GB/T36951-2018信息安全技術 物聯網感知終端應用安全技術要求5.4 設備安全要求
5.4.1 標識與鑒別 對于具有操作系統的感知終端:
a) 感知終端的操作系統用戶應有唯一標識;
b) 應對感知終端的操作系統用戶進行身份鑒別。使用用戶名和口令鑒別時,口令應由字母、數字 及特殊字符組成,長度不小于 8 位。
5.4.2 訪問控制 本項要求包括:
a) 具有操作系統的感知終端應能控制操作系統用戶的訪問權限;
b) 對于具有操作系統的感知終端,操作系統用戶應僅被授予完成任務所需的最小權限;
c) 感知終端應能控制數據的本地或遠程訪問;
d) 感知終端應提供安全措施控制對其遠程配置。
5.4.3 日志審計 具有操作系統的感知終端:
a) 應能為操作系統事件生成審計記錄,審計記錄應包括日期、時間、操作用戶、操作類型等信息;
b) 應能由安全審計員開啟和關閉操作系統的審計功能;
c) 應能提供操作系統的審計記錄查閱功能。
5.4.4 失效保護
感知終端應能自檢出已定義的設備故障并進行告警,確保設備未受故障影響部分的功能正常。
5.4.5 軟件安全 具有操作系統的感知終端:
a) 應僅安裝經授權的軟件;
b) 應按照策略進行軟件補丁更新和升級,且保證所更新的數據是來源合法的和完整的;
c) 應安裝滿足業務安全功能需求的軟件并正確配置及使用。
推薦文章: