工业互联网标识解析 课件 项目6 掌握工业互联网标识解析安全

项目内容工业互联网标识解析项目6掌握工业互联网标识解析安全任务6.1掌握标识解析安全风险总体模型任务6.2学习标识解析体系安全保障任务6.3了解标识解析典型安全应用场景6.1掌握标识解析安全风险总体模型工业互联网标识解析项目6掌握工业互联网标识解析安全1.标识解析安全风险总体模型2.风险分析视角模型5.任务实施3.风险管理视角模型4.风险措施视角模型标识解析安全风险总体模型011.标识解析安全风险总体模型工业互联网标识解析安全风险分析模型基于三个视角构建，分别为风险分析视角、风险管理视角和风险措施视角，如图6-2所示。三个风险分析视角相对独立的同时又相互关联，相辅相成构成一个有机整体。图6-2工业互联网标识解析安全风险分析模型总体架构风险分析视角模型022.风险分析视角模型图6-3风险分析视角模型架构安全风险分析：主要分析内容有节点可用性风险、节点间协同风险、关键节点关联性风险等架构安全风险分析。身份安全风险分析：主要分析方向涉及人、机、物三种角色的身份欺骗、越权访问、权限紊乱、设备漏洞等。数据安全风险分析：主要分析内容涉及标识注册数据、标识解析数据和日志数据的数据窃取、数据篡改、隐私数据泄露、数据丢失等。运营安全风险分析：主要分析内容有物理环境管理、访问控制管理、业务连续性管理、人员管理、机构管理、流程管理等。风险管理视角模型033.风险管理视角模型图6-4风险管理视角模型风险目标：旨在确立工业互联网标识解析风险评估和业务保障的对象。指标体系：基于风险目标，确立风险评估指标体系。风险识别：针对风险目标，实现潜在风险的识别。风险策略：针对风险目标的潜在风险制定相应的安全防护策略。风险措施视角模型044.风险措施视角模型图6-5风险措施视角模型行业监管：通过统一领导和统一指挥，建立起联动监管机制。安全监测：针对四大风险分析对象，实现风险监测。态势感知：采用部署相应的监测措施，实现安全风险的实时感知。威胁预警：针对态势感知监测到的风险，实现风险预警。响应处置：通过建立响应处置机制，及时应对安全风险。任务实施05通过Navicat工具的使用，掌握数据库的基本原理与操作。（1）任务目标5.任务实施（2）任务实施环境准备一台带有浏览器的计算机。步骤1：下载Navicat。在浏览器中打开Navicat官网下载地址链接，根据所使用的计算机类型选择相对应的版本进行下载。（3）任务实施内容5.任务实施步骤2：安装Navicat。（3）任务实施内容5.任务实施步骤3：建立新的数据库连接。在主界面左上角单击“连接”按钮，选择数据库类型，如MySQL。在弹出的对话框中输入相关连接信息，包括连接名称、主机地址、端口、用户名、密码等。单击“连接测试”按钮，验证所填写的信息是否正确。若连接成功，单击“确定”按钮完成新连接的创建。（3）任务实施内容5.任务实施步骤4：获取与存储数据。搜索并打开数据采集系统，进入数据采集系统。在设备列表中，将设备的状态、加工数据、加工程序传输至平台中，平台通过数据解析后取得相应的数据并将其存储至数据库中，以方便技术人员查看设备数据并进行相应的设备维护。（3）任务实施内容5.任务实施步骤5：连接数据库。（3）任务实施内容5.任务实施步骤6：查询加工数据。通过指令查询2022年10月21日上午8:00到9:00时间段4号机台的加工数据。（3）任务实施内容5.任务实施标识解析感谢您的耐心观看项目内容工业互联网标识解析项目6掌握工业互联网标识解析安全任务6.1掌握标识解析安全风险总体模型任务6.2学习标识解析体系安全保障任务6.3了解标识解析典型安全应用场景6.2学习标识解析体系安全保障工业互联网标识解析项目6掌握工业互联网标识解析安全1.安全网络要求测试2.身份认证与访问控制测试4.任务实施3.安全传输测试安全网络要求测试011.安全网络要求测试二级节点需保障标识注册和解析系统在网络上的安全运行环境，采用防火墙、网络访问控制等方式进行网络安全防御。此外，二级节点还需提供注册标识服务的安全防护措施，支持内外网隔离、黑白名单IP地址访问机制。

（1）测试内容

-保障标识解析系统在网络上的安全运行环境。

-二级节点注册标识服务的安全防护。（2）测试规程及步骤

-检查二级节点是否采用有效方式进行网络安全防御，如采用防火墙技术、网络访问控制机制等。

-检查二级节点是否支持标识注册服务内外网隔离、黑白名单IP地址访问机制。（3）判定规则若二级节点通过测试规程各测试步骤，则本测试判定为“通过”。否则，判定为“不通过”。保障安全运行环境身份认证与访问控制测试022.身份认证与访问控制测试二级节点应具备用户认证机制，确保访问二级节点的用户身份的真实性，应支持多种身份认证模式。主要体现在：

1）支持多种管理员登录的方式，例如公私钥登录、密码登录。

2）支持角色、用户分类，支持不同角色、用户对标识访问的权限设置。

3）支持设置标识属性的读写权限，例如公共可读、公共可写、管理员可读、管理员可写。

4）支持设置标识和标识属性的分级访问权限，不同用户查看的标识属性不同。支持多种身份认证模式2.身份认证与访问控制测试

（1）测试内容

-用户认证机制。

-多种身份认证模式。（2）测试规程及步骤

-检查二级节点是否支持多种管理员登录的方式。分别采用公私钥登录、密码登录等不同形式登录二级节点进行检查。

-检查二级节点是否支持角色、用户分类，以及是否支持不同角色、用户对标识访问的权限设置。对标识设置访问权限，使用不同用户、不同角色对其进行解析，解析结果应满足对不同用户、角色的区分。

-检查二级节点是否支持设置标识属性的读写权限，如公共可读、公共可写、管理员可读、管理员可写等。对标识属性设置读写权限，分别使用公共用户和管理员用户对标识进行解析和更新属性的操作，结果应满足对读写权限的区分。

-检查二级节点是否支持设置标识和标识属性的分级访问权限。不同用户可查看的标识属性应该不一样，要求满足属性级的访问权限控制。对标识属性进行权限分组，利用不同用户解析标识属性，解析结果应根据权限分组显示相应的标识属性。（3）判定规则若二级节点通过测试规程各测试步骤，则本测试判定为“通过”。否则，判定为“不通过”。支持多种身份认证模式安全传输测试033.安全传输测试二级节点分别与国家顶级节点、递归节点、企业节点对接，应具备相应的安全传输能力，从而实现完整、准确且有效的通信数据传输。

（1）测试内容

-与国家顶级节点通信安全传输。

-与递归节点通信安全传输。

-与企业节点通信安全传输。（2）测试规程及步骤

-与国家顶级节点通信安全传输。

-与递归节点通信安全传输。

-与企业节点通信安全传输。（3）判定规则若二级节点通过测试规程各测试步骤，则本测试判定为“通过”。否则，判定为“不通过”。数据传输具备支持安全通道的能力任务实施04通过对信息路由器的标识码进行解析溯源，掌握机构（企业）间安全可控的信息交互方法。（1）任务目标4.任务实施（2）任务实施环境准备一台带有浏览器的计算机。步骤1：平台登录。（3）任务实施内容4.任务实施步骤2：注册标识模板。展开左侧导航栏标识管理菜单，单击“标识模板”项，打开标识模板界面，单击“添加标识”按钮，输入企业前缀和产品型号，为企业注册一个路由器的标识模板。（3）任务实施内容4.任务实施步骤3：注册路由器。路由器的标识模板注册完成后，单击“标识管理”下的“标识注册”项，在标识注册界面，为每一次路由器标识进行注册。（3）任务实施内容4.任务实施步骤4：复制标识码。路由器的标识注册完成后，在标识注册列表里面可以看到已注册的标识码，右击相应标签标识，在弹出的快捷菜单中选择“复制”命令，可对其进行复制。（3）任务实施内容4.任务实施步骤5：绑定标识码。选择“仓库管理”下的“产品库存”项，在产品库存界面中，将复制的标识码粘贴至路由器的绑定标识中，即可实现将标识码绑定在相应的路由器上。（3）任务实施内容4.任务实施步骤6：生成二维码。标识码与路由器绑定完成后，在产品库存界面可查看到标识码所生成的二维码，可打印该二维码并将其附在出货的路由器上，实现一物一码。（3）任务实施内容4.任务实施步骤7：对标识码解析溯源。选择“质量管理”下的“产品溯源”项，在产品溯源界面，通过扫描标签可以对出货产品即路由器的标识码进行解析溯源。（3）任务实施内容4.任务实施标识解析感谢您的耐心观看项目内容工业互联网标识解析项目6掌握工业互联网标识解析安全任务6.1掌握标识解析安全风险总体模型任务6.2学习标识解析体系安全保障任务6.3了解标识解析典型安全应用场景6.3了解标识解析典型安全应用场景工业互联网标识解析项目6掌握工业互联网标识解析安全1.基础设施安全防护2.网络安全防护4.数据安全防护3.应用安全防护5.安全管理要求6.物理和环境安全7.任务实施基础设施安全防护011.基础设施安全防护基础设施安全防护包含主机安全、存储安全、云安全、身份认证与访问控制、防病毒等。二级节点应具备支持对企业节点及标识查询客户端的身份认证、对企业节点及标识查询客户端的访问控制及权限管理能力。网络安全防护022.

网络安全防护网络安全防护包含网络与边界的划分隔离、访问控制、机密性和完整性保护、异常监测、入侵防范、防DDoS攻击等。二级节点应具备根据业务特点划分为不同的安全域的能力。不同的安全域之间采用必要的技术隔离手段，如增设防火墙、入侵检测及入侵防御系统，以防范网络攻击。应用安全防护033.

应用安全防护应用安全防护包含标识解析系统及应用的访问控制、攻击防范、入侵防范、行为管控、协议安全、API安全等。二级节点应用应具备对用户和终端身份进行认证和鉴别的能力，以确保身份标识的唯一性。数据安全防护044.数据安全防护数据安全防护包含数据分级分类、数据脱敏加密、完整性保护、数据备份恢复、数据安全销毁等。二级节点应具备数据备份能力，且应依照要求将数据托管至国家顶级节点，以保障节点安全稳定运行。安全管理要求055.安全管理要求安全管理要求包含安全管理制度要求、安全管理机构和人员要求、安全建设和管理要求、安全运维管理要求等。二级节点应具备健全的安全管理机制，该机制应涵盖网络安全部门管理、安全专职人员管理、网络安全制度管理、应急处置预案等多个方面。若二级节点运营过程中出现的异常情况或突发网络安全事件，应及时上报相关主管部门。物理和环境安全066.物理和环境安全

物理和环境安全主要针对如自建机房等二级节点，包含物理访问控制、防盗窃和放破坏、防雷击、防火、防水和防潮、电磁防护等。二级节点应具备机房安全管理制度和规范，对机房所在区域的访问授权、人员出入登记、视频监控等安全防护措施进行强化，对机房通信线路、机房周边环境进行定期巡查，同时做好人员登记和巡查记录。需对异常情况掌握规范的处理流程：

1）应确保信息部门和业务部门高效协同开展应急处置工作，在出现异常情况时能有效降低业务中断时长和损失。

2）二级节点责任主体应根据异常影响范围及故障时长，制定不同等级的异常响应措施及应急工作流程。接着，建立应急联络组，在出现系统异常时确保与应急处理负责人的及时联系。

3）应急负责人在异常处理限定时间范围内，根据应急处理流程恢复系统，并编制故障分析报告、制定整改措施和计划。通过各部门、各责任主体的配合工作，根据相关规定与工作流程及时准确地应对异常，并做相应整改，方可确保工业互联网标识解析体系的