标准规范下载简介
JT/T 1417-2022 交通运输行业网络安全等级保护基本要求.pdf8. 1. 6.2 管理制度
8.1.6.3制定和发布
制定和发布要求应包括: a 指定或授权专门的部门或人员负责安全管理制度的制定; b)安全管理制度通过正式、有效的方式发布,并进行版本控制。 『来源GB/T22239—2019.8.1.6.3]
GBT 20801.3-2020 压力管道规范 工业管道 第3部分:设计和计算.pdf8.1.6.4评审和修订
8.1.7 安全管理机构
8. 1.7.1 岗位设置
8.1.7.2 人员配备
人员配备要求应包括: a) 配备一定数量的系统管理员、审计管理员和安全管理员等,应至少配备安全管理员、审计管理 员和系统管理员各1名; 配备专职安全管理员,不应兼任,专职安全管理员宜具有网络安全专业认证资质,如网络安全 行业认证、国家注册信息安全专业人员、信息安全工程师、信息安全从业保障人员等。
8.1.7.3授权和审批
授权和审批要求应包括: 根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; D 针对系统变更、重要操作、物理访问和系统接人等事项建立审批程序,按照审批程序执行审批 过程,对重要活动建立逐级审批制度; c)至少每年开展一次审查审批事项,及时更新需授权和审批的项且、审批部门和审批人等信息。
8.1.7.4沟通和合作
8.1.7.5审核和检查
审核和检查要求应包括: a) 至少每6个月进行一次常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份 等情况; b) 至少每年进行一次全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安 全策略的一致性、安全管理制度的执行情况等; 制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果 进行通报。
8.1.8 安全管理人员
8.1.8.1人员录用
人员录用要求应包括: 56
人员录用要求应包括:
a 指定或授权专门的部门或人员负责人员录用; b 对被录用人员的身份、安全背景、专业资格等进行审查,对其所具有的技术技能进行考核; 与被录用人员签署保密协议,与安全管理员、系统管理员、网络管理员、数据管理员、安全审计 员签署岗位责任协议。
8. 1. 8.2 人员离岗
人员离岗要求应包括: a 及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等,以及机构提供的软硬 件设备; b)办理严格的调离手续,并承诺调离后的保密义务后方可离开。 [来源:GB/T 22239—2019,8.1.8.2]
8.1.8.3安全意识教育和培训
安全意识教育和培训要求应包括: a)对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施,每年至 少开展一次网络安全宣传教育培训; b 针对不同岗位制订不同的培训计划,对安全基础知识、岗位操作规程等进行培训: 至少每年对重要岗位的人员进行一次技能考核
8.1.8.4外部人员访问管理
外部人员访问管理要求应包括: 在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; 在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并 登记备案,宜采用具有集中账户登录、集中权限管理和安全审计记录的技术措施; 外部人员离场后及时清除其所有的访问权限; d 获得系统访问授权的外部人员签署保密协议,不准许进行非授权操作,不准许复制和泄露任 何敏感信息。
8.1.9 安全建设管理
8.1.9.1定级和备案
定级和备案要求包括: 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; b) 应对定级结果的合理性和正确性进行论证和审定; 有上级主管部门的,拟报公安机关备案的等级保护定级结果,应经上级主管部门同意; d 网络初步定级结果经主管部门审核通过后30日内,应由网络主管单位组织建设单位向公安 机关备案。
8.1.9.2安全方案设计
安全方案设计要求应包括: a)根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; b 根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划、安全方案设 计和密码应用保障方案设计,并形成配套文件;
方案及其配套文件的合理性和正确性进行论 证和审定,经过行业网络安全主管部门
8.1.9.3产品采购和使用
产品采购和使用要求应包括: a)采购和使用合格的网络安全产品; b)采购和使用合格的密码产品与服务; c)预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
8.1.9.4自行软件开发
自行软件开发要求应包括: 将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; 制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; c) 制定代码编写安全规范,要求开发人员参照规范编写代码; d): 具备软件设计的相关文档和使用指南,并对文档使用进行控制; e) 保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测; 对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制; g) 保证开发人员为专职人员,开发人员的开发活动受到控制、监视和审查; h) 采取保护措施,不准许在互联网中进行代码托管和共享,防止源代码泄露或非授权访间; 1 ) 对应用开发过程中所引入的第三方的代码、控件、组件、库文件和应用产品等进行登记及版本 管理,
8.1.9.5外包软件开发
外包软件开发要求应包括: a)在软件交付前检测其中可能存在的恶意代码; b) 保证开发单位提供软件设计文档和使用指南: 保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽通道,必要时可要求开 发单位提供第三方软件测试报告(含信息安全性)和代码安全审计报告; d) 采取保护措施,防止源代码泄露或非授权访问; e) 对应用开发过程中所引入的第三方的代码、控件、组件、库文件和应用产品等进行登记及版本 管理。
8.1.9. 6 工程实施
工程实施要求应包括: a) 指定或授权专门的部门或人员负责工程实施过程的管理; JT b) 制定安全工程实施方案控制工程实施过程; 通过第三方工程监理控制项目的实施过程。 『来源:GB/T22239—2019,8.1.9.6]
8.1. 9.7测试验收
测试验收要求应包括: a)制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; b)进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应
来源:GB/T22239—2019.8.1.9.7
8. 1. 9. 8 系统交付
系统交付要求应包括: a)制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b)对负责运行维护的技术人员进行相应的技能培训; c)提供建设过程文档和运行维护文档。 『来源:GB/T 222392019.8.1.9.8
8.1.9.9等级测评
等级测评要求应包括: a 至少每年进行一次等级测评,发现不符合相应等级保护标准要求的及时整改: D 在发生重大变更或级别发生变化时进行等级测评; C 选择合格的等级保护测评机构,宜选择具有行业系统等级保护测评实施案例的测评机构。
8.1.9.10服务供应商选择
服务供应商选择要求应包括: a) 选择合格的服务供应商; 与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务; C 定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。
8.1.10安全运维管理
8.1.10.1环境管理
环境管理要求应包括: a) 指定专门的部门或人员负责机房安全,对机房出人进行管理,至少每3个月对机房供配电、空 调、温湿度控制、消防等设施进行一次维护管理; b 建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理做出规定; )不在重要区域接待来访人员不随意放置含有敏感信息的纸档文件和移动介质等
8.1. 10.2 资产管理
资产管理要求应包括: a)编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; b) 根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; c)对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理。 [来源GB/T 222392019,8.1.10.2]
8.1.10.3介质管理
介质管理要求应包括: a) 将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据 档介质的目录清单定期盘点; b) 对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询 进行登记记录。 来源:GB/T22239—2019.8.1.10.3]
8.1.10.4设备维护管理
设备维护管理要求包括: 应对各种设备(包括备份和元余设备)、线路等指定专门的部门或人员定期进行维护管理; b) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员 的责任、维修和服务的审批、维修过程的监督控制等; c 信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时, 其中重要数据应加密; d) 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感 数据和授权软件无法被恢复重用。 『来源.GB/T 22239—2019.8.1.10.41
8.1.10.5漏洞和风险
漏洞和风险管理要求应包括: a) 采取漏洞扫描、风险评估、渗透测试或攻击性测试等措施识别安全漏洞和隐患,对发现的安全 漏洞和隐患及时进行修补或评估可能的影响后进行修补; D 至少每年开展一次安全测评,形成安全测评报告,采取措施应对发现的安全问题和风险。
8.1.10.6网络和系统安全管理
网络和系统安全管理要求应包括: 划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限: 指定专门的部门或人员进行账户管理,对申请账户、建立账户、册删除账户等进行控制; c) 建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级 与打补丁、口令更新周期等方面做出规定; d) 制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等: e) 详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容,宜通 过技术措施实现运维操作日志详细记录; 指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为; g) 严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中 应保留不可更改的审计日志,操作结束后应同步更新配置信息库,宜通过技未措施实现变更 性运维控制; h) 严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的 审计日志,操作结束后应删除工具中的敏感数据,宜通过技术措施实现对控制运维工具 管控; i) 严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不 可更改的审计日志,操作结束后立即关闭接口或通道,宜通过技术措施实现对远程维护的 管控; J) 保证所有与外部的连接均得到授权和批准,应至少每年检查一次违反规定无线上网及其他违 反网络安全策略的行为。
8. 1. 10.7 恶意代码防范管理
等,不准许已被感染病毒或木马的外来计算机或存储设备接入网络; b 对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码 的每周查杀等; 至少每周检查一次恶意代码库的升级情况,对截获的恶意代码进行及时分析处理; d 至少每6个月验证一次防范恶意代码攻击的技术措施的有效性
8.1.10.8配置管理
配置管理要求应包括: a) 记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和 补丁信息、各个设备或软件组件的配置参数等; b) 将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信 息库。 「来源:GB/T22239—2019.8.1.10.8
8.1.10.9密码管理
家密码管理主管部门认证核准的密码技术和产品
8.1.10.10变更管理
变更管理要求应包括: 明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施: D 建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程; C 建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过 程进行演练。 [来源;GB/T 22239—2019,8.1.10.10]
8.1.10.11备份与恢复管理
备份与恢复管理要求应包括: 识别需要定期备份的重要业务信息、系统数据及软件系统等; b 规定备份信息的备份方式、备份频度、存储介质、保存期等; C 根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和 恢复程序等。 『来源GB/T22239—2019.8.1.10.11]
8.1.10.13应急预案管理
8.1.10.14外包运维管理
外包运维管理要求应包括: a) 确保外包运维服务商的选择符合国家的有关规定; b 与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容; c 保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工 作的能力,并将能力要求在签订的协议中明确; d) 在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访 问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。 『来源:GB/T22239—2019.8.1.10.14]
8.2云计算安全扩展要求
8.2.1.1安全物理环境
基础环境位置:应保证云计算基础设施,包括但不限于服务器、存储组件、网络组件及其他物理资 于中国境内
8.2.1.2 安全通信网络
网络架构要求包括: a)不应承载安全保护等级高于第三级安全要求的业务应用系统; 应实现不同云服务客户虚拟网络之间的隔离: C 应具有根据云服务客户业务需求提供通信传输、边界防护、人侵防范等安全机制的能力,如提 供VPN等加密传输设施实现安全通信传输,提供安全组或防火墙等访问控制设施实现边界防 护,提供人侵保护或Web防火墙等人侵保护设施实现人侵防范; d) 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组 件、配置安全策略; e) 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台中 选择第三方安全服务。
8.2.1.3安全区域边界
8.2. 1.3. 1访问控制
访问控制要求包括: a)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则; b)应在不同等级的网络区域边界部署访问控制机制.设置访问控制规则:
8.2.1.3.2入侵防范
入侵防范要求应包括: a 能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等,宜通 过在云服务客户访问路径采用具有人侵检测功能的系统或工具实现; b 能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; 能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量; d 在检测到网络攻击行为、异常流量时进行告警
8.2. 1.3.3 安全审计
安全审计要求应包括: a)对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚 拟机重启; b 保证云服务商对云服务客户系统和数据的操作可被云服务客户审计,宜采用具有操作行为记 录功能的系统或工具,记录云服务商对云服务客户系统和数据的操作,并实时传送到云服务 客户指定位置留存,宜采用国家密码管理部门认可的密码技术保证审计记录的完整性。
8.2.1.4安全计算环境
8.2. 1.4.1 身份鉴别
当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。 来源GB/T22239—2019,8.2.4.1
当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。 来源GB/T22239—2019.8.2.4.1
8.2. 1.4.2 访问控制
访问控制要求应包括: a)保证当虚拟机迁移时,访问控制策略随其迁移; b)支持云服务客户设置不同虚拟机之间的访问控制策略。 来源:GB/T22239—2019,8.2.4.2
8.2. 1.4.3入侵防范
8.2.1.4.4镜像和快照保护
镜像和快照保护要求包括: a)应提供安全加固的操作系统或操作系统安全加固服务; b) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改; C) 应采用密码技术或其他技术防止虚拟机镜像、快照中可能存在的敏感资源被三 d)私有云应提供虚拟机自动快照功能和恢复功能
8.2.1.4.5数据完整性和数据保密性
数据完整性和数据保密性要求包括: a) 云服务客户数据、用户个人信息等应存储于中国境内,数据、用户个人信息等出境管理见《中 华人民共和国网络安全法》《交通运输部网络安全管理办法》等法律法规的有关规定: b 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限,宜 采用由云服务客户掌握管理权限的数据加密工具实现; 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到 破坏时采取必要的恢复措施; d 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程
8.2.1.4.6数据备份与恢复
数据备份与恢复要求应包括: a) 提供查询云服务客户数据及备份存储位置的能力; 云服务商的云存储服务保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保 持一致; c 为云服务客户将业务系统及数据迁移到其他云平台和本地系统提供技术手段,并协助完成迁 移过程。
8.2.1.4.7剩余信息保护
剩余信息保护要求包括: a)应保证虚拟机所使用的内存和存储空间回收时得到完全的清除; b)云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。 来源:GB/T222392019.8.2.4.7
8.2.1.5安全管理中心
集中管控要求应包括: a) 对物理资源和虚拟资源按照策略做统一管理调度与分配; b) 保证云计算平台管理流量与云服务客户业务流量分离; c) 根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计: 根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟 d 化安全设备等的运行状况的集中监测,监控内容包括但不限于CPU使用率、内存,以及带宽 和存储的使用情况,
8.2.1.6安全建设管理
8.2.1.7 安全运维管理
8.2.1.7安全运维管理
8.2.1.7.1应急预案管理
云服务商或云计算平台运维方应至少每年进行一次应急演练,并配合云服务客
8.2.1.7.2备份与恢复管理
备份与恢复管理要求包括: a 云服务商以及云计算平台运维方应至少每6个月检查一次云计算平台中各类文件的完整性以 及云计算平台及附属设施配置的完整性,备份数据应异地保存; b 云服务商应针对承载关键业务应用系统的云计算平台制订灾难恢复计划,并为云服务客户提 供支持。
8.2.1.7.3云环境运维管理
云计算平台的运维地点应位于口 平台实施运维操作管理见《中华人
8.2.2.1 安全物理环境
8.2.2.2安全通信网络
网络架构要求应包括: 日 选择安全保护等级不低于第三级安全要求的云计算平台; b) 根据业务需求配置通信传输、边界防护、人侵防范等安全功能,如配置VPN等加密传输设施实 现安全通信传输,配置安全组或防火墙等访问控制设施实现边界防护,配置人侵保护或Web 防火墙等入侵保护设施实现入侵防范; 根据业务需求设置安全策略,包括定义访问路径、选择安全组件和配置安全策略等 d) 选择提供开放接口或开放性安全服务的云计算平台,允许接人第三方安全产品或在云计算平 台中选择第三方安全服务。
8.2.2.3安全区域边界
8.2.2.3.1访问控制
访问控制要求应包括: a)在虚拟化网络边界部署访问控制机制,并设置访问控制规则; b)在不同等级的网络区域边界部署访问控制机制,设置访问控制规则 来源:GB/T22239—2019.8.2.3.11
8.2.2.3.2入侵防范
入侵防范要求应包括: a) 能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; b) 能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量; c)在检测到网络攻击行为、异常流量时能够接收到告警信息。
8.2.2.3.3安全审计
安全审计要求应包括:
a)对云服务客户在远程 包括虚拟机删除、虚拟机重启 b)保证云服务商对云服 服务客户审计
8.2.2.4 安全计算环境
8.2.2.4.1身份鉴别
当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。
当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。 来源.GB/T222392019.8.2.4.1
8.2.2.4.2入侵防范
应能够检测恶意代码感染及在虚拟机之间蔓延的情况,并进行告警。 [来源:GB/T22239—2019,8.2.4.3
8.2.2.4.3数据完整性和数据保密性
数据完整性和数据保密性要求包括: 云服务客户数据、用户个人信息等应存储于中国境内,数据、用户个人信息等出境管理见《中 华人民共和国网络安全法》《交通运输部网络安全管理办法》等法律法规的有关规定; D 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限,宜 通过部署密钥管理解决方案实现。
8.2.2.4.4数据备份与恢复
数据备份与恢复要求包括: a)云服务客户应在本地保存业务数据的备份; b) 应至少每6个月检查一次数据和备份存储位置情况。 .2.2.5安全管理中心 集中管控要求应包括: a) 对物理资源和虚拟资源按照策略做统一管理调度与分配; b) 根据职责划分,收集审计数据并实现集中审计; c) 根据职责划分,实现对云服务客户控制部分的设备及服务的运行状况的集中监测,监控内容 与途不间工质用密市专典金动专能的质用建治
数据备份与恢复要求包括: a)云服务客户应在本地保存业务数据的备份; b)应至少每6个月检查一次数据和备份存储位置情况。
8.2.2.5安全管理中心
集中管控要求应包括: a) 对物理资源和虚拟资源按照策略做统一管理调度与分配; b 根据职责划分,收集审计数据并实现集中审计; c 根据职责划分,实现对云服务客户控制部分的设备及服务的运行状况的集中监测,监控内容 包括但不限于CPU使用率、内存,以及带宽和存储的使用情况
8.2.2.6 安全建设管理
8.2.2.6.1云服务商选择
云服务商选择要求应包括: a): 选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等 级的安全保护能力,宜选择通过第三方机构安全审查的云服务商; D 在服务水平协议中约定云服务的各项服务内容和具体技术指标; c) 在服务水平协议中约定云服务商的权限与责任,包括管理范围、职责划分、访间授权、隐私保 护、行为准则、违约责任等; d) 在服务水平协议中约定服务合约到期时,云服务商应完整提供云服务客户数据,并承诺相关 数据在云计算平台上清除; e) 与选定的云服务商签署保密协议,约定其不准许泄露云服务客户数据。
8.2.2.6.2供应链管理
8.3移动互联安全扩展要求
8.3.1安全物理环境
无线接入点的物理位置:应为无线接人设备的安装选择合理位置,避免过度覆盖和电磁干扰。 来源:GB/T22239—2019,8.3.1.1
8.3.2安全区域边界
8.3.2.1边界防护
8.3.2.2 访问控制
无线接入设备应开后接入认证功能,并支持采用认证服务器认证或国家密码管理机构批 模块进行认证。 [来源: GB/T 222392019.8. 3.2.2 1
8.3.2.3入侵防润
8.3.3 安全计算环境
8.3.3.1移动终端管控
移动终端管控要求包括: a) 应保证移动终端安装、注册并运行终端管理客户端软件; b) 移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如远程锁定、远程 擦除等。 [来源.GB/T 222392019. 8.3. 6.11
8.3.3.2移动应用管控
移动应用管控要求应包括:
a)具有选择应用软件安装、运行的功能; b) 只充许指定证书签名的应用软件安装和运行: c)具有软件白名单功能,应能根据白名单控制应用软件安装、运行。 『来源:GB/T22239—2019.8.3.3.2]
8.3.4 安全建设管理
8.3.4.1移动应用软件采购
移动应用软件采购要求应包括: 保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名; b)保证移动终端安装、运行的应用软件由指定的开发者开发。 [来源:GB/T 22239—2019,8.3.4.1]
8.3.4.2移动应用软件开发
移动应用软件开发要求应包括: a)对移动业务应用软件开发者进行资格审查; b)保证开发移动业务应用软件的签名证书合法性。 [来源:GB/T22239—2019,8.3.4.2]
3.3.4.3移动应用发布管理
水库施工方案8.3.5安全运维管理
配置管理:应建立合法无线接入设备和合法移动终端配置库,用于对非法无线接入设备利 终端的识别 [ 来源: GB/T 222392019.8.3. 5. 11
瑞的识别。 来源GB/T22239—2019,8.3.5.1]
8.4物联网安全扩展要求
8.4.1安全物理环境
感知节点设备物理防护要求包括: 感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动; b) 感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在 阳光直射区域); C) 感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响塑胶场地施工组织设计,如强干 扰、阻挡屏蔽等; d) 关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的 电力供应能力)。 [来源;GB/T 22239—2019,8.4.1.1]