物联网基础安全 网关管理平台安全分级分类管理技术要求.pdf

物联网基础安全网关管理平台安全分级分类管理技术要求

1范围

文件规定了物联网网关管理平台安全分级分类的方式方法，从安全物理环境、安全通信网络、安全

区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管

理、安全运维管理等方面规定各级各类网关管理平台的安全能力要求。

本文件适用于基于公用电信网的各类物联网网关管理平台系统的设计、开发、生产、运营和安全评

估。

2规范性引用文件

下列文件中的内容通过本文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用

于本文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

YD/T3421.3-2021基于公用电信网的宽带客户智能网关第3部分：网关管理平台技术要求

3术语和定义

本文件没有需要界定的术语和定义。

4缩略语

下列缩略语适用于本文件：

BSS:业务支撑系统(BusinessSupportingSystem)

CGI:公共网关接口(CommonGatewayInterface)

CNVD:国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase)

CSRF:跨站请求伪造(Cross-siteRequestForgery)

CVE:通用漏洞披露(CommonVulnerabilitiesandExposures)

DDoS:分布式拒绝服务攻击(DistributedDenialofService)

HTTPS:超文本传输安全协议(HTTPoverSSL)

OSS:运营支撑系统(OperationSupportingSystem)

SQL:结构化查询语言（StructuredQueryLanguage)

SSL:安全套接字层(SecureSocketsLayer)

TLS:传输层安全(TransportLayerSecurity)

URL:统一资源定位系统(UniformResourceLocator)

XSS:跨站脚本(Cross-siteScripting)

5网关管理平台安全总体原则

5.1安全能力框架

1

网关管理平台功能逻辑架构及功能模块描述见YD/T3421.3-2021第5.2节。

如图1所示，网关管理平台安全能力框架包括技术要求和管理要求两个部分。技术要求是对各等

级平台应具备的安全功能提出要求，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、

安全管理中心五个方面。管理要求对平台的评估及维护管理应具备的安全功能提出要求，包括安全管理

制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面。

图1网关管理平台安全能力框架

5.2分级分类原则

网关管理平台保护的资产是受安全策略保护的网络服务和资源等，还包括平台本身及其内部的重要

数据信息。基于技术要求和管理要求两方面的不同等级，网关管理平台分为五级，第一级最低，第五级

最高。另外，若无特殊说明，更高级别的要求默认满足低级别的要求。

不同安全级别的网关管理平台应具备的安全功能要求和安全管理要求如下：

a)第一级：能够防护外部零散的、拥有很少资源的威胁源发起的恶意攻击，以及其他相当危害程

度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

b)第二级：能够防护外部少量的、拥有较少资源的威胁源发起的恶意攻击，以及其他相当危害程

度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

c)第三级：能够防护外部有组织的、拥有少量资源的威胁源发起的恶意攻击，以及其他相当危害

程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞，具有一定的安全事件处置能力，

在自身遭到损害后，能够在一段时间内恢复部分功能。

d)第四级：能够在统一安全策略下防护外部小规模组织的、拥有较为丰富资源的威胁源发起的恶

意攻击，以及其他相当危害程度的威胁所造成的