工業(yè)互聯(lián)網(wǎng)安全要求

1工業(yè)互聯(lián)網(wǎng)安全要求本文件規(guī)定了工業(yè)互聯(lián)網(wǎng)設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、標(biāo)識(shí)解析安全、平臺(tái)安全以及數(shù)據(jù)安全等方面的要求。本文件適用于工業(yè)互聯(lián)網(wǎng)安全監(jiān)管部門(mén)、運(yùn)營(yíng)單位等組織開(kāi)展安全防護(hù)工作，為工業(yè)互聯(lián)網(wǎng)安全防護(hù)提供指導(dǎo)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T42021-2022工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)YD/T2439-2012移動(dòng)互聯(lián)網(wǎng)惡意程序描述格式3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1工業(yè)互聯(lián)網(wǎng)industrialinternet新一代信息通信技術(shù)與工業(yè)經(jīng)濟(jì)深度融合的新型基礎(chǔ)設(shè)施、應(yīng)用模式和工業(yè)生態(tài)，通過(guò)對(duì)人、機(jī)、物、系統(tǒng)等的全面連接,構(gòu)建起覆蓋全產(chǎn)業(yè)鏈、全價(jià)值鏈的全新制造和服務(wù)體系。[來(lái)源：GB/T42021-2022,3.1]3.2工業(yè)互聯(lián)網(wǎng)平臺(tái)industrialinternetplatform面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求，構(gòu)建基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系，支撐制造資源泛在連接、彈性供給、高效配置的載體。3.3工業(yè)應(yīng)用程序industrialapplication可實(shí)現(xiàn)包括工業(yè)設(shè)計(jì)、生產(chǎn)、管理、服務(wù)等在內(nèi)能力的工業(yè)業(yè)務(wù)系統(tǒng)或移動(dòng)應(yīng)用程序。3.42X工廠(chǎng)內(nèi)部網(wǎng)絡(luò)enterpriseinternalnetwork在工廠(chǎng)內(nèi)部，用于生產(chǎn)要素互聯(lián)及企業(yè)IT管理系統(tǒng)之間連接的網(wǎng)絡(luò)。3.5工廠(chǎng)外部網(wǎng)絡(luò)enterpriseexternalnetwork以支撐工業(yè)全生命周期各項(xiàng)活動(dòng)為目的，用于連接企業(yè)上下游之間、企業(yè)與智能產(chǎn)品、企業(yè)與用戶(hù)之間的網(wǎng)絡(luò)。3.6網(wǎng)絡(luò)安全cybersecurity通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、入侵、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。[來(lái)源：GB/T22239-2019,3.1]4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。FTP：文件傳輸協(xié)議（FileTransferProtocol）HMI：人機(jī)接口（HumanMachineInterface）IP：網(wǎng)絡(luò)協(xié)議（InternetProtocol）5設(shè)備安全5.1設(shè)備身份鑒別設(shè)備身份鑒別要求如下：a）應(yīng)采用鑒別機(jī)制對(duì)接入工業(yè)互聯(lián)網(wǎng)中的設(shè)備身份進(jìn)行鑒別，確保數(shù)據(jù)來(lái)源于真實(shí)的設(shè)備；b）若存在需要對(duì)接入工業(yè)互聯(lián)網(wǎng)中的設(shè)備進(jìn)行遠(yuǎn)程管理的，應(yīng)采取必要措施，防止身份鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。5.2設(shè)備訪(fǎng)問(wèn)控制應(yīng)通過(guò)制定安全策略如訪(fǎng)問(wèn)控制列表，實(shí)現(xiàn)對(duì)接入工業(yè)互聯(lián)網(wǎng)中設(shè)備的訪(fǎng)問(wèn)控制。5.3運(yùn)維用戶(hù)身份鑒別運(yùn)維用戶(hù)身份鑒別要求如下：a）應(yīng)對(duì)登錄設(shè)備進(jìn)行運(yùn)維的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)應(yīng)具有唯一性，身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換；3b）對(duì)于登錄設(shè)備進(jìn)行運(yùn)維的過(guò)程應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施。5.4運(yùn)維用戶(hù)訪(fǎng)問(wèn)控制運(yùn)維用戶(hù)訪(fǎng)問(wèn)控制要求如下：a）應(yīng)對(duì)登錄設(shè)備進(jìn)行運(yùn)維的用戶(hù)分配賬戶(hù)和權(quán)限；b）應(yīng)重命名或刪除默認(rèn)賬戶(hù)，修改默認(rèn)賬戶(hù)的默認(rèn)口令；c）應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶(hù)，避免共享賬戶(hù)的存在；d）應(yīng)對(duì)登錄設(shè)備進(jìn)行運(yùn)維的用戶(hù)授予其所需的最小權(quán)限，并實(shí)現(xiàn)對(duì)不同類(lèi)型運(yùn)維用戶(hù)的權(quán)限分離。5.5入侵防范入侵防范要求如下：a）應(yīng)遵循最小安裝的原則，僅為設(shè)備安裝需要的組件和應(yīng)用程序；b）設(shè)備生產(chǎn)商應(yīng)明示設(shè)備中使用的端口與服務(wù)列表及用途，并關(guān)閉設(shè)備中不需要的端口與服務(wù)；c）應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；d）應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。5.6系統(tǒng)升級(jí)安全系統(tǒng)升級(jí)安全要求如下：a）應(yīng)保障關(guān)鍵設(shè)備具有系統(tǒng)升級(jí)功能；b）應(yīng)保障系統(tǒng)升級(jí)操作的安全，如更新時(shí)機(jī)和更新權(quán)限；c）應(yīng)能檢測(cè)升級(jí)軟件的真實(shí)性和完整性。5.7硬件接口安全所有用于生產(chǎn)、調(diào)試和維修的接口要求默認(rèn)禁用且普通用戶(hù)不可激活，廠(chǎng)商應(yīng)具有相關(guān)安全防護(hù)接入機(jī)制。5.8冗余備份恢復(fù)安全關(guān)鍵部件應(yīng)支持冗余功能，在設(shè)備運(yùn)行狀態(tài)異?？赡苡绊懢W(wǎng)絡(luò)安全時(shí)，可通過(guò)啟用備用部件防范安全風(fēng)險(xiǎn)。6控制安全6.1控制協(xié)議完整性保護(hù)對(duì)于控制協(xié)議應(yīng)采取完整性保證機(jī)制，確?？刂茀f(xié)議中的各類(lèi)指令不被非法篡改和破壞。46.2X控制軟件用戶(hù)身份鑒別控制軟件用戶(hù)身份鑒別要求如下：a）應(yīng)對(duì)登錄控制軟件進(jìn)行操作的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)應(yīng)具有唯一性，身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換；b）對(duì)于登錄控制軟件進(jìn)行操作的過(guò)程應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施。6.3控制軟件用戶(hù)訪(fǎng)問(wèn)控制控制軟件用戶(hù)訪(fǎng)問(wèn)控制要求如下：a）應(yīng)對(duì)登錄控制軟件進(jìn)行運(yùn)維的用戶(hù)分配賬戶(hù)和權(quán)限；b）應(yīng)重命名或刪除默認(rèn)賬戶(hù)，修改默認(rèn)賬戶(hù)的默認(rèn)口令；c）應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶(hù)，避免共享賬戶(hù)的存在。6.4入侵防范入侵防范要求如下：a）控制軟件應(yīng)遵循最小安裝的原則，僅安裝需要的組件；b）控制軟件生產(chǎn)商應(yīng)明示控制軟件中使用的端口與服務(wù)列表及用途，并關(guān)閉控制軟件中不需要的端6.5資源控制應(yīng)限制單個(gè)用戶(hù)或進(jìn)程對(duì)系統(tǒng)資源的最大使用限度。7網(wǎng)絡(luò)安全7.1工廠(chǎng)內(nèi)部網(wǎng)絡(luò)安全防護(hù)7.1.1區(qū)域劃分與隔離工廠(chǎng)內(nèi)部網(wǎng)絡(luò)應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段。7.1.2數(shù)據(jù)傳輸完整性保護(hù)應(yīng)采用適應(yīng)工廠(chǎng)內(nèi)部網(wǎng)絡(luò)特點(diǎn)的完整性校驗(yàn)機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。7.1.3網(wǎng)絡(luò)異常監(jiān)測(cè)應(yīng)對(duì)網(wǎng)絡(luò)通訊數(shù)據(jù)、訪(fǎng)問(wèn)異常、業(yè)務(wù)操作異常、網(wǎng)絡(luò)和設(shè)備流量、工作周期、抖動(dòng)值、運(yùn)行模式、各站點(diǎn)狀態(tài)、冗余機(jī)制等進(jìn)行監(jiān)測(cè)，發(fā)生異常進(jìn)行報(bào)警。7.1.4無(wú)線(xiàn)網(wǎng)絡(luò)攻擊的防護(hù)5應(yīng)對(duì)通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊的潛在威脅和可能產(chǎn)生的后果進(jìn)行風(fēng)險(xiǎn)分析，并對(duì)可能遭受無(wú)線(xiàn)攻擊的設(shè)備的信息發(fā)出(信息外泄)和進(jìn)入（非法操控)進(jìn)行屏蔽。7.1.5網(wǎng)絡(luò)入侵防范應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署入侵防范措施，對(duì)針對(duì)這些節(jié)點(diǎn)的入侵行為進(jìn)行檢測(cè)，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。7.2工廠(chǎng)外部網(wǎng)絡(luò)安全防護(hù)7.2.1數(shù)據(jù)傳輸完整性保護(hù)應(yīng)采用常規(guī)校驗(yàn)機(jī)制檢驗(yàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾?，并能發(fā)現(xiàn)其完整性被破壞的情況。7.2.2數(shù)據(jù)傳輸保密性保護(hù)應(yīng)采用密碼技術(shù)支持的數(shù)據(jù)保密機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中傳輸數(shù)據(jù)的保密性保護(hù)。7.2.3網(wǎng)絡(luò)入侵防范應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署入侵防范措施，對(duì)針對(duì)這些節(jié)點(diǎn)的入侵行為進(jìn)行檢測(cè)，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。7.3邊界防護(hù)7.3.1網(wǎng)絡(luò)邊界隔離工廠(chǎng)內(nèi)部網(wǎng)絡(luò)與工廠(chǎng)外部網(wǎng)絡(luò)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用技術(shù)隔離手段。7.3.2網(wǎng)絡(luò)邊界訪(fǎng)問(wèn)控制網(wǎng)絡(luò)邊界訪(fǎng)問(wèn)控制要求如下：a）應(yīng)在網(wǎng)絡(luò)邊界根據(jù)訪(fǎng)問(wèn)控制策略設(shè)置訪(fǎng)問(wèn)控制規(guī)則，保證跨越網(wǎng)絡(luò)邊界的訪(fǎng)詢(xún)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信，默認(rèn)情況下受控接口拒絕所有通信；b）應(yīng)刪除多余或無(wú)效的訪(fǎng)問(wèn)控制規(guī)則，優(yōu)化訪(fǎng)問(wèn)控制列表,并保證訪(fǎng)問(wèn)控制規(guī)則數(shù)量最小化；c）應(yīng)根據(jù)網(wǎng)絡(luò)邊界訪(fǎng)問(wèn)控制規(guī)則，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、協(xié)議等，確定是否允許該數(shù)據(jù)包通過(guò)該區(qū)域邊界；d）工廠(chǎng)內(nèi)部網(wǎng)絡(luò)與工廠(chǎng)外部網(wǎng)絡(luò)之間應(yīng)采用訪(fǎng)問(wèn)控制機(jī)制，不應(yīng)有任何穿越區(qū)域邊界的E-Mai1、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)；e）應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力；f）工程師站、操作員站、HMI等位于工廠(chǎng)內(nèi)部網(wǎng)絡(luò)的重要控制節(jié)點(diǎn)不應(yīng)在無(wú)安全防護(hù)措施的情況下直接與工廠(chǎng)外部網(wǎng)絡(luò)建立連接。67.4X應(yīng)用安全.1用戶(hù)身份鑒別用戶(hù)身份鑒別要求如下：a）應(yīng)對(duì)使用工業(yè)互聯(lián)網(wǎng)平臺(tái)與工業(yè)應(yīng)用程序的用戶(hù)身份進(jìn)行標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)應(yīng)具有唯一性，身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換；b）工業(yè)互聯(lián)網(wǎng)平臺(tái)及工業(yè)應(yīng)用程序的登錄過(guò)程應(yīng)提供并啟用登錄失敗處理功能，多次登錄失敗后應(yīng)采取必要的保護(hù)措施:c）應(yīng)使用密碼技術(shù)對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)；d）應(yīng)強(qiáng)制用戶(hù)首次登錄時(shí)修改初始口令；e）用戶(hù)身份鑒別信息丟失或失效時(shí)，應(yīng)采用技術(shù)措施確保鑒別信息重置過(guò)程的安全。7.4.2訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制要求如下：a）應(yīng)提供訪(fǎng)問(wèn)控制功能，對(duì)使用工業(yè)互聯(lián)網(wǎng)平臺(tái)及工業(yè)應(yīng)用程序的用戶(hù)分配賬戶(hù)及相應(yīng)的訪(fǎng)問(wèn)操作權(quán)限；b）應(yīng)重命名或刪除默認(rèn)賬戶(hù)，修改默認(rèn)賬戶(hù)的默認(rèn)登錄口令；c）應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶(hù)，避免共享賬戶(hù)的存在；d）工業(yè)互聯(lián)網(wǎng)平臺(tái)應(yīng)為工業(yè)應(yīng)用程序提供訪(fǎng)問(wèn)控制授權(quán)能力；e）應(yīng)根據(jù)訪(fǎng)問(wèn)控制策略，對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)開(kāi)發(fā)者、工業(yè)應(yīng)用程序及其用戶(hù)調(diào)用工業(yè)互聯(lián)網(wǎng)平臺(tái)開(kāi)發(fā)接口實(shí)施訪(fǎng)問(wèn)控制。7.4.3合規(guī)性檢查對(duì)于工業(yè)互聯(lián)網(wǎng)平臺(tái)及工業(yè)應(yīng)用程序應(yīng)提供數(shù)據(jù)合規(guī)性檢驗(yàn)功能(如驗(yàn)證數(shù)據(jù)類(lèi)型是否正確、數(shù)據(jù)大小或長(zhǎng)度是否超出范圍等)，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合其設(shè)定要求。7.4.4應(yīng)用管控應(yīng)用管控要求如下：a）工業(yè)應(yīng)用程序供應(yīng)商不應(yīng)通過(guò)捆綁安裝、自動(dòng)啟動(dòng)等技術(shù)手段對(duì)用戶(hù)自主選擇安裝或運(yùn)行應(yīng)用程序的權(quán)利進(jìn)行限制；b）應(yīng)設(shè)置針對(duì)工業(yè)應(yīng)用程序的白名單功能,根據(jù)應(yīng)用程序白名單控制應(yīng)用程序的安裝、運(yùn)行；c）應(yīng)具有應(yīng)用程序權(quán)限控制功能，應(yīng)能控制應(yīng)用程序?qū)K端設(shè)備中資源的訪(fǎng)問(wèn)；7d）應(yīng)只允許可靠證書(shū)簽名的應(yīng)用程序安裝和運(yùn)行。7.4.5應(yīng)用來(lái)源保證應(yīng)用來(lái)源保證要求如下：a）工業(yè)互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)商應(yīng)保證終端設(shè)備安裝、運(yùn)行的工業(yè)應(yīng)用程序來(lái)自可靠證書(shū)簽名或可靠分發(fā)渠道；b）工業(yè)互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)商應(yīng)保證終端設(shè)備安裝、運(yùn)行的工業(yè)應(yīng)用程序由可靠的開(kāi)發(fā)者開(kāi)發(fā)；c）工業(yè)互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)商應(yīng)驗(yàn)證開(kāi)發(fā)工業(yè)應(yīng)用程序的簽名證書(shū)的合法性。7.4.6應(yīng)用健壯性保證在故障發(fā)生時(shí)，應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?.4.7應(yīng)用資源控制應(yīng)用資源控制要求如下：a）工業(yè)互聯(lián)網(wǎng)平臺(tái)及工業(yè)應(yīng)用程序應(yīng)具備會(huì)話(huà)超時(shí)自動(dòng)結(jié)束功能,當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話(huà)；b）應(yīng)能夠?qū)I(yè)互聯(lián)網(wǎng)平臺(tái)及工業(yè)應(yīng)用程序的最大并發(fā)會(huì)話(huà)連接數(shù)進(jìn)行限制；c）應(yīng)能夠?qū)蝹€(gè)賬戶(hù)的多重并發(fā)會(huì)話(huà)進(jìn)行限制；d）應(yīng)能夠?qū)τ脩?hù)或進(jìn)程對(duì)終端設(shè)備系統(tǒng)資源的最大使用限度進(jìn)行限制，防止終端設(shè)備被提權(quán)。7.4.8應(yīng)用上線(xiàn)前檢測(cè)應(yīng)在工業(yè)互聯(lián)網(wǎng)平臺(tái)及工業(yè)應(yīng)用程序上線(xiàn)前對(duì)其安全性進(jìn)行測(cè)試，對(duì)可能存在的缺陷與惡意代碼等進(jìn)行檢測(cè)。8標(biāo)識(shí)解析安全8.1運(yùn)行環(huán)境安全8.1.1物理環(huán)境安全防護(hù)物理環(huán)境安全防護(hù)要求如下：a）應(yīng)建立機(jī)房安全管理制度，對(duì)機(jī)房所在區(qū)域采取訪(fǎng)問(wèn)授權(quán)、視頻監(jiān)控等物理安全防護(hù)措施并定期巡查通信線(xiàn)路；b）應(yīng)對(duì)核心軟硬件所在區(qū)域采取安全域隔離、訪(fǎng)問(wèn)控制、視頻監(jiān)控、專(zhuān)人值守等物理安全防護(hù)措施。防火、防盜、防靜電、溫濕度控制、防塵、電力供應(yīng)、電磁防護(hù)。8.1.2設(shè)備及軟件系統(tǒng)安全防護(hù)8X設(shè)備及軟件系統(tǒng)安全防護(hù)要求如下：a）應(yīng)建立標(biāo)識(shí)解析系統(tǒng)基礎(chǔ)設(shè)施資產(chǎn)清單，做好資產(chǎn)分類(lèi)、定級(jí)與標(biāo)識(shí)管理，及時(shí)修復(fù)重要系統(tǒng)的安全漏洞；b）應(yīng)建立惡意代碼防護(hù)及其相應(yīng)的維護(hù)機(jī)制，通過(guò)手動(dòng)或自動(dòng)方式及時(shí)更新，防止非特權(quán)用戶(hù)繞過(guò)；c）應(yīng)密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級(jí)措施。在補(bǔ)丁安裝前，需對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證。8.1.3網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)安全防護(hù)要求如下：a）應(yīng)做好安全域劃分，分離安全區(qū)域，通過(guò)網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)邊界進(jìn)行安全防護(hù)，通過(guò)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)；b）應(yīng)對(duì)核心系統(tǒng)（如標(biāo)識(shí)解析節(jié)點(diǎn)服務(wù)系統(tǒng)）搭建獨(dú)立的計(jì)算平臺(tái)、存儲(chǔ)平臺(tái)、內(nèi)部網(wǎng)絡(luò)環(huán)境及相關(guān)維護(hù)、安防、電源等設(shè)施，并經(jīng)由受控邊界與外部網(wǎng)絡(luò)相連；c）應(yīng)做好入侵防范，建設(shè)端口掃描、木馬后門(mén)、DDoS、緩沖區(qū)溢出等網(wǎng)絡(luò)入侵行為檢測(cè)及報(bào)警能力，并記錄攻擊源IP、攻擊類(lèi)型、攻擊時(shí)間；d）應(yīng)對(duì)進(jìn)出關(guān)鍵系統(tǒng)的數(shù)據(jù)信息進(jìn)行過(guò)濾，并能根據(jù)系統(tǒng)能力對(duì)網(wǎng)絡(luò)流量及并發(fā)數(shù)進(jìn)行限制，對(duì)關(guān)鍵入侵行為進(jìn)行阻斷；e）應(yīng)做好安全審計(jì)，對(duì)重要設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量信息、系統(tǒng)管理及維護(hù)等信息進(jìn)行記錄，對(duì)記錄進(jìn)行留存并加以保護(hù)，防止篡改和未授權(quán)訪(fǎng)問(wèn)，以支持將來(lái)的調(diào)查和訪(fǎng)問(wèn)控制監(jiān)視。8.2身份安全8.2.1組織機(jī)構(gòu)安全應(yīng)加強(qiáng)機(jī)構(gòu)實(shí)體身份認(rèn)證，對(duì)于新申請(qǐng)加入的組織機(jī)構(gòu)做好相關(guān)身份與資質(zhì)審查，建立身份信息標(biāo)識(shí)，保證操作過(guò)程身份可校驗(yàn)，防止機(jī)構(gòu)身份偽造。8.2.2終端安全終端安全要求如下：a）應(yīng)通過(guò)防偽、標(biāo)識(shí)綁定等技術(shù)防止被動(dòng)及主動(dòng)標(biāo)識(shí)載體中的標(biāo)識(shí)編碼被篡改、偽造；b）應(yīng)通過(guò)軟件安全防護(hù)技術(shù)，防止客戶(hù)端被破壞，避免其身份被篡改、偽造、惡意利用。8.2.3協(xié)議安全9應(yīng)采用具有認(rèn)證機(jī)制的通信協(xié)議，在各級(jí)節(jié)點(diǎn)間、客戶(hù)端與服務(wù)端間等通信過(guò)程中，對(duì)主體身份、消息進(jìn)行安全認(rèn)證，支持配套的認(rèn)證密鑰建立。8.2.4平臺(tái)系統(tǒng)安全平臺(tái)系統(tǒng)安全要求如下：a）應(yīng)建設(shè)支持多種認(rèn)證方式的身份與權(quán)限管理平臺(tái)，對(duì)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析涉及的多主體對(duì)象的身份及權(quán)限進(jìn)行統(tǒng)一管理；b）應(yīng)對(duì)用戶(hù)訪(fǎng)問(wèn)的全過(guò)程實(shí)行嚴(yán)格的向正確的用戶(hù)實(shí)行相應(yīng)的權(quán)限控制，包括從登入到登出的過(guò)程。8.3服務(wù)運(yùn)營(yíng)安全服務(wù)運(yùn)營(yíng)安全要求如下：a）應(yīng)對(duì)標(biāo)識(shí)解析注冊(cè)機(jī)構(gòu)、運(yùn)營(yíng)服務(wù)機(jī)構(gòu)、監(jiān)管方、安全服務(wù)提供方、安全運(yùn)營(yíng)方等制定相應(yīng)的管理制度和運(yùn)營(yíng)規(guī)范，明確各機(jī)構(gòu)的職責(zé)、權(quán)益工作流程；b）應(yīng)針對(duì)物理環(huán)境、終端設(shè)備、軟件系統(tǒng)、網(wǎng)絡(luò)設(shè)施等對(duì)象，在服務(wù)及運(yùn)維等過(guò)程采取多樣安全防護(hù)技術(shù)，建設(shè)立體化防護(hù)體系；c）應(yīng)加強(qiáng)標(biāo)識(shí)解析注冊(cè)與服務(wù)機(jī)構(gòu)的認(rèn)證和管理，做好解析節(jié)點(diǎn)授權(quán)管理及標(biāo)識(shí)資源使用，利用云計(jì)算、大數(shù)據(jù)等新手段實(shí)現(xiàn)數(shù)據(jù)資源共享、機(jī)構(gòu)高效協(xié)同、責(zé)任邊界明確的標(biāo)識(shí)解析服務(wù)協(xié)作機(jī)制；d）應(yīng)對(duì)每個(gè)用戶(hù)賬號(hào)的操作、行為、標(biāo)識(shí)資源使用情況、系統(tǒng)重要安全事件進(jìn)行審計(jì)，留存記錄并加以保護(hù)；e）應(yīng)在標(biāo)識(shí)解析系統(tǒng)運(yùn)營(yíng)維護(hù)、配置和補(bǔ)丁管理、系統(tǒng)升級(jí)、主機(jī)登錄、標(biāo)識(shí)解析服務(wù)資源訪(fǎng)問(wèn)等過(guò)程中使用身份認(rèn)證管理；f）應(yīng)對(duì)關(guān)鍵設(shè)備、系統(tǒng)和平臺(tái)的訪(fǎng)問(wèn)采用多因素認(rèn)證；g）應(yīng)對(duì)所有的通信會(huì)話(huà)提供真實(shí)性保護(hù)，防止中間人攻擊、會(huì)話(huà)劫持；h）應(yīng)依據(jù)安全策略控制業(yè)務(wù)用戶(hù)、管理用戶(hù)對(duì)系統(tǒng)文件、數(shù)據(jù)庫(kù)、標(biāo)識(shí)資源等客體的訪(fǎng)問(wèn)，對(duì)重要信息資源設(shè)置敏感標(biāo)記，并依據(jù)安全策略控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作，實(shí)現(xiàn)規(guī)范化的技術(shù)應(yīng)用、體系化的運(yùn)營(yíng)管理、立體化的安全保障。9平臺(tái)安全9.1邊緣層安全防護(hù)要求9.1.1X網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)架構(gòu)要求如下：a）應(yīng)設(shè)置單獨(dú)的接入安全區(qū)域，并分配已規(guī)劃的地址空間；b）避免接入設(shè)備與重要信息系統(tǒng)直接互連，可通過(guò)信息交換系統(tǒng)或者共享系統(tǒng)來(lái)進(jìn)行數(shù)據(jù)的交互。9.1.2傳輸保護(hù)傳輸保護(hù)要求如下：a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備的接入行為進(jìn)行告警和阻斷；b）對(duì)于有線(xiàn)和無(wú)線(xiàn)接入，應(yīng)確保通過(guò)受控的邊界防護(hù)設(shè)備或者其上的指定端口接入網(wǎng)絡(luò)。9.1.3邊界防護(hù)邊界防護(hù)要求如下：a）工廠(chǎng)內(nèi)部網(wǎng)絡(luò)與工廠(chǎng)外部網(wǎng)絡(luò)的邊界應(yīng)該具有隔離措施；b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備的接入行為進(jìn)行告警和阻斷。c）對(duì)于有線(xiàn)和無(wú)線(xiàn)接入，應(yīng)確保通過(guò)受控的邊界防護(hù)設(shè)備或者其上的指定端口接入網(wǎng)絡(luò)。9.1.4訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制要求如下：a）應(yīng)確保接入網(wǎng)絡(luò)邊界網(wǎng)關(guān)只開(kāi)放接入服務(wù)相關(guān)的端口；b）應(yīng)確保邊界安全網(wǎng)關(guān)通過(guò)ACL檢測(cè)機(jī)制對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)進(jìn)出；c）應(yīng)對(duì)接入網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行深度包檢測(cè)；d）應(yīng)采用白名單控制方式，只允許合法設(shè)備接入網(wǎng)絡(luò)；e）應(yīng)采用IP-MAC綁定、802.1x、證書(shū)、標(biāo)識(shí)碼等技術(shù)對(duì)接入的PC機(jī)、便攜機(jī)、智能終端等設(shè)備進(jìn)行注冊(cè)認(rèn)證；f）終端接入后，應(yīng)限制該終端的訪(fǎng)問(wèn)權(quán)限，并限制其他設(shè)備與該終端的非授權(quán)通信；g）在一個(gè)非活動(dòng)時(shí)間周期后，應(yīng)通過(guò)自動(dòng)方式或者手動(dòng)方式終止用戶(hù)遠(yuǎn)程連接。9.1.5入侵防范入侵防范要求如下：a）應(yīng)能夠檢測(cè)接入設(shè)備發(fā)起的DDoS等網(wǎng)絡(luò)攻擊行為；b）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)能夠告警；c）應(yīng)能夠?qū)ξ粗{進(jìn)行分析和防范。9.1.6安全審計(jì)安全審計(jì)要求如下：a）應(yīng)對(duì)接入用戶(hù)的重要安全事件和重要行為進(jìn)行審計(jì)；b）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；c）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；d）審計(jì)日志應(yīng)符合相關(guān)法律法規(guī)要求；e）審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生，以確保審計(jì)分析的正確性。9.2平臺(tái)IaaS層安全防護(hù)要求9.2.1服務(wù)器安全防護(hù)要求身份鑒別認(rèn)證身份鑒別認(rèn)證要求如下：a）應(yīng)對(duì)登錄服務(wù)器的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；b）服務(wù)器管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制非法登陸次數(shù)和自動(dòng)退出等措施；d）應(yīng)采用安全方式防止用戶(hù)鑒別認(rèn)證信息泄露而造成身份冒用；e）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取加密措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊取。訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制要求如下：a）應(yīng)采用技術(shù)措施對(duì)允許訪(fǎng)問(wèn)服務(wù)器的終端地址范圍進(jìn)行限制；b）應(yīng)關(guān)閉服務(wù)器不使用的端口，防止非法訪(fǎng)問(wèn)；c）應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限。安全審計(jì)安全審計(jì)要求如下：a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)用戶(hù)；Xb）審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等重要的安全相關(guān)事件；c）審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d）保護(hù)審計(jì)記錄，有效期內(nèi)避免受到非授權(quán)的訪(fǎng)問(wèn)、篡改、覆蓋或刪除等；e）應(yīng)支持按用戶(hù)需求提供與其相關(guān)的審計(jì)信息及審計(jì)分析報(bào)告；f）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；g）應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；h）應(yīng)能匯聚服務(wù)范圍內(nèi)的審計(jì)數(shù)據(jù)，支持第三方審計(jì)。資源控制資源控制要求如下：a）應(yīng)根據(jù)安全策略，設(shè)置登錄終端的會(huì)話(huà)數(shù)量；b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；c）應(yīng)對(duì)重要服務(wù)器進(jìn)行性能監(jiān)測(cè)，包括服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況，發(fā)現(xiàn)異常情況提供告警，并進(jìn)行相應(yīng)處置。惡意代碼防范惡意代碼防范要求如下：a）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；b）應(yīng)支持對(duì)防惡意代碼的統(tǒng)一管理。入侵防范入侵防范要求如下：a）所使用的操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，保持系統(tǒng)補(bǔ)丁及時(shí)得到更新；b）應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；c）應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施。9.2.2虛擬化安全防護(hù)要求虛擬機(jī)安全虛擬機(jī)安全要求如下：a）應(yīng)支持虛擬機(jī)之間、虛擬機(jī)與宿主機(jī)之間的隔離；b）應(yīng)支持虛擬機(jī)部署防病毒軟件；c）應(yīng)具有對(duì)虛擬機(jī)惡意攻擊等行為的識(shí)別并處置的能力；d）應(yīng)支持對(duì)虛擬機(jī)脆弱性進(jìn)行檢測(cè)的能力；e）應(yīng)保證虛擬機(jī)遷移過(guò)程中數(shù)據(jù)和內(nèi)存的安全可靠，保證遷入虛擬機(jī)的完整性和遷移前后安全配置環(huán)境的一致性；f）應(yīng)確保虛擬機(jī)操作系統(tǒng)的完整性，確保虛擬機(jī)操作系統(tǒng)不被篡改，且確保虛擬機(jī)實(shí)現(xiàn)安全啟動(dòng)；g）應(yīng)對(duì)虛擬機(jī)鏡像文件進(jìn)行完整性校驗(yàn)，確保虛擬機(jī)鏡像不被篡改；h）應(yīng)提供最新版本的虛擬機(jī)鏡像和補(bǔ)丁版本；i）應(yīng)支持發(fā)現(xiàn)虛擬機(jī)操作系統(tǒng)漏洞的能力，支持漏洞修復(fù)。虛擬網(wǎng)絡(luò)安全虛擬機(jī)安全要求如下：a）應(yīng)部署一定的訪(fǎng)問(wèn)控制安全策略，以實(shí)現(xiàn)虛擬機(jī)之間、虛擬機(jī)與虛擬機(jī)管理平臺(tái)之間、虛擬機(jī)與外部網(wǎng)絡(luò)之間的安全訪(fǎng)問(wèn)控制；b）應(yīng)支持采用VLAN或者分布式虛擬交換機(jī)等技術(shù)，以實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離；c）應(yīng)支持不同租戶(hù)之間的網(wǎng)絡(luò)隔離；d）應(yīng)支持對(duì)虛擬網(wǎng)絡(luò)的邏輯隔離，在虛擬網(wǎng)絡(luò)邊界處實(shí)施訪(fǎng)問(wèn)控制策略；e）應(yīng)對(duì)虛擬機(jī)網(wǎng)絡(luò)出口帶寬進(jìn)行限制；f）可支持用戶(hù)選擇使用第三方安全產(chǎn)品。虛擬化平臺(tái)安全虛擬機(jī)安全要求如下：a）應(yīng)保證每個(gè)虛擬機(jī)能獲得相對(duì)獨(dú)立的物理資源，并能屏蔽虛擬資源故障，確保某個(gè)虛擬機(jī)崩潰后不影響虛擬機(jī)監(jiān)控器及其他虛擬機(jī)；b）應(yīng)保證不同虛擬機(jī)之間的虛擬CPU指令隔離；c）應(yīng)保證不同虛擬機(jī)之間的內(nèi)存隔離，內(nèi)存被釋放或再分配給其他虛擬機(jī)前得到完全釋放；d）應(yīng)保證虛擬機(jī)只能訪(fǎng)問(wèn)分配給該虛擬機(jī)的存儲(chǔ)空間（包括內(nèi)存空間和磁盤(pán)空間e）應(yīng)對(duì)虛擬機(jī)的運(yùn)行狀態(tài)、資源占用等信息進(jìn)行監(jiān)控；f）應(yīng)支持發(fā)現(xiàn)虛擬化平臺(tái)漏洞的能力，支持漏洞修復(fù)。9.3X9.3.1平臺(tái)PaaS層安全防護(hù)要求9.3.1數(shù)據(jù)分析服務(wù)安全防護(hù)要求數(shù)據(jù)挖掘數(shù)據(jù)挖掘安全要求如下：a）針對(duì)不同接入方式的數(shù)據(jù)挖掘用戶(hù)，應(yīng)采用不同的認(rèn)證方式。需要檢查使用數(shù)據(jù)的合法性和有效性；b）挖掘算法在使用前，必須申報(bào)算法使用的數(shù)據(jù)范圍、挖掘周期、挖掘目的、以及挖掘結(jié)果的應(yīng)用范圍等內(nèi)容。算法提供者必須對(duì)算法的安全性和可靠性提供必要的驗(yàn)證與測(cè)試方案；c）在數(shù)據(jù)挖掘過(guò)程中，應(yīng)對(duì)挖掘算法使用的數(shù)據(jù)范圍、數(shù)據(jù)狀態(tài)、數(shù)據(jù)格式、數(shù)據(jù)內(nèi)容等進(jìn)行監(jiān)控；d）挖掘算法不應(yīng)對(duì)數(shù)據(jù)存儲(chǔ)區(qū)域內(nèi)的原始數(shù)據(jù)進(jìn)行增加、修改、刪除等操作，以保證原始數(shù)據(jù)的可用性和完整性；e）不應(yīng)將挖掘算法產(chǎn)生的中間過(guò)程數(shù)據(jù)與原始數(shù)據(jù)存儲(chǔ)于同一空間，以防數(shù)據(jù)使用的混亂、加大數(shù)據(jù)存儲(chǔ)的管理難度。同時(shí)，應(yīng)周期性的檢查用戶(hù)操作數(shù)據(jù)的情況，統(tǒng)一管理數(shù)據(jù)使用權(quán)限；f）不同應(yīng)用之間應(yīng)進(jìn)行數(shù)據(jù)關(guān)聯(lián)性隔離，防止不同應(yīng)用之間的ECA分析產(chǎn)生數(shù)據(jù)泄露；g）應(yīng)對(duì)挖掘內(nèi)容、過(guò)程、結(jié)果、用戶(hù)進(jìn)行安全審計(jì)。主要包括挖掘內(nèi)容的合理性、挖掘過(guò)程的合規(guī)性、挖掘結(jié)果的可用性，以及挖掘用戶(hù)的安全性；h）應(yīng)對(duì)源數(shù)據(jù)和挖掘結(jié)果進(jìn)行簽識(shí)，防止數(shù)據(jù)被惡意刪除、隨意篡改、無(wú)約束的濫用；i）如需將收集到的信息共享給第三方應(yīng)用，應(yīng)對(duì)信息進(jìn)行脫敏處理，嚴(yán)格保護(hù)用戶(hù)隱私不被泄露。數(shù)據(jù)輸出數(shù)據(jù)輸出安全要求如下：a）應(yīng)對(duì)應(yīng)用數(shù)據(jù)的各種操作行為、操作結(jié)果予以完整記錄，確保操作行為的可追溯；b）應(yīng)對(duì)所有輸出的數(shù)據(jù)內(nèi)容都進(jìn)行合規(guī)性審計(jì)，審計(jì)范圍包括數(shù)據(jù)的真實(shí)性、一致性、完整性、歸屬權(quán)、使用范圍等；c）應(yīng)對(duì)數(shù)據(jù)輸出的接口進(jìn)行規(guī)范管理，管理內(nèi)容包括數(shù)據(jù)輸出接口類(lèi)型加密方式、傳輸周期、使用用途、認(rèn)證方式等；d）如需將數(shù)據(jù)輸出到平臺(tái)以外的實(shí)體時(shí)，在輸出前應(yīng)對(duì)數(shù)據(jù)進(jìn)行脫敏操作，確保輸出的數(shù)據(jù)滿(mǎn)足約定的要求且不泄露敏感信息；e）應(yīng)對(duì)所有審計(jì)行為留有記錄并獨(dú)立存儲(chǔ)，嚴(yán)禁在任何情況下開(kāi)放對(duì)審計(jì)結(jié)果的修改與刪除權(quán)限。9.3.2微服務(wù)組件安全防護(hù)要求身份鑒別身份鑒別要求如下：a）應(yīng)對(duì)管理微服務(wù)組件的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；b）管理微服務(wù)組件的用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制非法登陸次數(shù)和自動(dòng)退出等措施；d）應(yīng)采用安全方式防止用戶(hù)鑒別認(rèn)證信息泄露而造成身份冒用；訪(fǎng)問(wèn)控制在微服務(wù)組件權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的業(yè)務(wù)需要，配置其所需的最小權(quán)限。安全審計(jì)安全審計(jì)要求如下：a）審計(jì)范圍應(yīng)覆蓋到使用微服務(wù)組件的每個(gè)用戶(hù)；b）審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、微服務(wù)組件資源的異常使用和重要操作命令的使用等重要的安全相關(guān)事件；c）審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d）保護(hù)審計(jì)記錄，有效期內(nèi)避免受到非授權(quán)的訪(fǎng)問(wèn)、篡改、覆蓋或刪除等；e）應(yīng)支持按用戶(hù)需求提供與其相關(guān)的審計(jì)信息及審計(jì)分析報(bào)告。開(kāi)放接口開(kāi)放接口要求如下：a）微服務(wù)組件應(yīng)有與外部組件或應(yīng)用之間開(kāi)放接口的安全管控措施，接口協(xié)議操作應(yīng)通過(guò)接口代碼審計(jì)、黑、白名單等控制措施確保交互符合接口規(guī)范；b）應(yīng)對(duì)開(kāi)放接口調(diào)用有認(rèn)證措施；c）應(yīng)對(duì)關(guān)鍵接口的調(diào)用情況進(jìn)行技術(shù)監(jiān)控，如調(diào)用頻率、調(diào)用來(lái)源等；d）應(yīng)用開(kāi)放接口生成的業(yè)務(wù)應(yīng)用或應(yīng)用程序在供用戶(hù)下載之前應(yīng)通過(guò)安全檢測(cè)；e）應(yīng)制定開(kāi)放接口管理機(jī)制和網(wǎng)絡(luò)安全應(yīng)急管理制度。9.3.3平臺(tái)應(yīng)用開(kāi)發(fā)環(huán)境安全防護(hù)要求身份鑒別身份鑒別要求如下：Xa）對(duì)保留用戶(hù)個(gè)人信息或用戶(hù)服務(wù)信息的業(yè)務(wù)，應(yīng)對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；b）對(duì)要求提供登錄功能的開(kāi)發(fā)環(huán)境，應(yīng)提供并啟用登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和自動(dòng)退出等措施；c）對(duì)要求提供登錄功能的開(kāi)發(fā)環(huán)境，應(yīng)提供并啟用用戶(hù)身份標(biāo)識(shí)唯一檢查功能，保證開(kāi)發(fā)環(huán)境中不存在重復(fù)用戶(hù)身份標(biāo)識(shí)。應(yīng)提供并啟用用戶(hù)鑒別信息復(fù)雜度檢查功能，保證身份鑒別信息不易被冒用；d）應(yīng)采用加密方式存儲(chǔ)用戶(hù)的賬號(hào)和口令信息；e）需要登錄訪(fǎng)問(wèn)的開(kāi)發(fā)環(huán)境，應(yīng)對(duì)用戶(hù)訪(fǎng)問(wèn)和操作的有關(guān)環(huán)節(jié)（如注冊(cè)、登錄操作、管理、瀏覽等）提供有效的保護(hù)措施（如對(duì)用戶(hù)注冊(cè)口令進(jìn)行強(qiáng)度檢查用戶(hù)檢測(cè)和賬號(hào)保護(hù)、以圖形驗(yàn)證碼保護(hù)各類(lèi)提交信息、對(duì)用戶(hù)重要操作進(jìn)行確認(rèn)和驗(yàn)證、授權(quán)訪(fǎng)問(wèn)頁(yè)面使用安全連接等）。訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制要求如下：a）應(yīng)由授權(quán)主體配置訪(fǎng)問(wèn)控制策略，并嚴(yán)格限制默認(rèn)用戶(hù)的訪(fǎng)問(wèn)權(quán)限；b）應(yīng)嚴(yán)格限制各用戶(hù)的訪(fǎng)問(wèn)權(quán)限，按安全策略要求控制用戶(hù)對(duì)業(yè)務(wù)、數(shù)據(jù)、網(wǎng)絡(luò)資源等的訪(fǎng)問(wèn)。安全審計(jì)安全審計(jì)要求如下：a）審計(jì)范圍應(yīng)覆蓋到每個(gè)用戶(hù)的關(guān)鍵操作；b）審計(jì)內(nèi)容應(yīng)包括對(duì)用戶(hù)的重要行為、資源使用情況等重要事件；c）應(yīng)保護(hù)審計(jì)記錄，保證無(wú)法刪除、修改或覆蓋等；d）相關(guān)審計(jì)記錄應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等，并且根據(jù)相關(guān)法律法規(guī)要求保留一定期限。資源控制資源控制要求如下：a）當(dāng)用戶(hù)和開(kāi)發(fā)環(huán)境的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話(huà)；b）應(yīng)根據(jù)需要對(duì)用戶(hù)與開(kāi)發(fā)環(huán)境之間相關(guān)通信過(guò)程中的全部報(bào)文或整個(gè)會(huì)話(huà)過(guò)程提供必要的保護(hù)（如進(jìn)行通信數(shù)據(jù)加密），并提供對(duì)相關(guān)訪(fǎng)問(wèn)、通信等數(shù)據(jù)的防抵賴(lài)功能；c）應(yīng)定義服務(wù)水平閾值，能夠?qū)Ψ?wù)水平進(jìn)行監(jiān)測(cè)，并具備當(dāng)服務(wù)水平降低到預(yù)先規(guī)定的閥值時(shí)進(jìn)行告警的功能。信息保護(hù)信息保護(hù)要求如下：a）開(kāi)發(fā)環(huán)境中各功能的提供、控制與管理過(guò)程應(yīng)保護(hù)用戶(hù)隱私，未經(jīng)用戶(hù)同意，不能擅自收集、修改、泄漏用戶(hù)相關(guān)敏感信息；b）應(yīng)保護(hù)相關(guān)信息的安全，避免相關(guān)數(shù)據(jù)和頁(yè)面被篡改和破壞；c）不應(yīng)有不必要的內(nèi)嵌網(wǎng)絡(luò)服務(wù)，不應(yīng)在用戶(hù)端自動(dòng)安裝惡意軟件和插件；d）應(yīng)對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密；e）應(yīng)對(duì)敏感信息（如用戶(hù)信息、訂單信息、應(yīng)用軟件下載路徑等）進(jìn)行加密存儲(chǔ)；f）應(yīng)對(duì)開(kāi)發(fā)環(huán)境相關(guān)功能的關(guān)鍵數(shù)據(jù)（如業(yè)務(wù)數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、管理員操作維護(hù)記錄、用戶(hù)信息、業(yè)務(wù)應(yīng)用與應(yīng)用程序購(gòu)買(mǎi)、下載信息等）應(yīng)有必要的容災(zāi)各份；g）應(yīng)能對(duì)詐騙、虛假?gòu)V告等信息建立處理機(jī)制，防止類(lèi)似信息的擴(kuò)散；h）與開(kāi)發(fā)環(huán)境中的重要功能相關(guān)的數(shù)據(jù)應(yīng)進(jìn)行異址備份；i）開(kāi)發(fā)環(huán)境應(yīng)提供數(shù)據(jù)自動(dòng)保護(hù)功能，當(dāng)發(fā)生故障后應(yīng)保證開(kāi)發(fā)環(huán)境能夠恢復(fù)到故障前的業(yè)務(wù)狀態(tài)。惡意代碼防范應(yīng)提供有效的惡意代碼檢測(cè)和過(guò)濾技術(shù)手段，對(duì)開(kāi)發(fā)環(huán)境向用戶(hù)提供的各類(lèi)信息（如用戶(hù)發(fā)布和上傳的文件、資源站點(diǎn)可供下載的立件、即時(shí)通信用戶(hù)間傳送的文件、電子郵件附件）進(jìn)行必要的安全檢查和過(guò)濾。上線(xiàn)前檢測(cè)上線(xiàn)前檢測(cè)要求如下：a）開(kāi)發(fā)環(huán)境應(yīng)在業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序上線(xiàn)前對(duì)其進(jìn)行安全審核，以確保其不包含惡意代碼、惡意行為等，經(jīng)過(guò)安全審核后才能進(jìn)行上線(xiàn)處理正式發(fā)布；b）開(kāi)發(fā)環(huán)境可提供用戶(hù)數(shù)據(jù)同步功能，但開(kāi)發(fā)環(huán)境同步的用戶(hù)數(shù)據(jù)不應(yīng)保存在位于境外的服務(wù)器Xc）開(kāi)發(fā)環(huán)境應(yīng)支持對(duì)工業(yè)應(yīng)用程序的移動(dòng)代碼簽名機(jī)制，對(duì)應(yīng)用程序檢測(cè)審核后，對(duì)其進(jìn)行數(shù)字簽名。移動(dòng)終端在下載安裝工業(yè)應(yīng)用程序之前，對(duì)經(jīng)過(guò)簽名的應(yīng)用程序進(jìn)行簽名驗(yàn)證，只有通過(guò)簽名驗(yàn)證的應(yīng)用程序才能被認(rèn)為是可信的，繼而被安裝到終端上；d）開(kāi)發(fā)環(huán)境應(yīng)對(duì)已經(jīng)上線(xiàn)的業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序進(jìn)行撥測(cè)抽查，并記錄撥測(cè)過(guò)程及結(jié)果，針對(duì)違規(guī)行為、可疑行為等進(jìn)行相應(yīng)的處理。業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序撥測(cè)應(yīng)采用自動(dòng)撥測(cè)與人工撥測(cè)相結(jié)合的方式進(jìn)行；e）開(kāi)發(fā)環(huán)境應(yīng)要求開(kāi)發(fā)者在提交業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序時(shí)聲明其調(diào)用的API，并對(duì)業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序調(diào)用終端API的行為進(jìn)行檢測(cè)。業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序不應(yīng)調(diào)用與其業(yè)務(wù)功能無(wú)關(guān)的API以及在其聲明范圍之外的API；f）業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序在上線(xiàn)前或升級(jí)后應(yīng)進(jìn)行代碼審計(jì)，形成報(bào)告，并對(duì)審計(jì)出的問(wèn)題進(jìn)行代碼升級(jí)完善；g）業(yè)務(wù)應(yīng)用與工業(yè)應(yīng)用程序應(yīng)避免使用含有已公開(kāi)漏洞的開(kāi)源第三方應(yīng)用組件及代碼（漏洞庫(kù)可參考CVE、CNVD等）。9.4平臺(tái)SaaS層安全防護(hù)要求9.4.1業(yè)務(wù)應(yīng)用安全防護(hù)要求身份鑒別身份鑒別要求如下：a）應(yīng)采用一種或一種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；b）應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別，并保證一種身份鑒別機(jī)制是不易偽造c）應(yīng)具備防范暴力破解等攻擊的能力。訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制要求如下：a）應(yīng)嚴(yán)格限制用戶(hù)的訪(fǎng)問(wèn)權(quán)限，按安全策略要求控制用戶(hù)對(duì)業(yè)務(wù)應(yīng)用的訪(fǎng)問(wèn)；b）應(yīng)嚴(yán)格限制應(yīng)用與應(yīng)用之間相互調(diào)用的權(quán)限，按照安全策略要求控制應(yīng)用對(duì)其他應(yīng)用里用戶(hù)數(shù)據(jù)或特權(quán)指令等資源的調(diào)用。安全審計(jì)安全審計(jì)要求如下：a）審計(jì)范圍應(yīng)覆蓋到用戶(hù)在業(yè)務(wù)應(yīng)用中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件；b）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，有效期內(nèi)避免受到非授權(quán)的訪(fǎng)問(wèn)、篡改、覆蓋或刪除等；c）應(yīng)定期針對(duì)審計(jì)日志進(jìn)行人工審計(jì)；d）應(yīng)支持按用戶(hù)需求提供與其相關(guān)的審計(jì)信息及審計(jì)分析報(bào)告；e）應(yīng)具備對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢(xún)、分析及生成審計(jì)報(bào)表的功能；f）應(yīng)具備自動(dòng)化審計(jì)功能，監(jiān)控明顯異常操作并響應(yīng)；g）應(yīng)能匯聚服務(wù)范圍內(nèi)的審計(jì)數(shù)據(jù)，支持第三方審計(jì)。資源控制資源控制要求如下：a）應(yīng)限制對(duì)應(yīng)用訪(fǎng)問(wèn)的最大并發(fā)會(huì)話(huà)連接數(shù)等資源配額；b）應(yīng)提供資源控制不當(dāng)?shù)膱?bào)警及響應(yīng)；c）應(yīng)在會(huì)話(huà)處于非活躍一定時(shí)間或會(huì)話(huà)結(jié)束后終止會(huì)話(huà)連接。9.4.2工業(yè)應(yīng)用程序安全防護(hù)要求邏輯安全.1身份鑒別身份鑒別要求如下：a）應(yīng)提供專(zhuān)門(mén)的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，并保證用戶(hù)身份標(biāo)識(shí)的唯一性；b）應(yīng)提供并啟用用戶(hù)登錄口今復(fù)雜度檢查功能，保證身份信息不易被冒用；c）應(yīng)提供并啟用登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和自動(dòng)退出等措施；d）應(yīng)采用加密方式存儲(chǔ)用戶(hù)的登錄口令信息；e）登錄驗(yàn)證模塊應(yīng)能防止身份鑒別暴力攻擊（如登錄模塊應(yīng)采用隨機(jī)驗(yàn)證碼進(jìn)行驗(yàn)證，并且保證驗(yàn)證碼不易被自動(dòng)預(yù)測(cè)、識(shí)別）；f）加強(qiáng)密碼復(fù)雜度要求，應(yīng)不含有常用字符組合、數(shù)字組合、鍵盤(pán)順序等可預(yù)測(cè)密碼組合；g）應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶(hù)身份鑒別。.2訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制要求如下：a）應(yīng)由經(jīng)過(guò)授權(quán)的主體配置訪(fǎng)問(wèn)控制策略，嚴(yán)格限制各用戶(hù)的訪(fǎng)問(wèn)權(quán)限，按安全策略要求控制用戶(hù)對(duì)業(yè)務(wù)、數(shù)據(jù)、網(wǎng)絡(luò)資源等的訪(fǎng)問(wèn)；Xb）應(yīng)嚴(yán)格設(shè)置登錄策略，按安全策略要求具備防范賬戶(hù)暴力破解攻擊措施的能力（如限定用戶(hù)連續(xù)錯(cuò)誤輸入密碼次數(shù)，超過(guò)設(shè)定闖值，對(duì)用戶(hù)進(jìn)行鎖定，并設(shè)定鎖定時(shí)間，在鎖定時(shí)間內(nèi)被鎖定的用戶(hù)需通過(guò)注冊(cè)時(shí)的標(biāo)志信息進(jìn)行密碼重新設(shè)定或者憑有效證件進(jìn)行設(shè)定）；c）當(dāng)進(jìn)行業(yè)務(wù)權(quán)限更改時(shí)（如密碼重置、密碼找回等），應(yīng)設(shè)置相關(guān)策略，防止暴力破解攻擊；d）業(yè)務(wù)訂購(gòu)、變更、退訂流程應(yīng)根據(jù)實(shí)際業(yè)務(wù)需求，應(yīng)采用“認(rèn)證碼”或“二次短信認(rèn)證”等方式加強(qiáng)安全性，應(yīng)限定同一用戶(hù)每日業(yè)務(wù)訂購(gòu)次數(shù)；e）工業(yè)應(yīng)用程序管理后臺(tái)不應(yīng)暴露在公網(wǎng)，管理接口通信內(nèi)容不應(yīng)使用明文協(xié)議。.3安全審計(jì)安全審計(jì)要求如下：a）審計(jì)范圍應(yīng)覆蓋到每個(gè)用戶(hù)的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件（如普通用戶(hù)異常登錄、發(fā)布惡意代碼、異常修改賬號(hào)信息等行為，以及管理員在業(yè)務(wù)功能及賬號(hào)控制方面的關(guān)鍵操作）；b）應(yīng)保護(hù)審計(jì)記錄，保證無(wú)法刪除、修改或覆蓋等；c）業(yè)務(wù)相關(guān)審計(jì)記錄應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等；d）應(yīng)具備對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢(xún)、分析及生成審計(jì)報(bào)表的功能。.4其他要求其他要求如下：a）當(dāng)工業(yè)應(yīng)用程序和平臺(tái)服務(wù)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話(huà)；b）應(yīng)能對(duì)含有惡意代碼鏈接的信息建立發(fā)現(xiàn)和處理機(jī)制，防止類(lèi)似信息的擴(kuò)散；c）工業(yè)應(yīng)用程序運(yùn)行時(shí)，未經(jīng)用戶(hù)同意，不得擅自為用戶(hù)自動(dòng)開(kāi)啟其他服務(wù)功能（如定位等）；d）應(yīng)定義服務(wù)水平闖值，能夠?qū)Ψ?wù)水平進(jìn)行檢測(cè)，并具備當(dāng)服務(wù)水平降低到預(yù)先規(guī)定的闕值時(shí)進(jìn)行告警的功能；e）應(yīng)保證工業(yè)應(yīng)用程序中使用的第三方軟件、運(yùn)維軟件無(wú)已知后門(mén)、漏洞；f）應(yīng)提供有效的病毒和攻擊檢測(cè)過(guò)濾技術(shù)手段，能夠?qū)τ脩?hù)之間傳送的文件進(jìn)行必要的安全檢查和過(guò)濾。原生應(yīng)用及后臺(tái)系統(tǒng)安全.1輸入驗(yàn)證應(yīng)對(duì)輸入數(shù)據(jù)做嚴(yán)格驗(yàn)證，默認(rèn)所有輸入都可能包含惡意信息。.2身份認(rèn)證身份認(rèn)證要求如下：a）應(yīng)確保身份認(rèn)證模塊不能被非法繞過(guò)；b）軟件的用戶(hù)身份鑒別模塊應(yīng)對(duì)用戶(hù)身份鑒別信息進(jìn)行保護(hù)，防止泄露。.3會(huì)話(huà)管理應(yīng)采取會(huì)話(huà)保護(hù)措施保障工業(yè)應(yīng)用程序與平臺(tái)服務(wù)之間的會(huì)話(huà)不可被竊聽(tīng)、篡改、偽造、重放等。.4數(shù)據(jù)存儲(chǔ)應(yīng)確保工業(yè)應(yīng)用程序配置信息、用戶(hù)認(rèn)證信息等敏感數(shù)據(jù)采用加密方式存儲(chǔ)。.5日志記錄日志記錄要求如下：a）后臺(tái)日志記錄范圍應(yīng)覆蓋到每個(gè)用戶(hù)的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件（如普通用戶(hù)異常登錄、發(fā)布惡意代碼、異常修改賬號(hào)信息等行為，以及管理員在業(yè)務(wù)功能及賬號(hào)控制方面的關(guān)鍵操作）；b）不應(yīng)在后臺(tái)以及客戶(hù)端日志中記錄用戶(hù)登錄口令等敏感信息，如果確實(shí)需要記錄敏感信息，則應(yīng)進(jìn)行模糊化處理；c）應(yīng)防止日志欺騙，如果在生成后臺(tái)日志時(shí)需要引入來(lái)自非受信源的數(shù)據(jù)則需要進(jìn)行嚴(yán)格校驗(yàn)，防止日志欺騙攻擊；d）應(yīng)確保后臺(tái)日志數(shù)據(jù)的安全存儲(chǔ)并嚴(yán)格限制日志數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限，可對(duì)后臺(tái)日志記錄進(jìn)行簽名來(lái)實(shí)現(xiàn)防篡改。.6其他要求其他要求如下：a）工業(yè)應(yīng)用程序不應(yīng)含有移動(dòng)互聯(lián)網(wǎng)惡意程序。移動(dòng)互聯(lián)網(wǎng)惡意程序的判定依據(jù)見(jiàn)YD/T2439-2012的相關(guān)要求；b）應(yīng)確保軟件內(nèi)存管理不存在邏輯缺陷，如未釋放資源、敏感信息駐留內(nèi)存等；c）應(yīng)確保軟件不非法操作與自身功能不相關(guān)的文件（如圖片、通信錄、其他應(yīng)用軟件等）；d）客戶(hù)端軟件應(yīng)進(jìn)行代碼變量隱藏。Web應(yīng)用及后臺(tái)系統(tǒng)安全X.1輸入驗(yàn)證輸入驗(yàn)證要求如下：a）應(yīng)對(duì)輸入數(shù)據(jù)（如文件路徑、URL地址等）做安全驗(yàn)證，默認(rèn)所有輸入都可能包含惡意信息，并盡量使用白名單驗(yàn)證方法；b）應(yīng)在服務(wù)器端進(jìn)行輸入驗(yàn)證，避免客戶(hù)端輸入驗(yàn)證被繞過(guò)；c）關(guān)鍵參數(shù)應(yīng)直接從服務(wù)器端提取，避免從客戶(hù)端輸入，防止關(guān)鍵參數(shù)被篡改。.2身份認(rèn)證身份認(rèn)證要求如下：a）不應(yīng)明文傳輸用戶(hù)密碼，可采用SSL/TLS加密隧道確保用戶(hù)密碼的傳輸安全；b）不應(yīng)在數(shù)據(jù)庫(kù)或文件系統(tǒng)中明文存儲(chǔ)用戶(hù)密碼，可采用單向散列值在數(shù)據(jù)庫(kù)中存儲(chǔ)用戶(hù)密碼，降低存儲(chǔ)的用戶(hù)密碼被字典攻擊的風(fēng)險(xiǎn)；c）不應(yīng)在COOKIE中保存明文用戶(hù)密碼；d）不應(yīng)采取措施防止暴力破解、惡意注冊(cè)、惡意占用資源等行為；e）應(yīng)對(duì)關(guān)鍵業(yè)務(wù)操作進(jìn)行二次鑒權(quán)，例如修改用戶(hù)認(rèn)證鑒權(quán)信息（如密碼、密碼取回問(wèn)題及答案、綁定手機(jī)號(hào)碼等），避免用戶(hù)身份被冒用；f）應(yīng)避免認(rèn)證錯(cuò)誤提示泄露信息，在認(rèn)證失敗時(shí)，應(yīng)向用戶(hù)提供通用的錯(cuò)誤提示信息（如不應(yīng)區(qū)分是賬號(hào)錯(cuò)誤還是密碼錯(cuò)誤），避免這些錯(cuò)誤提示信息被攻擊者利用；g）應(yīng)支持密碼策略設(shè)置，從業(yè)務(wù)系統(tǒng)層面支持強(qiáng)制的密碼策略，包括密碼長(zhǎng)度、復(fù)雜度、更換周期等，特別是業(yè)務(wù)系統(tǒng)的管理員密碼；h）應(yīng)支持賬號(hào)鎖定功能，系統(tǒng)應(yīng)限制連續(xù)登錄失敗次數(shù)，在客戶(hù)端多次嘗試失敗后，服務(wù)器端需要對(duì)用戶(hù)賬號(hào)進(jìn)行短時(shí)鎖定，且鎖定策略支持配置解鎖時(shí)長(zhǎng)；i）應(yīng)確保用戶(hù)不能訪(fǎng)問(wèn)到未授權(quán)的功能和數(shù)據(jù)，未經(jīng)授權(quán)的用戶(hù)試圖訪(fǎng)問(wèn)受限資源時(shí)，系統(tǒng)應(yīng)予以拒絕或提示用戶(hù)進(jìn)行身份鑒權(quán)。.3會(huì)話(huà)管理會(huì)話(huà)管理要求如下：a）應(yīng)確保會(huì)話(huà)的安全創(chuàng)建。在用戶(hù)認(rèn)證成功后，應(yīng)為用戶(hù)創(chuàng)建新的會(huì)話(huà)并釋放原有會(huì)話(huà)；創(chuàng)建的會(huì)話(huà)標(biāo)識(shí)應(yīng)滿(mǎn)足隨機(jī)性和長(zhǎng)度要求，避免被攻擊者猜測(cè)；會(huì)話(huà)與IP地址可綁定，降低會(huì)話(huà)被盜用的風(fēng)險(xiǎn)；b）應(yīng)確保會(huì)話(huà)數(shù)據(jù)的存儲(chǔ)安全。用戶(hù)登錄成功后所生成的會(huì)話(huà)數(shù)據(jù)應(yīng)存儲(chǔ)在服務(wù)器端，并確保會(huì)話(huà)數(shù)據(jù)不能被非法訪(fǎng)問(wèn):當(dāng)更新會(huì)話(huà)數(shù)據(jù)時(shí)，要對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格的輸入驗(yàn)證，避免會(huì)話(huà)數(shù)據(jù)被非法篡改；c）應(yīng)確保會(huì)話(huà)數(shù)據(jù)的傳輸安全，防止泄露會(huì)話(huà)標(biāo)識(shí)；d）應(yīng)確保會(huì)話(huà)的安全終止。當(dāng)用戶(hù)登錄成功并成功創(chuàng)建會(huì)話(huà)后，應(yīng)在Web應(yīng)用系統(tǒng)的各個(gè)頁(yè)面提供用戶(hù)登出功能，登出時(shí)應(yīng)及時(shí)刪除服務(wù)器端的會(huì)話(huà)數(shù)據(jù)；當(dāng)處于登錄狀態(tài)的用戶(hù)直接關(guān)閉瀏覽器時(shí)，需要提示用戶(hù)執(zhí)行安全登出或者自動(dòng)為用戶(hù)完成登出過(guò)程，從而安全的終止本次會(huì)話(huà)；e）應(yīng)設(shè)置合理的會(huì)話(huà)超時(shí)閾值，在合理范圍內(nèi)盡可能減小會(huì)話(huà)超時(shí)閾值，可以降低會(huì)話(huà)被劫持和重復(fù)攻擊的風(fēng)險(xiǎn)，超過(guò)會(huì)話(huà)超時(shí)閾值后立刻銷(xiāo)毀會(huì)話(huà)，清除會(huì)話(huà)的信息；f）應(yīng)限制會(huì)話(huà)并發(fā)連接數(shù)，限制同一用戶(hù)的會(huì)話(huà)并發(fā)連接數(shù)，避免惡意用戶(hù)創(chuàng)建多個(gè)并發(fā)的會(huì)話(huà)來(lái)消耗系統(tǒng)資源，影響業(yè)務(wù)的可用性；g）在涉及到關(guān)鍵業(yè)務(wù)操作的Web頁(yè)面，應(yīng)為當(dāng)前Web頁(yè)面生成一次性隨機(jī)令牌，作為主會(huì)話(huà)標(biāo)識(shí)的補(bǔ)充。在執(zhí)行關(guān)鍵業(yè)務(wù)前，應(yīng)確保用戶(hù)提交的一次性隨機(jī)令牌與服務(wù)器端保存的一次性隨機(jī)令牌匹配，以避免跨站請(qǐng)求偽造等攻擊。.4數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)要求如下：a）對(duì)于不同類(lèi)別的數(shù)據(jù)，比如日志記錄和業(yè)務(wù)數(shù)據(jù)，應(yīng)采取相應(yīng)的隔離措施和安全保護(hù)