(高清版)GBT 39403-2020 云制造服務(wù)平臺(tái)安全防護(hù)管理要求

J07中華人民共和國國家標(biāo)準(zhǔn)云制造服務(wù)平臺(tái)安全防護(hù)管理要求國家市場(chǎng)監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)GB／T39403—2020前言 Ⅲ 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 25總體概述 26資源層安全防護(hù)要求 36.1設(shè)備接入控制安全要求 36.2設(shè)備安全要求 36.3邊界防護(hù)安全要求 46.4網(wǎng)絡(luò)傳輸安全要求 47云平臺(tái)層安全防護(hù)要求 47.1IAAS層安全防護(hù)要求 47.2PAAS層安全防護(hù)要求 77.3SAAS層安全防護(hù)要求 9ⅠGB／T39403—2020本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本標(biāo)準(zhǔn)由中國機(jī)械工業(yè)聯(lián)合會(huì)提出。本標(biāo)準(zhǔn)由全國自動(dòng)化系統(tǒng)與集成標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC159)歸口。本標(biāo)準(zhǔn)起草單位：北京航天智造科技發(fā)展有限公司、貴州航天云網(wǎng)科技有限公司、航天云網(wǎng)數(shù)據(jù)研究院（廣東）有限公司、航天云網(wǎng)科技發(fā)展有限責(zé)任公司、四川中英智慧質(zhì)量工程技術(shù)研究院有限公司、北京電子工程總體研究所、北京機(jī)械工業(yè)自動(dòng)化研究所有限公司、北京航空航天大學(xué)、北京航天紫光科技有限公司、工業(yè)云制造（四川）創(chuàng)新中心有限公司、清華大學(xué)、西門子（中國）有限公司。ⅢGB／T39403—2020云制造服務(wù)平臺(tái)安全防護(hù)管理要求本標(biāo)準(zhǔn)規(guī)定了云制造服務(wù)平臺(tái)安全防護(hù)體系中資源層、IAAS層、PAAS層及SAAS層安全防護(hù)管理要求。本標(biāo)準(zhǔn)適用于云制造服務(wù)平臺(tái)安全防護(hù)體系管理。2規(guī)范性引用文件下列文件對(duì)于本文件的引用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB50174—2017數(shù)據(jù)中心設(shè)計(jì)規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1云制造服務(wù)平臺(tái)支持產(chǎn)品全生命周期各類活動(dòng)，支持各類制造資源與制造能力的感知與接入、虛擬化、服務(wù)化、搜能力集中管理、集中的制造資源和制造能力分散服務(wù)的支撐環(huán)境以及工具集。[GB/T29826—2013,定義2.1.5]3.2網(wǎng)絡(luò)安全使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，保證系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷的過程。3.3平臺(tái)安全保護(hù)整個(gè)云制造服務(wù)平臺(tái)環(huán)境及基礎(chǔ)設(shè)施、應(yīng)用程序、數(shù)據(jù)和信息的策略和實(shí)踐，防止未經(jīng)授權(quán)的使用／訪問、分布式拒絕服務(wù)攻擊(DDoS)、惡意軟件等威脅的過程。3.4應(yīng)用安全在應(yīng)用程序中通過查找、修復(fù)和預(yù)防安全漏洞并開發(fā)、添加和測(cè)試安全功能，以防止應(yīng)用程序受到未經(jīng)授權(quán)訪問和篡改等威脅，從而使應(yīng)用程序更加安全的過程。3.5數(shù)據(jù)安全在數(shù)據(jù)全生命周期中對(duì)數(shù)據(jù)進(jìn)行保護(hù)，從而防止對(duì)數(shù)據(jù)的未授權(quán)訪問及數(shù)據(jù)的損害的過程。3.6基礎(chǔ)設(shè)施即服務(wù)提供給消費(fèi)者的服務(wù)是對(duì)所有計(jì)算基礎(chǔ)設(shè)施的利用，包括處理CPU、內(nèi)存、存儲(chǔ)、網(wǎng)絡(luò)和其他基本1GB／T39403—2020的計(jì)算資源，用戶能夠部署和運(yùn)行任意軟件，包括操作系統(tǒng)和應(yīng)用程序。3.7平臺(tái)即服務(wù)提供給消費(fèi)者的服務(wù)是將客戶使用供應(yīng)商提供的開發(fā)語言和工具開發(fā)的或采購的應(yīng)用程序部署到供應(yīng)商的云計(jì)算基礎(chǔ)設(shè)施上去。：開發(fā)語言和工具有等3.8軟件即服務(wù)vAAS提供給客戶的服務(wù)是運(yùn)營商運(yùn)行在云計(jì)算基礎(chǔ)設(shè)施上的應(yīng)用程序，用戶可以在各種設(shè)備上通過客戶端界面訪問。注：消費(fèi)者不需要管理或控制任何云計(jì)算基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)等。4縮略語下列縮略語適用于本文件。訪問控制列表(中央處理器(數(shù)字?jǐn)?shù)據(jù)網(wǎng)(分布式拒絕服務(wù)(文件傳輸協(xié)議(入侵防御系統(tǒng)(入侵檢測(cè)系統(tǒng)(網(wǎng)絡(luò)地址轉(zhuǎn)換(軟件定義網(wǎng)絡(luò)(結(jié)構(gòu)化查詢語言(安全套接字層(傳輸層安全(統(tǒng)一資源定位符(5總體概述云制造服務(wù)平臺(tái)安全防護(hù)管理體系由資源層安全管理要求與云平臺(tái)層安全防護(hù)管理要求構(gòu)成，其中云平臺(tái)層安全管理要求包括IAAS層、PAAS層及SAAS層安全防護(hù)管理要求。資源層安全管理要求具體包括設(shè)備接入控制安全、設(shè)備安全、邊界防護(hù)安全、網(wǎng)絡(luò)傳輸安全管理要求，平臺(tái)IAAS層安全防護(hù)管理要求包括網(wǎng)絡(luò)安全、主機(jī)安全、虛擬化安全、物理環(huán)境安全管理要求，平臺(tái)PAAS層安全防護(hù)管理要求包括工業(yè)數(shù)據(jù)接入及管理安全、統(tǒng)一運(yùn)行環(huán)境安全、工業(yè)模型及算法安全管理要求，平臺(tái)SAAS層安全防護(hù)管理要求具體包括應(yīng)用漏洞及異常檢測(cè)、應(yīng)用邏輯安全、應(yīng)用安全審計(jì)、后臺(tái)系統(tǒng)安全管理要求。總體架構(gòu)如圖1所示。2GB／T39403—2020圖1云制造服務(wù)平臺(tái)安全防護(hù)管理體系架構(gòu)6資源層安全防護(hù)要求6.1設(shè)備接入控制安全要求設(shè)備在接入平臺(tái)網(wǎng)關(guān)時(shí)應(yīng)進(jìn)行認(rèn)證，未通過認(rèn)證的設(shè)備應(yīng)阻止其接入。6.2設(shè)備安全要求應(yīng)對(duì)設(shè)備定期進(jìn)行安全檢測(cè)，檢查其運(yùn)行狀況，并進(jìn)行漏洞掃描和安全補(bǔ)丁升級(jí)。6.2.2設(shè)備監(jiān)控告警應(yīng)通過傳感器或視頻監(jiān)控等方式對(duì)設(shè)備進(jìn)行遠(yuǎn)程監(jiān)控和告警，實(shí)現(xiàn)設(shè)備狀態(tài)監(jiān)測(cè)和預(yù)防性維護(hù)。3GB／T39403—20206.3邊界防護(hù)安全要求邊界防護(hù)安全要求如下：a)應(yīng)對(duì)未認(rèn)證設(shè)備接入的行為進(jìn)行告警；b)邊界網(wǎng)關(guān)應(yīng)只開放與接入相關(guān)的服務(wù)端口；c)應(yīng)對(duì)數(shù)據(jù)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查；d)應(yīng)對(duì)設(shè)備發(fā)起的攻擊行為(DDoS等）進(jìn)行檢測(cè)。6.4網(wǎng)絡(luò)傳輸安全要求規(guī)范網(wǎng)絡(luò)接入安全要求，應(yīng)使用網(wǎng)絡(luò)接入控制系統(tǒng)并對(duì)其配置合理有效的監(jiān)控與審計(jì)策略，從而對(duì)網(wǎng)絡(luò)的接入行為進(jìn)行控制管理。6.4.2網(wǎng)絡(luò)數(shù)據(jù)傳輸加密要求規(guī)范數(shù)據(jù)傳輸加密要求，應(yīng)為云制造服務(wù)平臺(tái)的維護(hù)管理提供數(shù)據(jù)加密通道。7云平臺(tái)層安全防護(hù)要求7.1IAAS層安全防護(hù)要求根據(jù)平臺(tái)服務(wù)的類型、功能及租戶的不同，平臺(tái)將網(wǎng)絡(luò)區(qū)域劃分成不同的子網(wǎng)、網(wǎng)段或安全組，通過技術(shù)手段進(jìn)行隔離。把相同安全等級(jí)、相同安全需求的計(jì)算機(jī)，放置于同一網(wǎng)段內(nèi)，在網(wǎng)段的邊界處進(jìn)行訪問控制；或者使用虛擬安全域進(jìn)行管理，即歸入一個(gè)邏輯組內(nèi)，對(duì)這個(gè)組配置訪問控制策略。根據(jù)面臨的風(fēng)險(xiǎn)，劃分安全域，在安全域之間部署防火墻，在每個(gè)安全域內(nèi)部署入侵檢測(cè)系統(tǒng)(IDS)。平臺(tái)通過設(shè)置黑白名單進(jìn)行訪問控制，根據(jù)租戶身份或其所屬的預(yù)先定義的策略組，確定其訪問平臺(tái)資源的請(qǐng)求是否能通過。平臺(tái)配置白名單，則只有租戶身份或其所屬的預(yù)先定義的策略組位于白名單內(nèi)時(shí)才可訪問。平臺(tái)若配置黑名單，則拒絕所有來源于黑名單內(nèi)租戶的網(wǎng)絡(luò)訪問。平臺(tái)采用防火墻技術(shù)進(jìn)行網(wǎng)絡(luò)邊界安全控制。在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋來自外部的網(wǎng)絡(luò)入侵，可以是軟件、硬件或者云防火墻。進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都經(jīng)過邊界防火墻，邊界防火墻通過日志對(duì)其進(jìn)行記錄，從而方便提供網(wǎng)絡(luò)使用的詳細(xì)統(tǒng)計(jì)信息。邊界防火墻要能夠設(shè)定報(bào)警和通知機(jī)制，當(dāng)發(fā)生可疑事件時(shí)，提供網(wǎng)絡(luò)是否受到威脅的信息。4GB／T39403—2020根據(jù)安全評(píng)估結(jié)果，平臺(tái)制定相應(yīng)的系統(tǒng)加固方案以消除與降低安全隱患。針對(duì)不同目標(biāo)系統(tǒng)，平臺(tái)可通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，加強(qiáng)安全性。盡可能避免安全風(fēng)險(xiǎn)的發(fā)生，平臺(tái)應(yīng)將周期性的評(píng)估和加固工作相結(jié)合。鏡像服務(wù)應(yīng)保證安全的應(yīng)用鏡像托管能力，精確的鏡像安全掃描功能，穩(wěn)定的內(nèi)外鏡像構(gòu)建服務(wù)，便捷的鏡像授權(quán)功能，進(jìn)行鏡像全生命周期管理。平臺(tái)采用容器化部署，容器是基于鏡像構(gòu)建的。鏡像安全直接決定了容器安全。平臺(tái)安全鏡像構(gòu)建包括代碼編譯、文件提取、打包鏡像。應(yīng)將編譯和打包分離，以產(chǎn)生安全、精巧、不含源代碼的生產(chǎn)級(jí)別鏡像。平臺(tái)應(yīng)對(duì)虛擬機(jī)鏡像文件進(jìn)行完整性校驗(yàn)，確保不被篡改。快照在主機(jī)備份時(shí)廣泛采用，通常都是基于卷，在塊(block)級(jí)別進(jìn)行處理。平臺(tái)應(yīng)提供多種快照方式?？砂ǎ篴)即寫即拷快照（指針型快照占用空間小，對(duì)系統(tǒng)性能影響較小，但如果沒有備份而原數(shù)據(jù)盤損壞，數(shù)據(jù)就無法恢復(fù)了；b)分割鏡像快照（鏡像型快照即主機(jī)當(dāng)時(shí)數(shù)據(jù)的全鏡像，要占用到相等容量的空間，會(huì)對(duì)系統(tǒng)性能造成一定負(fù)荷，但即使原數(shù)據(jù)損壞也不會(huì)有太大影響。安全審計(jì)應(yīng)符合以下要求：a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)用戶；b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等重要的安全相關(guān)事件；c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d)保護(hù)審計(jì)記錄，避免其在有效期內(nèi)受到非授權(quán)的訪問、篡改覆蓋或刪除等；e)應(yīng)支持按用戶需求提供與其相關(guān)的審計(jì)信息及分析報(bào)告；f)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；g)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；h)應(yīng)能匯聚服務(wù)范圍內(nèi)的審計(jì)數(shù)據(jù)，支持第三方。將一臺(tái)物理防火墻在邏輯上劃分成多個(gè)虛擬的防火墻，從用戶的角度來說每個(gè)虛擬防火墻系統(tǒng)都可以被看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等。應(yīng)做到：a)實(shí)現(xiàn)防火墻的二層、三層（路由+NAT)轉(zhuǎn)發(fā)、ACL控制、安全檢測(cè)功能；b)每個(gè)虛擬防火墻系統(tǒng)之間相互獨(dú)立，不可直接相互通信；5GB／T39403—2020c)支持許可(License)控制的虛擬防火墻個(gè)數(shù)的擴(kuò)展。虛擬IPS應(yīng)監(jiān)控虛擬系統(tǒng)網(wǎng)絡(luò)流量。平臺(tái)應(yīng)在虛擬設(shè)備中部署IDS和IPS,提供虛擬機(jī)之間、虛擬和物理網(wǎng)絡(luò)之間的流量監(jiān)控。虛擬化平臺(tái)主機(jī)應(yīng)隔離：a)應(yīng)保證每個(gè)虛擬機(jī)能獲得相對(duì)獨(dú)立的物理資源，并能屏蔽虛擬資源故障，確保某個(gè)虛擬機(jī)崩潰后不影響虛擬機(jī)監(jiān)控器及其他虛擬機(jī)；b)應(yīng)保證不同虛擬機(jī)之間的CPU指令隔離；c)應(yīng)保證不同虛擬機(jī)之間的內(nèi)存隔離，內(nèi)存被釋放或再分配給其他虛擬機(jī)前得到完全釋放；d)應(yīng)保證虛擬機(jī)只能訪問分配給該虛擬機(jī)的存儲(chǔ)空間（包括內(nèi)存空間和磁盤空間）。機(jī)房位置發(fā)生自然災(zāi)害的概率和頻率（洪水、颶風(fēng)、龍卷風(fēng)等）較低。機(jī)房環(huán)境除滿足計(jì)算機(jī)設(shè)備對(duì)溫度、濕度和空氣潔凈度、供電電源的質(zhì)量（電壓、頻率和穩(wěn)定性等）、接地地線、電磁場(chǎng)和震動(dòng)等條件的技術(shù)要求外，還應(yīng)滿足在機(jī)房中工作的人員對(duì)照明度、空氣的新鮮度和流動(dòng)速度、噪聲的要求。機(jī)房位置選擇應(yīng)符合GB50174—2017中4.1的要求。應(yīng)配置火災(zāi)報(bào)警裝置，在機(jī)房內(nèi)、基本工作房間內(nèi)、活動(dòng)地板下、吊頂里、主要空調(diào)管道中易燃物附近部位應(yīng)設(shè)置煙、溫感探測(cè)器。應(yīng)配置鹵代烷1211或1301滅火器。機(jī)房接地形式為機(jī)房專用直流邏輯地，設(shè)一組新的接地極，接地電阻小于1Ω。機(jī)房配電系統(tǒng)的交流工作地、安全保護(hù)地采用建筑物本體綜合接地（其電阻小于4Ω)。建筑物的進(jìn)戶線傳導(dǎo)直擊雷的概率較低。中心機(jī)房內(nèi)設(shè)備主要需要進(jìn)行直接雷擊引起的電阻耦合方式（地電位反擊）的防護(hù)，以及附近高層建筑落雷時(shí)造成的電感性、電容性耦合干擾的防護(hù)。具體應(yīng)滿足以下要求：a)等電位接地的處理。接地是避雷技術(shù)最重要的環(huán)節(jié)，而且小型機(jī)以上的計(jì)算機(jī)系統(tǒng)對(duì)接地要求也很高，其接地電阻通常要求小于1Ω以下。但對(duì)于避雷技術(shù)來說，地阻小于4Ω即可。應(yīng)將避雷接地、電器安全接地、交流地、直流接地統(tǒng)一為一個(gè)接地裝置，避免不同的地之間產(chǎn)生反擊。b)電源部分防雷設(shè)計(jì)。根據(jù)雷電流大、防雷器存在殘壓及設(shè)備耐沖擊水平低的特性，應(yīng)遵循多級(jí)保護(hù)，層層瀉能的原則，選擇安裝避雷器，進(jìn)行電源線路的過壓保護(hù)。c)信號(hào)系統(tǒng)的防雷設(shè)計(jì)。機(jī)房的數(shù)據(jù)通信線路有以太網(wǎng)雙絞線、DDN專線、光纖線路以及電話線備份線路，對(duì)進(jìn)出機(jī)房的所有通信線路進(jìn)行防雷處理，才能保護(hù)機(jī)房的安全。6GB／T39403—2020滿足GB50174—2017中環(huán)境要求中溫濕度要求。主機(jī)房的環(huán)境溫度、相對(duì)濕度要求：溫度相對(duì)濕度c)溫度變化率：<5℃/h（不得結(jié)露）。計(jì)算機(jī)機(jī)房應(yīng)裝設(shè)監(jiān)控系統(tǒng)，實(shí)行24小時(shí)值班制度，出入口應(yīng)安裝防盜安全門，窗戶應(yīng)安裝金屬防護(hù)裝置?？杀O(jiān)控物理環(huán)境的入口，并在入口設(shè)置門禁，門禁能夠自動(dòng)記錄日志，管理人員能夠查看、審計(jì)門禁記錄。機(jī)房應(yīng)有專用可靠的供電線路，其電源設(shè)備應(yīng)提供可靠的電源，供電電源應(yīng)滿足下列要求：頻率電壓變動(dòng)幅度d)相數(shù)：三相五線制或三相四線制或單相三線制；e)波形失真率：≤±10%。供電電源設(shè)備的容量應(yīng)有一定的余量。在機(jī)房出入口處或值班室，應(yīng)設(shè)置應(yīng)急電話和應(yīng)急斷電裝置。機(jī)房信息系統(tǒng)的各設(shè)備走線不得與空調(diào)設(shè)備、電源設(shè)備的無電磁屏蔽的走線平行。交叉時(shí)，應(yīng)盡量以接近于垂直的角度交叉，并采取防延燃措施。機(jī)房信息系統(tǒng)接地應(yīng)采用專用地線。專用地線的引線應(yīng)和大樓的鋼筋網(wǎng)及各種金屬管道絕緣。機(jī)房信息系統(tǒng)應(yīng)裝設(shè)容量充足的UPS。機(jī)房應(yīng)裝設(shè)備用電源和自備發(fā)電機(jī)。7.2PAAS層安全防護(hù)要求7.2.1工業(yè)數(shù)據(jù)接入及管理安全應(yīng)對(duì)用戶信息、訂單信息等重要工業(yè)數(shù)據(jù)實(shí)施加密存儲(chǔ)。工業(yè)數(shù)據(jù)輸出到平臺(tái)以外時(shí)應(yīng)進(jìn)行脫敏處理，嚴(yán)格保護(hù)用戶敏感信息不泄露。應(yīng)提供工業(yè)數(shù)據(jù)本地備份及恢復(fù)功能，全部工業(yè)數(shù)據(jù)每周備份一次，新增工業(yè)數(shù)據(jù)應(yīng)每天備份一次。7GB／T39403—20207.2.2統(tǒng)一運(yùn)行環(huán)境安全登錄認(rèn)證的要求應(yīng)包含以下內(nèi)容：a)對(duì)存儲(chǔ)用戶個(gè)人信息及用戶服務(wù)信息的業(yè)務(wù)，應(yīng)對(duì)用戶實(shí)施身份認(rèn)證；b)提供登錄功能的開發(fā)環(huán)境應(yīng)啟用登錄失敗處理功能，比如采取結(jié)束會(huì)話、限制非法登錄次數(shù)及自動(dòng)退出等方法；c)提供登錄功能的開發(fā)環(huán)境應(yīng)啟用用戶身份唯一性檢查功能，確保用戶身份標(biāo)識(shí)不重復(fù)，并啟用用戶認(rèn)證信息復(fù)雜度功能檢查，防止身份認(rèn)證信息被輕易冒用；d)應(yīng)對(duì)用戶賬號(hào)及口令信息實(shí)施加密存儲(chǔ)。訪問控制的要求應(yīng)包含以下內(nèi)容：a)應(yīng)配置用戶訪問控制策略，嚴(yán)格限制默認(rèn)用戶的訪問權(quán)限；b)應(yīng)限制用戶的訪問權(quán)限，根據(jù)業(yè)務(wù)需要配置用戶所需的最小權(quán)限，嚴(yán)格按策略要求控制用戶訪問業(yè)務(wù)、數(shù)據(jù)和網(wǎng)絡(luò)資源等；c)用戶與開發(fā)環(huán)境的通信雙方中任何一方超出一定時(shí)間無響應(yīng)時(shí)，另一方應(yīng)自動(dòng)結(jié)束會(huì)話。服務(wù)接入安全的要求應(yīng)包含以下內(nèi)容：a)應(yīng)對(duì)外部組件接入接口采取安全管控措施，通過接口代碼審計(jì)、黑白名單等控制措施保證接口協(xié)議操作交互符合接口規(guī)范；b)應(yīng)監(jiān)控服務(wù)接入關(guān)鍵接口的調(diào)用頻率、調(diào)用來源等調(diào)用情況。應(yīng)用接入安全的要求應(yīng)包含以下內(nèi)容：a)對(duì)應(yīng)用接入的開放接口調(diào)用應(yīng)采取認(rèn)證措施；b)通過開放接口生成的業(yè)務(wù)應(yīng)用和應(yīng)用程序在用戶下載之前應(yīng)進(jìn)行安全檢測(cè)；c)應(yīng)制定應(yīng)用接入開放接口的管理機(jī)制及網(wǎng)絡(luò)安全應(yīng)急管理制度。應(yīng)采用內(nèi)部SDN網(wǎng)絡(luò)實(shí)現(xiàn)容器的網(wǎng)絡(luò)隔離。多租戶隔離應(yīng)包含以下內(nèi)容：a)系統(tǒng)本身元數(shù)據(jù)和基礎(chǔ)數(shù)據(jù)的隔離（用戶、角色、權(quán)限、數(shù)據(jù)字典、流程模板）；b)系統(tǒng)運(yùn)行過程中產(chǎn)生的動(dòng)態(tài)數(shù)據(jù)的隔離；c)業(yè)務(wù)系統(tǒng)所涉及的計(jì)算資源和存儲(chǔ)資源的隔離。日志審計(jì)的要求如下：a)應(yīng)對(duì)每個(gè)用戶的關(guān)鍵操作進(jìn)行審計(jì)；8GB／T39403—2020b)審計(jì)內(nèi)容應(yīng)包含用戶的重要行為、資源使用及重要操作命令等安全相關(guān)事件；c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、描述和結(jié)果等，并按相關(guān)法律法規(guī)要求保留一定期限；d)應(yīng)對(duì)審計(jì)記錄進(jìn)行安全保護(hù)，保證審計(jì)記錄在有效期內(nèi)不會(huì)受到非授權(quán)的訪問、篡改、覆蓋及刪除等操作；e)應(yīng)能按需求提供與用戶相關(guān)的審計(jì)信息和審計(jì)分析報(bào)告。7.2.3工業(yè)模型及算法安全模型及算法接入安全的要求如下：a)應(yīng)對(duì)使用模型及算法的用戶進(jìn)行認(rèn)證，針對(duì)不同接入方式的模型及算法用戶，應(yīng)采用不同的認(rèn)證方式進(jìn)行認(rèn)證；b)需要檢查用戶使用模型及算法的合法性及有效性。模型及算法訪問控制模型及算法訪問控制的要求如下：a)應(yīng)對(duì)授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)用戶的訪問權(quán)限；b)應(yīng)嚴(yán)格限制各用戶的訪問權(quán)限，按安全策略要求控制用戶對(duì)模型及算法的訪問；c)應(yīng)周期性檢查用戶操作模型及算法的情況，統(tǒng)一管理模型及算法使用權(quán)限；d)如需將收集到的信息共享給第三方應(yīng)用，應(yīng)對(duì)信息進(jìn)行脫敏處理，嚴(yán)格保護(hù)用戶隱私不被泄露。模型及算法流量控制應(yīng)配置模型及算法流量控制策略，按照策略要求控制流量，保障模型及算法的高可用性。模型及算法存儲(chǔ)安全模型及算法存儲(chǔ)安全的要求如下：a)應(yīng)禁止對(duì)模型計(jì)算法存儲(chǔ)區(qū)域內(nèi)的原始數(shù)據(jù)進(jìn)行增加、修改、刪除等操作，以保證原始數(shù)據(jù)的可用性及完整性；b)應(yīng)禁止將模型及算法產(chǎn)生的中間過程數(shù)據(jù)與原始數(shù)據(jù)存儲(chǔ)于同一空間，以防止數(shù)據(jù)使用的混亂，加大數(shù)據(jù)存儲(chǔ)的管理難度；c)不同模型及算法之間應(yīng)進(jìn)行關(guān)聯(lián)性隔離，防止不同模型及算法之間的事件-條件-動(dòng)作規(guī)則(ECA規(guī)則）分析，產(chǎn)生數(shù)據(jù)泄露。7.3SAAS層安全防護(hù)要求7.3.1應(yīng)用漏洞及異常檢測(cè)應(yīng)用漏洞及異常檢測(cè)的要求如下：a)應(yīng)能檢測(cè)和避免存在常見的網(wǎng)絡(luò)漏洞(Web漏洞比如SQL注入、跨站腳本、跨站請(qǐng)求偽造等；b)應(yīng)能檢測(cè)掛馬、暗鏈等網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)(Web業(yè)務(wù)系統(tǒng)）入侵事件，并能進(jìn)行應(yīng)急處理；c)應(yīng)能檢測(cè)和避免Web業(yè)務(wù)系統(tǒng)域名、訪問鏈路的異常、訪問延遲、解析錯(cuò)誤等情況，并能進(jìn)行應(yīng)急處理。9GB／T39403—20207.3.2應(yīng)用邏輯安全身份認(rèn)證的要求如下：a)應(yīng)對(duì)用戶進(jìn)行身份標(biāo)識(shí)和認(rèn)證，并保證用戶身份標(biāo)識(shí)的唯一性；b)應(yīng)提供并啟用用戶登錄口令復(fù)雜度檢查功能，保證身份信息不易被冒用；c)應(yīng)提供并啟用登錄失敗處理功能，能采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；d)應(yīng)對(duì)用戶的登錄口令信息進(jìn)行加密存儲(chǔ)。訪問控制的要求如下：a)應(yīng)配置用戶訪問控制策略，嚴(yán)格限制各用戶的訪問權(quán)限，按安全策略要求控制用戶對(duì)業(yè)務(wù)、數(shù)據(jù)、網(wǎng)絡(luò)資源等的訪問；b)應(yīng)嚴(yán)格設(shè)置登錄策略，按安全策略要求具備防范賬戶暴力破解攻擊措施的能力（如限定用戶連續(xù)錯(cuò)誤輸入密碼次數(shù)，超過設(shè)定閾值，對(duì)用戶進(jìn)行鎖定，并設(shè)定鎖定時(shí)間，在鎖定時(shí)間內(nèi)被鎖定的用戶需通過注冊(cè)時(shí)的標(biāo)志信息進(jìn)行密碼重新設(shè)定或者憑有效證件進(jìn)行設(shè)定c)當(dāng)進(jìn)行業(yè)務(wù)權(quán)限更改時(shí)（如密碼重置、密碼找回等應(yīng)設(shè)置相關(guān)策略，防止暴力破解攻擊；d)業(yè)務(wù)訂購、變更、退訂流程應(yīng)根據(jù)實(shí)際業(yè)務(wù)需求，應(yīng)采用“認(rèn)證碼”或“二次短信認(rèn)證”等方式加強(qiáng)安全性，應(yīng)限定同一用戶每日業(yè)務(wù)訂購次數(shù)。7.3.3應(yīng)用安全審計(jì)應(yīng)用安全審計(jì)的要求如下：a)應(yīng)對(duì)用戶在業(yè)務(wù)應(yīng)用中的重要行為、關(guān)鍵操作、資源使用情況等重要安全事件進(jìn)行審計(jì)；b)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、描述和結(jié)果等，并按相關(guān)法律法規(guī)要求保留一定期限；c)應(yīng)對(duì)審計(jì)記錄進(jìn)行安全保護(hù)，保證審計(jì)記錄在有效期內(nèi)受到非授權(quán)的訪問、篡改、覆蓋及刪除等操作；d)應(yīng)定期對(duì)審計(jì)日志進(jìn)行人工審計(jì)；e)應(yīng)能按需求提供與用戶相關(guān)的審計(jì)信息和審計(jì)分析報(bào)告。7.3.4后臺(tái)系統(tǒng)安全輸入驗(yàn)證的要求如下：a)應(yīng)對(duì)文件路徑、URL地址等輸入數(shù)據(jù)做安全驗(yàn)證，并盡量使用白名單驗(yàn)證方法；b)應(yīng)在服務(wù)器端進(jìn)行輸入驗(yàn)證，避免客戶端輸入驗(yàn)證被繞過；c)關(guān)鍵參數(shù)應(yīng)直接從服務(wù)器端提取，避免從客戶端輸入，防止關(guān)鍵參數(shù)被篡改。后臺(tái)系統(tǒng)身份認(rèn)證身份認(rèn)證的要求如下：a)應(yīng)采用SSL/TLS加密隧道確保用戶密碼的傳輸安全，禁止明文傳輸用戶密碼；b)應(yīng)采用單向散列值在數(shù)據(jù)庫中存儲(chǔ)用戶密碼，降低存儲(chǔ)的用戶密碼被字典攻擊的風(fēng)險(xiǎn)，禁止在數(shù)據(jù)庫或文件系統(tǒng)中明文存儲(chǔ)用戶密碼；GB／T39403—2020c)應(yīng)禁止在小型文本文件(COOKIE)中保存明文用戶密碼；d)應(yīng)采取技術(shù)措施避免暴力破解、惡意注冊(cè)、惡意占用資源等行為；e)應(yīng)對(duì)關(guān)鍵業(yè)務(wù)操作進(jìn)行二次鑒權(quán)，例如修改用戶認(rèn)證鑒權(quán)信息（如密碼、密碼取回問題及答案、綁定手機(jī)號(hào)碼等避免用戶身份被冒用；f)應(yīng)避免認(rèn)證錯(cuò)誤提示泄露信息，在認(rèn)證失敗時(shí)，應(yīng)向用戶提供通用的錯(cuò)誤提示信息（如不應(yīng)區(qū)分是賬號(hào)錯(cuò)誤還是密碼錯(cuò)誤避免這些錯(cuò)誤提示信息被攻擊者利用；g)應(yīng)支持密碼策略設(shè)置，從業(yè)務(wù)系統(tǒng)層面支持強(qiáng)制的密碼策略，包括密碼長度、復(fù)雜度、更換周期等，特別是業(yè)務(wù)系統(tǒng)的管理員密碼；h)應(yīng)支持賬號(hào)鎖定功能，系統(tǒng)應(yīng)限制連續(xù)登錄失敗次數(shù)，在客戶端多次嘗試失敗后，服務(wù)器端需要對(duì)用戶賬號(hào)進(jìn)行短時(shí)鎖定，且鎖定策略支持配置解鎖時(shí)長；i)應(yīng)確保用戶不能訪問到未授權(quán)的功能和數(shù)據(jù)，未經(jīng)授權(quán)的用戶試圖訪問受限資源時(shí)，系統(tǒng)應(yīng)予