Skip to main content

三级等保

背景与意义

根据《中华人民共和国网络安全法》要求,信息系统安全等级保护(简称等保)是国家网络安全保障的基本制度。作为物联网管理平台,ThingsPanel 满足三级等保要求,确保平台的安全性、可靠性和合规性。

实施思路

依据《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)中第三级安全要求,重点实现:

a) 用户身份标识和鉴别:确保身份标识唯一性,实施复杂度要求,定期更换鉴别信息;

b) 登录安全控制:配置登录失败处理、会话管理、非法登录限制等安全措施;

c) 远程管理安全:采取必要的加密措施防止鉴别信息在网络传输过程中被窃听。

具体安全要求

  1. 连续登录失败 5 次锁定账户 30 分钟,登录超时时长为 300-1800 秒

  2. 采用国家认可的密码技术保护重要业务数据和个人信息

  3. 平台密码复杂度至少包含三种字符,进行特殊字符过滤,最小 8 位且禁止使用常用密码

  4. 密码不可明文传输,不可明文存储

  5. 实施 SQL 注入防护措施

  6. 严格禁止共享账户使用

  7. 用户登出时必须清除用户鉴别信息

  8. 对具有上传功能的模块实施文件类型限制

开发措施

实现强密码策略

  • 最小长度:8位
  • 复杂度要求:至少包含三种字符类型(大小写字母、数字、特殊字符)

登录失败锁定

  • 记录登录失败次数
  • 设置阈值
    • 登录锁定配置
  • 超过阈值后,自动锁定账户 30 分钟

RSA前端密码加密

  • 实施全链路加密保护
    • RSA加密开关
  • 前端密钥位置
    • rsa_key目录
  • 后端密钥位置
    • 私钥
  • 密钥管理建议:
    • 定期轮换密钥对
    • 加强私钥保护

防范安全漏洞

  • CodeQL 定期代码安全扫描
  • DeepSource 提交时自动检测
  • 重点关注的漏洞类型:
    • SQL注入
    • 跨站脚本(XSS)
    • 跨站请求伪造(CSRF)
    • 不安全的反序列化
    • 敏感数据泄露

日志和监控

  • 记录关键安全事件:
    • 用户认证操作
    • 敏感数据访问
    • 系统异常信息

持续改进

  • 定期安全评估和渗透测试
  • 及时更新系统组件
  • 持续优化安全策略
  • 跟踪最新安全威胁

通过以上措施,确保平台满足三级等保要求,为用户提供安全可靠的服务。我们将持续关注安全技术发展,不断提升平台的安全防护能力。