征求意见稿-企业研发制造资源共享 第6部分：安全隔离.pdfVIP

T/BIAIMXXXXX—20XX

企业研发制造资源共享第6部分：安全隔离

1范围

本文件规定了安全架构，以及云资源、边缘资源和终端资源的安全隔离要求。

本文件适用于工业网关设备的设计、开发、管理及应用。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

本文件没有需要界定的术语和定义。

4安全架构

概述

安全架构如图1所示。该架构旨在为研发制造资源的安全管控与隔离提供全面、系统的指导，涵盖

云边端三层架构，通过明确安全管控与隔离的对象、原则、目标以及各层之间的接入隔离措施等，确保

研发制造资源在不同环境下的安全可靠运行，防止安全事件的发生和扩散。

图1安全架构

云端资源

4.2.1云端资源分类

云端资源包括：

1

T/BIAIMXXXXX—20XX

——计算资源：云服务器实例、容器等，应具备资源隔离机制，确保不同租户或应用之间的计算

资源互不干扰；

——存储资源：对象存储、块存储等，需通过访问控制、加密等技术实现数据的隔离存储和安全

访问；

——网络资源：虚拟网络、子网、防火墙等，应配置合理的网络隔离策略，限制网络流量和访问

权限；

——数据库资源：关系型数据库、非关系型数据库等，应进行数据库实例的隔离，并实施严格的

用户认证和授权机制。

4.2.2云端隔离方式

云端隔离方式包括：

——租户隔离：各租户在云端拥有独立逻辑运行环境，包括专属网络、计算与存储资源，杜绝资

源、数据及操作的相互干扰与信息泄露；

——云共享资源隔离：研发、制造与技术资料等共享资源依部门或项目隔离，设严格权限与加密

机制，授权访问并详录审计；

——应用系统隔离：应用系统部署于独立虚拟网络或容器，管控隔离网络流量，依安全策略经安

全接口与加密通道交互数据，防漏洞传播与泄露；

——SaaS服务隔离：对不同SaaS服务提供商与类型，从网络、数据、身份认证授权多层面隔离防

护，保服务间安全稳定。

边缘端资源

4.3.1边缘端资源分类

边缘端资源包括：

——用户资源：包括用户的身份信息、设备、数据、网络连接、计算需求、配置偏好及相应的访

问权限等资源；

——边缘计算节点：物理上分布在靠近数据源或用户端的计算节点，可按照地理位置（如不同车

间、厂区等）、业务功能（如数据采集节点、初步数据处理节点等）、网络区域（划分不同

的域）等进行分类，其涵盖的资源有计算资源（如边缘服务器的CPU、GPU等算力资源）、

存储资源（本地硬盘、缓存设备等用于临时存储数据的资源）以及网络资源（连接到云端和

终端的网络接口等）；

——应用系统资源：在边缘端运行的各类应用，例如数据采集与预处理系统、实时监控系统、本

地数据分析系统等，不同的应用系统在数据处理方式、用户权限管理等方面存在差异，需要

进行隔离；

——数据资源：边缘端产生、传输和临时存储的数据，按照数据来源（如生产设备传感器数据、

人工录入数据等）、数据用途（如用于质量检测的数据、用于能耗分析的数据等）、数据敏

感度（如涉及产品核心工艺的数据、一般性运行状态数据等）进行分类；

——存储资源：包含边缘节点上的各类存储设备及对应的存储分区，用于保存不同类型的数据，

如实时性要求高的数据存储在高速缓存区，历史数据存储在大容量的硬盘分区等，需要进行

资源隔离管理，防止数据混乱和越权访问。

4.3.2边缘端隔离方式

边缘端隔离方式包括：

——用户隔离：为边缘端用户建可靠认证授权体系，以强加密存储传输登录凭证，以多维度综合