GB/T39403—2020

以消除與降低安全隱惠。針對不同目標系統(tǒng)，平 臺可通過打補丁、修改安全配置、增加安全機制等方法，加強安全性 盡可能避免安全風(fēng)險的發(fā)生，平臺應(yīng)將周期性 主的評估和加固工作相結(jié)合

管道標準規(guī)范范本7.1.2.2 安全鏡像

鏡像服務(wù)應(yīng)保證安全的應(yīng)用鏡像托管能力，精確的鏡像安全掃描功能，穩(wěn)定的內(nèi)外鏡像構(gòu)建服務(wù)， 便捷的鏡像授權(quán)功能，進行鏡像全生命周期管理。 平臺采用容器化部署，容器是基于鏡像構(gòu)建的。鏡像安全直接決定了容器安全。 平臺安全鏡像構(gòu)建包括代碼編譯、文件提取、打包鏡像。應(yīng)將編譯和打包分離，以產(chǎn)生安全、精巧 不含源代碼的生產(chǎn)級別鏡像。 平臺應(yīng)對虛擬機鏡像文件進行完整性校驗，確保不被篡改

快照在主機備份時廣泛采用，通常都是基于卷，在塊（block）級別進行處理。 平臺應(yīng)提供多種快照方式。可包括： a）即寫即拷快照（指針型快照），占用空間小，對系統(tǒng)性能影響較小，但如果沒有備份而原數(shù)據(jù)盤 損壞，數(shù)據(jù)就無法恢復(fù)了； b）分割鏡像快照（鏡像型快照），即主機當時數(shù)據(jù)的全鏡像，要占用到相等容量的空間，會對系統(tǒng) 性能造成一定負荷，但即使原數(shù)據(jù)損壞也不會有太大影響

7.1.2.4 主機審計

安全審計應(yīng)符合以下要求： a）審計范圍應(yīng)覆蓋到服務(wù)器上的每個用戶； b 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等重要的安全相 關(guān)事件； 審計記錄應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等； d) 保護審計記錄，避免其在有效期內(nèi)受到非授權(quán)的訪問、篡改覆蓋或刪除等； 應(yīng)支持按用戶需求提供與其相關(guān)的審計信息及分析報告； 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表； 8 應(yīng)保護審計進程，避免受到未預(yù)期的中斷； h) 應(yīng)能匯聚服務(wù)范圍內(nèi)的審計數(shù)據(jù)，支持第三方

7.13.1虛擬防火墻

將一臺物理防火墻在邏輯上劃分成多個虛擬的防火墻，從用戶的角度來說每個虛擬防火墻系統(tǒng)都 可以被看成是一臺完全獨立的防火墻設(shè)備，擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認證數(shù)據(jù)庫 等。應(yīng)做到： a）實現(xiàn)防火墻的二層、三層（路由十NAT)轉(zhuǎn)發(fā)、ACL控制、安全檢測功能； b）每個虛擬防火墻系統(tǒng)之間相互獨立，不可直接相互通信：

c）支持許可（License）控制的虛擬防火墻個數(shù)的擴展

Z.1.3.2 虛擬 IPS

虛擬IPS應(yīng)監(jiān)控虛擬系統(tǒng)網(wǎng)絡(luò)流量。 平臺應(yīng)在虛擬設(shè)備中部署IDS和IPS,提供虛擬機之間、虛擬和物理網(wǎng)絡(luò)之間的流量監(jiān)控

7.1.3.3虛擬主機隔離

虛擬化平臺主機應(yīng)隔離： 應(yīng)保證每個虛擬機能獲得相對獨立的物理資源，并能屏蔽虛擬資源故障，確保某個虛擬機崩潰 后不影響虛擬機監(jiān)控器及其他虛擬機； 應(yīng)保證不同虛擬機之間的CPU指令隔離； C 應(yīng)保證不同虛擬機之間的內(nèi)存隔離，內(nèi)存被釋放或再分配給其他虛擬機前得到完全釋放： 應(yīng)保證虛擬機只能訪問分配給該虛擬機的存儲空間（包括內(nèi)存空間和磁盤空間）

7.1.4物理環(huán)境安全要求

7.1.4.1機房位置

機房位置發(fā)生自然災(zāi)害的概率和頻率（洪水、颶風(fēng)、龍卷風(fēng)等）較低。機房環(huán)境除滿足計算機設(shè)備對 溫度、濕度和空氣潔凈度、供電電源的質(zhì)量（電壓、頻率和穩(wěn)定性等）、接地地線、電磁場和震動等條件的 技術(shù)要求外，還應(yīng)滿足在機房中工作的人員對照明度、空氣的新鮮度和流動速度、噪聲的要求。 機房位置選擇應(yīng)符合GB50174一2017中4.1的要求

應(yīng)配置火災(zāi)報警裝置，在機房內(nèi)、基本工作房間內(nèi)、活動地板下、吊頂里、主要空調(diào)管道中易燃物 位應(yīng)設(shè)置煙、溫感探測器。 應(yīng)配置鹵代烷1211或1301滅火器，

機房接地形式為機房專用 地極.接地電阻小于12。 機房配電系統(tǒng)的交流工作地、安全保持 充物本體綜合接地（其電阻小于4Q）

GB/T39403—2020

滿足GB50174—2017中環(huán)境要求中溫濕度要求。 主機房的環(huán)境溫度、相對濕度要求： a）溫度：5℃～45℃； b）相對濕度：8%～80%； c）溫度變化率：<5℃/h(不得結(jié)露）

滿足GB50174一2017中環(huán)境要求中溫濕度要求。 主機房的環(huán)境溫度、相對濕度要求： a）溫度：5℃~45℃； b）相對濕度：8%～80%； c）溫度變化率：<5℃/h（不得結(jié)露）

計算機機房應(yīng)裝設(shè)監(jiān)控系統(tǒng)，實行24小時值班制度，出人口應(yīng)安裝防盜安全門，窗戶應(yīng)安裝金屬防 護裝置。 可監(jiān)控物理環(huán)境的入口，并在入口設(shè)置門禁，門禁能夠自動記錄日志，管理人員能夠查看、審計門禁 記錄。

7.1.4.7 電力安全

7.2PAAS層安全防護要求

7.2.1工業(yè)數(shù)據(jù)接入及管理安全

7.2.1.1工業(yè)數(shù)據(jù)加密

月戶信息、訂單信息等重要工業(yè)數(shù)據(jù)實施加密存儲

2.1.2敏感工業(yè)數(shù)據(jù)保護

7.2.1.3工業(yè)數(shù)據(jù)備份

應(yīng)提供工業(yè)數(shù)據(jù)本地備份及恢復(fù)功能，全部工業(yè)數(shù)據(jù)每周備份一次，新增工業(yè)數(shù)據(jù)應(yīng)每天名 次。

GB/T39403—2020

GB/T39403—2020

7.2.2統(tǒng)一運行環(huán)境安全

7.2.2.1登錄認證

登錄認證的要求應(yīng)包含以下內(nèi)容： a 對存儲用戶個人信息及用戶服務(wù)信息的業(yè)務(wù)，應(yīng)對用戶實施身份認證； b 提供登錄功能的開發(fā)環(huán)境應(yīng)啟用登錄失敗處理功能，比如采取結(jié)束會話、限制非法登錄次數(shù)及 自動退出等方法； 提供登錄功能的開發(fā)環(huán)境應(yīng)啟用用戶身份唯一性檢查功能，確保用戶身份標識不重復(fù)，并啟用 用戶認證信息復(fù)雜度功能檢查，防止身份認證信息被輕易冒用； d）應(yīng)對用戶賬號及口令信息實施加密存儲。

7.2.2.2 訪問控制

訪問控制的要求應(yīng)包含以下內(nèi)容： a） 應(yīng)配置用戶訪問控制策略，嚴格限制默認用戶的訪問權(quán)限； 應(yīng)限制用戶的訪問權(quán)限，根據(jù)業(yè)務(wù)需要配置用戶所需的最小權(quán)限，嚴格按策略要求控制用戶訪 問業(yè)務(wù)、數(shù)據(jù)和網(wǎng)絡(luò)資源等； C）用戶與開發(fā)環(huán)境的通信雙方中任何一方超出一定時間無響應(yīng)時，另一方應(yīng)自動結(jié)束會話

7.2.2.3服務(wù)接入安全

服務(wù)接人安全的要求應(yīng)包含以下內(nèi)容： a）應(yīng)對外部組件接人接口采取安全管控措施，通過接口代碼審計、黑白名單等控制措施保證接口 協(xié)議操作交互符合接口規(guī)范；

7.2.2.4應(yīng)用接入安全

應(yīng)用接入安全的要求應(yīng)包含以下內(nèi)容： a）對應(yīng)用接入的開放接口調(diào)用應(yīng)采取認證措施； b）通過開放接口生成的業(yè)務(wù)應(yīng)用和應(yīng)用程序在用戶下載之前應(yīng)進行安全檢測； c）應(yīng)制定應(yīng)用接人開放接口的管理機制及網(wǎng)絡(luò)安全應(yīng)急管理制度

7.2.2.5容器隔離

7.2.2.6多租戶隔離

多租戶隔離應(yīng)包含以下內(nèi)容： a）系統(tǒng)本身元數(shù)據(jù)和基礎(chǔ)數(shù)據(jù)的隔離（用戶、角色、權(quán)限、數(shù)據(jù)字典、流程模板）； b） 系統(tǒng)運行過程中產(chǎn)生的動態(tài)數(shù)據(jù)的隔離； ）業(yè)務(wù)系統(tǒng)所涉及的計算資源和存儲資源的隔離

7.2.2.7且志審計

日志審計的要求如下： a）應(yīng)對每個用戶的關(guān)鍵操作進行審計； SZC

日志審計的要求如下： a）應(yīng)對每個用戶的關(guān)鍵操作進行審計：

GB/T 39403—2020

b）審計內(nèi)容應(yīng)包含用戶的重要行為、資源使用及重要操作命令等安全相關(guān)事件； 審計記錄應(yīng)包括事件的日期、時間、類型、描述和結(jié)果等，并按相關(guān)法律法規(guī)要求保留一定 期限； d） 應(yīng)對審計記錄進行安全保護，保證審計記錄在有效期內(nèi)不會受到非授權(quán)的訪問、篡改、覆蓋及 刪除等操作： e 應(yīng)能按需求提供與用戶相關(guān)的審計信息和審計分析報告

7.2.3工業(yè)模型及算法安全

7.2.3.1模型及算法接入安全

模型及算法接人安全的要求如下： a）應(yīng)對使用模型及算法的用戶進行認證，針對不同接人方式的模型及算法用戶，應(yīng)采用不同的認 證方式進行認證； b）需要檢查用戶使用模型及算法的合法性及有效性

7.2.3.2模型及算法訪問控制

模型及算法訪問控制的要求如下： 應(yīng)對授權(quán)主體配置訪問控制策略，并嚴格限制默認用戶的訪問權(quán)限； b） 應(yīng)嚴格限制各用戶的訪問權(quán)限，按安全策略要求控制用戶對模型及算法的訪問； C 應(yīng)周期性檢查用戶操作模型及算法的情況，統(tǒng)一管理模型及算法使用權(quán)限； d) 如需將收集到的信息共享給第三方應(yīng)用，應(yīng)對信息進行脫敏處理，嚴格保護用戶隱私不被 泄露。

7.2.3.3模型及算法流量控制

7.2.3.4模型及算法存儲安全

7.3SAAS層安全防護要求

7.3.1應(yīng)用漏洞及異常檢測

應(yīng)用漏洞及異常檢測的要求如下： a）應(yīng)能檢測和避免存在常見的網(wǎng)絡(luò)漏洞（Web漏洞），比如SQL注入、跨站腳本、跨站請求偽 造等； b） 應(yīng)能檢測掛馬、暗鏈等網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)（Web業(yè)務(wù)系統(tǒng)）入侵事件，并能進行應(yīng)急處理； 應(yīng)能檢測和避免Web業(yè)務(wù)系統(tǒng)域名、訪問鏈路的異常、訪問延遲、解析錯誤等情況，并能進行 應(yīng)急處理。

GB/T39403—2020

7.3.2應(yīng)用邏輯安全

7.3.2.1用戶身份認證

身份認證的要求如下： a） 應(yīng)對用戶進行身份標識和認證，并保證用戶身份標識的唯一性； b 應(yīng)提供并啟用用戶登錄口令復(fù)雜度檢查功能，保證身份信息不易被冒用； 應(yīng)提供并啟用登錄失敗處理功能，能采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施 應(yīng)對用戶的登錄口令信息進行加密存儲

7.3.2.2訪問控制

7.3.3應(yīng)用安全審計

應(yīng)用安全審計的要求如下： 應(yīng)對用戶在業(yè)務(wù)應(yīng)用中的重要行為、關(guān)鍵操作、資源使用情況等重要安全事件進行審計； 審計記錄應(yīng)包括事件的日期、時間、類型、描述和結(jié)果等，并按相關(guān)法律法規(guī)要求保留一定 期限； 應(yīng)對審計記錄進行安全保護，保證審計記錄在有效期內(nèi)受到非授權(quán)的訪問、篡改、覆蓋及刪除 等操作； d）應(yīng)定期對審計日志進行人工審計； e）應(yīng)能按需求提供與用戶相關(guān)的審計 和審計分析報告

7.3.4后臺系統(tǒng)安全

7.3.4. 1輸入驗證

輸入驗證的要求如下： a）應(yīng)對文件路徑、URL地址等輸入數(shù)據(jù)做安全驗證，并盡量使用白名單驗證方法； b）應(yīng)在服務(wù)器端進行輸人驗證，避免客戶端輸人驗證被繞過； c）關(guān)鍵參數(shù)應(yīng)直接從服務(wù)器端提取，避免從客戶端輸人，防止關(guān)鍵參數(shù)被算改

7.3.4.2后臺系統(tǒng)身份認證

身份認證的要求如下： a）應(yīng)采用SSL/TLS加密隧道確保用戶密碼的傳輸安全，禁止明文傳輸用戶密碼； b） 應(yīng)采用單向散列值在數(shù)據(jù)庫中存儲用戶密碼，降低存儲的用戶密碼被字典攻擊的風(fēng)險 數(shù)據(jù)庫或文件系統(tǒng)中明文存儲用戶密碼：

GB/T39403—2020

7.3.4.3會話管理

會話管理的要求如下 應(yīng)確保會話的安全創(chuàng)建。在用戶認證成功后，應(yīng)為用戶創(chuàng)建新的會話并釋放原有會話；創(chuàng)建的 會話標識應(yīng)滿足隨機性和長度要求，避免被攻擊者猜測；會話與IP地址可綁定，降低會話被盜 用的風(fēng)險。 D） 應(yīng)確保會話數(shù)據(jù)的存儲安全。用戶登錄成功后所生成的會話數(shù)據(jù)應(yīng)存儲在服務(wù)器端，并確保 會話數(shù)據(jù)不能被非法訪同；當更新會話數(shù)據(jù)時，要對數(shù)據(jù)進行嚴格的輸入驗證，避免會話數(shù)據(jù) 被非法篡改 c）應(yīng)確保會話數(shù)據(jù)的傳輸安全，防止泄露會話標識。 d）應(yīng)確保會話的安全終止。當用戶登錄成功并成功創(chuàng)建會話后，應(yīng)在網(wǎng)絡(luò)應(yīng)用系統(tǒng)（Web應(yīng)用 系統(tǒng)）的各個頁面提供用戶登出功能，登出時應(yīng)及時刪除服務(wù)器端的會話數(shù)據(jù)；當處于登錄狀 態(tài)的用戶直接關(guān)閉瀏覽器時，需要提示用戶執(zhí)行安全登出或者自動為用戶完成登出過程，從而 安全地終止本次會話。 e）應(yīng)設(shè)置合理的會話超時閾值，在合理范圍內(nèi)盡可能減小會話超時閾值，可以降低會話被劫持和 重復(fù)攻擊的風(fēng)險，超過會話超時值后立刻銷毀會話，清除會話的信息 應(yīng)限制會話并發(fā)連接數(shù)快遞標準，限制同一用戶的會話并發(fā)連接數(shù)，避免惡意用戶創(chuàng)建多個并發(fā)的會話 來消耗系統(tǒng)資源，影響業(yè)務(wù)的可用性。 在涉及關(guān)鍵業(yè)務(wù)操作的網(wǎng)絡(luò)頁面（Web頁面），應(yīng)為當前Web頁面生成一次性隨機令牌，作為 主會話標識的補充。在執(zhí)行關(guān)鍵業(yè)務(wù)前，應(yīng)確保用戶提交的一次性隨機令牌與服務(wù)器端保存 的一次性隨機令牌匹配，以避免跨站請求偽造等攻擊

7.3.4.4數(shù)據(jù)存儲

數(shù)據(jù)存儲的要求如下： a）對于不同類別的數(shù)據(jù)，比如日志記錄和業(yè)務(wù)數(shù)據(jù)，應(yīng)采取相應(yīng)的隔離措施和安全保護措施； b）禁止在客戶端本地存儲用戶敏感數(shù)據(jù)，如用戶密碼、身份信息等； c）應(yīng)避免在代碼中硬編碼密碼（即在代碼中直接嵌人密碼，會導(dǎo)致密碼修改困難，甚至密碼的泄 露），可從配置文件載入密碼； d） 在配置文件中禁止明文存儲數(shù)據(jù)庫連接密碼、FTP服務(wù)密碼、主機密碼、外部系統(tǒng)接口認證密 碼等。

水利施工組織設(shè)計 GB/T39403—2020

7.3.4.5數(shù)據(jù)傳輸

應(yīng)確保通信信道的安全，在客戶端與網(wǎng)絡(luò)服務(wù)器（Web服務(wù)器）之間使用并正確配置SSL/TLS，應(yīng) 使用SSL3.0/TLS1.0以上版本，對稱加密密鑰長度不少于128位，非對稱加密密鑰長度不少于1024 位，單向散列值位數(shù)不小于128位，