1 范圍

      本標準規(guī)定了云制造服務平臺安全防護體系中資源層、IAAS層、PAAS層及SAAS層安全防護管理要求。

      本標準適用于云制造服務平臺安全防護體系管理。

2 規(guī)范性引用文件

      下列文件對于本文件的引用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB 50174-2017 數(shù)據(jù)中心設計規(guī)范

3 術語和定義

      下列術語和定義適用于本文件。

3.1

      云制造服務平臺 cloud manufacturing service platform

      支持產(chǎn)品全生命周期各類活動，支持各類制造資源與制造能力的感知與接入、虛擬化、服務化、搜索、發(fā)現(xiàn)、匹配、組合、交易、執(zhí)行、調(diào)度、結算、評估等，支持用戶的普適使用，支持分散的制造資源和制造能力集中管理、集中的制造資源和制造能力分散服務的支撐環(huán)境以及工具集。

      ［GB/T 29826-2013，定義2.1.5］

3.2

      網(wǎng)絡安全 network security

      使網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，保證系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷的過程。

3.3

      平臺安全 platform security

      保護整個云制造服務平臺環(huán)境及基礎設施、應用程序、數(shù)據(jù)和信息的策略和實踐，防止未經(jīng)授權的使用/訪問、分布式拒絕服務攻擊（DDoS）、惡意軟件等威脅的過程。

3.4

      應用安全 application security

      在應用程序中通過查找、修復和預防安全漏洞并開發(fā)、添加和測試安全功能，以防止應用程序受到未經(jīng)授權訪問和篡改等威脅，從而使應用程序更加安全的過程。

3.5

      數(shù)據(jù)安全 data security

      在數(shù)據(jù)全生命周期中對數(shù)據(jù)進行保護，從而防止對數(shù)據(jù)的未授權訪問及數(shù)據(jù)的損害的過程。

3.6

      基礎設施即服務 infrastructure as a service；IAAS

      提供給消費者的服務是對所有計算基礎設施的利用，包括處理CPU、內(nèi)存、存儲、網(wǎng)絡和其他基本的計算資源，用戶能夠部署和運行任意軟件，包括操作系統(tǒng)和應用程序。

3.7

      平臺即服務 platform as a service；PAAS

      提供給消費者的服務是將客戶使用供應商提供的開發(fā)語言和工具開發(fā)的或采購的應用程序部署到供應商的云計算基礎設施上去。

      注：開發(fā)語言和工具有Java、Python、.Net等。

3.8

      軟件即服務 software as a service；SAAS

      提供給客戶的服務是運營商運行在云計算基礎設施上的應用程序，用戶可以在各種設備上通過客戶端界面訪問。

      注：消費者不需要管理或控制任何云計算基礎設施，包括網(wǎng)絡、服務器、操作系統(tǒng)、存儲等。

4 縮略語

      下列縮略語適用于本文件。

      ACL：訪問控制列表（Access Control List）

      CPU：中央處理器（Central Processing Unit）

      DDN：數(shù)字數(shù)據(jù)網(wǎng)（Digital Data Network）

      DDoS：分布式拒絕服務（Distributed Denial of Service）

      ECA：事件-條件-動作（Event-Condition-Action）

      FTP：文件傳輸協(xié)議（File Transfer Protocol）

      IP：網(wǎng)際協(xié)議（Internet Protocol）

      IPS：入侵防御系統(tǒng)（Intrusion Prevention System）

      IDS：入侵檢測系統(tǒng)（Intrusion Detection System）

      NAT：網(wǎng)絡地址轉換（Network Address Translation）

      SDN：軟件定義網(wǎng)絡（Software-Defined Networks）

      SQL：結構化查詢語言（Structured Query Language）

      SSL：安全套接字層（Secure Sockets Layer）

      TLS：傳輸層安全（Transport Layer Security）

      URL：統(tǒng)一資源定位符（Uniform Resource Locator）

5 總體概述

      云制造服務平臺安全防護管理體系由資源層安全管理要求與云平臺層安全防護管理要求構成，其中云平臺層安全管理要求包括IAAS層、PAAS層及SAAS層安全防護管理要求。資源層安全管理要求具體包括設備接入控制安全、設備安全、邊界防護安全、網(wǎng)絡傳輸安全管理要求，平臺IAAS層安全防護管理要求包括網(wǎng)絡安全、主機安全、虛擬化安全、物理環(huán)境安全管理要求，平臺PAAS層安全防護管理要求包括工業(yè)數(shù)據(jù)接入及管理安全、統(tǒng)一運行環(huán)境安全、工業(yè)模型及算法安全管理要求，平臺SAAS層安全防護管理要求具體包括應用漏洞及異常檢測、應用邏輯安全、應用安全審計、后臺系統(tǒng)安全管理要求?？傮w架構如圖1所示。

圖1 云制造服務平臺安全防護管理體系架構

6 資源層安全防護要求

6.1 設備接入控制安全要求

      設備在接入平臺網(wǎng)關時應進行認證，未通過認證的設備應阻止其接入。

6.2 設備安全要求

6.2.1 設備安全檢測

      應對設備定期進行安全檢測，檢查其運行狀況，并進行漏洞掃描和安全補丁升級。

6.2.2 設備監(jiān)控告警

      應通過傳感器或視頻監(jiān)控等方式對設備進行遠程監(jiān)控和告警，實現(xiàn)設備狀態(tài)監(jiān)測和預防性維護。

以上為標準部分內(nèi)容，如需看標準全文，請到相關授權網(wǎng)站購買標準正版。