b)采取結束會話、限制非法登錄次數(shù)和自動退出等措施。c)別信息復雜度檢查功能，保證身份鑒別信息不易被冒用。d)應采用加密方式存儲用戶的賬號和口令信息。8.3.3.2 訪問控制d)相關審計記錄應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等，并且保留一定期限(具體期限應符合相關法律法規(guī)要求)。8.3.3.3 資源控制8.3.3.4信息保護a)同意，不能擅自收集、修改、泄漏用戶相關敏感信息。b)應保護相關信息的安全，避免相關數(shù)據(jù)和頁面被篡改和破壞。c)應禁止不必要的內嵌網絡服務，應禁止在用戶端自動安裝惡意軟件和插件。—25—d)e)應對通信過程中的敏感信息字段進行加密。應對敏感信息(如用戶信息、訂單信息、應用軟件下載路徑等)進行加密存儲。f)應對開發(fā)環(huán)境相關功能的關鍵數(shù)據(jù)(如業(yè)務數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、管理員操作維護記錄、用戶信息、業(yè)務應用與應用程序購買、下載信息等)應有必要的容災各份。g)應能對詐騙、虛假廣告等信息建立處理機制，防止類似信息的擴散。8.3.3.6 上線前檢測a)開發(fā)環(huán)境應在業(yè)務應用與工業(yè)應用程序上線前對其進行安全審核，以確d)e)應對通信過程中的敏感信息字段進行加密。應對敏感信息(如用戶信息、訂單信息、應用軟件下載路徑等)進行加密存儲。f)應對開發(fā)環(huán)境相關功能的關鍵數(shù)據(jù)(如業(yè)務數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、管理員操作維護記錄、用戶信息、業(yè)務應用與應用程序購買、下載信息等)應有必要的容災各份。g)應能對詐騙、虛假廣告等信息建立處理機制，防止類似信息的擴散。8.3.3.6 上線前檢測a)開發(fā)環(huán)境應在業(yè)務應用與工業(yè)應用程序上線前對其進行安全審核，以確b)開發(fā)環(huán)境可提供用戶數(shù)據(jù)同步功能，但開發(fā)環(huán)境同步的用戶數(shù)據(jù)不應保存在位于境外的服務器上。c)，繼而被安裝到終端上.d)應用與工業(yè)應用程序撥測應采用自動撥測與人工撥測相結合的方式進行。e)APIAPI范圍之外的API。身份鑒別8.4.1.2 訪問控制—25—a)應嚴格限制用戶的訪問權限，按安全策略要求控制用戶對業(yè)務應用的訪問。b)應嚴格限制應用與應用之間相互調用的權限，按照安全策略要求控制應用對其他應用里用戶數(shù)據(jù)或特權指令等資源的調用。8.4.1.3 安全審計a)審計范圍應覆蓋到用戶在業(yè)務應用中的關鍵操作、重要行為、業(yè)務資源使用情況等重要事件。b)應對審計記錄進行保護，有效期內避免受到非授權的訪問、篡改、覆蓋或刪除等。c)d)應支持按用戶需求提供與其相關的審計信息及審計分析報告。8.4.1.4 資源控制a)b)c)應提供資源控制不當?shù)膱缶绊憫?。a)應嚴格限制用戶的訪問權限，按安全策略要求控制用戶對業(yè)務應用的訪問。b)應嚴格限制應用與應用之間相互調用的權限，按照安全策略要求控制應用對其他應用里用戶數(shù)據(jù)或特權指令等資源的調用。8.4.1.3 安全審計a)審計范圍應覆蓋到用戶在業(yè)務應用中的關鍵操作、重要行為、業(yè)務資源使用情況等重要事件。b)應對審計記錄進行保護，有效期內避免受到非授權的訪問、篡改、覆蓋或刪除等。c)d)應支持按用戶需求提供與其相關的審計信息及審計分析報告。8.4.1.4 資源控制a)b)c)應提供資源控制不當?shù)膱缶绊憫?。邏輯安?.4.2.1.1 身份鑒別a)應提供專門的登錄控制模塊對登錄用戶進行身份標識和鑒別，戶身份標識的唯一性。并保證用)c)應提供并啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施。d)應采用加密方式存儲用戶的登錄口令信息。8.4.2.1.2 訪問控制—25—a)按安全策略要求控制用戶對業(yè)務、數(shù)據(jù)、網絡資源等的訪問。b)應嚴格設置登錄策略，按安全策略要求具備防范賬戶暴力破解攻擊措施標志信息進行密碼重新設定或者憑有效證件進行設定)。c)當進行業(yè)務權限更改時(如密碼重置、密碼找回等)，應設置相關策略，防止暴力破解攻擊。d)業(yè)務訂購、變更、退訂流程應根據(jù)實際業(yè)務需求，應采用“認證碼”或8.4.2.1.3 安全審計審計范圍應覆蓋到每個用戶的關鍵操作、重要行為、業(yè)務資源使用情況a)等重要事件(如普通用戶異常登錄、發(fā)布惡意代碼、異常修改賬號信息應保護審計記錄，保證無法刪除、修改或覆蓋等。b)c)業(yè)務相關審計記錄應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等。d)應具備對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。8.4.2.1.4 其他a)按安全策略要求控制用戶對業(yè)務、數(shù)據(jù)、網絡資源等的訪問。b)應嚴格設置登錄策略，按安全策略要求具備防范賬戶暴力破解攻擊措施標志信息進行密碼重新設定或者憑有效證件進行設定)。c)當進行業(yè)務權限更改時(如密碼重置、密碼找回等)，應設置相關策略，防止暴力破解攻擊。d)業(yè)務訂購、變更、退訂流程應根據(jù)實際業(yè)務需求，應采用“認證碼”或8.4.2.1.3 安全審計審計范圍應覆蓋到每個用戶的關鍵操作、重要行為、業(yè)務資源使用情況a)等重要事件(如普通用戶異常登錄、發(fā)布惡意代碼、異常修改賬號信息應保護審計記錄，保證無法刪除、修改或覆蓋等。b)c)業(yè)務相關審計記錄應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等。d)應具備對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。8.4.2.1.4 其他a)當工業(yè)應用程序和平臺服務的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話。b)應能對含有惡意代碼鏈接的信息建立發(fā)現(xiàn)和處理機制，防止類似信息的擴散。c)務功能(如定位等)。8.4.2.2原生應用及后臺系統(tǒng)安全8.4.2.2.1 輸入驗證—25—8.4.2.2.2 身份認證a)b)軟件的用戶身份鑒別模塊應對用戶身份鑒別信息進行保護，防止泄露。會話管理8.4.2.2.38.4.2.2.4 數(shù)據(jù)存儲應確保工業(yè)應用程序配置信息、用戶認證信息等敏感數(shù)據(jù)采用加密方式存儲。8.4.2.2.5 日志記錄a)后臺日志記錄范圍應覆蓋到每個用戶的關鍵操作、重要行為、業(yè)務資源使用情況等重要事件(如普通用戶異常登錄、發(fā)布惡意代碼、異常修改b)應禁止在后臺以及客戶端日志中記錄用戶登錄口令等敏感信息，如果確實需要記錄敏感信息，則應進行模糊化處理。c)則需要進行嚴格校驗，防止日志欺騙攻擊。d)后臺日志記錄進行簽名來實現(xiàn)防篡改。8.4.2.2.6 其他a)工業(yè)應用程序不應含有移動互聯(lián)網惡意程序。移動互聯(lián)網惡意程序的判8.4.2.2.2 身份認證a)b)軟件的用戶身份鑒別模塊應對用戶身份鑒別信息進行保護，防止泄露。會話管理8.4.2.2.38.4.2.2.4 數(shù)據(jù)存儲應確保工業(yè)應用程序配置信息、用戶認證信息等敏感數(shù)據(jù)采用加密方式存儲。8.4.2.2.5 日志記錄a)后臺日志記錄范圍應覆蓋到每個用戶的關鍵操作、重要行為、業(yè)務資源使用情況等重要事件(如普通用戶異常登錄、發(fā)布惡意代碼、異常修改b)應禁止在后臺以及客戶端日志中記錄用戶登錄口令等敏感信息，如果確實需要記錄敏感信息，則應進行模糊化處理。c)則需要進行嚴格校驗，防止日志欺騙攻擊。d)后臺日志記錄進行簽名來實現(xiàn)防篡改。8.4.2.2.6 其他a)工業(yè)應用程序不應含有移動互聯(lián)網惡意程序。移動互聯(lián)網惡意程序的判定依據(jù)見YD/T2439-2012的相關要求。b)存等。c)應確保軟件不非法操作與自身功能不相關的文件(如圖片、通信錄、其他應用軟件等)。d)客戶端軟件應進行代碼變量隱藏。WebWeb—25—8.4.2.3.1 輸入驗證a)URL都可能包含惡意信息，并盡量使用白名單驗證方法。b)c)應在服務器端進行輸入驗證，避免客戶端輸入驗證被繞過。篡改。8.4.2.3.2 身份認證)全。b)應禁止在數(shù)據(jù)庫或文件系統(tǒng)中明文存儲用戶密碼，可采用單向散列值在數(shù)據(jù)庫中存儲用戶密碼，降低存儲的用戶密碼被字典攻擊的風險。c)8.4.2.3.1 輸入驗證a)URL都可能包含惡意信息，并盡量使用白名單驗證方法。b)c)應在服務器端進行輸入驗證，避免客戶端輸入驗證被繞過。篡改。8.4.2.3.2 身份認證)全。b)應禁止在數(shù)據(jù)庫或文件系統(tǒng)中明文存儲用戶密碼，可采用單向散列值在數(shù)據(jù)庫中存儲用戶密碼，降低存儲的用戶密碼被字典攻擊的風險。c)d)應禁止在COOKIE中保存明文用戶密碼。應采取措施防止暴力破解、惡意注冊、惡意占用資源等行為。e)密碼取回問題及答案、綁定手機號碼等)，避免用戶身份被冒用。f)應避免認證錯誤提示泄露信息，在認證失敗時，應向用戶提供通用的錯誤提示信息(如不應區(qū)分是賬號錯誤還是密碼錯誤)，避免這些錯誤提示信息被攻擊者利用。g)長度、復雜度、更換周期等，特別是業(yè)務系統(tǒng)的管理員密碼。h)應支持賬號鎖定功能，系統(tǒng)應限制連續(xù)登錄失敗次數(shù)，在客戶端多次嘗置解鎖時長。i)應確保用戶不能訪問到未授權的功能和數(shù)據(jù)，未經授權的用戶試圖訪問受限資源時，系統(tǒng)應予以拒絕或提示用戶進行身份鑒權。8.4.2.3.3 會話管理a)應確保會話的安全創(chuàng)建。在用戶認證成功后，應為用戶創(chuàng)建新的會話并者猜測；會話與IP地址可綁定，降低會話被盜用的風險?！?5—b)應確保會話數(shù)據(jù)的存儲安全。用戶登錄成功后所生成的會話數(shù)據(jù)應存儲c)d)Webe)f)應限制會話并發(fā)連接數(shù)，限制同一用戶的會話并發(fā)連接數(shù)，避免惡意用戶創(chuàng)建多個并發(fā)的會話來消耗系統(tǒng)資源，影響業(yè)務的可用性。)b)應確保會話數(shù)據(jù)的存儲安全。用戶登錄成功后所生成的會話數(shù)據(jù)應存儲c)d)Webe)f)應限制會話并發(fā)連接數(shù)，限制同一用戶的會話并發(fā)連接數(shù)，避免惡意用戶創(chuàng)建多個并發(fā)的會話來消耗系統(tǒng)資源，影響業(yè)務的可用性。)求偽造等攻擊。8.4.2.3.4 數(shù)據(jù)存儲a)對于不同類別的數(shù)據(jù)，比如日志記錄和業(yè)務數(shù)據(jù)，應采取相應的隔離措施和安全保護措施。b)c)禁止在客戶端本地存儲用戶敏感數(shù)據(jù)，如用戶密碼、身份信息等。應避免在代碼中硬編碼密碼(即在代碼中直接嵌入密碼，會導致密碼修改困難，甚至密碼的泄露)，可從配置文件載入密碼。d)外部系統(tǒng)接口認證密碼等。8.4.2.3.5 數(shù)據(jù)傳輸應確保通信信道的安全，在客戶端與Web服務器之間使用并正確配置1288.4.2.3.6 日志記錄—25—a)后臺日志記錄范圍應覆蓋到每個用戶的關鍵操作、重要行為、業(yè)務資源應禁止在后臺日志中記錄用戶密碼等敏感信息，如果確實需要記錄敏感需要進行嚴格校驗，防止日志欺騙攻擊。)限制日志數(shù)據(jù)的訪問權限，可對日志記錄進行簽名來實現(xiàn)防篡改。8.4.2.3.7 其他a)Web遲、解析錯誤等情況，并有應急處理能力。b)a)后臺日志記錄范圍應覆蓋到每個用戶的關鍵操作、重要行為、業(yè)務資源應禁止在后臺日志中記錄用戶密碼等敏感信息，如果確實需要記錄敏感需要進行嚴格校驗，防止日志欺騙攻擊。)限制日志數(shù)據(jù)的訪問權限，可對日志記錄進行簽名來實現(xiàn)防篡改。8.4.2.3.7 其他a)Web遲、解析錯誤等情況，并有應急處理能力。b)應避免存在常見的Web漏洞(如SQL注入、跨站腳本、跨站請求偽造等)。c)Web增強級安全防護要求網絡架構9.1.2 傳輸保護應保證通信過程中的關鍵信息的保密性。9.1.3 邊界防護a)能夠對非授權設備的接入行為進行告警和阻斷。—25—b)對于有線和無線接入，確保通過受控的邊界防護設備或者其上的指定端口接入網絡。9.1.4 訪問控制a)b)采用白名單控制方式，只允許合法設備接入網絡c)PC機、智能終端等設備進行注冊認證。d)權通信。e)在一個非活動時間周期后，可以通過自動方式或者手動方式終止用戶遠程連接。9.1.5 入侵防范b)對于有線和無線接入，確保通過受控的邊界防護設備或者其上的指定端口接入網絡。9.1.4 訪問控制a)b)采用白名單控制方式，只允許合法設備接入網絡c)PC機、智能終端等設備進行注冊認證。d)權通信。e)在一個非活動時間周期后，可以通過自動方式或者手動方式終止用戶遠程連接。9.1.5 入侵防范9.1.6 安全審計服務器安全防護要求身份鑒別認證9.2.1.2訪問控制9.2.1.3 安全審計—25—a)b)c)9.2.1.4應保護審計進程，避免受到未預期的中斷。資源控制應對重要服務器進行性能監(jiān)測，包括服務器的CPU、硬盤、內存、網絡等資源的使用情況，發(fā)現(xiàn)異常情況提供告警，并進行相應處置。9.2.1.5 惡意代碼防范9.2.1.6 入侵防范存儲安全防護要求數(shù)據(jù)產生9.2.2.2 數(shù)據(jù)傳輸a)b)c)9.2.1.4應保護審計進程，避免受到未預期的中斷。資源控制應對重要服務器進行性能監(jiān)測，包括服務器的CPU、硬盤、內存、網絡等資源的使用情況，發(fā)現(xiàn)異常情況提供告警，并進行相應處置。9.2.1.5 惡意代碼防范9.2.1.6 入侵防范存儲安全防護要求數(shù)據(jù)產生9.2.2.2 數(shù)據(jù)傳輸9.2.2.3 數(shù)據(jù)存儲a)應能夠檢測到數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。b)c)應支持用戶選擇第三方加密及密鑰管理機制對用戶關鍵數(shù)據(jù)進行加密。應提供有效的虛擬機鏡像文件加載保護機制，保證即使虛擬機鏡像被竊取，非法用戶也無法直接在其計算資源上進行掛卷運行。9.2.2.4 數(shù)據(jù)使用—25—9.2.2.5 數(shù)據(jù)遷移9.2.2.6 數(shù)據(jù)銷毀a)應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除。b)應確保文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。c)9.2.2.7 備份和恢復a)9.2.2.5 數(shù)據(jù)遷移9.2.2.6 數(shù)據(jù)銷毀a)應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除。b)應確保文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。c)9.2.2.7 備份和恢復a)應急切換，保持業(yè)務連續(xù)運行。b)應建立異地災難備份中心，提供異地實時備份功能，配備災難恢復所需網絡安全防護要求網絡區(qū)域劃分隔離9.2.3.2 訪問控制9.2.3.3 安全審計—25—應能匯聚服務范圍內的審計數(shù)據(jù)，支持第三方審計。9.2.3.4 惡意代碼防范9.2.3.5 網絡設備防護a)當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊取。b)做到最小授權。9.2.3.6 網絡安全監(jiān)測要求a)b)應支持對違法和不良信息或非法域名的檢測發(fā)現(xiàn)并告警。c)頭。應能匯聚服務范圍內的審計數(shù)據(jù)，支持第三方審計。9.2.3.4 惡意代碼防范9.2.3.5 網絡設備防護a)當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊取。b)做到最小授權。9.2.3.6 網絡安全監(jiān)測要求a)b)應支持對違法和不良信息或非法域名的檢測發(fā)現(xiàn)并告警。c)頭。d)應在網絡邊界處部署異常流量和對未知威脅的識別、監(jiān)控和防護機制，9.2.4 虛擬化安全防護要求9.2.4.1虛擬機安全a)應保證虛擬機遷移過程中數(shù)據(jù)和內存的安全可靠，保證遷入虛擬機的完整性和遷移前后安全配置環(huán)境的一致性。)保虛擬機實現(xiàn)安全啟動。c)應對虛擬機鏡像文件進行完整性校驗，確保虛擬機鏡像不被篡改?！?5—應提供最新版本的虛擬機鏡像和補丁版本。9.2.4.2 虛擬網絡安全a)b)c)應對虛擬機網絡出口帶寬進行限制。9.2.4.3 虛擬化平臺安全數(shù)據(jù)分析服務安全防護要求9.3.2 微服務組件安全防護要求平臺應用開發(fā)環(huán)境安全防護要求身份鑒別應提供最新版本的虛擬機鏡像和補丁版本。9.2.4.2 虛擬網絡安全a)b)c)應對虛擬機網絡出口帶寬進行限制。9.2.4.3 虛擬化平臺安全數(shù)據(jù)分析服務安全防護要求9.3.2 微服務組件安全防護要求平臺應用開發(fā)環(huán)境安全防護要求身份鑒別操作、管理、瀏覽等)提供有效的保護措施(如對用戶注冊口令進行強度檢查、9.3.3.2 訪問控制9.3.3.3 安全審計9.3.3.4 資源控制—26—a)