ICS35.020

CCSL04

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

`

工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第3部分：標(biāo)識(shí)

解析企業(yè)防護(hù)要求

IndustrialInternetEnterpriseCyberSecurityPart3：PprotectionRequirementsof

IndustrialInternetIdentificationResolutionEnterprise

(點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí))

（工作組討論稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件由中華人民共和國(guó)工業(yè)和信息化部提出。

本文件由全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC485）歸口。

本文件起草單位：中國(guó)信息通信研究院、國(guó)家工業(yè)信息安全發(fā)展研究中心、中國(guó)電子信息產(chǎn)業(yè)發(fā)展

研究院、中國(guó)工業(yè)互聯(lián)網(wǎng)研究院、北京航空航天大學(xué)、廣東鑫興科技有限公司、江蘇中天互聯(lián)科技有限

公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、北京東方通網(wǎng)信科技

有限公司、鄭州信大捷安信息技術(shù)股份有限公司、亞信安全科技有限公司、中通服和信科技有限公司、

北京神州綠盟科技有限公司、南京中新賽克科技有限責(zé)任公司、中移物聯(lián)網(wǎng)有限公司、國(guó)網(wǎng)河南省電力

公司、中國(guó)電信集團(tuán)有限公司、北京信安世紀(jì)科技股份有限公司、奇安信科技集團(tuán)股份有限公司、國(guó)網(wǎng)

電商科技有限公司、中國(guó)船級(jí)社

本文件主要起草人：

GB/TXXXXX—XXXX

工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第3部分：標(biāo)識(shí)解析企業(yè)防護(hù)要求

1范圍

本文件規(guī)定了工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)網(wǎng)絡(luò)安全防護(hù)的范圍和內(nèi)容，規(guī)定了工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析

企業(yè)提供標(biāo)識(shí)注冊(cè)、解析及運(yùn)行維護(hù)等相關(guān)業(yè)務(wù)系統(tǒng)的不同等級(jí)的安全防護(hù)要求，包括基礎(chǔ)設(shè)施安全、

網(wǎng)絡(luò)安全、業(yè)務(wù)和應(yīng)用安全、數(shù)據(jù)安全、安全管理以及物理和環(huán)境安全。

本文件適用于工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)防護(hù)工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20988-2017信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)

GB50174-2017數(shù)據(jù)中心設(shè)計(jì)規(guī)范

GB/TXXXXX-XXXX工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第4部分：數(shù)據(jù)安全防護(hù)要求

3術(shù)語(yǔ)和定義

術(shù)語(yǔ)和定義

GB/T25069、GB/T22239界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1.1

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)AnalysissystemofindustrialInternetidentification

通過(guò)建立統(tǒng)一的標(biāo)識(shí)體系將工業(yè)中的設(shè)備、機(jī)器和物料等對(duì)象標(biāo)識(shí)映射至實(shí)際信息服務(wù)的信息系

統(tǒng)。

3.1.2

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)IndustrialInternetidentificationanalysisenterprise

指從事工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)注冊(cè)服務(wù)、解析服務(wù)及其運(yùn)行維護(hù)的機(jī)構(gòu)，包括工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析根節(jié)點(diǎn)

運(yùn)行機(jī)構(gòu)、國(guó)家頂級(jí)節(jié)點(diǎn)運(yùn)行機(jī)構(gòu)、標(biāo)識(shí)注冊(cè)管理機(jī)構(gòu)、標(biāo)識(shí)注冊(cè)服務(wù)機(jī)構(gòu)、遞歸節(jié)點(diǎn)運(yùn)行機(jī)構(gòu)等。

3.1.3

安全防護(hù)networksecurityprotection

通過(guò)技術(shù)和管理手段保護(hù)標(biāo)識(shí)解析企業(yè)相關(guān)系統(tǒng)的完整性、可靠性、保密性和可用性免受外部破壞。

3.1.4

1

GB/TXXXXX—XXXX

網(wǎng)絡(luò)安全cybersecurity

通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于

穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

[GB/T22239-2019，定義3.1]

縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

APIApplicationProgrammingInterface應(yīng)用程序接口

DDoSDistributedDenialofService分布式拒絕服務(wù)

DNSDomainNameSystem域名系統(tǒng)

DNSSECDNSSecurityExtension域名系統(tǒng)安全

NTPNetworkTimeProtocol網(wǎng)絡(luò)時(shí)間協(xié)議

E-MailE-Mail電子郵件

FTPFileTransferProtocol文件傳輸協(xié)議

HandleHandle標(biāo)碼

IPInternetProtocol互聯(lián)網(wǎng)協(xié)議

RloginRlogin是Linux下的遠(yuǎn)程登錄命令

TelnetTelnetInternet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)

議bai和主要方式

TLSTransportLayerSecurity傳輸層安全協(xié)議

TLCPTransportlayercryptography傳輸層密碼協(xié)議

protoco

4工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)范圍及內(nèi)容

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)內(nèi)容具體包括：

（1）基礎(chǔ)設(shè)施安全防護(hù)

基礎(chǔ)設(shè)施安全防護(hù)，主要包括身份鑒別、訪問控制、入侵防范、安全配置、冗余和備份恢復(fù)安全等。

（2）網(wǎng)絡(luò)安全防護(hù)

網(wǎng)絡(luò)安全防護(hù)，主要包括架構(gòu)安全、網(wǎng)絡(luò)與邊界訪問控制、異常監(jiān)測(cè)、入侵防范、安全審計(jì)等。

（3）業(yè)務(wù)和應(yīng)用安全

業(yè)務(wù)和應(yīng)用安全防護(hù)，主要包括標(biāo)識(shí)解析系統(tǒng)業(yè)務(wù)提供及應(yīng)用的身份認(rèn)證與訪問控制、協(xié)議安全、

應(yīng)用資源控制、攻擊防范、應(yīng)用程序檢測(cè)等。

（4）數(shù)據(jù)安全防護(hù)

數(shù)據(jù)安全防護(hù)，主要包括數(shù)據(jù)分級(jí)分類、數(shù)據(jù)脫敏加密、全生命周期安全防護(hù)、備份恢復(fù)等。

（5）安全管理要求

包括安全管理制度、安全建設(shè)和管理、安全運(yùn)維管理。

（6）物理和環(huán)境安全

包括物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、電磁防護(hù)等。

5工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)級(jí)別的確定

2

GB/TXXXXX—XXXX

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)按照《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)網(wǎng)絡(luò)安全定級(jí)方法》中的級(jí)別劃分，采取

不同程度的安全防護(hù)。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)的安全防護(hù)分為基本級(jí)防護(hù)和增強(qiáng)級(jí)防護(hù)兩個(gè)級(jí)別：

三級(jí)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)應(yīng)采取增強(qiáng)級(jí)防護(hù)措施。

二級(jí)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)應(yīng)采取基本級(jí)防護(hù)措施。

一級(jí)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)宜參照基本級(jí)防護(hù)要求根據(jù)自身情況，自主落實(shí)安全防護(hù)措施。

6工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)要求

基本級(jí)防護(hù)要求

6.1.1基礎(chǔ)設(shè)施安全防護(hù)

身份鑒別

身份鑒別安全要求包括：

a)應(yīng)對(duì)登錄標(biāo)識(shí)解析相關(guān)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯

一性；

b)通過(guò)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理賬戶的口令應(yīng)有復(fù)雜度要求，并定期更換；

c)系統(tǒng)應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和登錄連接超時(shí)自

動(dòng)退出等相關(guān)措施。

訪問控制

訪問控制安全要求包括：

a)應(yīng)對(duì)標(biāo)識(shí)解析相關(guān)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶分配賬戶和權(quán)限；

b)應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；

c)應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在；

d)應(yīng)對(duì)登錄設(shè)備進(jìn)行運(yùn)維的用戶授予其所需的最小權(quán)限，并實(shí)現(xiàn)對(duì)不同類型運(yùn)維用戶的權(quán)限分

離。

入侵防范

入侵防范安全要求包括：

a)應(yīng)遵循最小安裝的原則，僅為標(biāo)識(shí)解析系統(tǒng)相關(guān)設(shè)備安裝需要的組件和應(yīng)用程序；

b)應(yīng)能及時(shí)發(fā)現(xiàn)存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)采取有效措施進(jìn)行應(yīng)對(duì)；

c)應(yīng)能檢測(cè)升級(jí)軟件的真實(shí)性和完整性；

d)應(yīng)安裝主流防病毒軟件及防惡意代碼軟件并具備及時(shí)升級(jí)能力。

安全配置

a)應(yīng)采取手段保證操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的日志無(wú)法刪除、修改或覆蓋，例

如日志集中管理、日志文件權(quán)限控制等；

b)業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等關(guān)鍵設(shè)備應(yīng)保持時(shí)間上的同步，建議采用NTP協(xié)

議或其他技術(shù)。

冗余和備份恢復(fù)安全

冗余備份恢復(fù)安全包括：

3

GB/TXXXXX—XXXX

a)應(yīng)保證標(biāo)識(shí)解析系統(tǒng)相關(guān)服務(wù)器等設(shè)備支持冗余或負(fù)載分擔(dān)功能，在設(shè)備運(yùn)行狀態(tài)異常時(shí)，可

通過(guò)啟用備用部件防范安全風(fēng)險(xiǎn)。

b)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份及恢復(fù)功能。

6.1.2網(wǎng)絡(luò)安全防護(hù)

架構(gòu)安全

a)標(biāo)識(shí)解析系統(tǒng)內(nèi)部網(wǎng)絡(luò)應(yīng)根據(jù)安全需求和業(yè)務(wù)特點(diǎn)劃分為不同的安全域，按照統(tǒng)一的管理和

控制原則劃分不同的子網(wǎng)或網(wǎng)段，設(shè)備依照功能劃分及其重要性等因素分區(qū)部署；

b)應(yīng)采用內(nèi)外網(wǎng)隔離、專線、加密等保護(hù)措施避免遠(yuǎn)程訪問和標(biāo)識(shí)數(shù)據(jù)在公共互聯(lián)網(wǎng)的明文傳輸；

c)節(jié)點(diǎn)總體架構(gòu)設(shè)計(jì)應(yīng)采用分布式架構(gòu)，支持負(fù)荷分擔(dān)，單個(gè)主機(jī)/虛擬機(jī)故障不影響整體性能。

網(wǎng)絡(luò)邊界訪問控制

網(wǎng)絡(luò)邊界訪問控制安全要求包括：

a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，并啟用訪問控制功能，保證跨越網(wǎng)絡(luò)邊界的訪問和數(shù)據(jù)流通

過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信，默認(rèn)情況下受控接口拒絕所有通信；

b)應(yīng)關(guān)閉標(biāo)識(shí)解析服務(wù)器等不必要的服務(wù)和監(jiān)聽端口，包括不限于標(biāo)識(shí)解析服務(wù)器應(yīng)限制只在

解析端口上提供標(biāo)識(shí)解析服務(wù)，不對(duì)其他用戶終端開放任何服務(wù)；

c)應(yīng)刪除多余或無(wú)效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；

d)應(yīng)根據(jù)網(wǎng)絡(luò)邊界訪問控制規(guī)則，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、協(xié)

議等，確定是否允許該數(shù)據(jù)包通過(guò)該區(qū)域邊界；

e)系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間應(yīng)采用訪問控制機(jī)制，禁止任何穿越區(qū)域邊界的E-Mail、Web、

Telnet、Rlogin、FTP、SSH、Mysql等通用網(wǎng)絡(luò)服務(wù)；

f)應(yīng)在邊界訪問控制機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警。

網(wǎng)絡(luò)異常監(jiān)測(cè)

網(wǎng)絡(luò)異常監(jiān)測(cè)安全要求包括：

a)應(yīng)對(duì)網(wǎng)絡(luò)通訊數(shù)據(jù)、異常訪問、異常流量等進(jìn)行監(jiān)測(cè)，發(fā)生異常進(jìn)行報(bào)警；

b)應(yīng)對(duì)標(biāo)識(shí)解析系統(tǒng)網(wǎng)絡(luò)異常進(jìn)行監(jiān)測(cè)，識(shí)別異常注冊(cè)、解析業(yè)務(wù)流量并進(jìn)行報(bào)警。

網(wǎng)絡(luò)入侵防范

網(wǎng)絡(luò)入侵防范安全要求包括：

a)應(yīng)在系統(tǒng)邊界處對(duì)發(fā)生的網(wǎng)絡(luò)入侵行為提供有效的檢測(cè)能力，當(dāng)檢測(cè)到入侵行為時(shí)，應(yīng)記錄攻

擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警；

b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署防DDoS攻擊措施，對(duì)針對(duì)這些節(jié)點(diǎn)的DDoS攻擊流量進(jìn)行檢測(cè)和清

洗，保障系統(tǒng)正常運(yùn)行，并在發(fā)生攻擊事件時(shí)提供報(bào)警；

c)應(yīng)對(duì)進(jìn)出標(biāo)識(shí)解析關(guān)鍵系統(tǒng)的數(shù)據(jù)信息進(jìn)行過(guò)濾，并能根據(jù)系統(tǒng)能力對(duì)網(wǎng)絡(luò)流量及并發(fā)數(shù)進(jìn)

行限制，對(duì)關(guān)鍵入侵行為進(jìn)行阻斷；

d)應(yīng)具備相應(yīng)技術(shù)能力，可以對(duì)病毒和惡意軟件入侵進(jìn)行防護(hù)。

安全審計(jì)

安全審計(jì)要求包括：

4

GB/TXXXXX—XXXX

a)系統(tǒng)應(yīng)記錄日志，包括系統(tǒng)日志、錯(cuò)誤日志、注冊(cè)日志和解析日志等，日志記錄的內(nèi)容應(yīng)包括

但不限于事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；

b)應(yīng)對(duì)標(biāo)識(shí)解析系統(tǒng)注冊(cè)、解析、管理系統(tǒng)訪問等日志進(jìn)行記錄，并對(duì)記錄進(jìn)行留存和保護(hù)，重

要日志加密或異地保存，供日常審計(jì)及異常溯源。

6.1.3業(yè)務(wù)和應(yīng)用安全

身份認(rèn)證與訪問控制

身份認(rèn)證與訪問控制安全要求包括：

a)應(yīng)對(duì)使用標(biāo)識(shí)解析客戶端的用戶身份進(jìn)行標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)應(yīng)具有唯一性，身份鑒別信息

應(yīng)具有復(fù)雜度要求并定期更換；

b)應(yīng)使用密碼技術(shù)對(duì)身份認(rèn)證數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)；

c)用戶身份鑒別信息丟失或失效時(shí)，應(yīng)采用技術(shù)措施確保鑒別信息重置過(guò)程的安全；

d)應(yīng)提供訪問控制功能，對(duì)使用應(yīng)用程序的用戶分配賬戶及相應(yīng)的訪問操作權(quán)限。

e)應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)登錄口令；

通信安全

通信安全要求包括：

a)標(biāo)識(shí)解析系統(tǒng)應(yīng)支持DNSSEC等安全增強(qiáng)機(jī)制協(xié)議，并進(jìn)行正確的協(xié)議配置；

b)標(biāo)識(shí)解析節(jié)點(diǎn)與企業(yè)服務(wù)器通信應(yīng)支持基于TLS/TLCP等安全加密協(xié)議承載，節(jié)點(diǎn)內(nèi)外部均不

采用明文傳輸數(shù)據(jù)；

c)標(biāo)識(shí)解析系統(tǒng)應(yīng)配置基于密碼的公鑰及認(rèn)證體系。

應(yīng)用資源控制

應(yīng)用資源控制及業(yè)務(wù)提供安全要求包括：

a)應(yīng)能夠?qū)?yīng)用的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；

b)應(yīng)能夠?qū)蝹€(gè)用戶、終端、IP地址的多重并發(fā)會(huì)話進(jìn)行限制；

c)應(yīng)能夠?qū)τ脩艋蜻M(jìn)程對(duì)終端設(shè)備系統(tǒng)資源的最大使用限度進(jìn)行限制，防止終端設(shè)備被提權(quán)；

d)當(dāng)通信雙方中一方再一段時(shí)間內(nèi)未作響應(yīng)，另一方能夠自動(dòng)結(jié)束會(huì)話；

e)應(yīng)能夠?qū)φ?qǐng)求標(biāo)識(shí)解析業(yè)務(wù)并發(fā)量進(jìn)行限制，防止標(biāo)識(shí)服務(wù)節(jié)點(diǎn)服務(wù)超能力上限。

攻擊防范

攻擊防范要求包括：

a)應(yīng)定期（至少每月一次）檢查標(biāo)識(shí)解析系統(tǒng)軟件版本，對(duì)軟件版本漏洞進(jìn)行評(píng)估，對(duì)存在嚴(yán)重

漏洞的軟件及時(shí)進(jìn)行升級(jí)；

b)應(yīng)能夠采取安全策略和措施，抵御緩沖區(qū)污染、防范反射/放大攻擊、DNS劫持、遞歸攻擊、

漏洞偵測(cè)等攻擊行為；

c)存在緩存服務(wù)的標(biāo)識(shí)節(jié)點(diǎn)，應(yīng)能夠防范“中間人攻擊”行為。

應(yīng)用程序檢測(cè)

應(yīng)用程序檢測(cè)要求包括：

a)應(yīng)在應(yīng)用程序上線前對(duì)其安全性進(jìn)行測(cè)試，對(duì)可能存在的缺陷與惡意代碼等進(jìn)行檢測(cè)。

6.1.4數(shù)據(jù)安全

5

GB/TXXXXX—XXXX

數(shù)據(jù)安全防護(hù)要求包括：

a)標(biāo)識(shí)解析企業(yè)應(yīng)按照GB/TXXXXX-XXXX《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第4部分：數(shù)據(jù)安全防護(hù)

要求》對(duì)標(biāo)識(shí)解析系統(tǒng)的數(shù)據(jù)進(jìn)行分類分級(jí)，依據(jù)分級(jí)要求采取對(duì)應(yīng)的數(shù)據(jù)采集、傳輸、存儲(chǔ)、

使用、共享、銷毀等全生命周期安全防護(hù)措施；

b)標(biāo)識(shí)解析企業(yè)應(yīng)保證本節(jié)點(diǎn)的數(shù)據(jù)安全，建立身份認(rèn)證機(jī)制，通過(guò)用戶行為審計(jì)，實(shí)現(xiàn)對(duì)敏感

數(shù)據(jù)訪問行為的異常檢測(cè)和溯源追蹤；

c)標(biāo)識(shí)解析企業(yè)應(yīng)對(duì)內(nèi)對(duì)外系統(tǒng)數(shù)據(jù)采集網(wǎng)絡(luò)入口部署防火墻、安全網(wǎng)關(guān)、建立數(shù)據(jù)隔離區(qū)，完

成數(shù)交互，保障數(shù)據(jù)安全。

d)標(biāo)識(shí)解析企業(yè)應(yīng)定期對(duì)數(shù)據(jù)安全措施進(jìn)行安全性確認(rèn)，確保數(shù)據(jù)安全措施的安全性和可用性；

e)標(biāo)識(shí)解析企業(yè)應(yīng)定期進(jìn)行關(guān)鍵數(shù)據(jù)和重要信息備份，定期備份頻率不低于一天一次，備份的數(shù)

據(jù)/信息應(yīng)于異地保存，備份保存時(shí)間不低于三個(gè)月。關(guān)鍵數(shù)據(jù)和重要信息包括但不限于標(biāo)識(shí)

解析系統(tǒng)架構(gòu)、標(biāo)識(shí)解析軟件及配置、標(biāo)識(shí)數(shù)據(jù)庫(kù)數(shù)據(jù)、標(biāo)識(shí)解析日志、標(biāo)識(shí)解析系統(tǒng)監(jiān)控?cái)?shù)

據(jù)等。

6.1.5安全管理

安全管理制度

安全管理制度要求包括：

a)應(yīng)依據(jù)標(biāo)識(shí)注冊(cè)、解析服務(wù)及其運(yùn)行維護(hù)的機(jī)構(gòu)職責(zé)功能與監(jiān)管單位要求建立安全管理制度；

b)應(yīng)制定安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框

架等；

c)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；

d)安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布，并進(jìn)行版本控制；

e)應(yīng)定期對(duì)安全管理制度的合理性和適用性進(jìn)行論證和審定，對(duì)存在不足或需要改進(jìn)的安全管

理制度進(jìn)行修訂；

f)應(yīng)對(duì)安全管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全管理操作，并對(duì)

這些操作進(jìn)行審計(jì)；

g)應(yīng)建立標(biāo)識(shí)解析體系相關(guān)的安全監(jiān)測(cè)和應(yīng)急響應(yīng)制度，設(shè)立監(jiān)測(cè)、處置、應(yīng)急、備份等流程規(guī)

范文件。

安全管理機(jī)構(gòu)和人員要求

.1安全管理機(jī)構(gòu)

安全管理機(jī)構(gòu)要求包括：

a)應(yīng)設(shè)立安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義部

門及各負(fù)責(zé)人的職責(zé)；

b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理

員、安全管理員等，并定義各個(gè)工作崗位的職責(zé)；

c)應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等；

d)應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)執(zhí)行審批過(guò)程；

e)應(yīng)定期進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等；

f)應(yīng)對(duì)安全管理員進(jìn)行身份鑒別，對(duì)其操作任務(wù)進(jìn)行嚴(yán)格審批、管控與審計(jì)。

.2人員要求

6

GB/TXXXXX—XXXX

人員要求包括：

a)應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及安全職能部門內(nèi)部的合作與溝通，定期召開

協(xié)調(diào)會(huì)議，共同協(xié)作處理安全問題；

b)應(yīng)加強(qiáng)與工業(yè)互聯(lián)網(wǎng)安全主管部門、各類供應(yīng)商、業(yè)界專家及的合作與溝通；

c)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；

d)應(yīng)對(duì)被錄用人員的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查；

e)應(yīng)及時(shí)終止離崗員工的所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬

件設(shè)備；

f)應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施；

g)應(yīng)確保在外部人員物理訪問受控區(qū)域前先提出書面申請(qǐng)，批準(zhǔn)后由專人全程陪同，并登記備案；

應(yīng)確保在外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請(qǐng)，批準(zhǔn)后由專人開設(shè)賬戶、分配權(quán)

限，并登記備案；

h)外部人員離場(chǎng)后應(yīng)及時(shí)清除其所有的訪問權(quán)限。

安全建設(shè)管理要求

.1定級(jí)

定級(jí)要求包括：

a)企業(yè)的網(wǎng)絡(luò)安全等級(jí)確定應(yīng)遵循相關(guān)國(guó)家和行業(yè)標(biāo)準(zhǔn)；

b)應(yīng)以書面形式說(shuō)明企業(yè)確定為某安全等級(jí)的方法和理由。

.2安全方案設(shè)計(jì)

a)應(yīng)按照標(biāo)識(shí)解析企業(yè)等級(jí)情況，選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；

b)應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案；

c)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定，并

且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施。

.3產(chǎn)品采購(gòu)和使用

產(chǎn)品采購(gòu)和使用要求包括：

a)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)的重要設(shè)備及專用安全產(chǎn)品應(yīng)通過(guò)國(guó)家及行業(yè)監(jiān)管部門認(rèn)可的專業(yè)

機(jī)構(gòu)的安全性及電磁兼容性檢測(cè)后方可采購(gòu)使用；

b)安全產(chǎn)品與服務(wù)的采購(gòu)和使用應(yīng)遵循相關(guān)國(guó)家和行業(yè)標(biāo)準(zhǔn)。

.4軟件開發(fā)

軟件開發(fā)要求包括：

a)應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；

b)應(yīng)在軟件開發(fā)過(guò)程中進(jìn)行安全性測(cè)試；

c)應(yīng)在軟件交付前檢測(cè)其中可能存在的缺陷與惡意代碼等；

d)應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南；

e)應(yīng)在外包開發(fā)合同中包含開發(fā)單位、供應(yīng)商對(duì)所提供設(shè)備及系統(tǒng)在生命周期內(nèi)有關(guān)保密、禁止

關(guān)鍵技術(shù)擴(kuò)散和設(shè)備行業(yè)專用等方面的約束條款。

.5系統(tǒng)交付

7

GB/TXXXXX—XXXX

系統(tǒng)交付要求包括：

a)應(yīng)制訂安全性測(cè)試驗(yàn)收方案，并依據(jù)測(cè)試驗(yàn)收方案實(shí)施驗(yàn)收，形成驗(yàn)收?qǐng)?bào)告；

b)應(yīng)根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；

c)應(yīng)對(duì)負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；

d)應(yīng)提供建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行運(yùn)行維護(hù)的文檔。

.6服務(wù)供應(yīng)商選擇

服務(wù)供應(yīng)商選擇要求包括：

a)應(yīng)選擇安全合規(guī)的設(shè)備、服務(wù)、工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)供應(yīng)商，其所提供的設(shè)備、平臺(tái)系統(tǒng)

等應(yīng)為其所承載的業(yè)務(wù)提供相應(yīng)的安全防護(hù)能力；

b)應(yīng)在服務(wù)協(xié)議中規(guī)定具體服務(wù)內(nèi)容和技術(shù)指標(biāo)；

c)應(yīng)在服務(wù)協(xié)議中規(guī)定供應(yīng)商的權(quán)限與責(zé)任，包括管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護(hù)、

行為準(zhǔn)則、違約責(zé)任等；

d)應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議，明確供應(yīng)鏈各方需履行的安全相關(guān)義務(wù)；

e)應(yīng)在服務(wù)協(xié)議中規(guī)定服務(wù)合約到期時(shí)，完整地返還客戶信息，并承諾相關(guān)信息均已在云計(jì)算平

臺(tái)、工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)上清除；

f)應(yīng)確保供應(yīng)鏈安全事件信息或威脅信息能夠及時(shí)傳達(dá)到客戶；

g)應(yīng)確保外包運(yùn)維服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；

h)應(yīng)與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議，明確約定外包運(yùn)維的范圍、工作內(nèi)容。

安全運(yùn)維管理

.1環(huán)境管理

環(huán)境管理要求包括：

a)應(yīng)對(duì)機(jī)房的安全管理做出規(guī)定,指定專門的部門或人員負(fù)責(zé)機(jī)房安全，對(duì)機(jī)房出入進(jìn)行管理，

定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制、消防等設(shè)施進(jìn)行維護(hù)管理；

b)應(yīng)不在標(biāo)識(shí)解析計(jì)算服務(wù)及數(shù)據(jù)存放等區(qū)域接待來(lái)訪人員。

.2資產(chǎn)管理

資產(chǎn)管理要求包括：

a)應(yīng)編制并保存與保護(hù)對(duì)象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；

b)應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，實(shí)行存儲(chǔ)環(huán)境專人管理，并根

據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)；

c)應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行控制，并對(duì)介質(zhì)的歸檔和查詢

等進(jìn)行登記記錄；

d)應(yīng)對(duì)各種設(shè)備（包括備份和冗余設(shè)備）、線路等定期進(jìn)行維護(hù)管理；

e)應(yīng)記錄工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)相關(guān)設(shè)備的狀態(tài)（包括外觀、電量、指示燈等信息），對(duì)設(shè)備

進(jìn)行現(xiàn)場(chǎng)維護(hù)（除塵、充電、修理等）；

f)應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)部署環(huán)境的評(píng)估方法作出明確規(guī)定；

g)應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)相關(guān)設(shè)備入庫(kù)、存儲(chǔ)、部署、攜帶、維修、丟失和報(bào)廢等過(guò)程作

出明確規(guī)定，并進(jìn)行全程管理；

h)應(yīng)明確資產(chǎn)變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)

施。

8

GB/TXXXXX—XXXX

.3安全審計(jì)

安全審計(jì)要求包括：

a)應(yīng)對(duì)標(biāo)識(shí)解析業(yè)務(wù)系統(tǒng)、安全設(shè)備等啟用安全審計(jì)功能，對(duì)工作人員及企業(yè)用戶（如托管企業(yè)

用戶等）、個(gè)人用戶行為和重要安全事件進(jìn)行審計(jì)；審計(jì)記錄應(yīng)包括事件（如注冊(cè)、解析等服

務(wù)事件）的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

b)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；審計(jì)記錄中應(yīng)避

免明文記錄敏感數(shù)據(jù)，如用戶口令等；

c)依法記錄并留存標(biāo)識(shí)注冊(cè)日志、標(biāo)識(shí)解析日志、維護(hù)日志和變更記錄，各日志留存時(shí)長(zhǎng)不少于

六個(gè)月。

.4配置管理

配置管理要求包括：

a)應(yīng)記錄和保存基本配置信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè)設(shè)備安裝的軟件組件、軟件組件的版本

和補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等；

b)應(yīng)根據(jù)電信管理機(jī)構(gòu)要求，配置監(jiān)管數(shù)據(jù)的上報(bào)接口。

.5安全事件處理

安全事件處置要求包括：

a)應(yīng)及時(shí)向工業(yè)互聯(lián)網(wǎng)安全主管部門報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件；

b)應(yīng)明確安全事件的報(bào)告和處置流程，制定安全事件報(bào)告和處置管理制度；

c)應(yīng)在安全事件報(bào)告和響應(yīng)處理過(guò)程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，

總結(jié)經(jīng)驗(yàn)教訓(xùn)。

.6應(yīng)急工作要求

應(yīng)急工作要求包括：

a)應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容，并根據(jù)實(shí)際情況適

時(shí)進(jìn)行評(píng)估和修訂，原則上每年進(jìn)行一次評(píng)估和修訂；

b)應(yīng)定期開展網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案宣貫培訓(xùn)，確保相關(guān)人員熟悉應(yīng)急預(yù)案，并進(jìn)行應(yīng)急預(yù)案的

演練。

6.1.6物理和環(huán)境安全

物理位置選擇

物理位置選擇要求包括：

a)機(jī)房場(chǎng)地及工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析相關(guān)設(shè)備放置場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的

建筑內(nèi)；

b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施。

物理訪問控制

物理訪問控制要求包括：

a)機(jī)房場(chǎng)地及工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)相關(guān)設(shè)備放置場(chǎng)地出入口應(yīng)安排專人值守或配置電子門

禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員；

b)重要服務(wù)器、數(shù)據(jù)庫(kù)、工程師站等核心工業(yè)互聯(lián)網(wǎng)軟硬件所在區(qū)域或工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)

9

GB/TXXXXX—XXXX

宜采取視頻監(jiān)控等手段；

防盜竊和防破壞

防盜竊和防破壞要求包括：

a)應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；

b)應(yīng)將通信線纜鋪設(shè)在隱蔽安全處，可鋪設(shè)在地下或管道中；

c)主機(jī)房或重要設(shè)備區(qū)域應(yīng)安裝必要的防盜報(bào)警設(shè)置。

防雷擊

防雷擊要求包括：

a)應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過(guò)接地系統(tǒng)安全接地。

防火

防火要求包括：

a)機(jī)房及工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)相關(guān)設(shè)備放置場(chǎng)地應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)。

防水和防潮

防水和防潮要求包括：

a)應(yīng)采取措施防止雨水通過(guò)機(jī)房或場(chǎng)地窗戶、屋頂和墻壁滲透；

b)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。

防靜電

防靜電要求包括：

應(yīng)滿足GB/T22239中的相關(guān)要求。

溫濕度控制

溫濕度控制要求包括：

應(yīng)滿足GB/T22239中的相關(guān)要求。

電力供應(yīng)

電力供應(yīng)要求包括：

應(yīng)滿足GB/T22239中的相關(guān)要求。

0電磁防護(hù)

電磁防護(hù)要求包括：

應(yīng)滿足GB/T22239中0的相關(guān)要求。

增強(qiáng)級(jí)防護(hù)要求

6.2.1基礎(chǔ)設(shè)施安全防護(hù)

身份鑒別

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

10

GB/TXXXXX—XXXX

a)應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析涉及的多主體對(duì)象的身份權(quán)限進(jìn)行統(tǒng)一管理，對(duì)用戶訪問過(guò)程實(shí)行

嚴(yán)格的權(quán)限控制；

b)應(yīng)在使用口令、USB-key、智能卡、生物指紋、虹膜等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶

進(jìn)行身份認(rèn)證管理，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。

訪問控制

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)采用基于身份的策略、基于角色的策略、基于規(guī)則的策略等訪問控制策略和訪問控制列表、

訪問控制許可、密碼學(xué)等訪問執(zhí)行機(jī)制實(shí)現(xiàn)主機(jī)的用戶或用戶進(jìn)程與設(shè)備、文件、紀(jì)律、進(jìn)程、

程序、域）等對(duì)象間的訪問控制；

入侵防范

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)標(biāo)識(shí)解析相關(guān)服務(wù)器需要遠(yuǎn)程控制維護(hù)的，應(yīng)使用SSH等加密協(xié)議，采用VPN、堡壘機(jī)等遠(yuǎn)程

接入方式，不具備條件的通過(guò)具備日志記錄能力的跳板機(jī)進(jìn)行；

b)應(yīng)定期升級(jí)和更新防惡意代碼軟件版本和惡意代碼庫(kù)，更新前應(yīng)在離線環(huán)境中進(jìn)行安全性和

兼容性測(cè)試，必要時(shí)應(yīng)在離線環(huán)境中進(jìn)行安全驗(yàn)證，以保證配置變更不會(huì)影響服務(wù)器的正常運(yùn)

行；

c)應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

安全配置

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)重要主機(jī)應(yīng)使用安全性較高的身份鑒別措施對(duì)用戶進(jìn)行身份鑒別，包括不限于數(shù)字證書、動(dòng)態(tài)

口令卡等；

b)除賬戶和口令控制外，還應(yīng)采取手段限制只允許操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備管理

員從特定終端登錄進(jìn)行管理；

冗余和備份恢復(fù)安全

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；應(yīng)提供重要數(shù)

據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。

6.2.2網(wǎng)絡(luò)安全防護(hù)

架構(gòu)安全

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)避免將標(biāo)識(shí)注冊(cè)、解析業(yè)務(wù)服務(wù)器直接連接外部系統(tǒng)或網(wǎng)絡(luò)，系統(tǒng)內(nèi)各功能區(qū)域間采取可靠

的技術(shù)隔離手段；

b)依據(jù)安全域內(nèi)業(yè)務(wù)系統(tǒng)重要性，宜應(yīng)采用基于物理原理通信的隔離交換技術(shù)，保障域間數(shù)據(jù)交

換安全性；

c)系統(tǒng)應(yīng)具有過(guò)負(fù)荷保護(hù)功能，確保系統(tǒng)在過(guò)負(fù)荷時(shí)，重要業(yè)務(wù)能正常運(yùn)行。

網(wǎng)絡(luò)邊界訪問控制

11

GB/TXXXXX—XXXX

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)在標(biāo)識(shí)解析系統(tǒng)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)內(nèi)容的訪問控制。

b)應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，確保無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界防護(hù)設(shè)備進(jìn)行防護(hù)，使用無(wú)線接入認(rèn)證

技術(shù)。

網(wǎng)絡(luò)異常監(jiān)測(cè)

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)能夠?qū)ο到y(tǒng)內(nèi)部網(wǎng)絡(luò)中的用戶或網(wǎng)絡(luò)設(shè)備非授權(quán)連接到外部網(wǎng)絡(luò)或因特網(wǎng)的行為進(jìn)行限制

或檢查，并對(duì)其進(jìn)行有效阻斷。

b)應(yīng)在標(biāo)識(shí)解析系統(tǒng)與外部系統(tǒng)之間的節(jié)點(diǎn)處實(shí)施異常檢測(cè)、流量分析等手段，針對(duì)異常行為和

指令可按需實(shí)現(xiàn)報(bào)警、阻斷等功能，并保留攻擊溯源樣本；

c)應(yīng)對(duì)標(biāo)識(shí)解析系統(tǒng)進(jìn)出流量和訪問操作進(jìn)行安全審計(jì)。

網(wǎng)絡(luò)入侵防范

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)具備相應(yīng)技術(shù)能力，可以根據(jù)實(shí)際情況對(duì)特定地址/網(wǎng)段采取技術(shù)手段防止地址欺騙；

b)應(yīng)具備相應(yīng)技術(shù)能力，可以對(duì)DOS/DDOS攻擊進(jìn)行一定程度的抵御；

c)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；

安全審計(jì)

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)對(duì)分散在各個(gè)網(wǎng)絡(luò)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析；

b)應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理；

c)應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析；

d)應(yīng)對(duì)標(biāo)識(shí)業(yè)務(wù)服務(wù)情況進(jìn)行監(jiān)測(cè)，如服務(wù)解析量異常、解析狀態(tài)異常、解析時(shí)延異常等，能夠

對(duì)業(yè)務(wù)上的安全事件進(jìn)行識(shí)別、預(yù)警和分析。

6.2.3業(yè)務(wù)及應(yīng)用安全防護(hù)

身份認(rèn)證與訪問控制

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)在標(biāo)識(shí)解析系統(tǒng)邊界部署訪問控制設(shè)備，并啟用訪問控制功能，具有根據(jù)IP和端口為數(shù)據(jù)

流提供明確的允許/拒絕訪問的能力，并設(shè)置為默認(rèn)拒絕，而只根據(jù)業(yè)務(wù)需要對(duì)特定網(wǎng)段開放

訪問權(quán)限；

b)應(yīng)支持對(duì)標(biāo)識(shí)解析客戶端和用戶等的雙向身份認(rèn)證，確保訪問請(qǐng)求來(lái)自可靠的簽名證書或可

靠渠道；

c)應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在；

d)應(yīng)對(duì)重點(diǎn)標(biāo)識(shí)信息進(jìn)行特別標(biāo)記，并采取措施嚴(yán)格控制用戶對(duì)重點(diǎn)標(biāo)識(shí)信息的操作。

通信安全

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)采用高強(qiáng)度加密算法進(jìn)行數(shù)據(jù)加密，保障數(shù)據(jù)傳輸?shù)臋C(jī)密性。

應(yīng)用資源控制

12

GB/TXXXXX—XXXX

同基本級(jí)防護(hù)要求。

攻擊防范

同基本級(jí)防護(hù)要求。

應(yīng)用程序檢測(cè)

同基本級(jí)防護(hù)要求。

6.2.4數(shù)據(jù)安全防護(hù)

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)標(biāo)識(shí)解析企業(yè)應(yīng)設(shè)置數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)和備用基礎(chǔ)設(shè)施等。根

據(jù)標(biāo)識(shí)解析系統(tǒng)的災(zāi)難恢復(fù)能力等級(jí)要求確定具體的恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）

指標(biāo)，并應(yīng)按GB/T20998的有關(guān)規(guī)定編制相應(yīng)的應(yīng)急災(zāi)備策略和應(yīng)急災(zāi)備技術(shù)方案。

6.2.5安全管理

安全管理制度

除滿足基本防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。

安全管理機(jī)構(gòu)和人員

.1安全管理機(jī)構(gòu)

同基本級(jí)防護(hù)要求。

.2人員要求

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)成立指導(dǎo)和管理安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；

b)應(yīng)配備專職安全管理員，不可兼任，關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理；

c)應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息；

d)應(yīng)定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的

一致性、安全管理制度的執(zhí)行情況等；

e)應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)

果進(jìn)行通報(bào)；

f)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員；

g)應(yīng)對(duì)被錄用人員所具有的技術(shù)技能進(jìn)行考核，應(yīng)與被錄用人員簽署保密協(xié)議，與關(guān)鍵崗位人員

簽署崗位責(zé)任協(xié)議；

h)人員離崗時(shí)，應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務(wù)后方可離開；

i)應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)，應(yīng)定期對(duì)

不同崗位的人員進(jìn)行技能考核；

j)獲得系統(tǒng)訪問授權(quán)的外部人員應(yīng)簽署保密協(xié)議，不得進(jìn)行非授權(quán)操作，不得復(fù)制和泄露任何敏

感信息；對(duì)關(guān)鍵區(qū)域或關(guān)鍵系統(tǒng)不允許外部人員訪問。

安全建設(shè)管理

13

GB/TXXXXX—XXXX

.1定級(jí)

同基本級(jí)防護(hù)要求。

.2安全方案設(shè)計(jì)

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)按照標(biāo)識(shí)解析企業(yè)等級(jí)情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全

管理策略、總體建設(shè)規(guī)劃以及防護(hù)需求設(shè)計(jì)安全方案，并形成配套文件；

b)應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策

略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。

.3產(chǎn)品采購(gòu)和使用

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品候選范圍，并定期審定和更新候選產(chǎn)品名單；

b)應(yīng)對(duì)重要部位的產(chǎn)品委托專業(yè)測(cè)評(píng)單位進(jìn)行專項(xiàng)測(cè)試，根據(jù)測(cè)試結(jié)果選用產(chǎn)品。

.4軟件開發(fā)

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)制定軟件開發(fā)管理制度，明確說(shuō)明開發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；

b)應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；

c)應(yīng)確保具備軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并對(duì)文檔使用進(jìn)行控制；

d)應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)，并嚴(yán)格進(jìn)行版本控制；

e)應(yīng)確保開發(fā)人員為專職人員，開發(fā)人員的開發(fā)活動(dòng)受到控制、監(jiān)視和審查；

f)應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。

.5系統(tǒng)交付

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)安全測(cè)試報(bào)告應(yīng)包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容。

.6服務(wù)供應(yīng)商選擇

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)定期評(píng)審和審核服務(wù)供應(yīng)商提供的服務(wù)，并對(duì)其變更服務(wù)內(nèi)容加以控制；

b)應(yīng)與選定的服務(wù)供應(yīng)商簽署保密協(xié)議，要求其不得泄露客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的相關(guān)重要信息；

c)應(yīng)保證供應(yīng)商的重要變更及時(shí)傳達(dá)到客戶，并評(píng)估變更帶來(lái)的安全風(fēng)險(xiǎn)，采取有關(guān)措施對(duì)風(fēng)險(xiǎn)

進(jìn)行控制。

安全運(yùn)維管理

.1環(huán)境管理

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)對(duì)出入人員進(jìn)行相應(yīng)級(jí)別的授權(quán)，對(duì)進(jìn)入重要安全區(qū)域的人員和活動(dòng)實(shí)時(shí)監(jiān)視等；

b)應(yīng)加強(qiáng)對(duì)工業(yè)互聯(lián)網(wǎng)設(shè)備部署環(huán)境的保密性管理，包括負(fù)責(zé)檢查和維護(hù)的人員調(diào)離工作崗位

應(yīng)立即交還相關(guān)檢查工具和檢查維護(hù)記錄等。

14

GB/TXXXXX—XXXX

.2資產(chǎn)管理

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施；

b)應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理；

c)應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)，含有存儲(chǔ)介質(zhì)的設(shè)備帶出工作

環(huán)境時(shí)其中重要數(shù)據(jù)必須加密；

d)含有存儲(chǔ)介質(zhì)的設(shè)備在報(bào)廢或重用前，應(yīng)進(jìn)行完全清除或被安全覆蓋，確保該設(shè)備上的敏感數(shù)

據(jù)和授權(quán)軟件無(wú)法被恢復(fù)重用；

e)應(yīng)建立資產(chǎn)變更的申報(bào)和審批程序，依據(jù)程序控制所有的變更，記錄變更實(shí)施過(guò)程；

f)應(yīng)建立中止資產(chǎn)變更并從失敗變更中恢復(fù)的程序，明確過(guò)程控制方法和人員職責(zé)，必要時(shí)對(duì)恢

復(fù)過(guò)程進(jìn)行演練。

.3安全審計(jì)

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)能對(duì)遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶行為進(jìn)行行為審計(jì)和數(shù)據(jù)分析；

b)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷；

c)依法記錄并留存標(biāo)識(shí)注冊(cè)日志、標(biāo)識(shí)解析日志、維護(hù)日志和變更記錄，各日志留存時(shí)長(zhǎng)不少于

六個(gè)月。

.4配置管理

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)將基本配置信息改變納入變更范疇，實(shí)施對(duì)配置信息改變的控制，并及時(shí)更新基本配置信息

庫(kù)。

b)應(yīng)實(shí)現(xiàn)標(biāo)識(shí)業(yè)務(wù)系統(tǒng)、安全設(shè)備、關(guān)聯(lián)系統(tǒng)的管理員權(quán)限分離，分別設(shè)置安全管理員、系統(tǒng)管

理元、審計(jì)管理員；

.5安全事件處置

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)對(duì)造成業(yè)務(wù)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報(bào)告程序。

.6應(yīng)急工作要求

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)規(guī)定統(tǒng)一的應(yīng)急預(yù)案框架，具體包括啟動(dòng)預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后

教育和培訓(xùn)等內(nèi)容；

b)應(yīng)定期開展網(wǎng)絡(luò)安全應(yīng)急演練，檢驗(yàn)應(yīng)急預(yù)案的可操作性，并結(jié)合應(yīng)急演練結(jié)果，對(duì)應(yīng)急預(yù)案

進(jìn)行評(píng)估和適用性修訂；

c)應(yīng)在與外包運(yùn)維服務(wù)商簽訂的協(xié)議中明確所有相關(guān)的安全要求。如可能涉及對(duì)敏感信息的訪

問、處理、存儲(chǔ)要求，對(duì)基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等。

6.2.6物理和環(huán)境安全

物理位置選擇

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

15

GB/TXXXXX—XXXX

a)在機(jī)房選址及設(shè)計(jì)時(shí)，滿足GB50174-2017的相關(guān)規(guī)定；

b)確保工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析服務(wù)器及運(yùn)行關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的物理設(shè)備位于境內(nèi)。

物理訪問控制

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)對(duì)機(jī)房劃分區(qū)域并在不同區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)

渡區(qū)域。

b)應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守望的視頻監(jiān)控系統(tǒng)

防盜竊和防破壞

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。

防雷擊

同基本級(jí)防護(hù)要求。

防火

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)機(jī)房及工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)相關(guān)設(shè)備放置場(chǎng)地應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)，能

夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；

b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料。

防水和防潮

除滿足基本級(jí)防護(hù)要求之外，還應(yīng)符合以下要求：

a)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房及工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)相關(guān)設(shè)備放置場(chǎng)地進(jìn)

行防水檢測(cè)。

防靜電

應(yīng)滿足GB/T22239中的相關(guān)要求。

溫濕度控制

應(yīng)滿足GB/T22239中的相關(guān)要求。

電力供應(yīng)

電力供應(yīng)要求包括：

應(yīng)滿足GB/T22239中的相關(guān)要求。

0電磁防護(hù)

應(yīng)滿足GB/T22239中0的相關(guān)要求。。

16

GB/TXXXXX—XXXX

參考文獻(xiàn)

《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南》（試行）

《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)管理辦法》（工信部信管〔2020〕204號(hào)）

0

GB/TXXXXX—XXXX

目次

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語(yǔ)和定義.........................................................................1

術(shù)語(yǔ)和定義.....................................................................1

縮略語(yǔ).........................................................................2

4工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)范圍及內(nèi)容...........................................2

5工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)級(jí)別的確定...........................................2

6工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)要求.................................................3

基本級(jí)防護(hù)要求.................................................................3

增強(qiáng)級(jí)防護(hù)要求................................................................10

參考文獻(xiàn)..............................................................................0

I

GB/TXXXXX—XXXX

工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第3部分：標(biāo)識(shí)解析企業(yè)防護(hù)要求

1范圍

本文件規(guī)定了工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)網(wǎng)絡(luò)安全防護(hù)的范圍和內(nèi)容，規(guī)定了工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析

企業(yè)提供標(biāo)識(shí)注冊(cè)、解析及運(yùn)行維護(hù)等相關(guān)業(yè)務(wù)系統(tǒng)的不同等級(jí)的安全防護(hù)要求，包括基礎(chǔ)設(shè)施安全、

網(wǎng)絡(luò)安全、業(yè)務(wù)和應(yīng)用安全、數(shù)據(jù)安全、安全管理以及物理和環(huán)境安全。

本文件適用于工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)防護(hù)工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20988-2017信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)

GB50174-2017數(shù)據(jù)中心設(shè)計(jì)規(guī)范

GB/TXXXXX-XXXX工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第4部分：數(shù)據(jù)安全防護(hù)要求

3術(shù)語(yǔ)和定義

術(shù)語(yǔ)和定義

GB/T25069、GB/T22239界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1.1

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)AnalysissystemofindustrialInternetidentification

通過(guò)建立統(tǒng)一的標(biāo)識(shí)體系將工業(yè)中的設(shè)備、機(jī)器和物料等對(duì)象標(biāo)識(shí)映射至實(shí)際信息服務(wù)的信息系

統(tǒng)。

3.1.2

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)IndustrialInternetidentificationanalysisenterprise

指從事工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)注冊(cè)服務(wù)、解析服務(wù)及其運(yùn)行維護(hù)的機(jī)構(gòu)，包括工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析根節(jié)點(diǎn)

運(yùn)行機(jī)構(gòu)、國(guó)家頂級(jí)節(jié)點(diǎn)運(yùn)行機(jī)構(gòu)、標(biāo)識(shí)注冊(cè)管理機(jī)構(gòu)、標(biāo)識(shí)注冊(cè)服務(wù)機(jī)構(gòu)、遞歸節(jié)點(diǎn)運(yùn)行機(jī)構(gòu)等。

3.1.3

安全防護(hù)networksecurityprotection

通過(guò)技術(shù)和管理手段保護(hù)標(biāo)識(shí)解析企業(yè)相關(guān)系統(tǒng)的完整性、可靠性、保密性和可用性免受外部破壞。

3.1.4

1

GB/TXXXXX—XXXX

網(wǎng)絡(luò)安全cybersecurity

通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于

穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

[GB/T22239-2019，定義3.1]

縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

APIApplicationProgrammingInterface應(yīng)用程序接口

DDoSDistributedDenialofService分布式拒絕服務(wù)

DNSDomainNameSystem域名系統(tǒng)

DNSSECDNSSecurityExtension域名系統(tǒng)安全

NTPNetworkTimeProtocol網(wǎng)絡(luò)時(shí)間協(xié)議

E-MailE-Mail電子郵件

FTPFileTransferProtocol文件傳輸協(xié)議

HandleHandle標(biāo)碼

IPInternetProtocol互聯(lián)網(wǎng)協(xié)議

RloginRlogin是Linux下的遠(yuǎn)程登錄命令

TelnetTelnetInternet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)

議bai和主要方式

TLSTransportLayerSecurity傳輸層安全協(xié)議

TLCPTransportlayercryptography傳輸層密碼協(xié)議

protoco

4工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)范圍及內(nèi)容

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)內(nèi)容具體包括：

（1）基礎(chǔ)設(shè)施安全防護(hù)

基礎(chǔ)設(shè)施安全防護(hù)，主要包括身份鑒別、訪問控制、入侵防范、安全配置、冗余和備份恢復(fù)安全等。

（2）網(wǎng)絡(luò)安全防護(hù)

網(wǎng)絡(luò)安全防護(hù)，主要包括架構(gòu)安全、網(wǎng)絡(luò)與邊界訪問控制、異常監(jiān)測(cè)、入侵防范、安全審計(jì)等。

（3）業(yè)務(wù)和應(yīng)用安全

業(yè)務(wù)和應(yīng)用安全防護(hù)，主要包括標(biāo)識(shí)解析系統(tǒng)業(yè)務(wù)提供及應(yīng)用的身份認(rèn)證與訪問控制、協(xié)議安全、

應(yīng)用資源控制、攻擊防范、應(yīng)用程序檢測(cè)等。

（4）數(shù)據(jù)安全防護(hù)

數(shù)據(jù)安全防護(hù)，主要包括數(shù)據(jù)分級(jí)分類、數(shù)據(jù)脫敏加密、全生命周期安全防護(hù)、備份恢復(fù)等。

（5）安全管理要求

包括安全管理制度、安全建設(shè)和管理、安全運(yùn)維管理。

（6）物理和環(huán)境安全

包括物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、電磁防護(hù)等。

5工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)級(jí)別的確定

2

GB/TXXXXX—XXXX

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)按照《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)網(wǎng)絡(luò)安全定級(jí)方法》中的級(jí)別劃分，采取

不同程度的安全防護(hù)。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)的安全防護(hù)分為基本級(jí)防護(hù)和增強(qiáng)級(jí)防護(hù)兩個(gè)級(jí)別：

三級(jí)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)應(yīng)采取增強(qiáng)級(jí)防護(hù)措施。

二級(jí)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)應(yīng)采取基本級(jí)防護(hù)措施。

一級(jí)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)宜參照基本級(jí)防護(hù)要求根據(jù)自身情況，自主落實(shí)安全防護(hù)措施。

6工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)要求

基本級(jí)防護(hù)要求

6.1.1基礎(chǔ)設(shè)施安全防護(hù)

身份鑒別

身份鑒別安全要求包括：

a)應(yīng)對(duì)登錄標(biāo)識(shí)解析相關(guān)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯

一性；

b)通過(guò)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理賬戶的口令應(yīng)有復(fù)雜度要求，并定期更換；

c)系統(tǒng)應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和登錄連接超時(shí)自

動(dòng)退出等相關(guān)措施。

訪問控制

訪問控制安全要求包括：

a)應(yīng)對(duì)標(biāo)