DB3305 T 253-2022 物联中台安全管理规范.pdf

1、1 ICS 03.080.99 CCS A 01 DB3305浙江省湖州市地方标准DB3305/T 2532022物联中台安全管理规范Internet of Things Platform Security Management Standard 2022-12-7 发布2022-12-9 实施湖州市市场监督管理局 发 布 DB3305/T 2532022 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.1 5 终端安全.1 6 传输安全.2 7 平台安全.2 DB3305/T 2532022 II 前言 本标准旨在指导湖州市物联中台物联感知体系规划

2、、建设及改造，夯实全域感知的基础。本标准编写原则：遵循国家感知终端有关法律法规，保证本文档内容能适用于物联中台建设需求，规范终端接入、数据转发以及安全等相关活动。本文件由 湖州市大数据发展管理局提出并归口。本文件起草单位：湖州市大数据发展管理局、湖州市数据服务中心、湖州市吴兴区大数据服务中心、湖州市南浔区大数据服务中心、德清县大数据发展管理局、长兴县大数据发展管理局、安吉县大数据发展管理局、湖州南太湖产业集聚区管理委员会、湖州经济技术开发区管理委员会、湖州市标准化研究院、中移物联网有限公司、中国移动通信集团浙江有限公司湖州分公司。本文件主要起草人：蔡丰、笪猛霄、马红斌、陈玮萍、许彪、范俊、梅勇

3、、张加林、姚朔舟、冯凌、张建勇、杨志杰、茅恒达、陆一鸣、秦琪波、吕一品、潘健、沈一雄、钱建国、卢浩、朱阳、敬威、朱云杰、郑京天、王硕。DB3305/T 2532022 1 物联中台安全管理规范 1 范围 本文件规定了物联中台相关的终端安全、传输安全、平台安全等相关内容。本文件适用于物联中台相关网络信息安全建设，可作为感知终端、物联中台、物联网应用等物联网场景网络信息安全参考。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 2223

4、9-2019 信息安全技术 网络安全等级保护基本要求 GB/T 36951-2018 信息安全技术 物联网感知终端应用安全技术要求 3 术语和定义 下列术语和定义适用于本文件。3.1 物联中台 Internet of Things Platform 物联中台是一个集成了设备管理、消息订阅等能力的一体化软件系统。它向下实现各类感知终端统一接入和集中管理，向上面向第三方应用系统提供数据推送以及API接口服务，实现物联数据统一标准汇聚以及多方共享。3.2 网络安全 cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以

5、及保障网络数据的完整性、保密性、可用性的能力。GB/T 22239-2019，定义3.1 4 缩略语 下列缩略语适用于本文件。GRE：通用路由封装（Generic Routing Encapsulation）IP：网际互连协议（Internet Protocol）IPSec：互联网安全协议（Internet Protocol Security）L2TP：第二层隧道协议（Layer Two Tunneling Protocol）5 终端安全 DB3305/T 2532022 25.1 终端物理安全 物联网终端选址时，应满足GBT 36951-2018确立的下列选址要求：在防盗窃防破坏、防水防潮、

6、防极端温度等方面满足部署的要求；在信号防干扰、防屏蔽、防阻挡等方面满足部署环境的要求。5.2 终端软件安全 物联网终端在软件安全方面，应满足下列要求：仅安装经授权的软件；按照策略进行软件补丁更新和升级，且保证所更新的数据是来源合法的和完整的；安装满足业务安全功能需求的软件并正确配置及使用；确保维护单位对终端固件安全漏洞具备基础的检测和响应能力；应兼容安全插件、安全SDK等，应具备安全基线检查及配置能力。5.3 终端接入安全 在接入物联中台时，终端应满足下列要求：能向接入网络证明其网络身份，具备唯一且可靠的网络身份标识；在采用插卡方式进行网络身份鉴别时，应采取措施防止卡片被拔除或替换；应保证密钥

7、存储和交换安全；对于可通过用户口令直接登录的终端，需确保用户口令的复杂度符合相关规定；能通过安全接入网关控制终端的安全接入，进行身份认证和访问控制，阻断终端安全攻击，按照相关规范记录和上传安全日志。5.4 网络访问控制 终端接入物联中台时，应具备如下能力：可禁用业务需求以外的通信端口；可设置网络访问控制策略，限制非必要主体对终端的网络访问。6 传输安全 6.1 传输保密性 6.1.1 终端接入物联中台时，应确保传输数据的保密性。6.1.2 应运用 GRE、L2TP、IPSec 等技术实现 APN 接入，保证传输网络高可靠、高安全、可管理，实现端到端的安全保障及身份认证。6.2 传输安全审计 对

8、于边缘计算平台与物联中台、物联中台与其他第三方平台之间进行的敏感数据交互时，应对数据来源、数据去向、授权记录等进行存证。7 平台安全 7.1 安全物理环境 7.1.1 部署平台的机房场地应选择在具有防震、防风和防雨等能力的建筑内，机房场地应避免设在建DB3305/T 2532022 3筑物的顶层或地下室，否则应加强防水和防潮措施。7.1.2 部署平台的机房应具备物理访问控制能力、防盗窃和防破坏能力、防火防雷击能力、防水和防潮能力、防静电能力、温湿度控制能力、电力供应保障能力、电磁防护能力。7.2 安全通信网络 7.2.1 网络架构 7.2.1.1 应保证网络设备的业务处理能力满足业务高峰期需要

9、。7.2.1.2 应保证网络各个部分的带宽满足业务高峰期需要。7.2.1.3 应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。7.2.1.4 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。7.2.1.5 应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。7.3 安全计算环境 7.3.1 身份鉴别 7.3.1.1 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。7.3.1.2 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相

10、关措施。7.3.1.3 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。7.3.1.4 应采用口令、密码技术等技术对用户进行身份鉴别。7.3.2 访问控制 7.3.2.1 应对登录的用户分配账户和权限。7.3.2.2 应重命名或删除默认账户，修改默认账户的默认口令。7.3.2.3 应及时删除或停用多余的、过期的账户，避免共享账户的存在。7.3.2.4 应授予管理用户所需的最小权限，实现管理用户的权限分离。7.3.2.5 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。7.3.2.6 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。7.3

11、.2.7 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。7.3.3 安全审计 7.3.3.1 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。7.3.3.2 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。7.3.3.3 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。7.3.3.4 应对审计进程进行保护，防止未经授权的中断。7.3.3.5 审计日志能够依照相关要求同物联感知体系对应安全系统进行对接。7.3.4 入侵防范 7.3.4.1 应遵循最小安装的原则，仅安装需要的组件和应用程

12、序。7.3.4.2 应关闭不需要的系统服务、默认共享和高危端口。DB3305/T 2532022 47.3.4.3 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。7.3.4.4 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。7.3.4.5 应具备安全基线配置和下发能力，能够通过安全巡检发现安全风险，防范入侵事件。7.3.5 恶意代码防范 应采用免受恶意代码攻击的技术措施，通过web、app、固件检测等机制预防、识别入侵和病毒行为，并将其有效阻断。7.3.6 数据完整性 7.3.6.1 应采用校验技术或密码技术保证重要数据在传

13、输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。7.3.6.2 应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。7.3.7 数据保密性 7.3.7.1 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。7.3.7.2 应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。7.3.8 个人信息保护 7.3.8.1 应仅采集和保存业务必需

14、的用户个人信息。7.3.8.2 应禁止未授权访问和非法使用用户个人信息。7.4 安全区域边界 7.4.1 边界防护 7.4.1.1 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。7.4.1.2 应能够对非授权设备私自联到内部网络的行为进行检查或限制。7.4.1.3 应能够对内部用户非授权联到外部网络的行为进行检查或限制。7.4.1.4 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。7.4.2 访问控制 7.4.2.1 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。7.4.2.2 应删除多余或无效的访问控

15、制规则，优化访问控制列表，并保证访问控制规则数量最小化。7.4.2.3 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出。7.4.2.4 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。7.4.2.5 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。7.4.3 入侵防范 7.4.3.1 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。7.4.3.2 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。DB3305/T 2532022 57.4.3.3 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行

16、为的分析。7.4.3.4 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。7.4.3.5 具备针对网络安全攻击的态势分析、预警和应急响应能力。7.4.4 安全审计 7.4.4.1 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。7.4.4.2 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。7.4.4.3 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。7.4.4.4 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数

17、据分析。7.5 安全管理中心 7.5.1 系统管理 7.5.1.1 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。7.5.1.2 应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。7.5.2 审计管理 7.5.2.1 应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计。7.5.2.2 应通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。

18、7.5.2.3 应通过如分布式存储、区块链等技术确保审计记录不被篡改。7.5.3 安全管理 7.5.3.1 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计。7.5.3.2 应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。7.5.4 集中管控 7.5.4.1 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控。7.5.4.2 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理。7.5.4.3 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。7.5.4.4 应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。7.5.4.5 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。7.5.4.6 应根据安全数据分析结果，主动感知系统安全态势，对可能的安全风险进行预警，对网络中发生的各类安全事件进行识别、报警和分析，对安全事件的处理实现闭环管理。DB3305/T 2532022 6