XX教研文档下载

工业互联网平台 安全防护要求

本文由用户“xyw_288”分享发布 更新时间:2020-07-21 19:40:26 举报文档

以下为《工业互联网平台 安全防护要求》的无排版文字预览,完整格式请下载

下载前请仔细阅读文字预览以及下方图片预览。图片预览是什么样的,下载的文档就是什么样的。

工业互联网产业联盟标准 AII/004-2018 工业互联网平台 安全防护要求 Security Protection Requirements for Industrial Internet Platform 工业互联网产业联盟 (2018 年 2 月 2 日发布) 声明 本报告所载的材料和信息,包括但不限于文本、图片、 数据、观点、建议,不构成法律建议,也不应替代律师意 见。本报告所有材料或内容的知识产权归工业互联网产业 联盟所有(注明是引自其他方的内容除外),并受法律保 护。如需转载,需联系本联盟并获得授权许可。未经授权 许可,任何人不得将报告的全部或部分内容以发布、转 载、汇编、转让、出售等方式使用,不得将报告的全部或 部分内容通过网络方式传播,不得在任何公开场合使用报 告内相关描述及相关数据图表。违反上述声明者,本联盟 将追究其相关法律责任。 工业互联网产业联盟 联系电话:010-*** 邮箱:aii@caict.ac.cn 目录 1 范围 ..........................................................................................................................................1 2 规范性引用文件.......................................................................................................................1 3 缩略语.......................................................................................................................................1 4 术语和定义...............................................................................................................................1 5 工业互联网平台架构简介.......................................................................................................2 6 工业互联网平XX全防护需求...............................................................................................3 7 工业互联网平XX全防护总体要求.......................................................................................4 7.1 工业互联网平XX全防护总体原则................................................................................4 7.2 工业互联网平XX全防护范围........................................................................................4 7.3 工业互联网平XX全防护内容........................................................................................4 8 基本级安全防护要求...............................................................................................................5 8.1 边缘层安全防护要求........................................................................................................5 8.2 平台 IaaS 层安全防护要求...............................................................................................6 8.3 平台 PaaS 层安全防护要求............................................................................................11 8.4 平台 SaaS 层安全防护要求............................................................................................15 9 增强级安全防护要求.............................................................................................................21 9.1 边缘层安全防护要求......................................................................................................21 9.2 平台 IaaS 层安全防护要求.............................................................................................22 9.3 平台 PaaS 层安全防护要求............................................................................................26 9.4 平台 SaaS 层安全防护要求............................................................................................27 参考文献..................................................................................................................................... 30 2 前言 本标准是工业互联网安全系列标准之一。 —工业互联网 安全总体要求 —工业互联网 安全接入要求 —工业互联网平台 安全防护要求 —工业互联网 安全能力成熟度评估规范 —工业互联网 数据安全保护要求 随着技术的发展,还将制定后续的相关标准。 标准牵头单位:中国信息通信研究院 标准起草单位和主要起草人: 中国信息通信研究院:李某某、田某某、罗某某 ***:王某某、耿某某 **_*:陶某某、郭某某 中国移动***:张峰 中兴***:黄某某 中国电子信息***第六研究所:卢某某 航天云网科技发展有限***:于某某、邹某某、姜某某、梁某某 富士康科技集团:陈某某 用友网络***:杨某某 三一集团:彭某某、张某某 **_*:龚某某 中****_**:李某某 海尔集团:陈某某、张某某 T11/AII 004—2018 工业互联网平XX全防护要求 1 范围 本标准针对工业互联网平台对于安全防护方面的需求,规定了工业互联网平 XX全防护的总体要求,主要包括边缘层安全、平台IaaS层安全、平台PaaS层安 全、平台SaaS层安全等。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日 期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修 改单)适用于本文件。 AII/002-2017 工业互联网平台 可信服务评估评测要求 工业互联网产业联盟报告 工业互联网平台白皮书(2017) YD/T 2439-2012 移动互联网恶意程序描述格式 3 缩略语 下列缩略语适用于本文件。 IaaS 基础设施即服务 PaaS 平台即服务 SaaS 软件即服务 APP 应用程序 Infrastructure as a Service Platform as a Service Software as a Service Application 4 术语和定义 下列术语和定义适用于本文件。 —1— T11/AII 004-2018 4.1 工业互联网平台 Industrial Internet Platform 工业互联网平台是面向制造业数字化、网络化、智能化需求,构建基于海量 数据采集、汇聚、分析的服务体系,支撑制造资源泛在连接、弹性供给、高效配 置的工业云平台。 5 工业互联网平台架构简介 根据《工业互联网平台白皮书(2017)》中的定义,工业互联网平台是面向 制造业数字化、网络化、智能化需求,构建基于海量数据采集、汇聚、分析的服 务体系,支撑制造资源泛在连接、弹性供给、高效配置的工业云平台,包括边缘、 平台(工业PaaS)、应用三大核心层级。可以认为,工业互联网平台是工业云平 台的延伸发展,其本质是在传统云平台的基础上叠加物联网、大数据、人工智能 等新兴技术,构建更精准、实时、高效的数据采集体系,建设包括存储、集成、 访问、分析、管理功能的使能平台,实现工业技术、经验、知识模型化、软件化、 复用化,以工业应用程序的形式为制造企业各类创新应用,最终形成资源富集、 多方参与、合作共赢、协同演进的制造业生态。 —2— 图1 工业互联网平台功能架构图 T11/AII 004—2018 第一层是边缘,通过大范围、深层次的数据采集,以及异构数据的协议转换 与边缘处理,构建工业互联网平台的数据基础。一是通过各类通信手段接入不同 设备、系统和产品,采集海量数据;二是依托协议转换技术实现多源异构数据的 归一化和边缘集成;三是利用边缘计算设备实现底层数据的汇聚处理,并实现数 据向云端平台的集成。 第二层是平台,基于通用PaaS叠加大数据处理、工业数据分析、工业微服务 等创新功能,构建可扩展的开放式云操作系统。一是提供工业数据管理能力,将 数据科学与工业机理结合,帮助制造企业构建工业数据分析能力,实现数据价值 挖掘;二是把技术、知识、经验等资源固化为可移植、可复用的工业微服务组件 库,供开发者调用;三是构建应用开发环境,借助微服务组件和工业应用开发工 具,帮助用户快速构建定制化的工业应用程序。 第三层是应用,形成满足不同行业、不同场景的工业SaaS和工业应用程序, 形成工业互联网平台的最终价值。一是提供了设计、生产、管理、服务等一系列 创新性业务应用。二是构建了良好的工业应用程序创新环境,使开发者基于平台 数据及微服务功能实现应用创新。 除此之外,工业互联网平台还包括IaaS基础设施,以及涵盖整个工业系统的 安全管理体系,这些构成了工业互联网平台的基础支撑和重要保障。 泛在连接、云化服务、知识积累、应用创新是辨识工业互联网平台的四大特 征。一是泛在连接,具备对设备、软件、人员等各类生产要素数据的全面采集能 力。二是云化服务,实现基于云计算架构的海量数据存储、管理和计算。三是知 识积累,能够提供基于工业知识机理的数据分析能力,并实现知识的固化、积累 和复用。四是应用创新,能够调用平台功能及资源,提供开放的工业应用程序开 发环境,实现工业应用程序创新应用。 6 工业互联网平XX全防护需求 数据接入安全:防止数据泄漏、被侦听或篡改,保障数据在源头和传输过程 中安全。 平XX全:确保工业互联网平台的代码安全、应用安全、数据安全、网站安 全。 —3— T11/AII 004-2018 访问安全:通过建立统一的访问机制,限制用户的访问权限和所能使用的计 算资源和网络资源实现对工业互联网平台重要资源的访问控制和管理, 防止非 法访问。 7 工业互联网平XX全防护总体要求 7.1 工业互联网平XX全防护总体原则 本标准规定的工业互联网平XX全防护要求按照平台的功能和安全要求的 强度,分为基本级要求和增强级要求。 基本级要求是工业互联网平台在提供服务时应具备必要的安全控制措施,保 护工业互联网平台能够抵御或应对常见的攻击、威胁。 增强级要求是对基本要求的补充和强化,是工业互联网平台保障服务安全时 提供的更高级别的安全控制措施。 工业互联网平台用户根据自身业务需求及存储的信息敏感程度选择相应安 全防护水平的工业互联网平台提供者,或者自行搭建符合安全要求的工业互联网 平台。 7.2 工业互联网平XX全防护范围 本标准的安全防护范围主要针对工业互联网平台提出安全防护要求。其防护 范围包括构成工业互联网平台的各类物理或虚拟基础设施资源、数据分析服务、 开发套件、工业应用等,对接入工业互联网平台的工业现场设备的安全防护要求 见相应的安全防护标准,本标准不作要求。 7.3 工业互联网平XX全防护内容 工业互联网平XX全防护内容及要求可划分边缘层、平台 IaaS 层、平台 PaaS 层及平台 SaaS 层四个层面。 餷 边缘层 包括为实现工业互联网场景中各类现场设备接入所提供的接口、协议解析能 力及边缘计算能力等。 餷 平台 IaaS 层 包括支撑工业互联网平台运行的各类物理及虚拟资源,如服务器、存储、网 —4— T11/AII 004—2018 络、虚拟化等。 餷 平台 PaaS 层 包括数据分析服务、平台微服务组件、平台应用开发环境等。 餷 平台 SaaS 层 包括面向各类工业应用场景的业务应用及其配套应用程序等。 8 基本级安全防护要求 8.1 边缘层安全防护要求 8.1.1 网络架构 应设置单独的接入安全区域,并分配已规划的地址空间。 8.1.2 边界防护 a) 工厂内部网络与工厂外部网络的边界应该具有隔离措施; b) 能够对非授权设备的接入行为进行告警。 8.1.3 访问控制 a) 接入网络边界网关只开放接入服务相关的端口; b) 边界安全网关通过 ACL 检测机制对源地址、目的地址、源端口、目的端 口和协议等进行检查,以允许/拒绝数据进出。 8.1.4 入侵防范 a) 能够检测接入设备发起的 DDoS 等网络攻击行为; b) 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间, 在发生严重入侵事件时应能够告警。 8.1.5 安全审计 a) 应对接入用户的重要安全事件和重要行为进行审计; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及 其他与审计相关的信息; c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆 盖等; d) 审计日志应符合相关法律法规要求。 —5— T11/AII 004-2018 8.2 平台 IaaS 层安全防护要求 8.2.1 服务器安全防护要求 8.2.1.1 身份鉴别认证 身份鉴别认证应符合以下要求: a) 应对登录服务器的用户进行身份标识和鉴别。 b) 服务器管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要 求并定期更换。 c) 应启用登录失败处理功能,可采取结束会话、限制非法登陆次数和自动 退出等措施。 d) 应采用安全方式防止用户鉴别认证信息泄露而造成身份冒用。 8.2.1.2 访问控制 访问控制应符合以下要求: a) 应采用技术措施对允许访问服务器的终端地址范围进行限制。 b) 应关闭服务器不使用的端口,防止非法访问。 c) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管 理用户所需的最小权限。 8.2.1.3 安全审计 安全审计应符合以下要求: a) 审计范围应覆盖到服务器上的每个用户。 b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的 使用等重要的安全相关事件。 c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果 等。 d) 保护审计记录,有效期内避免受到非授权的访问、篡改、覆盖或删除等。 e) 应支持按用户需求提供与其相关的审计信息及审计分析报告。 8.2.1.4 资源控制 资源控制应符合以下要求: a) 应根据安全策略,设置登录终端的会话数量。 —6— T11/AII 004—2018 b) 应根据安全策略设置登录终端的操作超时锁定。 8.2.1.5 恶意代码防范 恶意代码防范应符合以下要求:应安装防恶意代码软件,并及时更新防恶意 代码软件版本和恶意代码库。 8.2.1.6 入侵防范 入侵防范应符合以下要求: a) 所使用的操作系统应遵循最小安装的原则,仅安装需要的组件和应用程 序,保持系统补丁及时得到更新。 b) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源 IP、攻 击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报 警。 8.2.2 存储安全防护要求 8.2.2.1 数据产生 数据产生应符合以下要求: a) 应具有数据敏感度的界定标准。 b) 数据产生时,应根据数据的敏感度进行分类。 8.2.2.2 数据传输 数据传输应符合以下要求: a) 应采用技术措施保证鉴别信息(指用于鉴定用户身份是否合法的信息, 如用户登录各种业务系统的账号和密码、服务密码等)传输的保密性。 b) 应支持用户实现对关键业务数据和管理数据传输的保密性。 c) 应能够检测到数据在传输过程中完整性受到破坏。 8.2.2.3 数据存储 数据存储应符合以下要求: a) 应采用加密技术或其他保护措施实现鉴别信息的存储保密性。 b) 应支持用户实现对关键业务数据和管理数据的存储保密性。 c) 应支持用户对密码算法、强度和方式等参数的可选配置。 d) 应提供有效的磁盘保护方法或数据碎片化存储等措施,保证及时磁盘被 —7— T11/AII 004-2018 窃取,非法用户也无法从磁盘中获取有效的用户数据。 e) 应能够检测到数据在存储过程中完整性受到破坏。 8.2.2.4 数据使用 数据使用应符合以下要求: 应对数据的使用进行授权和验证。 8.2.2.5 数据迁移 数据迁移应符合以下要求: a) 应进行数据迁移前的网络安全能力评估,保证数据迁移的安全实施。 b) 应保证数据在不同虚拟机之间迁移不影响业务应用的连续性。 c) 数据迁移中应做好数据备份以及恢复相关工作。 8.2.2.6 数据销毁 数据销毁应符合以下要求: a) 应能够提供手段协助清除因数据在不同存储设备间迁移、业务终止、自 然灾 内容过长,仅展示头部和尾部部分文字预览,全文请查看图片预览。 ) 应定义服务水平阈值,能够对服务水平进行检测,并具备当服务水平降 低到预先规定的阈值时进行告警的功能。 b) 应保证工业应用程序中使用的第三方软件、运维软件无已知后门、漏洞。 c) 应提供有效的病毒和攻击检测过滤技术手段,能够对用户之间传送的文 件进行必要的安全检查和过滤。 9.4.2.2 原生应用及后台系统安全 — 28 — 同基本级要求。 9.4.2.3 Web 应用及后台系统安全 同基本级要求。 T11/AII 004—2018 — 29 — T11/AII 004-2018 GB/T 31167-2014 YD/T 3157-2016 YD/T 2587-2013 YD/T 2694-2014 GB/T 25070-XXXX YD/T XXXX-XXXX 参考文献 信息安全技术 云计算服务安全指南 公有云服务安全防护要求 移动互联网应用商店安全防护要求 移动互联网联网应用安全防护要求 信息安全技术 网络安全等级保护安全设计技术要求 电信运营商的大数据应用业务安全技术要求 _________________________________ — 30 — [文章尾部最后500字内容到此结束,中间部分内容请查看底下的图片预览]

以上为《工业互联网平台 安全防护要求》的无排版文字预览,完整格式请下载

下载前请仔细阅读上面文字预览以及下方图片预览。图片预览是什么样的,下载的文档就是什么样的。

图片预览