工業和信息化部近日印發《物聯網基礎安全標準體系建設指南(2021版)》��,提出到2022年���,初步建立物聯網基礎安全標準體系�����,研制重點行業標準10項以上�,明確物聯網終端���、網關��、平臺等關鍵基礎環節安全要求�����,滿足物聯網基礎安全保障需要���,促進物聯網基礎安全能力提升�。到2025年�����,推動形成較為完善的物聯網基礎安全標準體系����,研制行業標準30項以上�,提升標準在細分行業及領域的覆蓋程度�����,提高跨行業物聯網應用安全水平����,保障消費者安全使用�。
關于印發物聯網基礎安全標準體系建設指南
(2021版)的通知
工信廳科〔2021〕34號
為進一步發揮標準對物聯網基礎安全的規范和保障作用����,加快網絡強國建設步伐����,現將《物聯網基礎安全標準體系建設指南(2021版)》印發給你們�����,請結合本行業(領域)�、本地區實際�,在標準化工作中貫徹執行�。
工業和信息化部辦公廳
2021年9月23日
物聯網基礎安全標準體系建設指南(2021版)
一��、總體要求
以習近平新時代中國特色社會主義思想為指導���,深入貫徹落實習近平總書記關于網絡強國的重要思想�����,堅持總體國家安全觀�,以筑牢物聯網基礎安全�����、防范公共網絡安全風險為目標��,著力構建物聯網基礎安全標準體系���,加強標準統籌規劃��,扎實推進標準研制��,促進標準落地實施����,支撐和保障物聯網產業安全有序發展����。
(一)基本原則
需求牽引�,加強統籌���。緊密貼合物聯網產業發展現狀和趨勢����,著力構建科學合理�、先進適用�����、開放融合的基礎安全標準體系���,強化標準工作統籌協調���,指導標準制定有序開展����。聚焦重點�,急用先行���。圍繞物聯網基礎設施和重點行業應用����,加快推進基礎通用�、關鍵技術����、試驗方法等重點和急需標準制定�����,及時滿足物聯網產業的安全需求�。廣泛參與�����,強化實施�����。凝聚設備廠商�、電信企業�、安全企業����、互聯網企業��、科研單位���、高校等產學研用各方力量���,鼓勵頭部企業發揮示范帶頭作用��,推動標準有效實施����。
(二)建設目標
到2022年��,初步建立物聯網基礎安全標準體系�����,研制重點行業標準10項以上����,明確物聯網終端�����、網關�、平臺等關鍵基礎環節安全要求�����,滿足物聯網基礎安全保障需要�����,促進物聯網基礎安全能力提升�����。
到2025年��,推動形成較為完善的物聯網基礎安全標準體系����,研制行業標準30項以上�����,提升標準在細分行業及領域的覆蓋程度��,提高跨行業物聯網應用安全水平�,保障消費者安全使用�。
二��、建設內容
(一)標準體系框架
物聯網基礎安全標準主要是指物聯網終端�����、網關�、平臺等關鍵基礎環節的安全標準�。物聯網基礎安全標準體系包括總體安全���、終端安全�����、網關安全����、平臺安全���、安全管理等5大類標準(見圖1)����。
(二)重點領域
1.總體安全
總體安全是物聯網基礎安全的基礎性�����、指導性和通用性3標準���,主要包括物聯網基礎安全術語定義��、架構模型��、安全場景���、安全集成���、安全分級���、安全協議等(見圖2)�����。
(1)物聯網基礎安全術語定義:規范物聯網基礎安全的概念�����,統一相關術語的理解和使用��。
(2)物聯網基礎安全架構模型:主要提出物聯網基礎安全體系框架以及各部分參考模型����,明確和界定云�����、管���、端各層面功能�����、關系��、角色���、邊界�����、責任等內容��。
(3)物聯網基礎安全場景:主要對不同類型場景中的安全需求進行示例和規范���。
(4)物聯網基礎安全集成:在物聯網系統規劃�����、集成��、實施等過程中���,通過建立安全模型等方式�,保障基礎設施系統各層級對象安全性和可靠性�。
(5)物聯網基礎安全分級:明確物聯網基礎安全分級的基本原則���、維度�����、方法�����、示例等要求�����,為實施分級安全管理提供基礎支撐��。
(6)物聯網基礎安全協議:主要是物聯網平臺�、網關�����、終端本身及設備之間的基礎安全協議�,包括有線協議安全��、無線協議安全���、存儲協議安全等���。
2.終端安全
終端安全是物聯網基礎安全體系中感知層面的標準��,主要包括終端通用安全�����、模組安全���、通信芯片安全�、卡安全���、行業終端安全�、終端測試評估等(見圖3)�。
(1)終端通用安全:主要包括物聯網終端硬件安全�����、操作系統安全��、軟件安全���、接入認證�����、數據安全����、協議安全����、隱私保護�����、證書規范��、固件安全�、插件/組件安全等��。
(2)模組安全:規范通信模組在接入認證��、數據交互�、數據傳輸���、抗電磁干擾等方面的安全要求���,包括蜂窩通信模組和其他類型通信模組等����。
(3)通信芯片安全:主要包括通信加密算法����、密鑰管理����、加解密能力�����、簽名驗簽�、數據存儲����、芯片安全基線要求等����。
(4)卡安全:分為管理要求和技術要求�。其中�,管理要求主要是規范物聯網卡銷售�����、登記����、使用管理等���;技術要求主要包括卡身份認證���、分級分類����、技術手段建設等�����。
(5)行業終端安全:主要是指與各垂直行業密切相關的���、具有特定功能的物聯網終端安全要求���,如智能門鎖�����、監控設備等特定行業終端的特有安全要求����。
(6)終端測試評估:主要包括物聯網卡安全測試���、硬件安全測試����、操作系統安全測試���、軟件安全測試���、接入認證安全測試��、數據安全測試�、通信協議安全測試���、固件安全測試等��。
3.網關安全
網關安全主要包括物聯網網關通用安全�����、網關通信與接口安全�����、網關物理環境安全�����、網關組件安全�����、網關測試評估等(見圖4)��。
(1)網關通用安全:規范物聯網網關相關的功能架構����、安全協議���、安全防護���,以及數據傳輸�����、處理和存儲等方面的安全技術要求�,主要包括網關安全模型��、安全架構����、安全功能����、安全性能�����、數據安全����、邊緣計算安全��、安全協議等����。
(2)網關通信與接口安全:規范網關與其他設備互聯時通信接口和管理接口的安全通信協議��、黑白名單���、鑒權認證等方面技術要求���,主要包括網關南向和北向接口安全規程����、安全協議流程�、端口防護等�����。
(3)網關物理環境安全:規范網關貯存�、運輸和使用環境條件下電磁輻射�����、防電磁干擾����、抗硬力破壞����、溫濕鹽霧環境適應能力等方面技術要求���,主要包括網關設備電磁兼容��、機械環境適應性�、氣候環境適應性等���。
(4)網關組件安全:規范網關功能服務����、數據采集����、7數據傳輸處理等軟硬件組件的安全設計�、安全功能等方面技術要求�����,主要包括網關設備組件安全架構�����、開源組件安全��、應用啟動安全等���。
(5)網關測試評估:規范網關安全評估測試方法�,主要包括設備安全測試�����、組件安全測試����、接口安全測試��、安全管理維護測試�、數據傳輸處理安全測試����、環境適應性測試�����、分級分類評估測試等��。
4.平臺安全
物聯網平臺包括設備管理平臺�����、連接管理平臺�、應用使能平臺�����、業務分析平臺��、態勢感知及風險處置平臺等��。物聯網平臺安全標準主要包括平臺通用安全����、平臺安全防護��、平臺交互安全����、平臺安全監測��、平臺測試評估等(見圖5)��。
(1)平臺通用安全:規范各類物聯網平臺通用數據安全���、通信安全����、身份鑒別��、安全監測����、物理安全�����、安全可信等方面要求���,主要包括通用安全框架�、平臺可信計算等���。
(2)平臺安全防護:規范物聯網平臺以及基于物聯網平臺開發的行業業務系統和對外應用組件的訪問控制����、防代碼逆向��、安全審計�、篡改和注入防范等安全防護要求���,主要包括平臺業務基礎安全��、平臺安全防護要求等����。
(3)平臺交互安全:規范物聯網平臺之間�����、平臺與上層業務系統或管理系統�、平臺與下層接入設備之間的數據交互��、加密傳輸�����、交互接口配置和審計等方面的安全要求����,主要包括不同物聯網平臺之間交互��、平臺與南向和北向之間交互等�。
(4)平臺安全監測:規范物聯網平臺的安全監測���、態勢匯總等功能建設�,主要包括物聯網網絡安全監測預警平臺�、物聯網網絡安全態勢感知平臺等����。
(5)平臺測試評估:規范物聯網平臺的通用安全���、平臺安全防護����、平臺內部和平臺之間交互安全�、平臺安全管理等方面的測試評估方法��,主要包括物聯網平臺能力評估�、安全防護測試����、交互安全測試和安全管理評估等��。
5.安全管理
安全管理標準用于指導行業落實通用安全管理要求��,主要包括數據安全管理�、安全信息協同���、管理與維護安全��、安全認證等(見圖6)�。
(1)數據安全管理:面向物聯網業務應用產生的各類數據�����,保障數據在各環節的安全可控和使用�,主要包括在采集�、傳輸����、存儲�、處理�����、共享�、銷毀等關鍵環節的數據安全基礎管理和技術保障等�。
(2)安全信息協同:針對物聯網協議類型眾多���,明確物聯網基礎安全相關數據互聯互通標準�����,實現跨協議安全互聯互通����,主要包括接口規范���、測試方法等���。
(3)管理與維護安全:規范不同物聯網場景下終端�����、網關���、平臺的運維管理等方面安全要求�,主要包括制度建設���、安全組織�����、人員管理����、運行安全�����、資產管理���、配置管理����、遠程維護安全���、脆弱性檢測���、應急響應與管理�、災備恢復等����。
(4)安全認證:規范不同類型的物聯網終端�����、網關��、平臺的認證管理��,用于不同類型設備的安全認證互通互認�,主要包括證書生成�����、證書管理�、證書更換等����。
三����、組織實施
一是加快標準研制�����。按照《標準體系》明確的目標和任務���,加強產學研用等各方的工作協同����,注重物聯網基礎安全標準與行業發展實際相結合����,成體系推進標準研制����。
二是實施動態更新�����。跟蹤物聯網新技術�����、新應用的發展趨勢�,主動適應物聯網安全發展水平的不斷提升��,加強標準體系的動態更新和完善�,有效滿足產業安全發展需求�����。
三是深化標準應用����。鼓勵行業協會��、標準化技術組織等面向生產者����、用戶���、第三方檢測認證機構等��,開展重點標準的宣傳和培訓����,引導企業對標達標����,推動標準落地實施����。四是開展交流合作���。支持中外企業��、協會����、標準化機構等開展物聯網基礎安全標準的國際交流合作��,積極參與物聯網安全國際標準制定��,為提升全球物聯網安全水平貢獻中國技術方案�����。
來源:工信部
0551- 62818875 64280445
行業動態