工业互联网安全防护体系精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的工业互联网安全防护体系主题范文，仅供参考，欢迎阅读并收藏。

第1篇：工业互联网安全防护体系范文

以下是《通信网络安全防护监督管理办法(征求意见稿)》全文：

为切实履行通信网络安全管理职责，提高通信网络安全防护水平，依据《中华人民共和国电信条例》，工业和信息化部起草了《通信网络安全防护监督管理办法(征求意见稿)》，现予以公告，征求意见。请于2009年9月4日前反馈意见。

联系地址:北京西长安街13号工业和信息化部政策法规司(邮编:100804)

电子邮件:wangxiaofei@miit.gov.cn

附件:《通信网络安全防护监督管理办法(征求意见稿)》

通信网络安全防护监督管理办法

(征求意见稿)

第一条(目的依据)为加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据《中华人民共和国电信条例》，制定本办法。

第二条(适用范围)中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作，适用本办法。

本办法所称互联网域名服务，是指设置域名数据库或域名解析服务器，为域名持有者提供域名注册或权威解析服务的行为。

本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或被非法控制等以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等而开展的相关工作。

第三条(管辖职责)中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调、监督和检查，建立健全通信网络安全防护体系，制订通信网络安全防护标准。

省、自治区、直辖市通信管理局(以下简称“通信管理局”)依据本办法的规定，对本行政区域内通信网络安全防护工作进行指导、协调、监督和检查。

工业和信息化部和通信管理局统称“电信管理机构”。

第四条(责任主体)通信网络运行单位应当按照本办法和通信网络安全防护政策、标准的要求开展通信网络安全防护工作，对本单位通信网络安全负责。

第五条(方针原则)通信网络安全防护工作坚持积极防御、综合防范的方针，实行分级保护的原则。

第六条(同步要求)通信网络运行单位规划、设计、新建、改建通信网络工程项目，应当同步规划、设计、建设满足通信网络安全防护标准要求的通信网络安全保障设施，并与主体工程同时进行验收和投入运行。

已经投入运行的通信网络安全保障设施没有满足通信网络安全防护标准要求的，通信网络运行单位应当进行改建。

通信网络安全保障设施的规划、设计、新建、改建费用，应当纳入本单位建设项目预算。

第七条(分级保护要求)通信网络运行单位应当按照通信网络安全防护标准规定的方法，对本单位已正式投入运行的通信网络进行单元划分，将各通信网络单元按照其对国家和社会经济发展的重要程度由低到高分别划分为一级、二级、三级、四级、五级。

通信网络单元的分级结果应由接受其备案的电信管理机构组织专家进行评审。

通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别。通信网络运行单位调整通信网络单元的划分和级别的，应当按照前款规定重新进行评审。

第八条(备案要求1)通信网络运行单位应当按照下列规定在通信网络投入运行后30日内将通信网络单元向电信管理机构备案:

(一)基础电信业务经营者集团公司直接管理的通信网络单元，向工业和信息化部备案；基础电信业务经营者各省(自治区、直辖市)子公司、分公司负责管理的通信网络单元，向当地通信管理局备案。

(二)增值电信业务经营者的通信网络单元，向电信业务经营许可证的发证机构备案。

(三)互联网域名服务提供者的通信网络单元，向工业和信息化部备案。

第九条(备案要求2)通信网络运行单位办理通信网络单元备案，应当提交以下信息:

(一)通信网络单元的名称、级别、主要功能等。

(二)通信网络单元责任单位的名称、联系方式等。

(三)通信网络单元主要负责人的姓名、联系方式等。

(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号、关键设施位址等。

前款规定的备案信息发生变化的，通信网络运行单位应当自变更之日起15日内向电信管理机构变更备案。

第十条(备案审核)电信管理机构应当自收到通信网络单元备案申请后20日内完成备案信息审核工作。备案信息真实、齐全、符合规定形式的，应当予以备案；备案信息不真实、不齐全或者不符合规定形式的，应当通知备案单位补正。

第十一条(符合性评测要求)通信网络运行单位应当按照通信网络安全防护标准的要求，落实与通信网络单元级别相适应的安全防护措施，并自行组织进行符合性评测。评测方法应当符合通信网络安全防护标准的有关规定。

三级及三级以上通信网络单元，应当每年进行一次符合性评测；二级通信网络单元，应当每两年进行一次符合性评测。通信网络单元的级别调整后，应当及时重新进行符合性评测。

符合性评测结果及整改情况或者整改计划应当于评测结束后30日内报送通信网络单元的备案机构。

第十二条(风险评估要求)通信网络运行单位应当对通信网络单元进行经常性的风险评估，及时消除重大网络安全隐患。风险评估方法应当符合通信网络安全防护标准的有关规定。

三级及三级以上通信网络单元，应当每年进行一次风险评估；二级通信网络单元，应当每两年进行一次风险评估；国家重大活动举办前，三级及三级以上通信网络单元应当进行风险评估。

风险评估结果及隐患处理情况或者处理计划应当于风险评估结束后30日内上报通信网络单元的备案机构。

第十三条(灾难备份要求)通信网络运行单位应当按照通信网络安全防护标准的要求，对通信网络单元的重要线路、设备、系统和数据等进行备份。

第十四条(演练要求)通信网络运行单位应当定期或不定期组织演练检验通信网络安全防护措施的有效性，并参加电信管理机构组织开展的演练。

第十五条(监测要求)通信网络运行单位应当对本单位通信网络的安全状况进行自主监测，按照通信网络安全防护标准建设和运行通信网络安全监测系统。

通信网络运行单位的监测系统应当按照电信管理机构的要求，与电信管理机构的监测系统互联。

第十六条(CNCERT职责)工业和信息化部委托国家计算机网络应急技术处理协调中心建设和运行互联网网络安全监测系统。

第十七条(安全服务规范)通信网络运行单位委托其他单位进行安全评测、评估、监测等工作的，应当加强对受委托单位的管理，保证其服务符合通信网络安全防护标准及有关法律、法规和政策的要求。

第十八条(监督检查)电信管理机构应当根据本办法和通信网络安全防护政策、标准，对通信网络运行单位开展通信网络安全防护工作的情况进行监督检查。

第十九条(检查措施)电信管理机构有权采取以下措施对通信网络安全防护工作进行监督检查:

(一)查阅通信网络运行单位的符合性评测报告和风险评估报告。

(二)查阅通信网络运行单位的有关文档和工作记录。

(三)向通信网络运行单位工作人员询问了解有关情况。

(四)查验通信网络运行单位的有关设施。

(五)对通信网络进行技术性分析和测试。

(六)采用法律、行政法规规定的其他检查方式。

第二十条(委托检查)电信管理机构可以委托网络安全检测专业机构开展通信网络安全检测活动。

第二十一条(配合检查的义务)通信网络运行单位对电信管理机构及其委托的专业机构依据本办法开展的监督检查和检测活动应当予以配合，不得拒绝、阻挠。

第二十二条(规范检查单位)电信管理机构及其委托的专业机构对通信网络安全防护工作进行监督检查和检测，不得影响通信网络的正常运行，不得收取任何费用，不得要求接受监督检查的单位购买指定品牌或者指定生产、销售单位的安全软件、设备或者其他产品。

第二十三条(规范检查人员)电信管理机构及其委托的专业机构的监督检查人员应当忠于职守、坚持原则，不得泄漏监督检查工作中知悉的国家秘密、商业秘密、技术秘密和个人隐私。

第二十四条(对专业机构的要求)电信管理机构委托的专业机构进行检测时，应当书面记录检查的对象、时间、地点、内容、发现的问题等，由检查单位和被检查单位相关负责人签字盖章后，报委托方。

第二十五条(罚则1)违反本办法第六条、第七条、第八条、第九条、第十一条、第十二条、第十三条、第十四条、第十五条、第十七条、第二十一条规定的，由电信管理机构责令改正，给予警告，并处5000元以上3万元以下的罚款。

第二十六条(罚则2)未按照通信网络安全防护标准落实安全防护措施或者存在重大网络安全隐患的，由电信管理机构责令整改，并对整改情况进行监督检查。拒不改正的，由电信管理机构给予警告，并处1万元以上3万元以下的罚款。

第2篇：工业互联网安全防护体系范文

关键词：Web应用程序；Web安全；安全弱点；安全漏洞；Web开发

中图分类号：TP393.08

进入二十一世纪以来，互联网以惊人的速度在中国应用和普及。互联网已经成为一项重要的社会基础设施，Web应用也逐渐成为软件开发的主流之一[1]。Web页面是所有互联网应用的主要界面和入口，各行业信息化过程中的应用几乎都架设在Web平台上，关键业务也通过Web网站来实现。经过调查发现：目前，传统的大多数企事业网站通常采用防火墙、入侵检测/漏洞扫描等技术作为网站边界的防护[2]。尽管防火墙、入侵检测等技术已经比较成熟，Web应用的特殊性往往导致防范各类安全性问题的难度很大，因为Web应用攻击通常来自应用层，并且可能来自任何在线用户，甚至包括已经通过认证的用户[3]。同时，对Web应用程序的攻击也可以说是形形、种类繁多，常见的有挂马、SQL注入、缓冲区溢出等。正是因为这样，Web应用程序最容易遭受攻击，Web应用程序的安全性变得越来越重要。

1 Web应用的安全弱点

Web应用本身具有一些安全弱点，归纳起来有以下几点：

（1）TCP/IP协议本身的缺陷。

（2）网络结构的不安全性。

（3）数据窃听。

（4）验证手段的有效性问题。

（5）人为因素。

2 Web应用程序的安全漏洞

根据Symantec的《SymantecInternetSecurItythreatreport》，60%以上的软件安全漏洞是关于Web应用的[4]。开放式Web应用程序安全项目（openWebapplIcatIonSecurItyproject，OWASP）在2010年公布的Web应用十大安全漏洞中[5]：

（1）注入漏洞。

（2）跨站脚本漏洞。

（3）失败的认证和会话管理。

（4）直接对象引用隐患。

（5）CSRF跨站点请求伪造。

（6）安全配置错误。

（7）限制URL访问失败。

（8）尚未验证的访问重定向。

（9）不安全的密码存储。

（10）传输层保护不足。

另外还值得一提的是，很多程序员常使用网上一些公开免费的源码模版来开发Web应用程序，公开的源码的安全性低，非常容易让黑客找到源码的漏洞，从而威胁到Web应用程序的安全。

3 Web应用程序开发中的安全对策

一个Web系统由Web服务器系统、Web客户端系统和Internet网络组成[6]。这三个系统都会产生Web应用程序的安全问题，所以Web应用程序的安全问题是一个复杂的综合问题。在Web应用程序开发阶段就应对于安全问题予以重视，下面分别从数据库设计、程序设计、服务器等三个层面去考虑如何加强Web应用程序的安全性。

3.1 数据库设计层面

数据库存放着Web应用程序最重要的部分：数据。在开发过程中的数据库设计阶段就应该考虑好安全问题，以下建议有助于提高其安全性。

（1）在设计数据库时如果涉及跨库操作，应尽量使用视图来实现。

视图可以让用户或者程序开发人员只看到他们所需要的数据，而不需要把表中的所有信息与字段暴露出来，这样增强了数据的安全性。

（2）对数据库的操作使用存储过程。

（3）注意使用数据库建表时的字段类型，不要用可能被修改的字段做主键，否则会给相关记录的更新带来隐患。

（4）尽量避免大事务的处理。

（5）尽量避免使用游标。

3.2 程序设计层面

目前大多数的网络攻击和互联网安全事件源于应用软件自身的脆弱性，而其根源来自程序开发者在网页程序编制过程中缺乏相关的安全意识和知识，并且开发完成后也缺乏相应的代码检测机制和手段。这些脆弱性在日后就成为了黑客用来发动攻击、进行页面篡改、以及布放和传播网页木马的最有效途径[7]。

Web应用系统形式多样，但其内在特征基本一致，即具有较强的交互性并且使用数据库系统。由于SQL注入使用SQL语法，从技术上讲，凡是Web 应用中构造SQL语句的步骤均存在潜在的攻击风险。因此，如果对用户的输入不做合法性验证，就不能避免SQL注入的发生[8]。

作为Web应用程序的开发者，决不能假定用户不会有恶意行为，也不能假定用户输入的数据都是安全的。对恶意的用户来说，从客户端向Web应用程序发送具有潜在危险的数据是很容易的。程序也可能有未被检查出的错误和漏洞，会成为攻击者下手的对象。

对此开发者在设计和开发Web应用程序时应采取必要的安全设计措施：

（1）对用户输入的数据进行客户端验证和服务器端验证，严禁非法数据进入数据库。

Web应用存在的漏洞和安全隐患很大程度上是由于对用户的某些输入数据缺乏相应的校验或异常处理机制造成的[9]。非法输入问题是最常见的Web应用程序安全漏洞。正确的输入验证是防御目前针对Web应用程序的攻击最有效的方法之一，是防止XSS、SQL注入、缓冲区溢出和其他输入攻击的有效手段，合适的输入验证能减少大量软件的弱点。

验证应尽量放在客户端进行，这样可以减轻服务器的压力，界面更友好，缺点则是它并不能保证所有的攻击被阻止，因为当攻击者了解了它的规则后可以轻易的变换攻击脚本来绕道过它的防御[10]。所以，服务器端验证绝不能省略

（2）启用验证码，防止黑客用程序穷举账户密码，同时防止垃圾信息。

（3）注意文件上传。如果一定要设计文件上传功能，要限制可上传的文件类型和大小，规定好上传文件的权限，且不能让用户自行定义存储路径和文件名，可以考虑其他的设计方法，例如：让应用程序为用户确定文件名，用户输入的文件名为别名。对于图像上传功能，需要验证上传图像的格式及大小是否合乎要求。

（4）采用安全编码标准。为开发语言和平台指定安全编码标准，并采用这些标准。程序只应实现指定的功能，代码保持简单性、规范性。复杂的设计既提高了编码时错误的机率，也更易产生安全漏洞。尽可能使用安全函数进行编码，必须考虑意外情况并进行处理。

（5）不要回显未经筛选的数据。不要将敏感信息，例如隐藏域或Cookie存储在可从浏览器访问的位置，更不要将密码存储在Cookie中。

（6）及时关闭已不用的对象。例如：在使用开发时，DataReader对象需要及时关闭。

（7）尽量使用简单SQL，避免两表以及多表联查。

（8）留意编译器警告，编译代码时使用编译器的最高警告级别，通过修改代码来减少警告。

（9）Web应用程序开发采用分层架构，且分层应该清晰。

（10）使用有效的安全质量保证技术。好的质量保证技术能有效的发现和消除弱点。渗透测试、Fuzz测试，以及源代码审计都能作为一种有效的质量保证措施，独立的安全审查能够建立更安全的系统。

（11）不要试图在发现错误后继续执行Web应用程序。

3.3 服务器层面

Web应用系统涉及的服务器主要是Web服务器和数据库服务器。服务器的安全功能要求包括运行安全和数据安全[11]。服务器的安全首先来自操作系统的安全，因为操作系统管理和控制着软硬件资源和网络资源，是防护入侵的第一道防线，只有操作系统安全了，整个系统才会安全。

为保证Web应用程序的安全运行，在服务器架设和配置时可采取的如下措施：

（1）保证服务器的物理安全。

（2）定期对Web应用程序及数据库进行备份，并将备份存放在安全的地方。

（3）使用安全的文件系统（如NTFS），正确设置网站物理目录的访问权限，实行权限最小化原则。

（4）关闭服务器上的不使用的端口和服务。

（5）运行监视入站和出站通信的病毒检查程序。

（6）数据库服务器一定要放在防火墙内，保证和万维网隔离开。

（7）Web服务器采用纵深防御。这是一个通用的安全原则，从多个防御策略中规避风险，如果一层防御失效，则另一层防御还在发挥作用。

（8）经常检查日志，查找可疑活动，包括服务器日志和SQL日志等。

（9）及时安装操作系统或其他应用软件供应商提供的最新安全补丁程序。

（10）Web服务器管理员应常对服务器的安全风险进行检查，例如使用端口扫描程序进行系统风险分析等。

（11）架设Web应用防火墙。

Web应用防火墙（Web Application Firewall，WAF）作为一种专业的Web 安全防护工具，可深入检测Injection、CSS、CSRF及分布式拒绝服务（Distributed Denial of Service，DDoS）等应用层攻击行为，充分保障Web应用的高可用性和可靠性，很好地完成传统IDS无法完成的任务[12]。目前主要的软硬件产品有ModSecurity、WebKnight、WebDefend、BigIP、iwall、冰之眼等[13]。

总的来说，实施安全，要达到好的效果，必须要完成两个目标：①安全方案正确、可靠。②能够发现所有可能存在的安全问题，不出现遗漏[14]。

4 结束语

Web应用程序的开放性、易用性使其安全问题日益突出。如果只想着将Web应用程序开发出来，而不认真考虑安全运行是极为错误的。不管是做什么Web应用程序，安全是首先要考虑的，因为用户最不能容忍的问题就是安全问题。

Web应用本身具有一些天生的安全弱点，其安全漏洞常被利用来攻击。在设计和开发Web应用程序时必须采取各种安全技术措施和手段以加强其安全性，以保证其在开放的互联网环境中能正确安全地运行，而最安全、最有能力抵御攻击的Web应用程序是那些应用安全思想开发的Web应用程序。

参考文献：

[1]于莉莉，杜蒙杉，张平，纪玲利.Web安全性测试技术综述[J].计算机应用研究，2012（11）：4001-4005.

[2]薛辉，邓军，叶柏龙.一种分布式网站安全防护系统[J].计算机系统应用，2012（03）：42-45.

[3]TIPTON H F，KRAUSE M.InformatIon SecurIty management handbook[M].6th ed.NeW York：Auerbach PublIctIonS，2006.

[4]Symantec CorporatIon.SymatecInternet SecurIty threat report.trendS for January-June 07，Volume XII[R].2007.

[5]Open Web ApplIcatIon SecurIty Project.OWASP top 10-2010：the ten moSt crItIcal Web applIcatIon SecurIty rISkS[R].2010.

[6]罗福强.Web应用程序设计实用教程[M].北京：清华大学出版社，2010.

[7]徐竹冰.网站应用层安全防护体系[J].计算机系统应用，2012（01）：81-84.

[8]马凯，蔡皖东，姚烨.Web2.0环境下SQL注入漏洞注入点提取方法[J].计算机技术与发展，2013（03）：121-124.

[9]HUANG Yao-Wen，HUANG S K，LINTP，et al.Web applIcatIon SecurIty aSSeSSment by fault InjectIon and behave Ior monItorIng[C]//Proc of the 12th InternatIonal World WIde Web Conference.NeWYorK：ACM PreSS，2003：148-159.

[10]王溢，李舟军，郭涛.防御代码注入式攻击的字面值污染方法[J].计算机研究与发展，2012（11）：2414-2423.

[11]陈伟东，王超，张力，徐峥，邢希双.服务器系统安全内核研究与实现[J].计算机应用与软件，2013（03）：304-307.

[12]Becher M. Web Application Firewalls： Applied Web Application Security[M].[S. l.]：VDM Verlag，2007.

[13]姚琳琳，何倩倩，王勇，赵帮.基于分布式对等架构的Web应用防火墙[J].计算机工程，2012（22）：114-118.

[14]吴翰清.白帽子讲Web安全[M].北京：电子工业出版社，2012：280.