ICS 35. 240 L 60 因 体 标 准 T/1SC 0070-2024 企业级协同设计安全能力要求 Enterprise-level collaborative design security capability requirements (发布稿) 2024-11-26发布 2024-12-25实施 中国互联网协会 发布
T/1SC 目录 前言 1范围 2规范性引用文件 .1 3术语和定义 .1 4符号和缩略语. 错误!
未定义书签.
5概述.. .1 5.1使用场景 .1 5.2安全风险 .2 5.3安全体系 .2 6通用数据安全, 2 6.1数据加密 .2 6.2用户隐私保护 2 6.3链接安全、 .2 6.4导入导出 .3 6.5水印能力. .3 7多模态数据安全 .3 7.1图像数据 .3 7.2语音数据. .3 7.3视频数据 .3 8网络安全 .3 8.1零信任. 3 8.2入侵防范. .4 8.3传输安全 4 8.4注册方式限制 4 8.5关联能力 .4 8.6权限管理 .4 8.7终端安全 .4 9系统安全 ..5 9.1活动日志 5 9.2数据备份. 5 9.3安全更新 ..5 9.4本地化部署. 5 10管理能力.. 5 10.1组织架构及人员保障 5 10.2分级管控 5 10.3持续改进,
前言 草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国互联网协会提出并归口.
本文件起草单位:中国信息通信研究院、北京尽微致广信息技术有限公司、北京创作关好科技有 限公司、北京高德云图科技有限公司、阿里巴巴控股集团、招商银行股份有限公司中国银行股份 有限公司、中国第一汽车集团有限公司合众新能源汽车股份有限公司、中央美术学院、中国计量 大学、北京飞书科技有限公司、东海证券股份有限公司、科大讯飞股份有限公司、浙江零跑科技 股份有限公司、北京三快在线科技有限公司、平安银行股份有限公司、天津大学、天津美术学院、 中国邮政储蓄银行、北京师范大学、广州小鹏汽车科技有限公司、北京集度科技有限公司、泰康 保险集团股份有限公司、中国电信股份有限公司研究院、福建省农村信用社联合社、宁波银行股 份有限公司、北京邮电大学、北京汽车研究总院有限公司、江苏常熟农村商业银行股份有限公司、 交通银行股份有限公司、京东科技控股股份有限公司、奇瑞汽车股份有限公司、麒麟软件有限公 司、华夏银行股份有限公司、龙盈智达(北京)科技有限公司、清华大学国家服务外包人力资源 研究院、北京科技大学、国能数智科技开发(北京)有限公司.
本文件主要起草人:王景尧,吴获,冯艺卓,曾晨曦,马雾阳,罗瑕,黄梦楠,孙继成,张信峰, 孙峰,曹海啸,何梦醒,张家珲,常天恩,张然,王人杰,陈明,张乐,王妍,刘佳,钟伟,程 峰,王师,赵默涵,李昭璐,吕贵林,刘杰,高杰,王芊,俞书伟,秦笃印,朱斌,朱一冰,王 吴,张卓超,马冬冬,沈越然,张立,赵倩,王兆龙,胡君,赵天娇,朱鹏飞,蒋施,张欣,郭 利菊,张健,周雯,蒋希娜,马丁,明芳文,范召国,董智明,刘馨,郝小超,李铁萌,马洋, 胡丁丁,李莎莎,潘琳,吴佳虎,陆文杰,黄河东,盖胜平,王双,忻运跃,杨明星,陈芳,杨 迎,邓焕玉,何雄,窦金花,李夏光,刘斐.
T/1SC 企业级协同设计安全能力要求 1范围 本文件规定了企业级协同设计安全能力要求.
本标准所涉及的企业级协同办公面向民用类产品设计, 可包括但不限于工业产品设计、建筑工程、软件开发、机械制造、医疗设备开发、电影和游戏制作、 城市规划等.
本文件适用于企业级协同设计安全能力的评价、测试和指导,也可作为第三方权威评估机构衡量企 业级协同设计安全能力的标准依据.
2规范性引用文件 下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T28452-2012信息安全技术软件系统通用安全技术要求 3术语和定义 下列术语和定义适用于本文件.
3.1企业级协同设计Collaborative design 在数字化环境下,企业内部或企业与外部合作伙伴之间,利用信息技术工具和平台,进行跨部门、 跨地域、跨时间甚至跨公司的设计类任务协作,以完成共同的任务或实现共同的目标.
在协同设计中, 团队成员共同参与设计过程,共享知识、技能和观点,以实现更全面和创新的解决方案.
3.2协同设计安全能力Collaborative design security capability 盖了对设计数据的保护、权限管理、数据传输加密、身份验证、访问控制等方面的措施,以防止未经授 权的访问、纂改或泄露设计相关的敏感信息.
协同设计安全能力的提升可以增强设计团队之间的信任, 保护知识产权,防止数据泄露和不良竞争行为,确保设计过程的机密性和可靠性.
4概述 4.1使用场景 企业级协同设计是指在数字化环境下,企业内部或企业与外部合作伙伴之间,利用信息技术工具和 平台,进行跨部门、跨地域、跨时间甚至跨公司的设计类任务协作,以完成共同的任务或实现共同的目 标.
这种协同涵盖了各种规模和形式的合作,如云协作、远程协作、虚拟团队等,旨在通过共享信息、 资源和知识,提高工作效率,优化业务流程,降低成本,并促进企业内部的创新和发展.
本标准所涉及 的企业级协同办公面向民用类产品设计,可包括但不限于以下使用场景: a)工业产品设计:在工业产品的设计过程中,不同专业的设计师和工程师需要协同工作,共 同开发薪产品.
例如,汽车设计团队可能包括外观设计师、内饰设计师、系统工程师、安全 专家等,他们需要共同合作,确保设计满足功能性、关观性、安全性以及生产成本的要求.
b)建筑工程:建筑工程项目中,建筑师、结构工程师、机电工程师、施工团队等多方需要协 同设计,以确保建筑物既美观又实用,同时符合安全标准和预算限制.
通过协同设计,各方 可以共享信息、讨论方案,并及时解决设计和施工过程中的问题.
1
T/1SC c)软件开发:软件开发项目中,产品经理、UI/UX设计师、前端开发者、后端开发者、测试 工程师等需要紧密合作,共同开发出满足用户需求的软件产品.
团队成员需要通过敏捷开发 方法和工具进行沟通和协作,确保软件的设计和开发符合预期目标.
d)机械制造:机械制造领域的协同设计包括但不限于汽车、民用飞机或航天器的系统设计、结 构设计、动力系统设计等多个方面.
工程师们需要使用先进的仿真和建模工具来协同工作, 确保设计的可行性和性能.
e)医疗设备开发:医疗设备的开发需要医生、生物医学工程师、产品设计师、法规专家等多 方的协同设计,团队成员能够通过协同设计系统,共同考虑设备的功能性、安全性、用户界 面设计以及法规要求,以开发出既有效又安全的医疗产品.
f)城市规划:城市规划项目中,城市规划师、交通规划师、环境专家、建筑师、工程师等需 要协同设计城市空间,以满足居民的生活、工作和娱乐需求.
团队成员需要通过协同设计系 统,综合考虑城市的可持续发展、交通流、公共空间设计等多方面因素.
4.2安全风险 数字化转型驱动了系统集成的需求激增,数据流动性需求变大,传统的安全解决方案越来越不能满 足业务需要.
跨网络域、跨系统,乃至打通客户和关联企业的特性对"分区分域"的传统安全理念产生了挑 战.
由于企业级协同设计强调跨部门、跨领域的整合与协作,以打破传统的信息孤岛和部门壁垒,能够 实现企业内部资源的最大化利用,但也更容易面临着各类安全风险.
a)数据泄露风险:在数字化协同系统中,大量的缴感数据(如客户信息、业务数据、知识产权 等)在各部门和人员之间共享和传输.
如果系统的安全防护措施不到位,数据可能会被未经 授权的第三方访问、窃取或筹改,导致数据泄露风险.
这种泄露可能源自网络攻击、内部人 员操作失误或第三方服务供应商的问题.
b)网络安全风险:随着企业级协同设计场景意味着数据必须在多样化的业务、平台、设备、用 户之间流动,导致网络安全边界变得模糊,难以通过边界防护实现灵活、动态的访问控制需 求.
同时,数字化协同系统依赖于网络进行数据传输和通信,因此面临着各种网络安全威胁.
恶意软件、僵尸网络、钓鱼攻击等可能导致系统被攻击或感染病毒,进面影响系统的正常运 行和数据安全.
c)身份认证和授权风险:企业级协同设计场景下,随时随地接入网络的人员、设备多样性导致 安全可控性降低,大量业务数据存放在终端上,一旦发生敏感数据泄露将会给金融机构带来 巨大影响,如果数字化协同系统的身份认证和授权机制不完善,可能存在非法用户冒用合法 用户身份的风险,或者用户获得超出其权限范围的访问权限.
这将威胁到系统的数据完整性 和机密性.
4.3安全体系 为了降低以上安全风险,本文件从数据安全、网络与边界安全、账号体系安全、系统安全和安全管 理维度出发,对企业级协同设计的安全能力提出了安全防控要求,旨在确保设计团队在协同工作中能够 保护敏感信息和设计数据的安全性.
5通用数据安全 5.1数据加密 协同设计过程中,数据的流通与共享相较于传统场景都更为普遍,更容易出现敏感信息泄露的数据 安全风险.
因此,在协同设计场景中,敏感数据在存储和传输过程中,应使用加密算法进行加密, 确保数据安全.
5.2用户隐私保护 用户隐私保护指保护用户的隐私信息,不收集不必要的个人信息,对收集的信息进行合理的使用和 存储.
5.3链接安全 分享的链接可由分享者设置为单次失效、在某一时间段内有效或长期有效,根据数据的安全级别进 行发放.
2
