三级 等保
背景与意义
根据《中华人民共和国网络安全法》要求,信息系统安全等级保护(简称等保)是国家网络安全保障的基本制度。作为物联网管理平台,ThingsPanel 满足三级等保要求,确保平台的安全性、可靠性和合规性。
实施思路
依据《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)中第三级安全要求,重点实现:
a) 用户身份标识和鉴别:确保身份标识唯一性,实施复杂度要求,定期更换鉴别信息;
b) 登录安全控制:配置登录失败处理、会话管理、非法登录限制等安全措施;
c) 远程管理安全:采取必要的加密措施防止鉴别信息在网络传输过程中被窃听。
具体安全要求
-
连续登录失败 5 次锁定账户 30 分钟,登录超时时长为 300-1800 秒
-
采用国家认可的密码技术保护重要业务数据和个人信息
-
平台密码复杂度至少包含三种字符,进行特殊字符过滤,最小 8 位且禁止使用常用密码
-
密码不可明文传输,不可明文存储
-
实施 SQL 注入防护措施
-
严格禁止共享账户使用
-
用户登出时必须清除用户鉴别信息
-
对具有上传功能的模块实施文件类型限制
开发措施
实现强密码策略
- 最小长度:8位
- 复杂度要求:至少包含三种字符类型(大小写字母、数字、特殊字符)
登录失败锁定
- 记录登录失败次数
- 设置阈值
- 超过阈值后,自动锁定账户 30 分钟
RSA前端密码加密
- 实施全链路加密保护
- 前端密钥位置
- rsa_key目录
- 后端密钥位置
- 密钥管理建议:
- 定期轮换密钥对
- 加强私钥保护
防范安全漏洞
- CodeQL 定期代码安全扫描
- DeepSource 提交时自动检测
- 重点关注的漏洞类型:
- SQL注入
- 跨站脚本(XSS)
- 跨站请求伪造(CSRF)
- 不安全的反序列化
- 敏感数据泄露
日志和监控
- 记录关键安全事件:
- 用户认证操作
- 敏感数据访问
- 系统异常信息
持续改进
- 定期安全评估和渗透测试
- 及时更新系统组件
- 持续优化安全策略
- 跟踪最新安全威胁
通过以上措施,确保平台满足三级等保要求,为用户提供安全可靠的服务。我们将持续关注安全技术发展,不断提升平台的安全防护能力。