GB/T 39403-2020标准规范下载简介
GB/T 39403-2020 云制造服务平台安全防护管理要求.pdfGB/T 39403—2020
cloudmanufacturin service platform
JC/T 2464-2018 水泥窑用干法耐火喷射料国家市场监督管理总局 发布 国家标准化管理委员会
GB/T39403—2020
本标准按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国机械工业联合会提出。 本标准由全国自动化系统与集成标准化技术委员会(SAC/TC159)归口。 本标准起草单位:北京航天智造科技发展有限公司、贵州航天云网科技有限公司、航天云网数据研 究院(广东)有限公司、航天云网科技发展有限责任公司、四川中英智慧质量工程技术研究院有限公司、 化京电子工程总体研究所、北京机械工业自动化研究所有限公司、北京航空航天天学、北京航天紫光科 支有限公司、工业云制造(四川)创新中心有限公司、清华大学、西门子(中国)有限公司, 本标准主要起草人:柴旭东、邹萍、黎晓东、于文涛、侯宝存、王琳、杨灵运、何昊、部菁、周邯、王玫 王海丹、张霖、李云鹏、金鑫、刘刚、刘波涛、许培炎、俞坚华、刘魁
GB/T39403—2020
制造服务平台安全防护管理要求
本标准规定了云制造服务平台安全防护体系中资源层、IAAS层、PAAS层及SAAS层安全防护管 理要求。 本标准适用于云制造服务平台安全防护体系管理
下列文件对于本文件的引用是必不可少的。凡是注目期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB50174—2017数据中心设计规范
的计算资源,用户能够部署和运行任意软件,包括操作系统和应用程序。 3.7 平台即服务platformasaservice;PAAS 提供给消费者的服务是将客户使用供应商提供的开发语言和工具开发的或采购的应用程序部署到 共应商的云计算基础设施上去。 注:开发语言和工具有Java、Python、.Net等 3.8 软件即服务softwareasaservice;SAAs 提供给客户的服务是运营商运行在云计算基础设施上的应用程序,用户可以在各种设备上通过客 户端界面访问。 注:消费者不需要管理或控制任何云计算基础设施,包括网络、服务器、操作系统、存储等
云制造服务平台安全防护管理体系由资源层安全管理要求与云平台层安全防护管理要求构成,其 中云平台层安全管理要求包括IAAS层、PAAS层及SAAS层安全防护管理要求。资源层安全管理要 求具体包括设备接控制安全、设备安全、边界防护安全、网络传输安全管理要求,平台1AAS层安全防 护管理要求包括网络安全、主机安全、虚拟化安全、物理环境安全管理要求,平台PAAS层安全防护管 理要求包括工业数据接入及管理安全、统一运行环境安全、工业模型及算法安全管理要求,平台SAAS 层安全防护管理要求具体包括应用漏洞及异常检测、应用逻辑安全、应用安全审计、后台系统安全管理 要求。总体架构如图1所示
GB/T 394032020
6.3边界防护安全要求
边界防护安全要求如下: a 应对未认证设备接人的行为进行告警; b 边界网关应只开放与接入相关的服务端口; C 应对数据源地址、目的地址、源端口、目的端口和协议等进行检查 d)应对设备发起的攻击行为(DDoS等)进行检测
6.4网络传输安全要求
6.4.1网络接入安全
规范网络接入安全要求,应使用网络接入控制系统并对其配置合理有效的监控与审计策略,从而 各的接人行为进行控制管理
6.4.2网络数据传输加密要求
7云平台层安全防护要求
7.1IAAS层安全防护要求
根据平合服务的类型、功能及租户的不同,平合将网络区域划分成不同的子网、网段或安全组,通过 技术手段进行隔离。 把相同安全等级、相同安全需求的计算机,放置于同一网段内,在网段的边界处进行访问控制;或者 使用虚拟安全域进行管理,即归人一个逻辑组内,对这个组配置访问控制策略。 根据面临的风险,划分安全域,在安全域之间部署防火墙,在每个安全域内部署人侵检测系统 (IDS)。
7.1.1.2 黑白名单
平台通过设置黑白名单进行访问控制,根据租户身份或其所属的预先定义的策略组,确定其访 台资源的请求是否能通过, 平台配置白名单,则只有租户身份或其所属的预先定义的策略组位于白名单内时才可访问, 平台若配置黑名单,则拒绝所有来源于黑名单内租户的网络访问
7.1.1.3边界防火墙
DB31T 1234-2020 城市森林碳汇计量监测技术规程.pdf[7.1.2.1系统加固
GB/T39403—2020
以消除与降低安全隐惠。针对不同目标系统,平 台可通过打补丁、修改安全配置、增加安全机制等方法,加强安全性 尽可能避免安全风险的发生,平台应将周期性 主的评估和加固工作相结合
7.1.2.2 安全镜像
镜像服务应保证安全的应用镜像托管能力,精确的镜像安全扫描功能,稳定的内外镜像构建服务, 便捷的镜像授权功能,进行镜像全生命周期管理。 平台采用容器化部署,容器是基于镜像构建的。镜像安全直接决定了容器安全。 平台安全镜像构建包括代码编译、文件提取、打包镜像。应将编译和打包分离,以产生安全、精巧 不含源代码的生产级别镜像。 平台应对虚拟机镜像文件进行完整性校验,确保不被篡改
快照在主机备份时广泛采用,通常都是基于卷,在块(block)级别进行处理。 平台应提供多种快照方式。可包括: a)即写即拷快照(指针型快照),占用空间小,对系统性能影响较小,但如果没有备份而原数据盘 损坏,数据就无法恢复了; b)分割镜像快照(镜像型快照),即主机当时数据的全镜像,要占用到相等容量的空间,会对系统 性能造成一定负荷,但即使原数据损坏也不会有太大影响
公路悬索桥吊索(征求意见稿)7.1.2.4 主机审计
7.13.1虚拟防火墙
将一台物理防火墙在逻辑上划分成多个虚拟的防火墙,从用户的角度来说每个虚拟防火墙系统都 可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源、管理员、安全策略、用户认证数据库 等。应做到: a)实现防火墙的二层、三层(路由十NAT)转发、ACL控制、安全检测功能; b)每个虚拟防火墙系统之间相互独立,不可直接相互通信: