GB/T39403—2020

以消除与降低安全隐惠。针对不同目标系统，平 台可通过打补丁、修改安全配置、增加安全机制等方法，加强安全性 尽可能避免安全风险的发生，平台应将周期性 主的评估和加固工作相结合

管道标准规范范本7.1.2.2 安全镜像

镜像服务应保证安全的应用镜像托管能力，精确的镜像安全扫描功能，稳定的内外镜像构建服务， 便捷的镜像授权功能，进行镜像全生命周期管理。 平台采用容器化部署，容器是基于镜像构建的。镜像安全直接决定了容器安全。 平台安全镜像构建包括代码编译、文件提取、打包镜像。应将编译和打包分离，以产生安全、精巧 不含源代码的生产级别镜像。 平台应对虚拟机镜像文件进行完整性校验，确保不被篡改

快照在主机备份时广泛采用，通常都是基于卷，在块（block）级别进行处理。 平台应提供多种快照方式。可包括： a）即写即拷快照（指针型快照），占用空间小，对系统性能影响较小，但如果没有备份而原数据盘 损坏，数据就无法恢复了； b）分割镜像快照（镜像型快照），即主机当时数据的全镜像，要占用到相等容量的空间，会对系统 性能造成一定负荷，但即使原数据损坏也不会有太大影响

7.1.2.4 主机审计

安全审计应符合以下要求： a）审计范围应覆盖到服务器上的每个用户； b 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等重要的安全相 关事件； 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d) 保护审计记录，避免其在有效期内受到非授权的访问、篡改覆盖或删除等； 应支持按用户需求提供与其相关的审计信息及分析报告； 应能够根据记录数据进行分析，并生成审计报表； 8 应保护审计进程，避免受到未预期的中断； h) 应能汇聚服务范围内的审计数据，支持第三方

7.13.1虚拟防火墙

将一台物理防火墙在逻辑上划分成多个虚拟的防火墙，从用户的角度来说每个虚拟防火墙系统都 可以被看成是一台完全独立的防火墙设备，拥有独立的系统资源、管理员、安全策略、用户认证数据库 等。应做到： a）实现防火墙的二层、三层（路由十NAT)转发、ACL控制、安全检测功能； b）每个虚拟防火墙系统之间相互独立，不可直接相互通信：

c）支持许可（License）控制的虚拟防火墙个数的扩展

Z.1.3.2 虚拟 IPS

虚拟IPS应监控虚拟系统网络流量。 平台应在虚拟设备中部署IDS和IPS,提供虚拟机之间、虚拟和物理网络之间的流量监控

7.1.3.3虚拟主机隔离

虚拟化平台主机应隔离： 应保证每个虚拟机能获得相对独立的物理资源，并能屏蔽虚拟资源故障，确保某个虚拟机崩溃 后不影响虚拟机监控器及其他虚拟机； 应保证不同虚拟机之间的CPU指令隔离； C 应保证不同虚拟机之间的内存隔离，内存被释放或再分配给其他虚拟机前得到完全释放： 应保证虚拟机只能访问分配给该虚拟机的存储空间（包括内存空间和磁盘空间）

7.1.4物理环境安全要求

7.1.4.1机房位置

机房位置发生自然灾害的概率和频率（洪水、飓风、龙卷风等）较低。机房环境除满足计算机设备对 温度、湿度和空气洁净度、供电电源的质量（电压、频率和稳定性等）、接地地线、电磁场和震动等条件的 技术要求外，还应满足在机房中工作的人员对照明度、空气的新鲜度和流动速度、噪声的要求。 机房位置选择应符合GB50174一2017中4.1的要求

应配置火灾报警装置，在机房内、基本工作房间内、活动地板下、吊顶里、主要空调管道中易燃物 位应设置烟、温感探测器。 应配置卤代烷1211或1301灭火器，

机房接地形式为机房专用 地极.接地电阻小于12。 机房配电系统的交流工作地、安全保持 充物本体综合接地（其电阻小于4Q）

GB/T39403—2020

满足GB50174—2017中环境要求中温湿度要求。 主机房的环境温度、相对湿度要求： a）温度：5℃～45℃； b）相对湿度：8%～80%； c）温度变化率：<5℃/h(不得结露）

满足GB50174一2017中环境要求中温湿度要求。 主机房的环境温度、相对湿度要求： a）温度：5℃~45℃； b）相对湿度：8%～80%； c）温度变化率：<5℃/h（不得结露）

计算机机房应装设监控系统，实行24小时值班制度，出人口应安装防盗安全门，窗户应安装金属防 护装置。 可监控物理环境的入口，并在入口设置门禁，门禁能够自动记录日志，管理人员能够查看、审计门禁 记录。

7.1.4.7 电力安全

7.2PAAS层安全防护要求

7.2.1工业数据接入及管理安全

7.2.1.1工业数据加密

月户信息、订单信息等重要工业数据实施加密存储

2.1.2敏感工业数据保护

7.2.1.3工业数据备份

应提供工业数据本地备份及恢复功能，全部工业数据每周备份一次，新增工业数据应每天名 次。

GB/T39403—2020

GB/T39403—2020

7.2.2统一运行环境安全

7.2.2.1登录认证

登录认证的要求应包含以下内容： a 对存储用户个人信息及用户服务信息的业务，应对用户实施身份认证； b 提供登录功能的开发环境应启用登录失败处理功能，比如采取结束会话、限制非法登录次数及 自动退出等方法； 提供登录功能的开发环境应启用用户身份唯一性检查功能，确保用户身份标识不重复，并启用 用户认证信息复杂度功能检查，防止身份认证信息被轻易冒用； d）应对用户账号及口令信息实施加密存储。

7.2.2.2 访问控制

访问控制的要求应包含以下内容： a） 应配置用户访问控制策略，严格限制默认用户的访问权限； 应限制用户的访问权限，根据业务需要配置用户所需的最小权限，严格按策略要求控制用户访 问业务、数据和网络资源等； C）用户与开发环境的通信双方中任何一方超出一定时间无响应时，另一方应自动结束会话

7.2.2.3服务接入安全

服务接人安全的要求应包含以下内容： a）应对外部组件接人接口采取安全管控措施，通过接口代码审计、黑白名单等控制措施保证接口 协议操作交互符合接口规范；

7.2.2.4应用接入安全

应用接入安全的要求应包含以下内容： a）对应用接入的开放接口调用应采取认证措施； b）通过开放接口生成的业务应用和应用程序在用户下载之前应进行安全检测； c）应制定应用接人开放接口的管理机制及网络安全应急管理制度

7.2.2.5容器隔离

7.2.2.6多租户隔离

多租户隔离应包含以下内容： a）系统本身元数据和基础数据的隔离（用户、角色、权限、数据字典、流程模板）； b） 系统运行过程中产生的动态数据的隔离； ）业务系统所涉及的计算资源和存储资源的隔离

7.2.2.7且志审计

日志审计的要求如下： a）应对每个用户的关键操作进行审计； SZC

日志审计的要求如下： a）应对每个用户的关键操作进行审计：

GB/T 39403—2020

b）审计内容应包含用户的重要行为、资源使用及重要操作命令等安全相关事件； 审计记录应包括事件的日期、时间、类型、描述和结果等，并按相关法律法规要求保留一定 期限； d） 应对审计记录进行安全保护，保证审计记录在有效期内不会受到非授权的访问、篡改、覆盖及 删除等操作： e 应能按需求提供与用户相关的审计信息和审计分析报告

7.2.3工业模型及算法安全

7.2.3.1模型及算法接入安全

模型及算法接人安全的要求如下： a）应对使用模型及算法的用户进行认证，针对不同接人方式的模型及算法用户，应采用不同的认 证方式进行认证； b）需要检查用户使用模型及算法的合法性及有效性

7.2.3.2模型及算法访问控制

模型及算法访问控制的要求如下： 应对授权主体配置访问控制策略，并严格限制默认用户的访问权限； b） 应严格限制各用户的访问权限，按安全策略要求控制用户对模型及算法的访问； C 应周期性检查用户操作模型及算法的情况，统一管理模型及算法使用权限； d) 如需将收集到的信息共享给第三方应用，应对信息进行脱敏处理，严格保护用户隐私不被 泄露。

7.2.3.3模型及算法流量控制

7.2.3.4模型及算法存储安全

7.3SAAS层安全防护要求

7.3.1应用漏洞及异常检测

应用漏洞及异常检测的要求如下： a）应能检测和避免存在常见的网络漏洞（Web漏洞），比如SQL注入、跨站脚本、跨站请求伪 造等； b） 应能检测挂马、暗链等网络业务系统（Web业务系统）入侵事件，并能进行应急处理； 应能检测和避免Web业务系统域名、访问链路的异常、访问延迟、解析错误等情况，并能进行 应急处理。

GB/T39403—2020

7.3.2应用逻辑安全

7.3.2.1用户身份认证

身份认证的要求如下： a） 应对用户进行身份标识和认证，并保证用户身份标识的唯一性； b 应提供并启用用户登录口令复杂度检查功能，保证身份信息不易被冒用； 应提供并启用登录失败处理功能，能采取结束会话、限制非法登录次数和自动退出等措施 应对用户的登录口令信息进行加密存储

7.3.2.2访问控制

7.3.3应用安全审计

应用安全审计的要求如下： 应对用户在业务应用中的重要行为、关键操作、资源使用情况等重要安全事件进行审计； 审计记录应包括事件的日期、时间、类型、描述和结果等，并按相关法律法规要求保留一定 期限； 应对审计记录进行安全保护，保证审计记录在有效期内受到非授权的访问、篡改、覆盖及删除 等操作； d）应定期对审计日志进行人工审计； e）应能按需求提供与用户相关的审计 和审计分析报告

7.3.4后台系统安全

7.3.4. 1输入验证

输入验证的要求如下： a）应对文件路径、URL地址等输入数据做安全验证，并尽量使用白名单验证方法； b）应在服务器端进行输人验证，避免客户端输人验证被绕过； c）关键参数应直接从服务器端提取，避免从客户端输人，防止关键参数被算改

7.3.4.2后台系统身份认证

身份认证的要求如下： a）应采用SSL/TLS加密隧道确保用户密码的传输安全，禁止明文传输用户密码； b） 应采用单向散列值在数据库中存储用户密码，降低存储的用户密码被字典攻击的风险 数据库或文件系统中明文存储用户密码：

GB/T39403—2020

7.3.4.3会话管理

会话管理的要求如下 应确保会话的安全创建。在用户认证成功后，应为用户创建新的会话并释放原有会话；创建的 会话标识应满足随机性和长度要求，避免被攻击者猜测；会话与IP地址可绑定，降低会话被盗 用的风险。 D） 应确保会话数据的存储安全。用户登录成功后所生成的会话数据应存储在服务器端，并确保 会话数据不能被非法访同；当更新会话数据时，要对数据进行严格的输入验证，避免会话数据 被非法篡改 c）应确保会话数据的传输安全，防止泄露会话标识。 d）应确保会话的安全终止。当用户登录成功并成功创建会话后，应在网络应用系统（Web应用 系统）的各个页面提供用户登出功能，登出时应及时删除服务器端的会话数据；当处于登录状 态的用户直接关闭浏览器时，需要提示用户执行安全登出或者自动为用户完成登出过程，从而 安全地终止本次会话。 e）应设置合理的会话超时阈值，在合理范围内尽可能减小会话超时阈值，可以降低会话被劫持和 重复攻击的风险，超过会话超时值后立刻销毁会话，清除会话的信息 应限制会话并发连接数快递标准，限制同一用户的会话并发连接数，避免恶意用户创建多个并发的会话 来消耗系统资源，影响业务的可用性。 在涉及关键业务操作的网络页面（Web页面），应为当前Web页面生成一次性随机令牌，作为 主会话标识的补充。在执行关键业务前，应确保用户提交的一次性随机令牌与服务器端保存 的一次性随机令牌匹配，以避免跨站请求伪造等攻击

7.3.4.4数据存储

数据存储的要求如下： a）对于不同类别的数据，比如日志记录和业务数据，应采取相应的隔离措施和安全保护措施； b）禁止在客户端本地存储用户敏感数据，如用户密码、身份信息等； c）应避免在代码中硬编码密码（即在代码中直接嵌人密码，会导致密码修改困难，甚至密码的泄 露），可从配置文件载入密码； d） 在配置文件中禁止明文存储数据库连接密码、FTP服务密码、主机密码、外部系统接口认证密 码等。

水利施工组织设计 GB/T39403—2020

7.3.4.5数据传输

应确保通信信道的安全，在客户端与网络服务器（Web服务器）之间使用并正确配置SSL/TLS，应 使用SSL3.0/TLS1.0以上版本，对称加密密钥长度不少于128位，非对称加密密钥长度不少于1024 位，单向散列值位数不小于128位，