10月25日,工信部發(fā)布《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南(2021版)》(以下簡(jiǎn)稱《指南》)。

《指南》提出,到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系,研制重點(diǎn)行業(yè)標(biāo)準(zhǔn)10項(xiàng)以上,明確物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺(tái)等關(guān)鍵基礎(chǔ)環(huán)節(jié)安全要求,促進(jìn)物聯(lián)網(wǎng)基礎(chǔ)安全能力提升。

《指南》要求,跟蹤物聯(lián)網(wǎng)新技術(shù)、新應(yīng)用的發(fā)展趨勢(shì),主動(dòng)適應(yīng)物聯(lián)網(wǎng)安全發(fā)展水平的不斷提升,加強(qiáng)標(biāo)準(zhǔn)體系的動(dòng)態(tài)更新和完善,有效滿足產(chǎn)業(yè)安全發(fā)展需求。

《指南》稱,鼓勵(lì)行業(yè)協(xié)會(huì)、標(biāo)準(zhǔn)化技術(shù)組織等面向生產(chǎn)者、用戶、第三方檢測(cè)認(rèn)證機(jī)構(gòu)等,開(kāi)展重點(diǎn)標(biāo)準(zhǔn)的宣傳和培訓(xùn),引導(dǎo)企業(yè)對(duì)標(biāo)達(dá)標(biāo),推動(dòng)標(biāo)準(zhǔn)落地實(shí)施。四是開(kāi)展交流合作。支持中外企業(yè)、協(xié)會(huì)、標(biāo)準(zhǔn)化機(jī)構(gòu)等開(kāi)展物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)的國(guó)際交流合作,積極參與物聯(lián)網(wǎng)安全國(guó)際標(biāo)準(zhǔn)制定,為提升全球物聯(lián)網(wǎng)安全水平貢獻(xiàn)中國(guó)技術(shù)方案。

物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南

(2021版)

一、總體要求

以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想為指導(dǎo),深入貫徹落實(shí)習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的重要思想,堅(jiān)持總體國(guó)家安全觀,以筑牢物聯(lián)網(wǎng)基礎(chǔ)安全、防范公共網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為目標(biāo),著力構(gòu)建物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系,加強(qiáng)標(biāo)準(zhǔn)統(tǒng)籌規(guī)劃,扎實(shí)推進(jìn)標(biāo)準(zhǔn)研制,促進(jìn)標(biāo)準(zhǔn)落地實(shí)施,支撐和保障物聯(lián)網(wǎng)產(chǎn)業(yè)安全有序發(fā)展。

(一)基本原則

需求牽引,加強(qiáng)統(tǒng)籌。緊密貼合物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展現(xiàn)狀和趨勢(shì),著力構(gòu)建科學(xué)合理、先進(jìn)適用、開(kāi)放融合的基礎(chǔ)安全標(biāo)準(zhǔn)體系,強(qiáng)化標(biāo)準(zhǔn)工作統(tǒng)籌協(xié)調(diào),指導(dǎo)標(biāo)準(zhǔn)制定有序開(kāi)展。聚焦重點(diǎn),急用先行。圍繞物聯(lián)網(wǎng)基礎(chǔ)設(shè)施和重點(diǎn)行業(yè)應(yīng)用,加快推進(jìn)基礎(chǔ)通用、關(guān)鍵技術(shù)、試驗(yàn)方法等重點(diǎn)和急需標(biāo)準(zhǔn)制定,及時(shí)滿足物聯(lián)網(wǎng)產(chǎn)業(yè)的安全需求。廣泛參與,強(qiáng)化實(shí)施。凝聚設(shè)備廠商、電信企業(yè)、安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、科研單位、高校等產(chǎn)學(xué)研用各方力量,鼓勵(lì)頭部企業(yè)發(fā)揮示范帶頭作用,推動(dòng)標(biāo)準(zhǔn)有效實(shí)施。

(二)建設(shè)目標(biāo)

到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系,研制重點(diǎn)行業(yè)標(biāo)準(zhǔn)10項(xiàng)以上,明確物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺(tái)等關(guān)鍵基礎(chǔ)環(huán)節(jié)安全要求,滿足物聯(lián)網(wǎng)基礎(chǔ)安全保障需要,促進(jìn)物聯(lián)網(wǎng)基礎(chǔ)安全能力提升。

到2025年,推動(dòng)形成較為完善的物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系,研制行業(yè)標(biāo)準(zhǔn)30項(xiàng)以上,提升標(biāo)準(zhǔn)在細(xì)分行業(yè)及領(lǐng)域的覆蓋程度,提高跨行業(yè)物聯(lián)網(wǎng)應(yīng)用安全水平,保障消費(fèi)者安全使用。

二、建設(shè)內(nèi)容

(一)標(biāo)準(zhǔn)體系框架

物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)主要是指物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺(tái)等關(guān)鍵基礎(chǔ)環(huán)節(jié)的安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系包括總體安全、終端安全、網(wǎng)關(guān)安全、平臺(tái)安全、安全管理等5大類標(biāo)準(zhǔn)(見(jiàn)圖1)。

工信部:到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系

(二)重點(diǎn)領(lǐng)域

1.總體安全

總體安全是物聯(lián)網(wǎng)基礎(chǔ)安全的基礎(chǔ)性、指導(dǎo)性和通用性3標(biāo)準(zhǔn),主要包括物聯(lián)網(wǎng)基礎(chǔ)安全術(shù)語(yǔ)定義、架構(gòu)模型、安全場(chǎng)景、安全集成、安全分級(jí)、安全協(xié)議等(見(jiàn)圖2)。

工信部:到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系

(1)物聯(lián)網(wǎng)基礎(chǔ)安全術(shù)語(yǔ)定義:規(guī)范物聯(lián)網(wǎng)基礎(chǔ)安全的概念,統(tǒng)一相關(guān)術(shù)語(yǔ)的理解和使用。

(2)物聯(lián)網(wǎng)基礎(chǔ)安全架構(gòu)模型:主要提出物聯(lián)網(wǎng)基礎(chǔ)安全體系框架以及各部分參考模型,明確和界定云、管、端各層面功能、關(guān)系、角色、邊界、責(zé)任等內(nèi)容。

(3)物聯(lián)網(wǎng)基礎(chǔ)安全場(chǎng)景:主要對(duì)不同類型場(chǎng)景中的安全需求進(jìn)行示例和規(guī)范。

(4)物聯(lián)網(wǎng)基礎(chǔ)安全集成:在物聯(lián)網(wǎng)系統(tǒng)規(guī)劃、集成、實(shí)施等過(guò)程中,通過(guò)建立安全模型等方式,保障基礎(chǔ)設(shè)施系統(tǒng)各層級(jí)對(duì)象安全性和可靠性。

(5)物聯(lián)網(wǎng)基礎(chǔ)安全分級(jí):明確物聯(lián)網(wǎng)基礎(chǔ)安全分級(jí)的基本原則、維度、方法、示例等要求,為實(shí)施分級(jí)安全管理提供基礎(chǔ)支撐。

(6)物聯(lián)網(wǎng)基礎(chǔ)安全協(xié)議:主要是物聯(lián)網(wǎng)平臺(tái)、網(wǎng)關(guān)、終端本身及設(shè)備之間的基礎(chǔ)安全協(xié)議,包括有線協(xié)議安全、無(wú)線協(xié)議安全、存儲(chǔ)協(xié)議安全等。

2.終端安全

終端安全是物聯(lián)網(wǎng)基礎(chǔ)安全體系中感知層面的標(biāo)準(zhǔn),主要包括終端通用安全、模組安全、通信芯片安全、卡安全、行業(yè)終端安全、終端測(cè)試評(píng)估等(見(jiàn)圖3)。

工信部:到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系

(1)終端通用安全:主要包括物聯(lián)網(wǎng)終端硬件安全、操作系統(tǒng)安全、軟件安全、接入認(rèn)證、數(shù)據(jù)安全、協(xié)議安全、隱私保護(hù)、證書規(guī)范、固件安全、插件/組件安全等。

(2)模組安全:規(guī)范通信模組在接入認(rèn)證、數(shù)據(jù)交互、數(shù)據(jù)傳輸、抗電磁干擾等方面的安全要求,包括蜂窩通信模組和其他類型通信模組等。

(3)通信芯片安全:主要包括通信加密算法、密鑰管理、加解密能力、簽名驗(yàn)簽、數(shù)據(jù)存儲(chǔ)、芯片安全基線要求等。

(4)卡安全:分為管理要求和技術(shù)要求。其中,管理要求主要是規(guī)范物聯(lián)網(wǎng)卡銷售、登記、使用管理等;技術(shù)要求主要包括卡身份認(rèn)證、分級(jí)分類、技術(shù)手段建設(shè)等。

(5)行業(yè)終端安全:主要是指與各垂直行業(yè)密切相關(guān)的、具有特定功能的物聯(lián)網(wǎng)終端安全要求,如智能門鎖、監(jiān)控設(shè)備等特定行業(yè)終端的特有安全要求。

(6)終端測(cè)試評(píng)估:主要包括物聯(lián)網(wǎng)卡安全測(cè)試、硬件安全測(cè)試、操作系統(tǒng)安全測(cè)試、軟件安全測(cè)試、接入認(rèn)證安全測(cè)試、數(shù)據(jù)安全測(cè)試、通信協(xié)議安全測(cè)試、固件安全測(cè)試等。

3.網(wǎng)關(guān)安全

網(wǎng)關(guān)安全主要包括物聯(lián)網(wǎng)網(wǎng)關(guān)通用安全、網(wǎng)關(guān)通信與接口安全、網(wǎng)關(guān)物理環(huán)境安全、網(wǎng)關(guān)組件安全、網(wǎng)關(guān)測(cè)試評(píng)估等(見(jiàn)圖4)。

工信部:到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系

(1)網(wǎng)關(guān)通用安全:規(guī)范物聯(lián)網(wǎng)網(wǎng)關(guān)相關(guān)的功能架構(gòu)、安全協(xié)議、安全防護(hù),以及數(shù)據(jù)傳輸、處理和存儲(chǔ)等方面的安全技術(shù)要求,主要包括網(wǎng)關(guān)安全模型、安全架構(gòu)、安全功能、安全性能、數(shù)據(jù)安全、邊緣計(jì)算安全、安全協(xié)議等。

(2)網(wǎng)關(guān)通信與接口安全:規(guī)范網(wǎng)關(guān)與其他設(shè)備互聯(lián)時(shí)通信接口和管理接口的安全通信協(xié)議、黑白名單、鑒權(quán)認(rèn)證等方面技術(shù)要求,主要包括網(wǎng)關(guān)南向和北向接口安全規(guī)程、安全協(xié)議流程、端口防護(hù)等。

(3)網(wǎng)關(guān)物理環(huán)境安全:規(guī)范網(wǎng)關(guān)貯存、運(yùn)輸和使用環(huán)境條件下電磁輻射、防電磁干擾、抗硬力破壞、溫濕鹽霧環(huán)境適應(yīng)能力等方面技術(shù)要求,主要包括網(wǎng)關(guān)設(shè)備電磁兼容、機(jī)械環(huán)境適應(yīng)性、氣候環(huán)境適應(yīng)性等。

(4)網(wǎng)關(guān)組件安全:規(guī)范網(wǎng)關(guān)功能服務(wù)、數(shù)據(jù)采集、7數(shù)據(jù)傳輸處理等軟硬件組件的安全設(shè)計(jì)、安全功能等方面技術(shù)要求,主要包括網(wǎng)關(guān)設(shè)備組件安全架構(gòu)、開(kāi)源組件安全、應(yīng)用啟動(dòng)安全等。

(5)網(wǎng)關(guān)測(cè)試評(píng)估:規(guī)范網(wǎng)關(guān)安全評(píng)估測(cè)試方法,主要包括設(shè)備安全測(cè)試、組件安全測(cè)試、接口安全測(cè)試、安全管理維護(hù)測(cè)試、數(shù)據(jù)傳輸處理安全測(cè)試、環(huán)境適應(yīng)性測(cè)試、分級(jí)分類評(píng)估測(cè)試等。

4.平臺(tái)安全

物聯(lián)網(wǎng)平臺(tái)包括設(shè)備管理平臺(tái)、連接管理平臺(tái)、應(yīng)用使能平臺(tái)、業(yè)務(wù)分析平臺(tái)、態(tài)勢(shì)感知及風(fēng)險(xiǎn)處置平臺(tái)等。物聯(lián)網(wǎng)平臺(tái)安全標(biāo)準(zhǔn)主要包括平臺(tái)通用安全、平臺(tái)安全防護(hù)、平臺(tái)交互安全、平臺(tái)安全監(jiān)測(cè)、平臺(tái)測(cè)試評(píng)估等(見(jiàn)圖5)。

工信部:到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系

(1)平臺(tái)通用安全:規(guī)范各類物聯(lián)網(wǎng)平臺(tái)通用數(shù)據(jù)安全、通信安全、身份鑒別、安全監(jiān)測(cè)、物理安全、安全可信等方面要求,主要包括通用安全框架、平臺(tái)可信計(jì)算等。

(2)平臺(tái)安全防護(hù):規(guī)范物聯(lián)網(wǎng)平臺(tái)以及基于物聯(lián)網(wǎng)平臺(tái)開(kāi)發(fā)的行業(yè)業(yè)務(wù)系統(tǒng)和對(duì)外應(yīng)用組件的訪問(wèn)控制、防代碼逆向、安全審計(jì)、篡改和注入防范等安全防護(hù)要求,主要包括平臺(tái)業(yè)務(wù)基礎(chǔ)安全、平臺(tái)安全防護(hù)要求等。

(3)平臺(tái)交互安全:規(guī)范物聯(lián)網(wǎng)平臺(tái)之間、平臺(tái)與上層業(yè)務(wù)系統(tǒng)或管理系統(tǒng)、平臺(tái)與下層接入設(shè)備之間的數(shù)據(jù)交互、加密傳輸、交互接口配置和審計(jì)等方面的安全要求,主要包括不同物聯(lián)網(wǎng)平臺(tái)之間交互、平臺(tái)與南向和北向之間交互等。

(4)平臺(tái)安全監(jiān)測(cè):規(guī)范物聯(lián)網(wǎng)平臺(tái)的安全監(jiān)測(cè)、態(tài)勢(shì)匯總等功能建設(shè),主要包括物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)、物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)等。

(5)平臺(tái)測(cè)試評(píng)估:規(guī)范物聯(lián)網(wǎng)平臺(tái)的通用安全、平臺(tái)安全防護(hù)、平臺(tái)內(nèi)部和平臺(tái)之間交互安全、平臺(tái)安全管理等方面的測(cè)試評(píng)估方法,主要包括物聯(lián)網(wǎng)平臺(tái)能力評(píng)估、安全防護(hù)測(cè)試、交互安全測(cè)試和安全管理評(píng)估等。

5.安全管理

安全管理標(biāo)準(zhǔn)用于指導(dǎo)行業(yè)落實(shí)通用安全管理要求,主要包括數(shù)據(jù)安全管理、安全信息協(xié)同、管理與維護(hù)安全、安全認(rèn)證等(見(jiàn)圖6)。

工信部:到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系

(1)數(shù)據(jù)安全管理:面向物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用產(chǎn)生的各類數(shù)據(jù),保障數(shù)據(jù)在各環(huán)節(jié)的安全可控和使用,主要包括在采集、傳輸、存儲(chǔ)、處理、共享、銷毀等關(guān)鍵環(huán)節(jié)的數(shù)據(jù)安全基礎(chǔ)管理和技術(shù)保障等。

(2)安全信息協(xié)同:針對(duì)物聯(lián)網(wǎng)協(xié)議類型眾多,明確物聯(lián)網(wǎng)基礎(chǔ)安全相關(guān)數(shù)據(jù)互聯(lián)互通標(biāo)準(zhǔn),實(shí)現(xiàn)跨協(xié)議安全互聯(lián)互通,主要包括接口規(guī)范、測(cè)試方法等。

(3)管理與維護(hù)安全:規(guī)范不同物聯(lián)網(wǎng)場(chǎng)景下終端、網(wǎng)關(guān)、平臺(tái)的運(yùn)維管理等方面安全要求,主要包括制度建設(shè)、安全組織、人員管理、運(yùn)行安全、資產(chǎn)管理、配置管理、遠(yuǎn)程維護(hù)安全、脆弱性檢測(cè)、應(yīng)急響應(yīng)與管理、災(zāi)備恢復(fù)等。

(4)安全認(rèn)證:規(guī)范不同類型的物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺(tái)的認(rèn)證管理,用于不同類型設(shè)備的安全認(rèn)證互通互認(rèn),主要包括證書生成、證書管理、證書更換等。

三、組織實(shí)施

一是加快標(biāo)準(zhǔn)研制。按照《標(biāo)準(zhǔn)體系》明確的目標(biāo)和任務(wù),加強(qiáng)產(chǎn)學(xué)研用等各方的工作協(xié)同,注重物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)與行業(yè)發(fā)展實(shí)際相結(jié)合,成體系推進(jìn)標(biāo)準(zhǔn)研制。

二是實(shí)施動(dòng)態(tài)更新。跟蹤物聯(lián)網(wǎng)新技術(shù)、新應(yīng)用的發(fā)展趨勢(shì),主動(dòng)適應(yīng)物聯(lián)網(wǎng)安全發(fā)展水平的不斷提升,加強(qiáng)標(biāo)準(zhǔn)體系的動(dòng)態(tài)更新和完善,有效滿足產(chǎn)業(yè)安全發(fā)展需求。

三是深化標(biāo)準(zhǔn)應(yīng)用。鼓勵(lì)行業(yè)協(xié)會(huì)、標(biāo)準(zhǔn)化技術(shù)組織等面向生產(chǎn)者、用戶、第三方檢測(cè)認(rèn)證機(jī)構(gòu)等,開(kāi)展重點(diǎn)標(biāo)準(zhǔn)的宣傳和培訓(xùn),引導(dǎo)企業(yè)對(duì)標(biāo)達(dá)標(biāo),推動(dòng)標(biāo)準(zhǔn)落地實(shí)施。四是開(kāi)展交流合作。支持中外企業(yè)、協(xié)會(huì)、標(biāo)準(zhǔn)化機(jī)構(gòu)等開(kāi)展物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)的國(guó)際交流合作,積極參與物聯(lián)網(wǎng)安全國(guó)際標(biāo)準(zhǔn)制定,為提升全球物聯(lián)網(wǎng)安全水平貢獻(xiàn)中國(guó)技術(shù)方案。