工業(yè)和信息化部近日印發(fā)《物聯(lián)網(wǎng)基礎安全標準體系建設指南(2021版)》����,提出到2022年��,初步建立物聯(lián)網(wǎng)基礎安全標準體系�,研制重點(diǎn)行業(yè)標準10項以上����,明確物聯(lián)網(wǎng)終端���、網(wǎng)關(guān)�����、平臺等關(guān)鍵基礎環(huán)節安全要求�����,滿(mǎn)足物聯(lián)網(wǎng)基礎安全保障需要�����,促進(jìn)物聯(lián)網(wǎng)基礎安全能力提升����。到2025年�����,推動(dòng)形成較為完善的物聯(lián)網(wǎng)基礎安全標準體系�����,研制行業(yè)標準30項以上�,提升標準在細分行業(yè)及領(lǐng)域的覆蓋程度���,提高跨行業(yè)物聯(lián)網(wǎng)應用安全水平�����,保障消費者安全使用����。
關(guān)于印發(fā)物聯(lián)網(wǎng)基礎安全標準體系建設指南
(2021版)的通知
工信廳科〔2021〕34號
為進(jìn)一步發(fā)揮標準對物聯(lián)網(wǎng)基礎安全的規范和保障作用��,加快網(wǎng)絡(luò )強國建設步伐�����,現將《物聯(lián)網(wǎng)基礎安全標準體系建設指南(2021版)》印發(fā)給你們����,請結合本行業(yè)(領(lǐng)域)��、本地區實(shí)際����,在標準化工作中貫徹執行��。
工業(yè)和信息化部辦公廳
2021年9月23日
物聯(lián)網(wǎng)基礎安全標準體系建設指南(2021版)
一��、總體要求
以習近平新時(shí)代中國特色社會(huì )主義思想為指導�,深入貫徹落實(shí)習近平總書(shū)記關(guān)于網(wǎng)絡(luò )強國的重要思想��,堅持總體國家安全觀(guān)�,以筑牢物聯(lián)網(wǎng)基礎安全��、防范公共網(wǎng)絡(luò )安全風(fēng)險為目標��,著(zhù)力構建物聯(lián)網(wǎng)基礎安全標準體系�����,加強標準統籌規劃���,扎實(shí)推進(jìn)標準研制����,促進(jìn)標準落地實(shí)施��,支撐和保障物聯(lián)網(wǎng)產(chǎn)業(yè)安全有序發(fā)展�����。
(一)基本原則
需求牽引���,加強統籌���。緊密貼合物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展現狀和趨勢�����,著(zhù)力構建科學(xué)合理����、先進(jìn)適用����、開(kāi)放融合的基礎安全標準體系��,強化標準工作統籌協(xié)調���,指導標準制定有序開(kāi)展����。聚焦重點(diǎn)�,急用先行����。圍繞物聯(lián)網(wǎng)基礎設施和重點(diǎn)行業(yè)應用�����,加快推進(jìn)基礎通用��、關(guān)鍵技術(shù)����、試驗方法等重點(diǎn)和急需標準制定�,及時(shí)滿(mǎn)足物聯(lián)網(wǎng)產(chǎn)業(yè)的安全需求�。廣泛參與��,強化實(shí)施����。凝聚設備廠(chǎng)商�、電信企業(yè)���、安全企業(yè)����、互聯(lián)網(wǎng)企業(yè)��、科研單位��、高校等產(chǎn)學(xué)研用各方力量�����,鼓勵頭部企業(yè)發(fā)揮示范帶頭作用�����,推動(dòng)標準有效實(shí)施�。
(二)建設目標
到2022年��,初步建立物聯(lián)網(wǎng)基礎安全標準體系��,研制重點(diǎn)行業(yè)標準10項以上��,明確物聯(lián)網(wǎng)終端�����、網(wǎng)關(guān)����、平臺等關(guān)鍵基礎環(huán)節安全要求�����,滿(mǎn)足物聯(lián)網(wǎng)基礎安全保障需要�����,促進(jìn)物聯(lián)網(wǎng)基礎安全能力提升�����。
到2025年�,推動(dòng)形成較為完善的物聯(lián)網(wǎng)基礎安全標準體系�,研制行業(yè)標準30項以上���,提升標準在細分行業(yè)及領(lǐng)域的覆蓋程度�,提高跨行業(yè)物聯(lián)網(wǎng)應用安全水平���,保障消費者安全使用��。
二�����、建設內容
(一)標準體系框架
物聯(lián)網(wǎng)基礎安全標準主要是指物聯(lián)網(wǎng)終端����、網(wǎng)關(guān)����、平臺等關(guān)鍵基礎環(huán)節的安全標準���。物聯(lián)網(wǎng)基礎安全標準體系包括總體安全��、終端安全����、網(wǎng)關(guān)安全���、平臺安全���、安全管理等5大類(lèi)標準(見(jiàn)圖1)��。
(二)重點(diǎn)領(lǐng)域
1.總體安全
總體安全是物聯(lián)網(wǎng)基礎安全的基礎性���、指導性和通用性3標準�,主要包括物聯(lián)網(wǎng)基礎安全術(shù)語(yǔ)定義��、架構模型���、安全場(chǎng)景��、安全集成����、安全分級���、安全協(xié)議等(見(jiàn)圖2)�����。
(1)物聯(lián)網(wǎng)基礎安全術(shù)語(yǔ)定義:規范物聯(lián)網(wǎng)基礎安全的概念�����,統一相關(guān)術(shù)語(yǔ)的理解和使用���。
(2)物聯(lián)網(wǎng)基礎安全架構模型:主要提出物聯(lián)網(wǎng)基礎安全體系框架以及各部分參考模型�����,明確和界定云�����、管��、端各層面功能����、關(guān)系��、角色����、邊界�、責任等內容����。
(3)物聯(lián)網(wǎng)基礎安全場(chǎng)景:主要對不同類(lèi)型場(chǎng)景中的安全需求進(jìn)行示例和規范�����。
(4)物聯(lián)網(wǎng)基礎安全集成:在物聯(lián)網(wǎng)系統規劃����、集成�、實(shí)施等過(guò)程中�,通過(guò)建立安全模型等方式���,保障基礎設施系統各層級對象安全性和可靠性���。
(5)物聯(lián)網(wǎng)基礎安全分級:明確物聯(lián)網(wǎng)基礎安全分級的基本原則����、維度���、方法��、示例等要求�����,為實(shí)施分級安全管理提供基礎支撐����。
(6)物聯(lián)網(wǎng)基礎安全協(xié)議:主要是物聯(lián)網(wǎng)平臺�、網(wǎng)關(guān)���、終端本身及設備之間的基礎安全協(xié)議��,包括有線(xiàn)協(xié)議安全����、無(wú)線(xiàn)協(xié)議安全����、存儲協(xié)議安全等���。
2.終端安全
終端安全是物聯(lián)網(wǎng)基礎安全體系中感知層面的標準�����,主要包括終端通用安全���、模組安全��、通信芯片安全�、卡安全�、行業(yè)終端安全��、終端測試評估等(見(jiàn)圖3)�����。
(1)終端通用安全:主要包括物聯(lián)網(wǎng)終端硬件安全��、操作系統安全�����、軟件安全�����、接入認證����、數據安全����、協(xié)議安全���、隱私保護����、證書(shū)規范���、固件安全����、插件/組件安全等�����。
(2)模組安全:規范通信模組在接入認證����、數據交互�、數據傳輸�����、抗電磁干擾等方面的安全要求���,包括蜂窩通信模組和其他類(lèi)型通信模組等�。
(3)通信芯片安全:主要包括通信加密算法���、密鑰管理�、加解密能力����、簽名驗簽�、數據存儲���、芯片安全基線(xiàn)要求等���。
(4)卡安全:分為管理要求和技術(shù)要求�。其中�,管理要求主要是規范物聯(lián)網(wǎng)卡銷(xiāo)售�����、登記��、使用管理等�����;技術(shù)要求主要包括卡身份認證�����、分級分類(lèi)�����、技術(shù)手段建設等����。
(5)行業(yè)終端安全:主要是指與各垂直行業(yè)密切相關(guān)的�����、具有特定功能的物聯(lián)網(wǎng)終端安全要求��,如智能門(mén)鎖�����、監控設備等特定行業(yè)終端的特有安全要求��。
(6)終端測試評估:主要包括物聯(lián)網(wǎng)卡安全測試���、硬件安全測試��、操作系統安全測試����、軟件安全測試���、接入認證安全測試����、數據安全測試����、通信協(xié)議安全測試����、固件安全測試等��。
3.網(wǎng)關(guān)安全
網(wǎng)關(guān)安全主要包括物聯(lián)網(wǎng)網(wǎng)關(guān)通用安全���、網(wǎng)關(guān)通信與接口安全�、網(wǎng)關(guān)物理環(huán)境安全�、網(wǎng)關(guān)組件安全��、網(wǎng)關(guān)測試評估等(見(jiàn)圖4)���。
(1)網(wǎng)關(guān)通用安全:規范物聯(lián)網(wǎng)網(wǎng)關(guān)相關(guān)的功能架構����、安全協(xié)議��、安全防護�����,以及數據傳輸����、處理和存儲等方面的安全技術(shù)要求��,主要包括網(wǎng)關(guān)安全模型�����、安全架構���、安全功能�、安全性能�����、數據安全�����、邊緣計算安全�����、安全協(xié)議等��。
(2)網(wǎng)關(guān)通信與接口安全:規范網(wǎng)關(guān)與其他設備互聯(lián)時(shí)通信接口和管理接口的安全通信協(xié)議���、黑白名單�、鑒權認證等方面技術(shù)要求�,主要包括網(wǎng)關(guān)南向和北向接口安全規程�����、安全協(xié)議流程�����、端口防護等��。
(3)網(wǎng)關(guān)物理環(huán)境安全:規范網(wǎng)關(guān)貯存�、運輸和使用環(huán)境條件下電磁輻射��、防電磁干擾����、抗硬力破壞��、溫濕鹽霧環(huán)境適應能力等方面技術(shù)要求����,主要包括網(wǎng)關(guān)設備電磁兼容�����、機械環(huán)境適應性����、氣候環(huán)境適應性等����。
(4)網(wǎng)關(guān)組件安全:規范網(wǎng)關(guān)功能服務(wù)�、數據采集�����、7數據傳輸處理等軟硬件組件的安全設計��、安全功能等方面技術(shù)要求�����,主要包括網(wǎng)關(guān)設備組件安全架構����、開(kāi)源組件安全�����、應用啟動(dòng)安全等���。
(5)網(wǎng)關(guān)測試評估:規范網(wǎng)關(guān)安全評估測試方法�,主要包括設備安全測試���、組件安全測試��、接口安全測試����、安全管理維護測試���、數據傳輸處理安全測試����、環(huán)境適應性測試����、分級分類(lèi)評估測試等�。
4.平臺安全
物聯(lián)網(wǎng)平臺包括設備管理平臺����、連接管理平臺���、應用使能平臺����、業(yè)務(wù)分析平臺�����、態(tài)勢感知及風(fēng)險處置平臺等�����。物聯(lián)網(wǎng)平臺安全標準主要包括平臺通用安全�、平臺安全防護�����、平臺交互安全�����、平臺安全監測���、平臺測試評估等(見(jiàn)圖5)����。
(1)平臺通用安全:規范各類(lèi)物聯(lián)網(wǎng)平臺通用數據安全�����、通信安全���、身份鑒別��、安全監測��、物理安全����、安全可信等方面要求�,主要包括通用安全框架��、平臺可信計算等����。
(2)平臺安全防護:規范物聯(lián)網(wǎng)平臺以及基于物聯(lián)網(wǎng)平臺開(kāi)發(fā)的行業(yè)業(yè)務(wù)系統和對外應用組件的訪(fǎng)問(wèn)控制���、防代碼逆向��、安全審計�����、篡改和注入防范等安全防護要求�����,主要包括平臺業(yè)務(wù)基礎安全�、平臺安全防護要求等��。
(3)平臺交互安全:規范物聯(lián)網(wǎng)平臺之間�����、平臺與上層業(yè)務(wù)系統或管理系統�����、平臺與下層接入設備之間的數據交互�����、加密傳輸���、交互接口配置和審計等方面的安全要求���,主要包括不同物聯(lián)網(wǎng)平臺之間交互�����、平臺與南向和北向之間交互等�����。
(4)平臺安全監測:規范物聯(lián)網(wǎng)平臺的安全監測��、態(tài)勢匯總等功能建設����,主要包括物聯(lián)網(wǎng)網(wǎng)絡(luò )安全監測預警平臺�����、物聯(lián)網(wǎng)網(wǎng)絡(luò )安全態(tài)勢感知平臺等����。
(5)平臺測試評估:規范物聯(lián)網(wǎng)平臺的通用安全����、平臺安全防護����、平臺內部和平臺之間交互安全�、平臺安全管理等方面的測試評估方法�,主要包括物聯(lián)網(wǎng)平臺能力評估��、安全防護測試�、交互安全測試和安全管理評估等�。
5.安全管理
安全管理標準用于指導行業(yè)落實(shí)通用安全管理要求����,主要包括數據安全管理����、安全信息協(xié)同�����、管理與維護安全���、安全認證等(見(jiàn)圖6)��。
(1)數據安全管理:面向物聯(lián)網(wǎng)業(yè)務(wù)應用產(chǎn)生的各類(lèi)數據��,保障數據在各環(huán)節的安全可控和使用��,主要包括在采集����、傳輸����、存儲��、處理�、共享����、銷(xiāo)毀等關(guān)鍵環(huán)節的數據安全基礎管理和技術(shù)保障等���。
(2)安全信息協(xié)同:針對物聯(lián)網(wǎng)協(xié)議類(lèi)型眾多����,明確物聯(lián)網(wǎng)基礎安全相關(guān)數據互聯(lián)互通標準��,實(shí)現跨協(xié)議安全互聯(lián)互通����,主要包括接口規范����、測試方法等��。
(3)管理與維護安全:規范不同物聯(lián)網(wǎng)場(chǎng)景下終端��、網(wǎng)關(guān)����、平臺的運維管理等方面安全要求���,主要包括制度建設���、安全組織��、人員管理��、運行安全���、資產(chǎn)管理����、配置管理�����、遠程維護安全���、脆弱性檢測���、應急響應與管理�、災備恢復等�����。
(4)安全認證:規范不同類(lèi)型的物聯(lián)網(wǎng)終端�����、網(wǎng)關(guān)����、平臺的認證管理��,用于不同類(lèi)型設備的安全認證互通互認��,主要包括證書(shū)生成���、證書(shū)管理�����、證書(shū)更換等����。
三�、組織實(shí)施
一是加快標準研制����。按照《標準體系》明確的目標和任務(wù)�����,加強產(chǎn)學(xué)研用等各方的工作協(xié)同�,注重物聯(lián)網(wǎng)基礎安全標準與行業(yè)發(fā)展實(shí)際相結合�����,成體系推進(jìn)標準研制��。
二是實(shí)施動(dòng)態(tài)更新�����。跟蹤物聯(lián)網(wǎng)新技術(shù)�、新應用的發(fā)展趨勢��,主動(dòng)適應物聯(lián)網(wǎng)安全發(fā)展水平的不斷提升����,加強標準體系的動(dòng)態(tài)更新和完善�,有效滿(mǎn)足產(chǎn)業(yè)安全發(fā)展需求�����。
三是深化標準應用�����。鼓勵行業(yè)協(xié)會(huì )���、標準化技術(shù)組織等面向生產(chǎn)者�、用戶(hù)�、第三方檢測認證機構等�,開(kāi)展重點(diǎn)標準的宣傳和培訓�����,引導企業(yè)對標達標����,推動(dòng)標準落地實(shí)施��。四是開(kāi)展交流合作���。支持中外企業(yè)�、協(xié)會(huì )�����、標準化機構等開(kāi)展物聯(lián)網(wǎng)基礎安全標準的國際交流合作��,積極參與物聯(lián)網(wǎng)安全國際標準制定���,為提升全球物聯(lián)網(wǎng)安全水平貢獻中國技術(shù)方案�����。
來(lái)源:工信部
0551- 62818875 64280445
行業(yè)動(dòng)態(tài)