GB/T 44462.3-2024 工业互联网企业网络安全 第3部分：标识解析企业防护要求

ICS35030

CCSM.10

中华人民共和国国家标准

GB/T444623—2024

.

工业互联网企业网络安全

第3部分标识解析企业防护要求

:

Industrialinternetenterprisecybersecurity—

Part3Protectionreuirementsofindustrialinternetidentification

:q

resolutionenterprise

2024-09-29发布2025-01-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T444623—2024

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

工业互联网标识解析企业安全防护级别的确定

5………2

工业互联网标识解析企业安全防护范围

6………………2

工业互联网标识解析企业安全防护要求

7………………3

初始级防护要求

7.1……………………3

基本级防护要求

7.2……………………7

增强级防护要求

7.3……………………13

附录资料性工业互联网标识解析企业安全防护范围示意图

A()……20

参考文献

……………………21

Ⅰ

GB/T444623—2024

.

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是工业互联网企业网络安全的第部分已经发布了以下

GB/T44462《》3。GB/T44462

部分

:

第部分应用工业互联网的工业企业防护要求

———1:;

第部分平台企业防护要求

———2:;

第部分标识解析企业防护要求

———3:。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中华人民共和国工业和信息化部提出

。

本文件由全国通信标准化技术委员会和全国网络安全标准化技术委员会

(SAC/TC485)(SAC/TC260)

共同归口

。

本文件起草单位中国信息通信研究院国家工业信息安全发展研究中心中国软件评测中心工业

:、、(

和信息化部软件与集成电路促进中心中国电子技术标准化研究院中国工业互联网研究院北京航空

)、、、

航天大学广东鑫兴科技有限公司江苏中天互联科技有限公司北京天融信网络安全技术有限公司

、、、、

北京启明星辰信息安全技术有限公司北京东方通网信科技有限公司郑州信大捷安信息技术股份有限

、、

公司亚信科技成都有限公司中通服咨询设计研究院有限公司北京神州绿盟科技有限公司南京中

、()、、、

新赛克科技有限责任公司中移物联网有限公司国能大渡河大数据服务有限公司国网河南省电力公

、、、

司华北计算机系统工程研究所中国电子信息产业集团有限公司第六研究所中国电信股份有限公司

、()、

北京研究院北京信安世纪科技股份有限公司奇安信科技集团股份有限公司国网电商科技有限公司

、、、、

青岛海信通信有限公司中国船级社长扬科技北京股份有限公司

、、()。

本文件主要起草人魏亮赵爽董悦张倩柯皓仁李艺于广琛马娟张瑜区景安汪毅时宗胜

:、、、、、、、、、、、、

渠立孝李俊孙军余果马霄安高峰刘为华吴锦涛唐刚张嘉欢崔婷婷糜靖峰汤永田赵梓桐

、、、、、、、、、、、、、、

查奇文洪晟刘超高丽芬叶建伟王雷涂扬举贺玉彬党芳芳李帅霍朝宾付军崔君荣靳晓雨

、、、、、、、、、、、、、、

张学杰张煜张亚京刘伟

、、、。

Ⅲ

GB/T444623—2024

.

引言

工业互联网企业数量众多信息化发展程度不同且承载业务类型相异所属行业网络安全防护需求

、,

差异化明显为解决现有网络安全防护要求无法满足工业互联网企业发展实际需求的问题需实施工业

,,

互联网企业网络安全分类分级管理并编制相关标准

。

工业互联网企业网络安全是指导工业互联网企业开展网络安全分类分级防护工作

GB/T44462《》

的基础性标准旨在针对应用工业互联网的工业企业工业互联网平台企业工业互联网标识解析企业

,、、

及企业数据安全提出不同级别的网络安全管理及安全防护技术要求用于指导企业落实与自身级别相

,,

适应的安全防护措施由于文件的使用者需求不同由四个部分构成

,,。

第部分应用工业互联网的工业企业防护要求目的在于提出应用工业互联网的工业企业

———1:。

开展网络安全分类分级防护工作需要落实的安全要求

。

第部分平台企业防护要求目的在于提出工业互联网平台企业开展网络安全分类分级防

———2:。

护工作需要落实的安全要求

。

第部分标识解析企业防护要求目的在于提出工业互联网标识解析企业开展网络安全分

———3:。

类分级防护工作需要落实的安全要求

。

第部分数据防护要求目的在于提出工业互联网企业开展网络安全分类分级防护工作需

———4:。

要落实的数据安全要求

。

本文件面向工业互联网标识解析企业提出了不同级别安全防护要求指导企业实施工业互联网安

,,

全分类分级管理工作为工业互联网标识解析企业建设运营及提升节点安全防护能力奠定基础提升

,、,

工业互联网安全保障能力

。

Ⅳ

GB/T444623—2024

.

工业互联网企业网络安全

第3部分标识解析企业防护要求

:

1范围

本文件规定了工业互联网标识解析企业在设备和系统网络业务和应用管理以及物理环境等方

、、、

面不同级别的网络安全防护要求

。

本文件适用于指导工业互联网标识解析企业开展网络安全分类分级防护工作

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069

信息安全技术信息系统密码应用基本要求

GB/T39786

工业互联网总体网络架构

GB/T42021

数据中心设计规范

GB50174

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069GB/T42021。

31

.

工业互联网industrialinternet

新一代信息通信技术与工业经济深度融合的新型基础设施应用模式和工业生态通过对人机

、,、、

物系统等的全面连接构建起覆盖全产业链全价值链的全新制造和服务体系

、,、。

来源

[:GB/T42021—2022,3.1]

32

.

工业互联网标识industrialinternetidentification

工业互联网中使用的用于唯一识别和定位物理对象或数字对象及其关联信息的字符串

。

33

.

标识解析identificationresolution

将标识翻译成与其相关联的信息的过程

。

来源有修改

[:GB/T33745—2017,2.4.3,]

34

.

工业互联网标识解析系统industrialinternetidentificationresolutionsystem

承载工业互联网标识解析服务的信息系统

。

35

.

工业互联网标识解析企业industrialinternetidentificationresolutionenterprise

工业互联网标识解析根节点运行机构国家顶级节点运行机构标识注册服务机构递归节点运行

、、、

1

GB/T444623—2024

.

机构等提供工业互联网标识服务的机构

。

4缩略语

下列缩略语适用于本文件

。

分布式拒绝服务

DDoS:(DistributedDenialofService)

域名系统

DNS:(DomainNameSystem)

互联网协议

IP:(InternetProtocol)

网络时间协议

NTP:(NetworkTimeProtocol)

虚拟专用网络

VPN:(VirtualPrivateNetwork)

5工业互联网标识解析企业安全防护级别的确定

工业互联网标识解析企业应按照工业互联网企业网络安全定级方法划分级别由低到高划分为一

,

级二级三级采取不同程度的安全防护工业互联网标识解析企业的安全防护要求分为初始级防护

、、,。、

基本级防护和增强级防护三个级别如表所示其中

,1,:

一级工业互联网标识解析企业应采取初始级防护措施

———;

二级工业互联网标识解析企业应采取基本级防护措施

———;

三级工业互联网标识解析企业应采取增强级防护措施

———。

表1工业互联网标识解析企业安全防护级别的确定

企业级别安全防护要求级别

一级初始级

二级基本级

三级增强级

6工业互联网标识解析企业安全防护范围

工业互联网标识解析企业安全防护范围从设备和系统安全网络安全业务和应用安全安全管理

、、、

以及物理环境安全要求等方面展开参见附录具体内容包括

,A。:

设备和系统安全防护包括身份鉴别访问控制恶意代码防范入侵防范安全审计设备冗

a):、、、、、

余等

;

注设备和系统包括主机服务器网络设备安全设备终端等硬件及其所包含的底层系统软件如操作系

:/、、、,

统数据库等

、。

网络安全防护包括架构安全访问控制安全监测入侵防范安全审计等

b):、、、、;

业务和应用安全防护包括身份认证与访问控制应用资源控制入侵防范安全审计业务提

c):、、、、

供安全等

;

安全管理包括机构管理制度管理人员管理建设管理运维管理等

d):、、、、;

物理环境安全包括物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防

e):、、、、、

潮防静电温湿度控制电力供应电磁防护等

、、、、。

2

GB/T444623—2024

.

7工业互联网标识解析企业安全防护要求

71初始级防护要求

.

711设备和系统安全防护要求

..

7111身份鉴别

...

本项要求包括

:

应对登录用户进行身份标识和鉴别身份标识具有唯一性

a),;

口令等身份鉴别信息应有复杂度要求并定期更换

b),;

应具有登录失败处理功能应配置并启用结束会话限制非法登录次数和登录连接超时自动退

c),、

出等相关措施

。

7112访问控制

...

本项要求包括

:

应为用户分配账户和权限

a);

应重命名或删除默认账户修改默认账户的默认口令

b),;

应定期删除或停用多余的过期的账户避免共享账户的存在

c)、,。

7113恶意代码防范

...

本项要求包括

:

应具备恶意代码防范能力并对恶意代码库进行维护和及时更新

。

7114入侵防范

...

本项要求包括

:

操作系统数据库等应遵循最小安装的原则仅安装标识解析系统相关设备需要的组件和应用

a)、,

程序

;

应关闭不需要的系统服务默认共享和高危端口包括不限于标识解析服务器应限制只在解析

b)、,

端口上提供标识解析服务不对其他用户终端开放任何服务

,。

712网络安全防护要求

..

7121架构安全

...

本项要求包括

:

标识解析系统内部网络应根据安全需求和业务特点划分为不同的安全域按照统一的管理和控制

,

原则划分不同的子网或网段设备依照功能划分及其重要性等因素分区部署

,。

7122访问控制

...

本项要求包括

:

应在网络边界部署网络流量访问控制设备并启用访问控制功能保证跨越网络边界的访问和数据

,,

流通过边界防护设备提供的受控接口进行通信默认情况下受控接口拒绝所有通信

,。

7123安全监测

...

本项要求包括

:

3

GB/T444623—2024

.

应对网络流量信息等进行监测发生异常访问异常流量等进行告警并进行相应处置

,、。

7124入侵防范

...

本项要求包括

:

应对进出标识解析关键系统的数据信息进行过滤并能根据系统能力对网络流量及并发数进

a),

行限制对关键入侵行为进行阻断

,;

应对病毒和恶意软件入侵进行防护

b)。

713业务和应用安全防护要求

..

7131身份认证与访问控制

...

本项要求包括

:

应对用户身份进行标识和鉴别身份标识应具有唯一性身份鉴别信息应具有复杂度要求并定

a),,

期更换

;

应具有登录失败处理功能应配置并启用结束会话限制非法登录次数和登录连接超时自动退

b),、

出等相关措施

;

应重命名或删除默认账户修改默认账户的默认登录口令

c),;

应定期删除或停用多余的过期的账户

d)、。

7132应用资源控制

...

本项要求包括

:

应支持对应用的最大并发会话连接数进行限制

。

7133入侵防范

...

本项要求包括

:

应定期至少每月一次检查标识解析系统及标识应用软件版本等对软件版本漏洞进行扫描评

(),

估对存在严重漏洞的软件进行更新

,。

7134业务提供安全

...

本项要求包括

:

标识解析服务器不应提供除了标识查询及解析服务之外的其他服务

。

714安全管理要求

..

7141机构管理

...

本项要求包括

:

应设立安全管理工作的职能部门设立安全主管安全管理各个方面的负责人岗位

,、。

7142制度管理

...

本项要求包括

:

应制定安全工作的总体方针和安全策略建立适合机构安全工作实际情况的安全管理制度

,。

7143人员管理

...

本项要求包括

:

4

GB/T444623—2024

.

应指定或授权特定的部门或人员负责人员录用

a);

应及时终止离岗员工的所有访问权限取回各种身份证件钥匙徽章等以及机构提供的软硬

b),、、

件设备

。

7144建设管理

...

71441定级

....

本项要求包括

:

应明确本企业的安全等级

a);

应以书面形式说明企业确定为某安全等级的方法和理由

b)。

71442安全方案设计

....

本项要求包括

:

应按照企业等级情况选择对应级别安全措施依据风险分析的结