什么是内部类？这么回答就妥妥的

、网络安全应该关注哪些方面

一部分人会认为，能源基础设施的设备部署在内网且设置了防火墙，又安装了杀毒软件就安全了，其实从应用场景上来看，设备和系统会面临的安全威胁是多种多样的，它不仅仅是病毒，还有如：仿冒、篡改、DDOS等的威胁，这些都是杀毒软件和防火墙不能完全解决的。对于能源基础设施的设备和系统来说，除了安装安全软件外，还需要考虑硬件的安全，软件的安全以及软件内生安全(指：代码规范、软件架构等)。这个范围是远大于防火墙及杀毒安全软件，因此具备全生命周期端到端的安全管理非常重要。所以我们需要关注如下几个重要方面：

1. 专职人员及专业技能：能源基础设施的设备及软件供应商应该有专职的、具备足够专业能力的安全工程师及专家，负责研究和开发具备网络安全防御能力的产品和系统。
2. 网络安全基线：能源基础设施的设备及软件供应商应有网络安全的设计、开发、测试、审计等基线，如：不能使用弱密码、不能有未公开接口等，作为设备及软件上市的基本要求。
3. 端到端的全生命周期管控流程：能源基础设施的设备及软件供应商必须具备完善的威胁建模和分析、安全设计、安全开发、安全测试及安全的生命周期管理流程和手段，需要有完善的威胁分析、设计、开发等文档。
4. 验证报告：能源基础设施的设备及软件供应商应提供网络安全验证报告，报告内容应有足够专业性及权威性。
5. 应急响应能力：能源基础设施的设备及软件供应商应具备应急响应能力，发生安全事件时，有专业的团队及流程处理安全事件。
6. 设备级安全能力：可信根、安全启动、权限最小化、堆栈保护、OS加固、口令防暴力破解、多因素认证、主机入侵检测、软件包签名、安全加密算法、最小系统等安全能力。
7. 网络级安全能力：密钥管理、证书管理、单点登录、用户管理、接口隔离、安全协议、网络流量控制、态势感知、安全自动响应等安全能力。

7、设备及网络安全需求概要

1、接口安全

• 所有账号都必须被用户可见，不存在用户未知的账号。
• 所有能对系统进行管理的接口都需具备接入认证机制。
• 禁止存在绕过正常认证机制直接进入到系统的隐秘通道。
• 不得存在用户无法修改的口令。

2、账号和认证安全

• 应用系统人机帐号、机机帐号分离。
• 帐号默认不授予任何权限或者默认只指派最小权限的角色。
• 系统提供帐号锁定策略可配置的功能。
• 系统对于不需要认证的用户或通过认证前返回的提示信息应尽可能少。
• 对于重要的管理事务或重要的交易事务要进行重新认证。
• 认证通过后，给当前用户显示有关的访问历史记录数据。

3、口令安全

• 口令要有复杂度要求，例如长度不少于6位，至少包含两种字符等。
• 禁止使用弱口令, 系统提供维护弱口令字典的功能。
• 系统具备口令防暴力破解功能。
• 系统禁止明文显示口令。
• 系统支持多因素认证。

4、关键数据保护

• 禁止使用业界已知不安全的加密算法。
• 禁止使用私有密码算法。
• 在系统设计时，需识别出产品关键/敏感数据;在存储、传输时应进行加密、权限控制等保护。

（编辑：怀化站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!