附件1：电力行业网络安全等级保护基本要求 2019.docx

电力行业网络平安等级保护基本要求j）控制区与非控制区之间应采用具有访问控制功能的设备、硬件防火墙或相当功能的设施，实 现逻辑隔离；（新增）k）禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务，生产控制大区中的业 务系统禁止采用平安风险高的通用网络服务功能；（新增）1）省级以上及有实际业务需要的地区调度中心的电力监控系统、电力调度数据网上的关键应用、 关键用户和关键设备应使用电力调度数字证书系统实现身份认证、平安数据传输及鉴权；（新增）m）生产控制大区部署的平安审计系统，应对网络运行日志、操作系统运行日志、数据库访问日 志、业务应用系统运行日志、平安设施运行日志进行集中收集、自动分析，并汇总至平安管 理中心。（新增）n）生产控制大区云计算平台与管理信息大区云计算平台之间的数据通信应通过国家指定部门检 测认证的电力专用横向单向隔离装置；o）国家和行业有关部门接入到生产控制大区，接入方式应采用专线接入。从互联网接入的方式, 其防护措施不能低于管理信息大区接入生产控制大区的防护措施。6.2总体管理要求管理信息系统和电力监控系统的责任单位和建设单位应遵循“就高原那么”进行平安等级保护。（新增）7第一级平安要求见GB/T 222392019第6章。8第二级平安要求管理信息系统8.1.1 平安通用要求平安物理环境8.1.1.1.1 物理位置选择本项要求包括：a）机房场地应选择在具有防震、防风和防雨等能力的建筑内；b）机房场地应防止设在建筑物的顶层或地下室，以及用水设备的下层或隔壁，否那么应加强防水 和防潮措施。（增强）8.1.1.1.2 物理访问控制机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。8.1.1.1.3 防盗窃和防破坏本项要求包括：a）应将设备或主要部件进行固定，并设置明显的不易除去的标识；1078果补充和调整平安措施；（增强）b）应根据保护对象的平安保护等级及与其他级别保护对象的关系进行平安整体规划和平安方案 设计，设计内容应包含密码技术、数据保护相关内容，并形成配套文件；（增强）C）应组织相关部门和有关平安专家对平安整体规划及其配套文件的合理性和正确性进行论证和 审定，重大工程应报行业网络平安监管部门进行网络平安专项审杳批准，经过批准后才能正 式实施。（增强）1.1.1.1.1 产品采购和使用本项要求包括：a）应确保网络平安产品采购和使用符合国家的有关规定；b）应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；c）应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单，电力 监控系统在设备选型及配置时，应当禁止选用经国家相关管理部门检测认定并经国家能源局 通报存在漏洞和风险的系统及设备，对于已经投入运行的系统及设备，应当按照国家能源局 及其派出机构的要求及时进行整改，同时应当加强相关系统及设备的运行管理和平安防护； （增强）d）电力监控系统重要设备及专用网络平安产品应通过国家及行业监管部门推荐的专业机构的安 全性检测后方可采购使用。关键信息基础设施中可能影响国家平安的产品，应当按规定通过 平安审查；（新增）c）应核查重要电力监控系统关键控制软件的强制版本管理情况。操作系统和监控软件的全部可 执行代码在开发或升级后必须通过指定的具有平安检测资质的检测机构的检测，具有检测报 告；（新增）f）生产控制大区应禁止未包含生产厂商和检测机构签名版本的可执行代码启动运行。（新增）自行软件开发本项要求包括：a）应将开发环境与实际运行环境物理分开，开发人员和测试人员别离，测试数据和测试结果受 到控制：（增强）b）应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准那么；c）应制定代码编写平安规范，要求开发人员参照规范编写代码；d）应具备软件设计的相关文档和使用指南，并对文档使用进行控制；o）应保证在软件开发过程中对代码规范、代码质量、代码平安性进行审杳，平安性进行测试， 在软件安装前对可能存在的恶意代码进行检测；（增强）f）应对程序资源库的修改、更新、发布进行授权和批准，并严格进行版本控制；g）应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查。9.2.1.9.4 外包软件开发本项要求包括：a）应在软件交付前检测其中可能存在的恶意代码；b）应保证开发单位提供软件设计文档和使用指南：c）应保证开发单位提供软件源代码，并已通过软件后门和隐蔽信道等平安性检测；（增强）d）应在外包开发合同中规定针对开发单位、供应商的约束条款，包括设备及系统在生命周期内 有关保密、禁止关键技术扩散和设备行业专用等方面的内容。（新增）79工程实施80本项要求包括：a）应指定或授权专门的部门或人员负责工程实施过程的管理；b）应制定平安工程实施方案控制工程实施过程；c）应通过第三方工程监理控制工程的实施过程。测试验收本项要求包括：a）应制订测试验收方案，并依据测试验收方案实施测试验收，应详细记录测试验收结果,形成测 试验收报告；（增强）b）应委托国家或电力行业认可的测评机构进行上线前的平安性测试，并出具平安测试报告，安 全测试报告应包含漏洞分析、控制功能源代码平安检测和密码应用平安性测试相关内容。（新增）系统交付本项要求包括：a）应制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；b）应对负责运行维护的技术人员进行相应的技能培训；c）应提供建设过程文档和运行维护文档。9.2. 1.9,9等级测评本项要求包括：a）应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改；b）应在发生重大变更或级别发生变化时进行等级测评；c）开展电力信息系统测评的机构应具备国家网络平安等级保护测评资质，且通过电力主管部门 的技术能力评估认证，从事电力信息系统测评的技术人员应当通过国家能源局组织的电力系 统专业技术培训和考核。（增强）服务供应商选择本项要求包括：a）应确保服务供应商的选择符合国家及行业的有关规定；（增强）b）应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络平安相关义务, 关键信息基础设施中可能影响国家平安的服务，应当按规定通过平安审查；（增强）c）应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。平安运维管理环境管理本项要求包括：a）应指定专门的部门或人员负责机房平安，对机房出入进行管理，定期对机房供配电、空调、 温湿度控制、消防等设施进行维护管理；b）应建立机房平安管理制度，对有关物理访问、物品带进出和环境平安等方面的管理作出规定;c）应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。81. 2. 1. 10. 2 资产管理本项要求包括：a）应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容;b）应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施；c）应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。9.2.1.10.3 介质管理本项要求包括：a）应将介质存放在平安的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根 据存档介质的目录清单定期盘点；b）应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查 询等进行登记记录；c）应对重要数据和软件采用加密介质存储，并根据所承载数据和软件的重要程度对介质进行分 类和标识管理，根据介质使用期限及时转储数据；（新增）d）应当根据存储介质所承载信息的敏感程度确定对存储介质的处理方式和处理流程，存储介质 的处理包括数据清除和存储介质销毁等，对于存储涉密信息的介质应按照国家保密管理部门 的规定进行处理；（新增）e）应严格控制在生产控制大区和管理信息大区之间交叉使用移动存储介质，确需保存的必须通 过平安管理及技术措施实施严格监控。（新增）设备维护管理本项要求包括：a）应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理；b）应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人 员的责任、维修和服务的审批、维修过程的监督控制等；c）信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其 中重要数据应加密；d）含有存储介质的设备在重用或报废前，应使用专用工具进行数据信息完全清除处理或物理粉 碎等不可恢复性销毁处理，保证该设备上的敏感数据和授权软件无法被恢复重用。（增强）9.2.1.10.4 漏洞和风险管理本项要求包括：a）应采取必要的措施识别平安漏洞和隐患，对发现的平安漏洞和隐患及时进行修补或评估可能 的影响后进行修补；b）应定期开展平安测评，形成平安测评报告，采取措施应对发现的平安问题。9.2.1.10.5 网络和系统平安管理本项要求包括：a）应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限，权限设 定应当遵循最小授权原那么：（增强）b）应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制；82c）应建立网络和系统平安管理制度，对平安策略、账户管理、配置管理、日志管理、日常操作、 升级与打补丁、口令更新周期等方面作出规定；d）应制定重要设备的配置和操作手册，依据手册对设备进行平安配置和优化配置等；e）应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容；f）应指定专门的部门或人员对关键平安设备、服务器的日志、监测和报警数据等进行分析、统 计，及时发现平安管理体系中存在的平安隐患和异常访问行为，并按照规定留存相关的网络 日志不少于六个月；（增强）g）应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过 程中应保存不可更改的审计日志，操作结束后应同步更新配置信息库；h）应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保存不可更改的 审计日志，操作结束后应删除工具中的敏感数据；i）应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保存 不可更改的审计日志，操作结束后立即关闭接口或通道；j）应保证所有与外部的连接均得到授权和批淮，应定期检查违反规定无线I:网及其他违反网络 平安策略的行为；k）电力调度机构应指定专人负责管理本级调度数字证书系统。（新增）恶意代码防范管理本项要求包括：a）应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查 等；b）应定期验证防范恶意代码攻击的技术措施的有效性；c）在更新恶意代码库、木马库以及IDS规那么库前，应首先在测试环境中测试通过，生产控制大 区恶意代码更新应有专人负责，并保存更新记录；（新增）d）应严格禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。（新增）配置管理本项要求包括：a）应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版 本和补丁信息、各个设备或软件组件的配置参数等；b）应将基本配置信息改变纳入系统变更范畴，实施对配置信息改变的控制，并及时更新基本配 置信息库。9.2.1.10.6 2. 1. 10.9 密码管理本项要求包括：a）应遵循密码相关国家标准和行业标准；b）应使用国家密码管理主管部门认证核准的密码技术和产品。9.2.1.10.7 1. 10. 10 变更管理本项要求包括：a）应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施;b）应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程:83c）应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复 过程进行演练；d）变更前应做好系统和数据的备份，对于可能影响系统稳定运行的变更，应在变更后对系统的 运行情况进行跟踪，应尽量减少紧急变更。（新增）备份与恢复管理本项要求包括：a）应识别需要定期备份的重要业务信息、系统数据及软件系统等；b）应规定备份信息的备份方式、备份频度、存储介质、保存期等；c）应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序 和恢复程序等。平安事件处置本项要求包括：a）应及时向平安管理部门报告所发现的平安弱点和可疑事件；b）应制定平安事件报告和处置管理制度，明确不同平安事件的报告、处置和响应流程，规定安 全事件的现场处理、事件报告和后期恢复的管理职责等；c）应在平安事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据、记录处理过 程，总结经验教训；d）对造成系统中断和造成信息泄漏的重大平安事件应采用不同的处理程序和报告程序，生产控 制大区的电力监控系统遭受网络攻击出现异常或者故障时，应当立即向其上级电力调度机构 以及当地国家能源局派出机构报告，并联合采取紧急防护措施，同时应当注意保护现场，以 便进行调查取证。（新增）应急预案管理本项要求包括：a）应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教 育和培训等内容；b）应制定各类重要事件的应急预案，包括应急处理流程、系统恢复流程等内容；（增强）c）应定期对系统相关的人员进行应急预案培训，培训至少每年举办一次，并进行应急预案的演 练；（增强）d）应定期对原有的应急预案重新评估，修订完善。9. 2.1.10.14 外包运维管理本项要求包括：a）应确保外包运维服务商的选择符合国家的有关规定；b）应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容；c）应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展平安运维工 作的能力，并将能力要求在签订的协议中明确；应在与外包运维服务商签订的协议中明确所有相关的平安要求，如可能涉及对敏感信息的访问、 处理、存储要求，对IT基础设施中断服务的应急保障要求等。9. 2.2云计算平安扩展要求849. 2. 2.1平安物理环境基础设施位置a）应保证云计算基础设施位于电力企业机房或租用机房，且都在中国境内。（增强） b）云计算基础设施应在物理上实现独立部署。（新增）平安通信网络9. 2. 2. 2. 1网络架构本项要求包括：a）应保证云计算平台不承载高于其平安保护等级的业务应用系统；b）应实现不同云服务客户虚拟网络之间的隔离：c）应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等平安机制的能力；d）应具有根据云服务客户业务需求自主设置平安策略的能力，包括定义访问路径、选择平安组 件、配置平安策略；e）应提供开放接口或开放性平安服务，允许云服务客户接入第三方平安产品或在云计算平台选 择第三方平安服务。9. 2. 2. 3平安区域边界9. 2. 2. 3.1访问控制本项要求包括：a）应在虚拟化网络边界部署访问控制机制，并设置访问控制规那么，访问控制粒度到达端口级； （增强）b）应在不同等级的网络区域边界部署访问控制机制，设置优化的访问控制规那么，访问控制粒度 到达端口级；（增强）9. 2. 2. 3. 2入侵防范本项要求包括：a）应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等； b）应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等； c）应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；d）应在检测到网络攻击行为、异常流量情况时进行告警。9. 2. 2. 3. 3 平安审计本项要求包括：a）应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、 虚拟机重启；b）应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。平安计算环境9. 2. 2. 4,1身份鉴别当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制。859. 2. 2. 4. 2访问控制本项要求包括：a）应保证当虚拟机迁移时，访问控制策略随其迁移：b）应允许云服务客户设置不同虚拟机之间的访问控制策略。入侵防范本项要求包括：a）应能检测虚拟机之间的资源隔离失效，并进行告警；b）应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警；c）应能够检测恶意代码感染及在虚拟机间延延的情况，并进行告警。9. 2. 2. 4. 4镜像和快照保护本项要求包括：a）应针对重要业务系统提供加固的操作系统镜像或操作系统平安加固服务；b）应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改；c）应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。9. 2. 2. 4. 5数据完整性和保密性本项要求包括：a）应确保云服务客户数据、用户个人信息等存储于电力企业生产控制大区内，如需跨区应遵循 相关规定；（增强）b）应确保只有在云服务客户授权下，云服务商或其他被授权实体才具有云服务客户数据的管理 权限；（增强）c）应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到 破坏时采取必要的恢复措施；d）应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。9. 2. 2. 4. 6数据备份恢复本项要求包括：a）云服务客户应在本地保存其业务数据的备份；b）应提供查询云服务客户数据及备份存储位置的能力；c）云计算平台的云存储服务应保证云服务客户数据存在假设干个可用的副本，各副本之间的内容 应保持一致；d）应为云服务客户及数据迁移到其他云计算平台和本地系统提供技术手段，并协助完成迁移过 程。9. 2. 2. 4. 7剩余信息保护本项要求包括：a）应保证虚拟机所使用的内存和存储空间回收时得到完全清除：b）云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除。9.2. 2.5平安管理中心9. 2. 2. 5. 1集中管控87b）应将通信线缆铺设在隐蔽平安处。1.1.1.1.2 1. 1. 1.4 防雷击应将各类机柜、设施和设备等通过接地系统平安接地。8.1.1.1.5 防火本项要求包括：a）机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。8.1.1.1.6 防水和防潮本项要求包括：a）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透：b）应采取措施防止机房内水蒸气结露和地卜积水的转移与渗透。8.1.1.1.7 防静电采用防静电地板或地面，并采用必要的接地防静电措施。8.1.1.1.8 温湿度控制应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。8.1.1.1.9 电力供应本项要求包括：a）应在机房供电线路上配置稳压器和过电压防护设备；b）应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。8.1.1.1.10 1.1.1. 10电磁防护电源线和通信线缆应隔离铺设，防止互.相干扰。8.1.1.1.11 信网络1. 1.2. 1网络架构本项要求包括：a）应划分不同的网络区域，并按照方便管理和控制的原那么为各网络区域分配地址；b）应防止将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术 隔离手段。通信传输应采用校验技术保证通信过程中数据的完整性，采用密码技术的应按照国家密码管理部门与行业 有关要求使用密码算法（增强）。可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信11本项要求包括：a）应能对物理资源和虚拟资源按照策略做统一管理调度与分配；b）应保证云计算平台管理流量与云服务客户业务流量别离；c）应根据云计算平台和云服务客户的职责划分，收集各自控制局部的审计数据并实现各自的集 中审计；d）应根据云计算平台和云服务客户的职责划分，实现各自控制局部，包括虚拟化网络、虚拟机、 虚拟化平安设备等的运行状况的集中监测。e）生产控制大区的云管理类平台不应与管理信息大区的云管理类平台互联。（新增）2. 2. 6平安建设管理9. 2. 2. 6.1云服务商选择本项要求包括：a）应选择平安合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应 等级的平安保护能力；b）应在服务水平协议中规定云服务商提供的各项服务内容和具体技术指标；c）应在服务水平协议中规定云服务商的权限与责任，包括运维范围、职责划分、访问授权、隐 私保护、行为准那么、违约责任等；d）应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云 计算平台上清除；o）应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据。9. 2. 2. 6. 2供应链管理本项要求包括：a）应确保供应商的选择符合国家有关规定；b）应将供应链平安事件信息或平安威胁信息及时传到达云服务客户；c）应将供应商的重要变更及时传到达云服务客户，并评估变更带来的平安风险，采取措施对风 险进行控制。9. 2. 2. 7平安运维管理云计算环境管理云计算平台的运维地点应位于电力企业生产控制大区内。（增强）移动互联网平安扩展要求9. 2. 3.1平安物理环境无线接入点的物理位置应为无线接入设备的安装选择合理位置，防止过度覆盖和电磁干扰。9. 平安通信网络网络架构无线接入设备应部署在平安接入区，通过国家指定部门检测认证的电力专用横向单向隔离装置接88入生产控制大区。（新增）899. 2. 3.3平安区域边界9. 2.3.3. 1边界防护c）应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。d）应能够对移动终端私自联到外部网络的行为进行检测和阻断。（新增）9. 2.3. 3.2访问控制无线接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密码 模块进行双向认证。（增强）9.2.3. 3.3入侵防范本项要求包括：a）应能够检测到非授权无线接入设备和非授权移动终端的接入行为；b）应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击 等行为；c）应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态；d）应禁用无线接入设备和无线接入网关存在风险的功能，如：SSID广播、WEP、WPA认证等：e）应禁止多个AP使用同一个认证密钥；f）应能够阻断非授权无线接入设备或非授权移动终端。9.2. 3.4平安计算环境9. 2. 3. 4. 1移动终端管控本项要求包括：a）移动终端的开机认证应采用除账户口令以外的其他鉴别方式，如人脸识别、指纹等：（新增） （第三级以上）b）应保证移动终端安装、注册并运行终端管理客户端软件；移动终端应接受移动终端管理服务 端的设备生命周期管理、设备远程控制，如：远程锁定、远程擦除等。c）移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制，如：远程锁定、 远程擦除等；应能够对移动终端私自联到外部网络的行为进行检测和阻断d）管理信息大区与生产控制大区不能使用同一移动终端管理系统；（新增）移动应用管控本项要求包括：a）应具有选择应用软件安装、运行的功能；b）应只允许指定证书签名的应用软件安装和运行；c）应具有软件白名单功能，应能根据白名单控制应用软件安装、运行。9.2. 3.5平安建设管理移动应用软件采购本项要求包括：a）应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名；b）应保证移动终端安装、运行的应用软件由指定的开发者开发。90c）移动应用软件的开发商应具有笫三方机构的移动应用软件平安测试报告，测试内容包括防反 编译测试、组件平安测试和运行环境平安测试等。（新增）9.2.3. 5.2移动应用软件开发本项要求包括：a）应对移动业务应用软件开发者进行资格审查；b）应保证开发移动业务应用软件的签名证书合法性。c）应委托第三方机构对移动应用软件的平安性进行测试，测试内容包括防反编译测试、组件安 全测试和运行环境平安测试等。（新增）9. 2. 3. 6平安运维管理9. 2. 3. 6.1配置管理应建立合法无线接入设备和合法移动终端配置库，用于对非法无线接入设备和非法移动终端的以 别。9. 2.4物联网平安扩展要求平安物理环境9. 2.4. 1.1感知节点设备物理防护本项要求包括：a）感知节点设备所处的物理环境应不对感知节点设备造成物理破坏，如挤压、强振动；b）感知节点设备在工作状态所处物理环境应能正确反映环境状态（如温湿度传感器不能安装在 阳光直射区域）；c）感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响，如强干扰、 阻挡屏蔽等；d）关键感知节点设备应具有可供长时间工作的电力供应（关键网关节点设备应具有持久稳定的 电力供应能力）。平安区域边界9. 2.4. 2.1接入控制应保证只有授权的感知节点可以接入，授权的感知节点与其接入网络间采用密码算法进行双向认 证；（增强）9. 2. 4. 2. 2入侵防范本项要求包括：a）应能够限制与感知节点通信的目标地址，以防止对陌生地址的攻击行为；b）应能够限制与网关节点通信的目标地址，以防止对陌生地址的攻击行为。c）应仅开放感知节点应用相关的通信端口。（新增）9. 2. 4. 3平安计算环境 9. 2.4. 3.1感知节点设备平安9192本项要求包括:a）应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更；b）应具有对其连接的网关节点设备（包括读卡器）进行身份标识和鉴别的能力，至少支持基于 网络标识、MAC地址、通信协议、通信端口、口令几种中的一种身份鉴别机制；（增强）c）应具有对其连接的其他感知节点设备（包括路由节点）进行身份标识和鉴别的能力，至少支 持基于网络标识、MAC地址、通信协议、通信端口、口令几种中的一种身份鉴别机制；（增强）9.2.4, 3.2网关节点设备平安本项要求包括：a）应具备对合法连接设备（包括终端节点、路由节点、数据处理中心）进行标识和鉴别的能力， 至少支持基于网络标识、MAC地址、通信协议、通信端口、口令几种中的一种身份鉴别机制: （增强）b）应具备过滤非法节点和伪造节点所发送的数据的能力；c）授权用户应能够在设备使用过程中对关键密钥进行在线更新：d）授权用户应能够在设备使用过程中对关键配置参数进行在线更新。9. 2.4. 3.3抗数据重放本项要求包括：a）应能够鉴别数据的新鲜性，防止历史数据的重放攻击；b）应能够鉴别历史数据的非法修改，防止数据的修改重放攻击。9.2.4. 3.4数据融合处理应对来自传感网的数据进行数据融合处理，使不同种类的数据可以在同一个平台被使用。平安运维管理9. 2. 4. 4.1感知节点管理本项要求包括：a）应指定人员定期巡视感知节点设备、网关节点设备的部署环境，对可能影响感知节点设备、 网关节点设备正常工作的环境异常进行记录和维护；b）应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丧失和报废等过程作出 明确规定，并进行全程管理；c）应加强对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丧失和报废等过程 作出明确规定，并进行全程管理。9. 2.5大数据平安扩展要求9. 2. 5.1平安物理环境9. 2.5. 1.1基础设施位置应保证承载大数据存储、处理和分析的设备机房位于中国境内。平安通信网络9. 2. 5. 2.1网络架构93本项要求包括：a）应保证大数据平台不承载高于其平安保护等级的大数据应用和大数据资源；b）应保证大数据平台的管理流量与系统业务流量别离；c）应提供开放接口或开放性平安服务，允许客户接入第三方平安产品或在大数据平台选择第三 方平安服务。9. 2. 5. 3平安计算环境9. 2. 5. 3.1身份鉴别本项要求包括：a）大数据平台应提供双向认证功能，能对不同客户的大数据应用、大数据资源进行双向身份鉴另1J;b）应采用口令和密码技术组合的鉴别技术对使用数据采集终端、数据导入服务组件、数据导出 终端、数据导出服务组件的主体实施身份鉴别，口令具有复杂度要求并定期更换；（增强） c）应对向大数据系统提供数据的外部实体实施身份鉴别，身份标识应具有唯一性；（增强） d）大数据系统提供的各类外部调用接口应依据调用主体的操作权限实施相应强度的身份鉴别。9. 2. 5. 3. 2访问控制本项要求包括：a）对外提供服务的大数据平台，平台或第三方应在服务客户授权下才可以对其数据资源进行访 问、使用和管理，授权的颗粒度应到达表级或文件级；（增强）b）大数据系统应提供数据分类分级标识功能，并建立不同类别和级别的数据访问控制措施。（增 强）c）应在数据采集、传输、存储、处理、交换及销毁等各个环节，支持对数据进行分类分级处置， 最高等级数据的相关保护措施不低于第三级平安要求，平安保护策略在各环节保持一致；d）大数据系统应对其提供的各类接口的调用实施访问控制，包括但不限于数据采集、处理、使 用、分析、导出、共享、交换等相关操作；e）应最小化各类接口操作权限；f）应最小化数据使用、分析、导出、共享、交换的数据集；g）大数据系统应提供隔离不同客户应用数据资源的能力；h）应对重要数据的数据流转、泄露和滥用情况进行监控，及时对异常数据操作行为进行预警， 并能够对突发的严重异常操作及时定位和阻断。9. 2. 5. 3. 3 平安审计本项要求包括：a）大数据系统应保证不同客户的审计数据隔离存放，并提供不同客户审计数据收集汇总和集中 分析的能力；b）大数据系统应对其提供的各类接口的调用情况以及各类账号的操作情况进行审计；c）应保证大数据系统服务商对服务客户数据的操作可被服务客户审计，如：运行口志、操作口 志等（增强）。9. 2.5. 3.4入侵防范应对所有进入系统的数据进行检测和过滤，防止出现恶意数据输入。（增强）949. 2. 5. 3. 5数据完整性本项要求包括：a）应采用技术手段对数据交换过程进行数据完整性检测；b）数据在存储过程中的完整性保护应满足数据提供方系统的平安保护要求。9. 2. 5. 3. 6数据保密性本项要求包括：a）大数据平台应提供静态脱敏和去标识化的工具或服务组件技术；b）应依据相关平安策略和数据分类分级标识对数据进行静态脱敏和去标识化处理;c）数据在存储过程中的保密性保护应满足数据提供方系统的平安保护要求；d）应采取技术措施保证汇聚大量数据时不暴露敏感信息；e）可采用多方计算、同态加密等数据隐私计算技术实现数据共享的平安性。9. 2. 5. 3. 7数据备份恢复本项要求包括：a）备份数据应采取与原数据一致的平安保护措施；b）大数据平台应保证用户数据存在假设干个可用的副本，各副本之间的内容应保持一致，并定期 采取必要的技术措施查验副本数据完整性和可用性；（增强）c）应提供对关键溯源数据的异地备份。9. 2. 5. 3. 8剩余信息保护本项要求包括：a）大数据平台应提供主动迁移功能，数据整体迁移的过程中应杜绝数据残留；b）应基于数据分类分级保护策略，明确数据销毁要求和方式；c）大数据平台应能够根据服务客户提出的数据销毁要求和方式实施数据销毁。9. 2. 5. 3. 9个人信息保护本项要求包括：a）采集、处理、使用、转让、共享、披露个人信息应在个人信息处理的授权同意范围内，并保 留操作审计记录；b）应采取措施防止在数据处理、使用、分析、导出、共享、交换等过程中识别出个人身份信息， 如包括生物识别、宗教信仰、金融账户、个人住址等信息；（增强）c）对个人信息的重要操作应设置内部审批流程，审批通过后才能对个人信息进行相应的操作；d）保存个人信息的时间应满足最小化要求，并能够对超出保存期限的个人信息进行删除或匿名 化处理。9. 2.5. 3.10数据溯源本项要求包括：a）应跟踪和记录数据采集、处理、分析和挖掘等过程，保证溯源数据能重现相应过程；b）溯源数据应满足数据业务要求和合规审计要求，留存相关的溯源数据不少于六个月；（增强）c）应采取技术手段保证数据源的真实可信。95平安管理中心9. 2.5.4. 1系统管理本项要求包括：a）大数据平台应为服务客户提供管理其计算和存储资源使用状况的能力；b）大数据平台应对其提供的辅助工具或服务组件实施有效管理；c）大数据平台应屏蔽计算、内存、存储资源故障，保障业务正常运行；d）大数据平台在系统维护、在线扩容等情况下，应保证大数据应用和大数据资源的正常业务处 理能力。9. 2. 5. 4. 2集中管控应对大数据系统提供的各类接口的使用情况进行集中审计和监测，并在发生问题时提供报警。9. 2. 5. 5平安管理制度9. 2. 5. 5.1平安策略本项要求包括：a）应制定大数据平安工作的总体方针和平安策略，说明本机构大数据平安工作的目标、范围、 原那么和平安框架等相关内容：b）大数据平安策略应覆盖数据生命周期相关的数据平安，内容至少包括目的、范围、岗位、责 任、管理层承诺、内外部协调及合规性要求等。9. 2. 5. 6平安管理机构授权和审批本项要求包括：a）数据的采集应获得数据源管理者的授权，确保符合数据收集最小化原那么；b）应建立数据导入、导出、集成、分析、交换、交易、共享及公开的授权审批控制流程，赋予 数据活动主体的最小操作权限、最小数据集和权限有效时长，依据流程实施相关控制并记录 过程，及时回收过期的数据访问权限；c）应建立跨境数据的评估、审批及监管控制流程，并依据流程实施相关控制并记录过程。d）应建立数据分类分级变更审批流程和机制，并依据流程实施相关控制并记录数据分类分级的 变更操作等过程。（新增）9. 2. 5. 6. 2 审核和检查应定期对个人信息平安保护措施的有效性进行常规平安检查。平安建设管理9. 2. 5.7. 1服务供应商选择本项要求包括：a）应选择平安合规的大数据平台，其所提供的大数据平台服务应为其所承载的大数据应用和大 数据资源提供相应等级的平安保护能力；b）应以书面方式约定大数据平台提供者和大数据平台使用者的权限与责任、各项服务内容