工業(yè)和信息化部近日印發(fā)《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南(2021版)》��,提出到2022年����,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系���,研制重點行業(yè)標(biāo)準(zhǔn)10項以上����,明確物聯(lián)網(wǎng)終端�、網(wǎng)關(guān)、平臺等關(guān)鍵基礎(chǔ)環(huán)節(jié)安全要求�����,滿足物聯(lián)網(wǎng)基礎(chǔ)安全保障需要�,促進(jìn)物聯(lián)網(wǎng)基礎(chǔ)安全能力提升。到2025年���,推動形成較為完善的物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系�,研制行業(yè)標(biāo)準(zhǔn)30項以上,提升標(biāo)準(zhǔn)在細(xì)分行業(yè)及領(lǐng)域的覆蓋程度�����,提高跨行業(yè)物聯(lián)網(wǎng)應(yīng)用安全水平�,保障消費者安全使用。
關(guān)于印發(fā)物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南
(2021版)的通知
工信廳科〔2021〕34號
為進(jìn)一步發(fā)揮標(biāo)準(zhǔn)對物聯(lián)網(wǎng)基礎(chǔ)安全的規(guī)范和保障作用�����,加快網(wǎng)絡(luò)強(qiáng)國建設(shè)步伐���,現(xiàn)將《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南(2021版)》印發(fā)給你們,請結(jié)合本行業(yè)(領(lǐng)域)���、本地區(qū)實際���,在標(biāo)準(zhǔn)化工作中貫徹執(zhí)行。
工業(yè)和信息化部辦公廳
2021年9月23日
物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南(2021版)
一�、總體要求
以習(xí)近平新時代中國特色社會主義思想為指導(dǎo),深入貫徹落實習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國的重要思想�����,堅持總體國家安全觀,以筑牢物聯(lián)網(wǎng)基礎(chǔ)安全�、防范公共網(wǎng)絡(luò)安全風(fēng)險為目標(biāo),著力構(gòu)建物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系����,加強(qiáng)標(biāo)準(zhǔn)統(tǒng)籌規(guī)劃,扎實推進(jìn)標(biāo)準(zhǔn)研制�,促進(jìn)標(biāo)準(zhǔn)落地實施,支撐和保障物聯(lián)網(wǎng)產(chǎn)業(yè)安全有序發(fā)展��。
(一)基本原則
需求牽引����,加強(qiáng)統(tǒng)籌。緊密貼合物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展現(xiàn)狀和趨勢����,著力構(gòu)建科學(xué)合理、先進(jìn)適用�、開放融合的基礎(chǔ)安全標(biāo)準(zhǔn)體系,強(qiáng)化標(biāo)準(zhǔn)工作統(tǒng)籌協(xié)調(diào)�����,指導(dǎo)標(biāo)準(zhǔn)制定有序開展。聚焦重點����,急用先行。圍繞物聯(lián)網(wǎng)基礎(chǔ)設(shè)施和重點行業(yè)應(yīng)用��,加快推進(jìn)基礎(chǔ)通用�、關(guān)鍵技術(shù)、試驗方法等重點和急需標(biāo)準(zhǔn)制定��,及時滿足物聯(lián)網(wǎng)產(chǎn)業(yè)的安全需求�����。廣泛參與��,強(qiáng)化實施��。凝聚設(shè)備廠商����、電信企業(yè)�、安全企業(yè)、互聯(lián)網(wǎng)企業(yè)���、科研單位��、高校等產(chǎn)學(xué)研用各方力量����,鼓勵頭部企業(yè)發(fā)揮示范帶頭作用,推動標(biāo)準(zhǔn)有效實施�。
(二)建設(shè)目標(biāo)
到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系���,研制重點行業(yè)標(biāo)準(zhǔn)10項以上�����,明確物聯(lián)網(wǎng)終端�����、網(wǎng)關(guān)�����、平臺等關(guān)鍵基礎(chǔ)環(huán)節(jié)安全要求����,滿足物聯(lián)網(wǎng)基礎(chǔ)安全保障需要,促進(jìn)物聯(lián)網(wǎng)基礎(chǔ)安全能力提升���。
到2025年����,推動形成較為完善的物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系��,研制行業(yè)標(biāo)準(zhǔn)30項以上��,提升標(biāo)準(zhǔn)在細(xì)分行業(yè)及領(lǐng)域的覆蓋程度����,提高跨行業(yè)物聯(lián)網(wǎng)應(yīng)用安全水平,保障消費者安全使用����。
二、建設(shè)內(nèi)容
(一)標(biāo)準(zhǔn)體系框架
物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)主要是指物聯(lián)網(wǎng)終端��、網(wǎng)關(guān)���、平臺等關(guān)鍵基礎(chǔ)環(huán)節(jié)的安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系包括總體安全���、終端安全�����、網(wǎng)關(guān)安全�����、平臺安全�、安全管理等5大類標(biāo)準(zhǔn)(見圖1)。
(二)重點領(lǐng)域
1.總體安全
總體安全是物聯(lián)網(wǎng)基礎(chǔ)安全的基礎(chǔ)性���、指導(dǎo)性和通用性3標(biāo)準(zhǔn)�����,主要包括物聯(lián)網(wǎng)基礎(chǔ)安全術(shù)語定義�、架構(gòu)模型���、安全場景���、安全集成、安全分級�、安全協(xié)議等(見圖2)��。
(1)物聯(lián)網(wǎng)基礎(chǔ)安全術(shù)語定義:規(guī)范物聯(lián)網(wǎng)基礎(chǔ)安全的概念�����,統(tǒng)一相關(guān)術(shù)語的理解和使用��。
(2)物聯(lián)網(wǎng)基礎(chǔ)安全架構(gòu)模型:主要提出物聯(lián)網(wǎng)基礎(chǔ)安全體系框架以及各部分參考模型�����,明確和界定云�、管���、端各層面功能�����、關(guān)系����、角色�����、邊界���、責(zé)任等內(nèi)容���。
(3)物聯(lián)網(wǎng)基礎(chǔ)安全場景:主要對不同類型場景中的安全需求進(jìn)行示例和規(guī)范���。
(4)物聯(lián)網(wǎng)基礎(chǔ)安全集成:在物聯(lián)網(wǎng)系統(tǒng)規(guī)劃�����、集成�、實施等過程中,通過建立安全模型等方式��,保障基礎(chǔ)設(shè)施系統(tǒng)各層級對象安全性和可靠性�。
(5)物聯(lián)網(wǎng)基礎(chǔ)安全分級:明確物聯(lián)網(wǎng)基礎(chǔ)安全分級的基本原則、維度��、方法���、示例等要求��,為實施分級安全管理提供基礎(chǔ)支撐��。
(6)物聯(lián)網(wǎng)基礎(chǔ)安全協(xié)議:主要是物聯(lián)網(wǎng)平臺����、網(wǎng)關(guān)、終端本身及設(shè)備之間的基礎(chǔ)安全協(xié)議�����,包括有線協(xié)議安全��、無線協(xié)議安全���、存儲協(xié)議安全等��。
2.終端安全
終端安全是物聯(lián)網(wǎng)基礎(chǔ)安全體系中感知層面的標(biāo)準(zhǔn)�����,主要包括終端通用安全���、模組安全、通信芯片安全�����、卡安全、行業(yè)終端安全�、終端測試評估等(見圖3)。
(1)終端通用安全:主要包括物聯(lián)網(wǎng)終端硬件安全����、操作系統(tǒng)安全��、軟件安全���、接入認(rèn)證���、數(shù)據(jù)安全、協(xié)議安全�、隱私保護(hù)、證書規(guī)范���、固件安全�����、插件/組件安全等���。
(2)模組安全:規(guī)范通信模組在接入認(rèn)證�、數(shù)據(jù)交互�、數(shù)據(jù)傳輸、抗電磁干擾等方面的安全要求����,包括蜂窩通信模組和其他類型通信模組等。
(3)通信芯片安全:主要包括通信加密算法�、密鑰管理、加解密能力��、簽名驗簽�����、數(shù)據(jù)存儲��、芯片安全基線要求等����。
(4)卡安全:分為管理要求和技術(shù)要求。其中�����,管理要求主要是規(guī)范物聯(lián)網(wǎng)卡銷售、登記����、使用管理等;技術(shù)要求主要包括卡身份認(rèn)證�����、分級分類�����、技術(shù)手段建設(shè)等��。
(5)行業(yè)終端安全:主要是指與各垂直行業(yè)密切相關(guān)的�、具有特定功能的物聯(lián)網(wǎng)終端安全要求��,如智能門鎖���、監(jiān)控設(shè)備等特定行業(yè)終端的特有安全要求����。
(6)終端測試評估:主要包括物聯(lián)網(wǎng)卡安全測試�、硬件安全測試��、操作系統(tǒng)安全測試�����、軟件安全測試�����、接入認(rèn)證安全測試��、數(shù)據(jù)安全測試�、通信協(xié)議安全測試�、固件安全測試等。
3.網(wǎng)關(guān)安全
網(wǎng)關(guān)安全主要包括物聯(lián)網(wǎng)網(wǎng)關(guān)通用安全���、網(wǎng)關(guān)通信與接口安全�、網(wǎng)關(guān)物理環(huán)境安全���、網(wǎng)關(guān)組件安全��、網(wǎng)關(guān)測試評估等(見圖4)�。
(1)網(wǎng)關(guān)通用安全:規(guī)范物聯(lián)網(wǎng)網(wǎng)關(guān)相關(guān)的功能架構(gòu)���、安全協(xié)議��、安全防護(hù)����,以及數(shù)據(jù)傳輸、處理和存儲等方面的安全技術(shù)要求��,主要包括網(wǎng)關(guān)安全模型���、安全架構(gòu)�����、安全功能、安全性能�����、數(shù)據(jù)安全��、邊緣計算安全�、安全協(xié)議等。
(2)網(wǎng)關(guān)通信與接口安全:規(guī)范網(wǎng)關(guān)與其他設(shè)備互聯(lián)時通信接口和管理接口的安全通信協(xié)議�����、黑白名單、鑒權(quán)認(rèn)證等方面技術(shù)要求����,主要包括網(wǎng)關(guān)南向和北向接口安全規(guī)程、安全協(xié)議流程����、端口防護(hù)等。
(3)網(wǎng)關(guān)物理環(huán)境安全:規(guī)范網(wǎng)關(guān)貯存��、運輸和使用環(huán)境條件下電磁輻射�����、防電磁干擾���、抗硬力破壞�、溫濕鹽霧環(huán)境適應(yīng)能力等方面技術(shù)要求�����,主要包括網(wǎng)關(guān)設(shè)備電磁兼容、機(jī)械環(huán)境適應(yīng)性�����、氣候環(huán)境適應(yīng)性等�����。
(4)網(wǎng)關(guān)組件安全:規(guī)范網(wǎng)關(guān)功能服務(wù)����、數(shù)據(jù)采集、7數(shù)據(jù)傳輸處理等軟硬件組件的安全設(shè)計�、安全功能等方面技術(shù)要求,主要包括網(wǎng)關(guān)設(shè)備組件安全架構(gòu)��、開源組件安全����、應(yīng)用啟動安全等。
(5)網(wǎng)關(guān)測試評估:規(guī)范網(wǎng)關(guān)安全評估測試方法�����,主要包括設(shè)備安全測試����、組件安全測試、接口安全測試���、安全管理維護(hù)測試���、數(shù)據(jù)傳輸處理安全測試、環(huán)境適應(yīng)性測試�、分級分類評估測試等。
4.平臺安全
物聯(lián)網(wǎng)平臺包括設(shè)備管理平臺��、連接管理平臺����、應(yīng)用使能平臺、業(yè)務(wù)分析平臺����、態(tài)勢感知及風(fēng)險處置平臺等。物聯(lián)網(wǎng)平臺安全標(biāo)準(zhǔn)主要包括平臺通用安全�����、平臺安全防護(hù)�、平臺交互安全、平臺安全監(jiān)測、平臺測試評估等(見圖5)����。
(1)平臺通用安全:規(guī)范各類物聯(lián)網(wǎng)平臺通用數(shù)據(jù)安全、通信安全��、身份鑒別�、安全監(jiān)測、物理安全����、安全可信等方面要求,主要包括通用安全框架����、平臺可信計算等。
(2)平臺安全防護(hù):規(guī)范物聯(lián)網(wǎng)平臺以及基于物聯(lián)網(wǎng)平臺開發(fā)的行業(yè)業(yè)務(wù)系統(tǒng)和對外應(yīng)用組件的訪問控制���、防代碼逆向�、安全審計�����、篡改和注入防范等安全防護(hù)要求�,主要包括平臺業(yè)務(wù)基礎(chǔ)安全、平臺安全防護(hù)要求等�����。
(3)平臺交互安全:規(guī)范物聯(lián)網(wǎng)平臺之間�����、平臺與上層業(yè)務(wù)系統(tǒng)或管理系統(tǒng)���、平臺與下層接入設(shè)備之間的數(shù)據(jù)交互��、加密傳輸�、交互接口配置和審計等方面的安全要求���,主要包括不同物聯(lián)網(wǎng)平臺之間交互����、平臺與南向和北向之間交互等�。
(4)平臺安全監(jiān)測:規(guī)范物聯(lián)網(wǎng)平臺的安全監(jiān)測、態(tài)勢匯總等功能建設(shè)��,主要包括物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺���、物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知平臺等��。
(5)平臺測試評估:規(guī)范物聯(lián)網(wǎng)平臺的通用安全�����、平臺安全防護(hù)����、平臺內(nèi)部和平臺之間交互安全、平臺安全管理等方面的測試評估方法����,主要包括物聯(lián)網(wǎng)平臺能力評估、安全防護(hù)測試��、交互安全測試和安全管理評估等�����。
5.安全管理
安全管理標(biāo)準(zhǔn)用于指導(dǎo)行業(yè)落實通用安全管理要求�����,主要包括數(shù)據(jù)安全管理����、安全信息協(xié)同����、管理與維護(hù)安全�、安全認(rèn)證等(見圖6)����。
(1)數(shù)據(jù)安全管理:面向物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用產(chǎn)生的各類數(shù)據(jù),保障數(shù)據(jù)在各環(huán)節(jié)的安全可控和使用��,主要包括在采集��、傳輸�、存儲、處理����、共享、銷毀等關(guān)鍵環(huán)節(jié)的數(shù)據(jù)安全基礎(chǔ)管理和技術(shù)保障等�。
(2)安全信息協(xié)同:針對物聯(lián)網(wǎng)協(xié)議類型眾多,明確物聯(lián)網(wǎng)基礎(chǔ)安全相關(guān)數(shù)據(jù)互聯(lián)互通標(biāo)準(zhǔn)����,實現(xiàn)跨協(xié)議安全互聯(lián)互通�����,主要包括接口規(guī)范�����、測試方法等�。
(3)管理與維護(hù)安全:規(guī)范不同物聯(lián)網(wǎng)場景下終端�����、網(wǎng)關(guān)�、平臺的運維管理等方面安全要求,主要包括制度建設(shè)�、安全組織、人員管理�����、運行安全���、資產(chǎn)管理��、配置管理�、遠(yuǎn)程維護(hù)安全、脆弱性檢測�、應(yīng)急響應(yīng)與管理、災(zāi)備恢復(fù)等��。
(4)安全認(rèn)證:規(guī)范不同類型的物聯(lián)網(wǎng)終端���、網(wǎng)關(guān)、平臺的認(rèn)證管理�,用于不同類型設(shè)備的安全認(rèn)證互通互認(rèn),主要包括證書生成�、證書管理、證書更換等���。
三�、組織實施
一是加快標(biāo)準(zhǔn)研制�����。按照《標(biāo)準(zhǔn)體系》明確的目標(biāo)和任務(wù)���,加強(qiáng)產(chǎn)學(xué)研用等各方的工作協(xié)同�,注重物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)與行業(yè)發(fā)展實際相結(jié)合����,成體系推進(jìn)標(biāo)準(zhǔn)研制�����。
二是實施動態(tài)更新�。跟蹤物聯(lián)網(wǎng)新技術(shù)���、新應(yīng)用的發(fā)展趨勢�����,主動適應(yīng)物聯(lián)網(wǎng)安全發(fā)展水平的不斷提升��,加強(qiáng)標(biāo)準(zhǔn)體系的動態(tài)更新和完善�����,有效滿足產(chǎn)業(yè)安全發(fā)展需求�����。
三是深化標(biāo)準(zhǔn)應(yīng)用��。鼓勵行業(yè)協(xié)會����、標(biāo)準(zhǔn)化技術(shù)組織等面向生產(chǎn)者、用戶��、第三方檢測認(rèn)證機(jī)構(gòu)等���,開展重點標(biāo)準(zhǔn)的宣傳和培訓(xùn)��,引導(dǎo)企業(yè)對標(biāo)達(dá)標(biāo)�,推動標(biāo)準(zhǔn)落地實施���。四是開展交流合作。支持中外企業(yè)�、協(xié)會、標(biāo)準(zhǔn)化機(jī)構(gòu)等開展物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)的國際交流合作��,積極參與物聯(lián)網(wǎng)安全國際標(biāo)準(zhǔn)制定�,為提升全球物聯(lián)網(wǎng)安全水平貢獻(xiàn)中國技術(shù)方案。
來源:工信部
0551- 62818875 64280445
行業(yè)動態(tài)
