企业研发制造资源共享 第6部分：安全隔离.docxVIP

Q/LB.□XXXXX-XXXX

PAGE2

ICS

FORMTEXT

J

FORMTEXT

FORMTEXT

团体标准

T/FORMTEXTBIAIMFORMTEXTXXXXX—FORMTEXT20XX

FORMTEXT?????

FORMTEXT企业研发制造资源共享第6部分：安全隔离

FORMTEXTEnterpriseRDandManufacturingResourceSharing-Part6:SecurityIsolation

（征求意见稿）

FORMTEXT?????

FORMDROPDOWN

FORMTEXT20XX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXT20XX-FORMTEXTXX-FORMTEXTXX实施

北京智能制造创新联盟

发布

STYLEREF标准文件_文件编号T/XXXXXXX—XXXX

STYLEREF标准文件_文件编号T/BIAIMXXXXX—20XX

PAGE1

目次

TOC\o1-1\h\t标准文件_一级条标题,2,标准文件_附录一级条标题,2,前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4安全架构 1

4.1概述 1

4.2云端资源 1

4.3边缘端资源 2

4.4终端资源 3

4.5安全监测与审计机制 3

4.6应急响应与恢复机制 3

5云资源安全隔离 4

5.1云资源安全隔离原则 4

5.2云资源安全隔离要求 4

5.3安全监测与审计机制 9

6边缘资源安全隔离 9

6.1概述 9

6.2边缘资源安全隔离原则 10

6.3边缘资源安全隔离要求 11

6.4安全监测与应急响应 14

7终端资源安全隔离 15

7.1概述 15

7.2终端资源安全隔离原则 16

7.3终端资源安全隔离要求 17

7.4安全监测与应急响应 18

参考文献 20

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由北京智能制造创新联盟提出。

本文件由北京智能制造创新联盟归口。

本文件起草单位：

本文件主要起草人：

企业研发制造资源共享第6部分：安全隔离

范围

本文件规定了安全架构，以及云资源、边缘资源和终端资源的安全隔离要求。

本文件适用于工业网关设备的设计、开发、管理及应用。

规范性引用文件

本文件没有规范性引用文件。

术语和定义

本文件没有需要界定的术语和定义。

安全架构

概述

安全架构如图1所示。该架构旨在为研发制造资源的安全管控与隔离提供全面、系统的指导，涵盖云边端三层架构，通过明确安全管控与隔离的对象、原则、目标以及各层之间的接入隔离措施等，确保研发制造资源在不同环境下的安全可靠运行，防止安全事件的发生和扩散。

安全架构

云端资源

云端资源分类

云端资源包括：

计算资源：云服务器实例、容器等，应具备资源隔离机制，确保不同租户或应用之间的计算资源互不干扰；

存储资源：对象存储、块存储等，需通过访问控制、加密等技术实现数据的隔离存储和安全访问；

网络资源：虚拟网络、子网、防火墙等，应配置合理的网络隔离策略，限制网络流量和访问权限；

数据库资源：关系型数据库、非关系型数据库等，应进行数据库实例的隔离，并实施严格的用户认证和授权机制。

云端隔离方式

云端隔离方式包括：

租户隔离：各租户在云端拥有独立逻辑运行环境，包括专属网络、计算与存储资源，杜绝资源、数据及操作的相互干扰与信息泄露；

云共享资源隔离：研发、制造与技术资料等共享资源依部门或项目隔离，设严格权限与加密机制，授权访问并详录审计；

应用系统隔离：应用系统部署于独立虚拟网络或容器，管控隔离网络流量，依安全策略经安全接口与加密通道交互数据，防漏洞传播与泄露；

SaaS服务隔离：对不同SaaS服务提供商与类型，从网络、数据、身份认证授权多层面隔离防护，保服务间安全稳定。

边缘端资源

边缘端资源分类

边缘端资源包括：

用户资源：包括用户的身份信息、设备、数据、网络连接、计算需求、配置偏好及相应的访问权限等资源；

边缘计算节点：物理上分布在靠近数据源或用户端的计算节点，可按照地理位置（如不同车间、厂区等）、业务功能（如数据采集节点、初步数据处理节点等）、网络区域（划分不同的域）等进行分类，其涵