电脑软件系统等保2.0 二级安全要求 下

1|33移动互联安全扩展要求

3.1安全物理环境

3.1.1无线接入点的物理位置

应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。

3.2安全区域边界

3.2.1边界防护

应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。

3.2.2访问控制

无线接入设备应开启接入认证功能，并且禁止使用WEP方式进行认证，如使用口令，长度不小于8位字符。

3.2.3入侵防范

本项要求包括：

a）应能够检测到非授权无线接入设备和非授权移动终端的接入行为；

b）应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击 等行为；

c）应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态；

d）应禁用无线接入设备和无线接入网关存在风险的功能，如：SSID广播、WEP认证等；

e）应禁止多个AP使用同一个认证密钥。

3.3安全计算环境

3.3.1移动应用管控

本项要求包括：

a）应具有选择应用软件安装、运行的功能；

b）应只允许可靠证书签名的应用软件安装和运行。

3.4安全建设管理

3.4.1移动应用软件采购

本项要求包括：

a）应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名；

b）应保证移动终端安装、运行的应用软件由可靠的开发者开发。

3.4.2移动应用软件开发

本项要求包括：

a）应对移动业务应用软件开发者进行资格审査；

b）应保证开发移动业务应用软件的签名证书合法性。

1|44物联网安全扩展要求

4.1安全物理环境

4.1.1感知节点设备物理防护

本项要求包括：

a）感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动；

b）感知节点设备在工作状态所处物理环境应能正确反映环境状态（如温湿度传感器不能安装在阳光直射区域）。

4.2安全区域边界

4.2.1接入控制

应保证只有授权的感知节点可以接入。

4.2.2入侵防范

本项要求包括：

a）应能够限制与感知节点通信的目标地址，以避免对陌生地址的攻击行为；

b）应能够限制与网关节点通信的目标地址，以避免对陌生地址的攻击行为。

4.3安全运维管理

4.3.1感知节点管理

本项要求包括：

a）应指定人员定期巡视感知节点设备、网关节点设备的部署环境，对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护；

b）应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定，并进行全程管理。

1|55工业控制系统安全扩展要求

5.1安全物理环境

5.1.1室外控制设备物理防护

本项要求包括：

a）室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固；箱体或装置具 有透风、散热、防盗、防雨和防火能力等；

b）室外控制设备放置应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修,保证设备正常运行。

5.2安全通信网络

5.2.1网络架构

本项要求包括：

a）工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用技术隔离手段；

b）工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段；

c）涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

5.2.2通信传输

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

5.3安全区域边界

5.3.1访问控制

本项要求包括：

a）应在工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越 区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务；

b）应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警。

5.3.2拨号使用控制

工业控制系统确需使用拨号访问服务的，应限制具有拨号访问权限的用户数量，并采取用户身份鉴别和访问控制等措施。

5.3.3无线使用控制

本项要求包括：

a）应对所有参与无线通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别；

b）应对所有参与无线通信的用户（人员、软件进程或者设备）进行授权以及执行使用进行限制。

5.4安全计算环境

5.4.1控制设备安全

本项要求包括：

a）控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通 过管理手段控制；

b）应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作。

5.5安全建设管理

5.5.1产品采购和使用

工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。

5.5.2外包软件开发

应在外包开发合同中规定针对开发单位、供应商的约束条款，包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容