T∕CHEAA 0001.2-2019 智能家電云云互聯(lián)互通 第2部分：信息安全能力要求VIP

ISC 35.100.70 L 79 團(tuán)體標(biāo)準(zhǔn)T/CHEAA 0001.22019 智能家電云云互聯(lián)互通 第 2 部分：信息安全能力要求 Cloud to cloud interconnection for smart household appliances Part 2: Requirements for the competence of information security 2019-03-15 發(fā)布 2019-03-15 實(shí)施 中國(guó)家用電器協(xié)會(huì) 發(fā)布 1 T/CHEAA 0001.22019 目次前言 . II 引言 . III 1. 范圍 . 12. 規(guī)范性引用文件 . 13. 術(shù)語(yǔ)和定義及縮略語(yǔ) . 13.1 術(shù)語(yǔ)和定義. 13.2 縮略語(yǔ). 34. 接口信息安全要求 . 44.1 通信安全. 44.2 身份認(rèn)證和授權(quán). 44.3 數(shù)據(jù)安全. 54.4 錯(cuò)誤信息處理. 64.5 接口穩(wěn)定性. 64.6 日志審計(jì). 65. 安全事件協(xié)同管理要求 . 75.1 安全事件的分類和分級(jí). 75.2 責(zé)任模型. 75.3 服務(wù)條款. 75.4 明確責(zé)任部門(mén)和人員. 85.5 應(yīng)急響應(yīng). 85.6 事件通告. 85.7 持續(xù)改進(jìn). 9附錄 A（規(guī)范性附錄）對(duì)用戶數(shù)據(jù)和隱私保護(hù)的特別要求 . 10 A.1 A.2 A.3 A.4 A.5 A.6 導(dǎo)則. 數(shù)據(jù)生產(chǎn)和收集. 數(shù)據(jù)傳輸. 數(shù)據(jù)的使用. 數(shù)據(jù)保存. 數(shù)據(jù)銷毀. 10 10 10 10 11 11 附錄 B（資料性附錄）相關(guān)法規(guī)、標(biāo)準(zhǔn)、認(rèn)證規(guī)則 . 12 B.1 導(dǎo)則. 12 B.2 國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)和認(rèn)證規(guī)則 . 12 B.3 國(guó)際相關(guān)法規(guī)、標(biāo)準(zhǔn)、認(rèn)證規(guī)則 . 12 I T/CHEAA 0001.22019 前言T/CHEAA 0001智能家電云云互聯(lián)互通分為以下 2 個(gè)部分： 第 1 部分：基本要求及一般模型 第 2 部分：信息安全能力要求 本部分為 T/CHEAA 0001 的第 2 部分。 本部分按照 GB/T 1.12009 給出的規(guī)則起草。 本部分由中國(guó)家用電器協(xié)會(huì)提出。 本部分由中國(guó)家用電器協(xié)會(huì)標(biāo)準(zhǔn)化委員會(huì)歸口。 本部分版權(quán)歸中國(guó)家用電器協(xié)會(huì)所有，未經(jīng)中國(guó)家用電器協(xié)會(huì)許可不得隨意復(fù)制，其他 機(jī)構(gòu)采用本部分的技術(shù)內(nèi)容制修訂標(biāo)準(zhǔn)須經(jīng)中國(guó)家用電器協(xié)會(huì)允許， 任何單位或個(gè)人引用本 部分的內(nèi)容需指明本部分的標(biāo)準(zhǔn)號(hào)。 截至本部分正式發(fā)布之日，中國(guó)家用電器協(xié)會(huì)未收到任何有關(guān)于本部分涉及專利的報(bào) 告，中國(guó)家用電器協(xié)會(huì)不負(fù)責(zé)確認(rèn)本部分的某些內(nèi)容是否還存在涉及專利的可能性。 本部分起草單位：中國(guó)家用電器協(xié)會(huì)、杭州涂鴉信息技術(shù)有限公司、青島海爾科技有限 公司、博西家用電器投資（中國(guó)）有限公司、廣州云智易物聯(lián)網(wǎng)有限公司、聯(lián)想（北京）有 限公司、青島聚好聯(lián)科技有限公司、TCL 電子控股有限公司、長(zhǎng)虹美菱股份有限公司、創(chuàng)維 集團(tuán)有限公司、 康佳集團(tuán)股份有限公司、 美的集團(tuán)股份有限公司、 奧克斯空調(diào)股份有限公司、 廣東格蘭仕集團(tuán)有限公司、蘇州三星電子有限公司、惠而浦（中國(guó)）股份有限公司。 本部分主要起草人：姜風(fēng)、劉龍威、王淼、蘇州、李楊、張亞群、張沛、羅壽中、李昱 兵、黃辰、陸軍鋒、陳挺、劉復(fù)鑫、李桂豐、黃圣祥、謝廠節(jié)、萬(wàn)春暉、邵光達(dá)、錢(qián)海峰、 柯都敏、周瑞鑫、井皓、祖巖巖、黃兵、胡協(xié)斌、張瑜龍、祁樹(shù)壯、羅新宇、嚴(yán)勇、陳嘉琦、 廖杰、畢志國(guó)、張?zhí)祉?、曾偉樞、張小平、王濤?II T/CHEAA 0001.22019 引言近年，隨著越來(lái)越多的家用電器接入了互聯(lián)網(wǎng)、物聯(lián)網(wǎng)，眾多家電廠商的智能云平臺(tái)從 私有走向開(kāi)放共享，而信息安全風(fēng)險(xiǎn)也隨之被擴(kuò)大，所以，實(shí)施云云互聯(lián)互通的廠商間達(dá)成 一致的信息安全要求就勢(shì)在必行。 本部分針對(duì)家電云云互聯(lián)面臨的信息安全風(fēng)險(xiǎn)，提出了實(shí)施云云互聯(lián)的云平臺(tái)接口的 信息安全能力要求、 出現(xiàn)安全事件的協(xié)同管理機(jī)制、 應(yīng)滿足或參考的國(guó)內(nèi)外標(biāo)準(zhǔn)和技術(shù)法規(guī)、 用戶數(shù)據(jù)和隱私的保護(hù)規(guī)定，旨在幫助云云互聯(lián)的企業(yè)達(dá)成一致的信息安全規(guī)范，保障雙方 利益，遏制因共享而產(chǎn)生的安全風(fēng)險(xiǎn)。 III T/CHEAA 0001.22019 智能家電云云互聯(lián)互通 第 2 部分：信息安全能力要求 1. 范圍 本部分規(guī)定了在中國(guó)開(kāi)展云云互聯(lián)互通業(yè)務(wù)的各關(guān)聯(lián)廠商云平臺(tái)（以下簡(jiǎn)稱各云平臺(tái)） 之間云云互聯(lián)互通接口及相關(guān)要素的信息安全能力要求、信息安全事件的管理要求、相關(guān)標(biāo) 準(zhǔn)及技術(shù)法規(guī)以及對(duì)用戶數(shù)據(jù)和隱私保護(hù)的特別要求。 本部分不涉及對(duì)各云平臺(tái)上非云云互聯(lián)互通業(yè)務(wù)的安全和隱私性做要求。 2. 規(guī)范性引用文件 下列文件對(duì)于本部分的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適 用于本部分。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本部分。 GB/T 16264.8 信息技術(shù) 第 8 部分：開(kāi)放系統(tǒng)互聯(lián)目錄 GB/Z 20985 信息技術(shù) 安全技術(shù) 信息安全事件管理指南 GB/Z 20986 信息安全技術(shù) 信息安全分類事件分級(jí)指南 GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ) GB/T 35273 信息安全技術(shù) 個(gè)人信息安全規(guī)范 IETF RFC 5246 安全傳輸層協(xié)議 1.2 版本 The Transport Layer Security（TLS） Protocol Version 1.2 3. 術(shù)語(yǔ)和定義及縮略語(yǔ) 3.1 術(shù)語(yǔ)和定義 以下術(shù)語(yǔ)和定義適用于本部分。 3.1.1 安全傳輸層協(xié)議 transport layer security 在兩個(gè)通信應(yīng)用程序之間提供身份認(rèn)證、數(shù)據(jù)保密性和數(shù)據(jù)完整性功能的協(xié)議。 IETF RFC 5246，The Transport Layer Security (TLS) Protocol Version 1.2 3.1.2 1 T/CHEAA 0001.22019 證書(shū)認(rèn)證機(jī)構(gòu) Certificate Authority（CA） 負(fù)責(zé)創(chuàng)建和分配證書(shū)，受用戶信任的權(quán)威機(jī)構(gòu)。用戶可以選擇該機(jī)構(gòu)為其創(chuàng)建密鑰。 GB/T 16264.8-2005，定義 3.3.16 3.1.3 個(gè)人信息 personal information 以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反 映特定自然人活動(dòng)情況的各種信息。 注 1：個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、 通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。 注 2：關(guān)于個(gè)人信息的范圍和類型詳見(jiàn) GB/T 35273-2017 附錄 A。 GB/T 35273-2017，定義 3.1 3.1.4 個(gè)人敏感信息 personal sensitive information 一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受 到損害或歧視性待遇等的個(gè)人信息。 注 1：個(gè)人敏感信息包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、 征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下（含）兒童的個(gè)人信息等。 注 2：關(guān)于個(gè)人敏感信息的范圍和類型可詳見(jiàn) GB/T 35273-2017 附錄 B。 GB/T 35273-2017，定義 3.2 3.1.5 個(gè)人信息主體 personal data subject 個(gè)人信息所標(biāo)識(shí)的自然人 GB/T 35273-2017，定義 3.3 3.1.6 收集 collect 獲得對(duì)個(gè)人信息的控制權(quán)的行為，包括由個(gè)人信息主體主動(dòng)提供、通過(guò)與個(gè)人信息主體 交互或記錄個(gè)人信息主體行為等自動(dòng)采集，以及通過(guò)共享、轉(zhuǎn)讓、搜集公開(kāi)信息間接獲取等 方式。 GB/T 35273-2017，定義 3.5 3.1.7 密鑰 key 一種用于控制密碼變換操作(例如加密、解密、密碼校驗(yàn)函數(shù)計(jì)算、簽名生成或簽名驗(yàn) 證)的符號(hào)序列。 GB/T 25069-2010，定義 2.2.2.106 3.1.8 2 T/CHEAA 0001.22019 匿名化 anonymization 通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無(wú)法被識(shí)別，且處理后的信息不能被復(fù) 原的過(guò)程。 注：個(gè)人信息經(jīng)匿名化處理后所得的信息不屬于個(gè)人信息。 GB/T 35273-2017，定義 3.13 3.1.9 去標(biāo)識(shí)化 de-identification 通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別個(gè)人信息主體 的過(guò)程。 注：去標(biāo)識(shí)化建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代 對(duì)個(gè)人信息的標(biāo)識(shí)。 GB/T 35273-2017，定義 3.14 3.1.10 重放攻擊 replay attack 一種主動(dòng)攻擊方法，攻擊者通過(guò)記錄通信會(huì)話，并在以后某個(gè)時(shí)刻重放這個(gè)會(huì)話或者會(huì) 話的一部分。 GB/T 25069-2010，定義 2.2.1.138 3.1.11 信息安全事件 information security incident 一個(gè)信息安全事件由單個(gè)的或一系列的有害或意外信息安全事態(tài)組成， 他們具有損害業(yè) 務(wù)運(yùn)作和威脅信息安全的極大可能性。 GB/T 20985-2007，定義 3.3 3.2 縮略語(yǔ) 以下縮略詞適用于本部分。 TLS：安全傳輸協(xié)議（Transport Layer Security） AES：高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard） 3DES：三重?cái)?shù)據(jù)加密算法（Triple Data Encryption Algorithm） CFB：密碼反饋（Cipher Feedback） OFB：輸出反饋（Output Feedback） IV：初始化向量（Initialization Vector） HMAC：哈希消息認(rèn)證碼（Hash-based Message Authentication Code） SHA：安全散列演算法（Secure Hash Algorithm） JSON：對(duì)象標(biāo)記（Java Script Object Notation） 3 T/CHEAA 0001.22019 DDoS：分布式拒絕服務(wù)攻擊（Distributed Denial of Service） CDN：內(nèi)容分發(fā)網(wǎng)絡(luò)（Content Delivery Network） API：應(yīng)用程序接口（Application Programming Interface） 4. 接口信息安全要求 4.1 通信安全 4.1.1 通信兩端建立 TLS 傳輸通道 a) 各云平臺(tái)之間的通訊接口均應(yīng)采用 TLS 安全機(jī)制，應(yīng)使用不低于 1.2 的安全版本。同時(shí) 需要通過(guò)各自的證書(shū)進(jìn)行雙向認(rèn)證，只允許證書(shū)校驗(yàn)通過(guò)后，才能完成請(qǐng)求。 b) 各云平臺(tái)均應(yīng)向證書(shū)認(rèn)證機(jī)構(gòu)（CA）申請(qǐng)證書(shū)或通過(guò)特定組織統(tǒng)一自建證書(shū)，并在云 平臺(tái)上部署證書(shū)。證書(shū)有效期不超過(guò) 24 個(gè)月。 4.2 身份認(rèn)證和授權(quán) 4.2.1 平臺(tái)登錄接口 a) 各云平臺(tái)的唯一標(biāo)識(shí)符 PlatID 應(yīng)滿足隨機(jī)性。 b) 各云平臺(tái)的身份令牌 AuthToken 應(yīng)根據(jù) PlatID 和時(shí)間戳、隨機(jī)數(shù)等計(jì)算得出，應(yīng)通過(guò) 安全的哈希方式生成，長(zhǎng)度不應(yīng)低于 16 位，應(yīng)使用數(shù)字和字母組成。 注 1： PlatID 和 AuthToken，來(lái)源于 T/CHEAA 0001-2017智能家電云云云云互聯(lián)互通標(biāo)準(zhǔn) 。注 2： 時(shí)間戳精度毫秒級(jí)，采用東 8 區(qū)（北京時(shí)間）的網(wǎng)絡(luò)時(shí)間。 c) d) 每對(duì) PlatID 和 AuthToken 應(yīng)僅適用于對(duì)接的兩個(gè)平臺(tái)。 例：A 平臺(tái)給 B 平臺(tái)發(fā)送的 PlatID 和 AuthToken，僅適用于 B 平臺(tái)對(duì) A 平臺(tái)的身份驗(yàn)證，其他平臺(tái) 需要重新協(xié)商。 應(yīng)采取雙向身份校驗(yàn)。 例：A 平臺(tái)發(fā)送驗(yàn)證信息給 B 平臺(tái)，B 平臺(tái)再確認(rèn) A 平臺(tái)身份正確后，也發(fā)送自己的驗(yàn)證信息給 A 平臺(tái)。 4.2.2 訪問(wèn)令牌管理 a) b) c) d) 完成身份驗(yàn)證后，A 平臺(tái)應(yīng)通過(guò) AuthToken 提交獲取訪問(wèn)令牌 AccessToken 的請(qǐng)求，B 平臺(tái)下發(fā)給 A 平臺(tái)訪問(wèn)令牌 AccessToken、更新令牌 RefreshToken 和 AccessToken 的有 效時(shí)長(zhǎng)，A 平臺(tái)所有的請(qǐng)求都應(yīng)在有效時(shí)長(zhǎng)內(nèi)，且包含該 AccessToken 才能正常請(qǐng)求。 注： AccessToken 和 RefreshToken,分別用來(lái)做請(qǐng)求和刷新的 token。 AccessToken 和 RefreshToken 應(yīng)根據(jù) PlatID 和時(shí)間戳、隨機(jī)數(shù)等，通過(guò)安全的哈希方式 生成，長(zhǎng)度不應(yīng)低于 32 位，應(yīng)使用數(shù)字和大小字母和特殊字符組成。 AccessToken 有效期不應(yīng)超過(guò) 2 小時(shí)，過(guò)期或登出操作后應(yīng)自動(dòng)銷毀。RefreshToken 有 效期不應(yīng)超過(guò) 14 天，過(guò)期或登出操作后應(yīng)自動(dòng)銷毀。 應(yīng)主動(dòng)更新 AccessToken，應(yīng)使用 RefreshToken 進(jìn)行請(qǐng)求更新， RefreshToken 應(yīng)僅可使 用一次，更新一次 AccessToken 后，RefreshToken 也應(yīng)進(jìn)行更新。 4.2.3 授權(quán) 平臺(tái)應(yīng)使用精細(xì)粒度的訪問(wèn)權(quán)限控制，能夠根據(jù)平臺(tái)賬號(hào)分配最小、僅必要的權(quán)限。 4 T/CHEAA 0001.22019 4.3 數(shù)據(jù)安全 4.3.1 個(gè)人敏感信息傳輸 1) 加密密鑰獲取要求 a) b) c) d) e) f) g) 平臺(tái)認(rèn)證后，各廠商之間應(yīng)相互下發(fā)密鑰以加密隱私數(shù)據(jù)。 例如，A 廠商的 APP 通過(guò) A 廠商的云請(qǐng)求控制 B 廠商的云，需要拿到 B 廠商下發(fā)的動(dòng)態(tài)密鑰，進(jìn)行 數(shù)據(jù)加密。 各商云平臺(tái)之間共享的數(shù)據(jù)，如果涉及個(gè)人敏感信息，需要分發(fā)密鑰，用來(lái)加密傳輸， 密鑰有效期 60 分鐘。 密鑰應(yīng)保證隨機(jī)性，應(yīng)結(jié)合用戶 ID，以及時(shí)間戳和隨機(jī)數(shù)的哈希函數(shù)生成 128 位及以 上字符串。 動(dòng)態(tài)密鑰：每次用戶登錄認(rèn)證后，應(yīng)下發(fā)最新密鑰，舊密鑰廢棄。 用戶登出操作后，舊密鑰應(yīng)廢棄。 加密算法應(yīng)使用 AES 或 3DES 加密算法。 加密模式應(yīng)使用 CFB 或 OFB 模式，IV 應(yīng)通過(guò)偽隨機(jī)數(shù)生成器生成。 2) 安全傳輸要求 a) 個(gè)人敏感信息傳輸前應(yīng)使用動(dòng)態(tài)獲取的加密密鑰加密。 b) 涉及個(gè)人身份信息、 個(gè)人生物特征識(shí)別信息或者密碼和口令的傳輸應(yīng)通過(guò)安全的哈希方 式處理，應(yīng)通過(guò) HMAC-SHA256 方式進(jìn)行加鹽哈希。 c) 其他個(gè)人敏感信息的傳輸應(yīng)根據(jù)業(yè)務(wù)場(chǎng)景選擇去標(biāo)簽化、匿名化等處理方式。 表 1 個(gè)人敏感信息舉例 隱私類型 個(gè)人身份信息 個(gè)人生物識(shí)別信息 個(gè)人健康生理信息 網(wǎng)絡(luò)身份標(biāo)識(shí)信息 其他信息 舉例 身份證、軍官證、護(hù)照、駕駛證、工作證、社保卡、居住證等 個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等 個(gè)人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，如病癥、住院志、醫(yī)囑單、檢驗(yàn)報(bào)告、 手 術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過(guò)敏信息、生育信息、以往病 史、診治情況、家族病史、現(xiàn)病史、傳染病史等，以及與個(gè)人身體健康 狀況 產(chǎn)生的相關(guān)信息等 系統(tǒng)賬號(hào)、郵箱地址及與前述有關(guān)的密碼、口令、口令保護(hù)答案、用戶個(gè)人數(shù) 字證書(shū)等 個(gè)人電話號(hào)碼、性取向、婚史、宗教信仰、未公開(kāi)的違法犯罪記錄、通信記錄 和內(nèi)容、行蹤軌跡、網(wǎng)頁(yè)瀏覽記錄、住宿信息、精準(zhǔn)定位信息等 注：關(guān)于個(gè)人敏感信息的范圍和類型可詳見(jiàn) GB/T 35273-2017 附錄 B。 4.3.2 消息認(rèn)證 a) 所有請(qǐng)求應(yīng)取有效手段防止重放攻擊。 例：可采取時(shí)間戳均存儲(chǔ)在緩存中，且僅一次性有效的策略，以防止重放的可能性。 b) 所有請(qǐng)求應(yīng)攜帶毫秒級(jí)別時(shí)間戳標(biāo)記，時(shí)間的有效期設(shè)置為前后 10 分鐘內(nèi)有效。 c) 應(yīng)使用 HMAC-SHA256 算法對(duì)數(shù)據(jù)內(nèi)容和所有接口字段進(jìn)行校驗(yàn)。 4.3.3 數(shù)據(jù)過(guò)濾 a) 數(shù)據(jù)傳輸，應(yīng)使用 PUT 或 POST 傳輸 JSON 格式的數(shù)據(jù)，請(qǐng)求頭部應(yīng)指明類型 5 T/CHEAA 0001.22019 application/json，并且使用明確恰當(dāng)?shù)淖址?例：指定明確的字符集，比如 UTF-8。 b) 驗(yàn)證數(shù)據(jù)范圍、長(zhǎng)度和類型。 c) JSON 中的所有參數(shù)，均應(yīng)使用強(qiáng)類型和固定長(zhǎng)度的校驗(yàn)。 例：PlateID 使用 Long 數(shù)字類型，長(zhǎng)度為 16。 d) 數(shù)據(jù)過(guò)濾前，將數(shù)據(jù)按照常用字符進(jìn)行編碼。 e) 對(duì)所有的參數(shù)進(jìn)行安全過(guò)濾， 應(yīng)對(duì)內(nèi)容包含特殊字符和注入攻擊的行為應(yīng)進(jìn)行嚴(yán)格檢測(cè)， 丟棄任何沒(méi)有通過(guò)檢測(cè)的數(shù)據(jù)。 注：常見(jiàn)的危險(xiǎn)字符包括， % ( ) & + 。 f) 盡可能采用白名單形式，驗(yàn)證所有參數(shù)。 4.4 錯(cuò)誤信息處理 各云平臺(tái)在云云對(duì)接過(guò)程中請(qǐng)求失敗的情況下，應(yīng)通過(guò)錯(cuò)誤編碼來(lái)表示錯(cuò)誤類型，不應(yīng) 暴露任何平臺(tái)或用戶的敏感信息。 4.5 接口穩(wěn)定性 4.5.1 分布式拒絕服務(wù)攻擊（DDoS）的防護(hù) a) 針對(duì)流量型和系統(tǒng)資源型的攻擊，應(yīng)有完善的應(yīng)急防護(hù)手段，應(yīng)通過(guò)運(yùn)營(yíng)商或基于域名 的云防護(hù)產(chǎn)品實(shí)現(xiàn)快速流量遷移和清洗、CDN 等方式實(shí)現(xiàn)流量的稀釋。 b) 針對(duì)應(yīng)用服務(wù)資源消耗類型，應(yīng)通過(guò)中間件層、應(yīng)用層面對(duì)訪問(wèn)頻率和訪問(wèn)特征進(jìn)行限 制等策略進(jìn)行防護(hù)。 4.5.2 應(yīng)用服務(wù)的系統(tǒng)安全 提供 API 的平臺(tái)和對(duì)應(yīng)的服務(wù)器，應(yīng)執(zhí)行系統(tǒng)和服務(wù)的加固，包括開(kāi)放端口的白名單 嚴(yán)格限制和對(duì)外服務(wù)的加固。 例：使用了 Apache，需要使用安全的 Apache 版本，并進(jìn)行安全的配置。系統(tǒng)、中間件和應(yīng)用服務(wù)應(yīng) 使用一定強(qiáng)度以上的密碼，使其能夠抵御字典式攻擊。 4.5.3 應(yīng)急響應(yīng)與災(zāi)備 各云平臺(tái)應(yīng)為云計(jì)算平臺(tái)制定應(yīng)急響應(yīng)計(jì)劃，并定期演練，確保在緊急情況下重要信息 資源的可用性。廠商云平臺(tái)應(yīng)建立事件處理計(jì)劃，包括對(duì)事件的預(yù)防、檢測(cè)、分析、控制、 恢復(fù)及用戶響應(yīng)活動(dòng)等，對(duì)事件進(jìn)行跟蹤、記錄并向相關(guān)人員報(bào)告。各云平臺(tái)應(yīng)具備災(zāi)難恢 復(fù)能力，建立必要的備份設(shè)施，確?？蛻魳I(yè)務(wù)可持續(xù)。 4.5.4 風(fēng)險(xiǎn)評(píng)估與監(jiān)控 各云平臺(tái)應(yīng)定期或在威脅環(huán)境發(fā)生變化時(shí)，對(duì)云計(jì)算平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保云計(jì)算平 臺(tái)的安全風(fēng)險(xiǎn)處于可接受水平。應(yīng)采取第三方機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估、服務(wù)商安全監(jiān)控預(yù)警等方 式加強(qiáng)風(fēng)險(xiǎn)評(píng)估能力。 4.6 日志審計(jì) 各云平臺(tái)應(yīng)具備自動(dòng)化請(qǐng)求日志收集和審計(jì)系統(tǒng)，監(jiān)控采集云端云云互聯(lián)互通業(yè)務(wù)相關(guān) 的日志及網(wǎng)絡(luò)流量，通過(guò)離線分析和實(shí)時(shí)分析兩種方式識(shí)別并發(fā)現(xiàn)潛在的網(wǎng)絡(luò)攻擊行為，及 時(shí)預(yù)警并采取相應(yīng)的應(yīng)對(duì)措施。 6 a) b) c) d) e) f) 5. T/CHEAA 0001.22019 日志收集和審計(jì)系統(tǒng)中應(yīng)包括 API 接口日志和其他相關(guān)業(yè)務(wù)的服務(wù)和流量日志。 日志收集和審計(jì)系統(tǒng)應(yīng)根據(jù)安全需求，制定可審計(jì)事件清單，明確審計(jì)記錄內(nèi)容，實(shí)施 審計(jì)并妥善保存審計(jì)記錄，對(duì)審計(jì)記錄進(jìn)行定期分析和審查，還應(yīng)防范對(duì)審計(jì)記錄的未 授權(quán)訪問(wèn)、篡改和刪除行為，為事后調(diào)查提供支撐。 日志收集和審計(jì)系統(tǒng)應(yīng)防止非授權(quán)訪問(wèn)、篡改或刪除審計(jì)記錄。 日志收集和審計(jì)系統(tǒng)的接口請(qǐng)求日志保存時(shí)間應(yīng)不少于 6 個(gè)月。 日志中不應(yīng)記錄用戶敏感數(shù)據(jù)信息。 針對(duì)異常日志，應(yīng)自動(dòng)告警到相關(guān)運(yùn)維人員，并進(jìn)行對(duì)應(yīng)的分析和處理。 安全事件協(xié)同管理要求 5.1 安全事件的分類和分級(jí) 5.1.1 安全事件分類 應(yīng)根據(jù)信息安全事件產(chǎn)生的結(jié)果表象做分類，分為數(shù)據(jù)泄露事件、服務(wù)不可用事件和其 他事件。 a) 數(shù)據(jù)泄露事件：云云互聯(lián)的數(shù)據(jù)出現(xiàn)泄露。 b) 服務(wù)不可用事件：服務(wù)出現(xiàn)不穩(wěn)定或者不可用情況，并且影響到云互聯(lián)的其他廠商的事 件。 c) 其他事件，除了上述事件以外的其他事件。 5.1.2 事件分級(jí) 安全事件應(yīng)依據(jù)國(guó)標(biāo) GB/Z 20986 中的安全事件分級(jí)考慮隱私，將信息安全事件劃分為 四級(jí)：特別重大事件、重大事件、較大事件和一般事件。 a) 特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件。 b) 重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件。 c) 較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件。 d) 一般事件是指不滿足以上條件的信息安全事件。 注：事件詳細(xì)說(shuō)明請(qǐng)參考 GB/Z 20986。 5.2 責(zé)任模型 a) b) c) 針對(duì)數(shù)據(jù)泄露事件，各云平臺(tái)相互間的追責(zé)，基本依據(jù)是責(zé)任歸屬于直接導(dǎo)致數(shù)據(jù)泄露 的云平臺(tái)或客戶端所屬的廠商。 針對(duì)服務(wù)不可用事件，應(yīng)根據(jù)導(dǎo)致服務(wù)不穩(wěn)定或不可用的節(jié)點(diǎn)判斷，責(zé)任應(yīng)歸屬于該節(jié) 點(diǎn)所有者平臺(tái)。 在責(zé)任未明確的時(shí)候，雙方應(yīng)共同協(xié)商、承擔(dān)并調(diào)查原因。在雙方對(duì)于數(shù)據(jù)泄露事件無(wú) 法達(dá)成一致的情況下， 應(yīng)由獨(dú)立的第三方介入調(diào)查。 如調(diào)查無(wú)果， 雙方應(yīng)共同承擔(dān)責(zé)任。 5.3 服務(wù)條款 云云互聯(lián)雙方應(yīng)簽訂具有法律效應(yīng)的服務(wù)條款，應(yīng)包含以下等內(nèi)容： a) 云云互聯(lián)企業(yè)雙方的服務(wù)內(nèi)容。 b) 云云互聯(lián)企業(yè)雙方各自的權(quán)利和義務(wù)。 c) 涉及用戶數(shù)據(jù)、用戶隱私數(shù)據(jù)，需要明確數(shù)據(jù)的所有權(quán)，使用權(quán)限。 d) 保密條款，包括用戶數(shù)據(jù)、用戶隱私數(shù)據(jù)不允許主動(dòng)向第三方披露等。 7 T/CHEAA 0001.22019 e) 服務(wù)期限和終止，并且終止后雙方對(duì)于信息安全的義務(wù)。 f) 違約責(zé)任和免責(zé)條款。 5.3.1 平臺(tái)數(shù)據(jù)所有權(quán)說(shuō)明 a) 個(gè)人信息所有權(quán)應(yīng)歸屬于信息所標(biāo)識(shí)的自然人，即使用物聯(lián)網(wǎng)服務(wù)的實(shí)際個(gè)人用戶。個(gè) 人信息所有者應(yīng)擁有信息數(shù)據(jù)的完全訪問(wèn)和控制權(quán)限， 并且有權(quán)利要求提供服務(wù)的廠商 對(duì)其信息數(shù)據(jù)進(jìn)行對(duì)應(yīng)的操作。 b) c) 經(jīng)過(guò)匿名化處理后的數(shù)據(jù)和信息，應(yīng)歸屬于這些信息的提供者，即提供信息的云平臺(tái)主 體。數(shù)據(jù)歸屬的云平臺(tái)應(yīng)具有對(duì)數(shù)據(jù)的完全訪問(wèn)和控制權(quán)限。 云平臺(tái)的用戶數(shù)據(jù)和歸屬合作平臺(tái)的數(shù)據(jù)，不能執(zhí)行任何未獲授權(quán)的使用和披露，但是 以下情形除外：在國(guó)家有關(guān)機(jī)關(guān)依法查詢或調(diào)閱用戶數(shù)據(jù)時(shí)，平臺(tái)具有按照相關(guān)法律法 規(guī)或政策文件要求提供配合，并向第三方或者行政、司法等機(jī)構(gòu)披露的義務(wù)。 5.3.2 平臺(tái)數(shù)據(jù)使用權(quán)限說(shuō)明 1) 數(shù)據(jù)的披露 a) 未在雙方書(shū)面允許下，不允許向第三方披露。 b) 只允許為提供或改進(jìn)產(chǎn)品、服務(wù)的目的而與第三方共享。 c) 不允許為第三方的銷售目的而與第三方共享數(shù)據(jù)，更不允許銷售共享數(shù)據(jù)。 2) 數(shù)據(jù)的刪除 a) b) c) d) 用戶有權(quán)申請(qǐng)刪除其在雙方平臺(tái)交互過(guò)程中，產(chǎn)生的個(gè)人數(shù)據(jù)。平臺(tái)雙方需要在 7 天內(nèi) 完成數(shù)據(jù)刪除。 非個(gè)人數(shù)據(jù)，數(shù)據(jù)歸屬平臺(tái)有權(quán)利要求共享平臺(tái)對(duì)數(shù)據(jù)進(jìn)行刪除的操作。 所有數(shù)據(jù)刪除的操作，需要在企業(yè)內(nèi)部有明確的流程和制度保障。 在服務(wù)終止后，必須安全刪除通過(guò)云云互聯(lián)接口同步過(guò)來(lái)的用戶數(shù)據(jù)及用戶隱私數(shù)據(jù)。 5.4 明確責(zé)任部門(mén)和人員 a) 應(yīng)明確各云平臺(tái)主要負(fù)責(zé)人對(duì)信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任， 包括為信息安全工作提供人力、 財(cái)力、物力保障等。 b) 應(yīng)明確各云平臺(tái)對(duì)接的安全接口人和備用接口人，及其職責(zé)。 5.5 應(yīng)急響應(yīng) a) 各平臺(tái)協(xié)同診斷，認(rèn)定安全事件和確認(rèn)事件的責(zé)任方。 b) 事件責(zé)任方應(yīng)根據(jù)合作服務(wù)條款內(nèi)的明細(xì)，在指定時(shí)間內(nèi)抑制受害范圍并恢復(fù)業(yè)務(wù)服 務(wù)。 c) 事件責(zé)任方應(yīng)負(fù)責(zé)整個(gè)事件調(diào)查，包括必要的調(diào)查記錄。 5.6 事件通告 a) b) c) d) 8 云云互聯(lián)任何一方應(yīng)有義務(wù)和權(quán)力向各相關(guān)方通告詳細(xì)的安全事件原因。 如果因特別重大事件、重大事件或較大事件，而導(dǎo)致對(duì)業(yè)務(wù)可用性和穩(wěn)定性的影響時(shí)間 超過(guò) 1 個(gè)小時(shí)，應(yīng)按照與各相關(guān)方的服務(wù)條款進(jìn)行事件對(duì)外的通告。 需要向在有關(guān)事件響應(yīng)的法律、法規(guī)和/或規(guī)章中要求的地方、省、國(guó)家有關(guān)部門(mén)通告。 在牽涉到法律強(qiáng)制的地方，事件責(zé)任方負(fù)責(zé)與法律強(qiáng)制部門(mén)的聯(lián)絡(luò)。 T/CHEAA 0001.22019 5.7 持續(xù)改進(jìn) 云云互聯(lián)各相關(guān)方應(yīng)對(duì)重大事件和特別重大事件進(jìn)行持續(xù)的跟蹤。 責(zé)任方應(yīng)給出相應(yīng)的 改進(jìn)措施，并通過(guò)管理手段或技術(shù)手段真實(shí)落地。 9 T/CHEAA 0001.22019 附錄A （規(guī)范性附錄） 對(duì)用戶數(shù)據(jù)和隱私保護(hù)的特別要求 A.1 導(dǎo)則 由于云云互聯(lián)涉及的業(yè)務(wù)場(chǎng)景必然涉及用戶隱私的傳輸，為保護(hù)用戶的隱私數(shù)據(jù)，對(duì)信 息收集主體及云云互聯(lián)中各關(guān)聯(lián)廠商（以下簡(jiǎn)稱各方）特別提出以下信息安全能力要求。 A.2 數(shù)據(jù)生產(chǎn)和收集 A.2.1 基本原則 a) b) c) d) e) f) 合法性：對(duì)各方的所有行為應(yīng)進(jìn)行合法要求，同時(shí)，明確對(duì)應(yīng)的法律責(zé)任的明確。 用戶授權(quán)：應(yīng)通過(guò)有效的渠道獲取信息主體的授權(quán)，不允許超過(guò)信息主體授權(quán)行為以外 的數(shù)據(jù)收集和操作。 用戶權(quán)限保障：各方需要通過(guò)技術(shù)或管理流程保障用戶的權(quán)限能夠得到有效的保障。 數(shù)據(jù)最小化：各方不應(yīng)收集、存儲(chǔ)、請(qǐng)求、提供、傳遞與服務(wù)無(wú)關(guān)的數(shù)據(jù)。 數(shù)據(jù)分類：應(yīng)區(qū)分個(gè)人數(shù)據(jù)和平臺(tái)信息數(shù)據(jù)。 匿名化：個(gè)人敏感信息在傳遞前應(yīng)做匿名化處理。 A.2.2 用戶權(quán)限 1) 知情權(quán) a) 用戶應(yīng)能通過(guò)隱私條款等方式知悉信息收集主體及其所提供服務(wù)的基本信息和數(shù)據(jù)。 b) 用戶應(yīng)能通過(guò)隱私條款等方式知悉其將被收集到的所有數(shù)據(jù)及這些數(shù)據(jù)的全部用途。 c) 用戶應(yīng)能通過(guò)隱私條款等方式知悉其享有的用戶數(shù)據(jù)保存、訪問(wèn)、遷移、刪除等權(quán)力。 注：隱私條款模板應(yīng)參考 GB/T 352732017 的附錄 D。 2) 選擇權(quán) 當(dāng)某位用戶不選擇上傳數(shù)據(jù)或不同意隱私條款時(shí)，不應(yīng)收集該用戶的數(shù)據(jù)。 3) 處置權(quán) 用戶應(yīng)能通過(guò)電郵或聯(lián)系客服等方式履行訪問(wèn)、遷移、刪除等權(quán)力。信息收集主體和云 云互聯(lián)中各關(guān)聯(lián)廠商應(yīng)支持用戶賬號(hào)注銷等機(jī)制， 某一用戶要求刪