工业和信息化部近日印发《物联网基础安全标准体系建设指南(2021版)》,提出到2022年,初步建立物联网基础安全标准体系,研制重点行业标准10项以上,明确物联网终端、网关、平台等关键基础环节安全要求,满足物联网基础安全保障需要,促进物联网基础安全能力提升。到2025年,推动形成较为完善的物联网基础安全标准体系,研制行业标准30项以上,提升标准在细分行业及领域的覆盖程度,提高跨行业物联网应用安全水平,保障消费者安全使用。
关于印发物联网基础安全标准体系建设指南
(2021版)的通知
工信厅科〔2021〕34号
为进一步发挥标准对物联网基础安全的规范和保障作用,加快网络强国建设步伐,现将《物联网基础安全标准体系建设指南(2021版)》印发给你们,请结合本行业(领域)、本地区实际,在标准化工作中贯彻执行。
工业和信息化部办公厅
2021年9月23日
物联网基础安全标准体系建设指南(2021版)
一、总体要求
以习近平新时代中国特色社会主义思想为指导,深入贯彻落实习近平总书记关于网络强国的重要思想,坚持总体国家安全观,以筑牢物联网基础安全、防范公共网络安全风险为目标,着力构建物联网基础安全标准体系,加强标准统筹规划,扎实推进标准研制,促进标准落地实施,支撑和保障物联网产业安全有序发展。
(一)基本原则
需求牵引,加强统筹。紧密贴合物联网产业发展现状和趋势,着力构建科学合理、先进适用、开放融合的基础安全标准体系,强化标准工作统筹协调,指导标准制定有序开展。聚焦重点,急用先行。围绕物联网基础设施和重点行业应用,加快推进基础通用、关键技术、试验方法等重点和急需标准制定,及时满足物联网产业的安全需求。广泛参与,强化实施。凝聚设备厂商、电信企业、安全企业、互联网企业、科研单位、高校等产学研用各方力量,鼓励头部企业发挥示范带头作用,推动标准有效实施。
(二)建设目标
到2022年,初步建立物联网基础安全标准体系,研制重点行业标准10项以上,明确物联网终端、网关、平台等关键基础环节安全要求,满足物联网基础安全保障需要,促进物联网基础安全能力提升。
到2025年,推动形成较为完善的物联网基础安全标准体系,研制行业标准30项以上,提升标准在细分行业及领域的覆盖程度,提高跨行业物联网应用安全水平,保障消费者安全使用。
二、建设内容
(一)标准体系框架
物联网基础安全标准主要是指物联网终端、网关、平台等关键基础环节的安全标准。物联网基础安全标准体系包括总体安全、终端安全、网关安全、平台安全、安全管理等5大类标准(见图1)。
(二)重点领域
1.总体安全
总体安全是物联网基础安全的基础性、指导性和通用性3标准,主要包括物联网基础安全术语定义、架构模型、安全场景、安全集成、安全分级、安全协议等(见图2)。
(1)物联网基础安全术语定义:规范物联网基础安全的概念,统一相关术语的理解和使用。
(2)物联网基础安全架构模型:主要提出物联网基础安全体系框架以及各部分参考模型,明确和界定云、管、端各层面功能、关系、角色、边界、责任等内容。
(3)物联网基础安全场景:主要对不同类型场景中的安全需求进行示例和规范。
(4)物联网基础安全集成:在物联网系统规划、集成、实施等过程中,通过建立安全模型等方式,保障基础设施系统各层级对象安全性和可靠性。
(5)物联网基础安全分级:明确物联网基础安全分级的基本原则、维度、方法、示例等要求,为实施分级安全管理提供基础支撑。
(6)物联网基础安全协议:主要是物联网平台、网关、终端本身及设备之间的基础安全协议,包括有线协议安全、无线协议安全、存储协议安全等。
2.终端安全
终端安全是物联网基础安全体系中感知层面的标准,主要包括终端通用安全、模组安全、通信芯片安全、卡安全、行业终端安全、终端测试评估等(见图3)。
(1)终端通用安全:主要包括物联网终端硬件安全、操作系统安全、软件安全、接入认证、数据安全、协议安全、隐私保护、证书规范、固件安全、插件/组件安全等。
(2)模组安全:规范通信模组在接入认证、数据交互、数据传输、抗电磁干扰等方面的安全要求,包括蜂窝通信模组和其他类型通信模组等。
(3)通信芯片安全:主要包括通信加密算法、密钥管理、加解密能力、签名验签、数据存储、芯片安全基线要求等。
(4)卡安全:分为管理要求和技术要求。其中,管理要求主要是规范物联网卡销售、登记、使用管理等;技术要求主要包括卡身份认证、分级分类、技术手段建设等。
(5)行业终端安全:主要是指与各垂直行业密切相关的、具有特定功能的物联网终端安全要求,如智能门锁、监控设备等特定行业终端的特有安全要求。
(6)终端测试评估:主要包括物联网卡安全测试、硬件安全测试、操作系统安全测试、软件安全测试、接入认证安全测试、数据安全测试、通信协议安全测试、固件安全测试等。
3.网关安全
网关安全主要包括物联网网关通用安全、网关通信与接口安全、网关物理环境安全、网关组件安全、网关测试评估等(见图4)。
(1)网关通用安全:规范物联网网关相关的功能架构、安全协议、安全防护,以及数据传输、处理和存储等方面的安全技术要求,主要包括网关安全模型、安全架构、安全功能、安全性能、数据安全、边缘计算安全、安全协议等。
(2)网关通信与接口安全:规范网关与其他设备互联时通信接口和管理接口的安全通信协议、黑白名单、鉴权认证等方面技术要求,主要包括网关南向和北向接口安全规程、安全协议流程、端口防护等。
(3)网关物理环境安全:规范网关贮存、运输和使用环境条件下电磁辐射、防电磁干扰、抗硬力破坏、温湿盐雾环境适应能力等方面技术要求,主要包括网关设备电磁兼容、机械环境适应性、气候环境适应性等。
(4)网关组件安全:规范网关功能服务、数据采集、7数据传输处理等软硬件组件的安全设计、安全功能等方面技术要求,主要包括网关设备组件安全架构、开源组件安全、应用启动安全等。
(5)网关测试评估:规范网关安全评估测试方法,主要包括设备安全测试、组件安全测试、接口安全测试、安全管理维护测试、数据传输处理安全测试、环境适应性测试、分级分类评估测试等。
4.平台安全
物联网平台包括设备管理平台、连接管理平台、应用使能平台、业务分析平台、态势感知及风险处置平台等。物联网平台安全标准主要包括平台通用安全、平台安全防护、平台交互安全、平台安全监测、平台测试评估等(见图5)。
(1)平台通用安全:规范各类物联网平台通用数据安全、通信安全、身份鉴别、安全监测、物理安全、安全可信等方面要求,主要包括通用安全框架、平台可信计算等。
(2)平台安全防护:规范物联网平台以及基于物联网平台开发的行业业务系统和对外应用组件的访问控制、防代码逆向、安全审计、篡改和注入防范等安全防护要求,主要包括平台业务基础安全、平台安全防护要求等。
(3)平台交互安全:规范物联网平台之间、平台与上层业务系统或管理系统、平台与下层接入设备之间的数据交互、加密传输、交互接口配置和审计等方面的安全要求,主要包括不同物联网平台之间交互、平台与南向和北向之间交互等。
(4)平台安全监测:规范物联网平台的安全监测、态势汇总等功能建设,主要包括物联网网络安全监测预警平台、物联网网络安全态势感知平台等。
(5)平台测试评估:规范物联网平台的通用安全、平台安全防护、平台内部和平台之间交互安全、平台安全管理等方面的测试评估方法,主要包括物联网平台能力评估、安全防护测试、交互安全测试和安全管理评估等。
5.安全管理
安全管理标准用于指导行业落实通用安全管理要求,主要包括数据安全管理、安全信息协同、管理与维护安全、安全认证等(见图6)。
(1)数据安全管理:面向物联网业务应用产生的各类数据,保障数据在各环节的安全可控和使用,主要包括在采集、传输、存储、处理、共享、销毁等关键环节的数据安全基础管理和技术保障等。
(2)安全信息协同:针对物联网协议类型众多,明确物联网基础安全相关数据互联互通标准,实现跨协议安全互联互通,主要包括接口规范、测试方法等。
(3)管理与维护安全:规范不同物联网场景下终端、网关、平台的运维管理等方面安全要求,主要包括制度建设、安全组织、人员管理、运行安全、资产管理、配置管理、远程维护安全、脆弱性检测、应急响应与管理、灾备恢复等。
(4)安全认证:规范不同类型的物联网终端、网关、平台的认证管理,用于不同类型设备的安全认证互通互认,主要包括证书生成、证书管理、证书更换等。
三、组织实施
一是加快标准研制。按照《标准体系》明确的目标和任务,加强产学研用等各方的工作协同,注重物联网基础安全标准与行业发展实际相结合,成体系推进标准研制。
二是实施动态更新。跟踪物联网新技术、新应用的发展趋势,主动适应物联网安全发展水平的不断提升,加强标准体系的动态更新和完善,有效满足产业安全发展需求。
三是深化标准应用。鼓励行业协会、标准化技术组织等面向生产者、用户、第三方检测认证机构等,开展重点标准的宣传和培训,引导企业对标达标,推动标准落地实施。四是开展交流合作。支持中外企业、协会、标准化机构等开展物联网基础安全标准的国际交流合作,积极参与物联网安全国际标准制定,为提升全球物联网安全水平贡献中国技术方案。
来源:工信部