日前,工信部發布了《公開征求對<物聯網基礎安全標準體系建設指南>(征求意見稿)的意見》,具體內容如下:
按照《中華人民共和國網絡安全法》等法律法規的有關規定,為進一步加強物聯網安全標準化工作頂層設計,我們組織制定了《物聯網基礎安全標準體系建設指南(征求意見稿)》(見附件1)及《編制說明》(見附件2)。
為進一步聽取社會各界意見,現予以公示,公示截止日期2021年2月14日。如有意見或建議,請在公示期間填寫《公示意見反饋信息表》(見附件3)并反饋至工業和信息化部科技司,電子郵件發送至KJBZ@miit.gov.cn(郵件主題標明:物聯網基礎安全標準體系建設指南公示反饋)。
地址:北京市西長安街13號工業和信息化部科技司
郵編:100804
聯系電話:010-68205241
公示時間:2021年1月15日-2021年2月14日
附件:
1.《物聯網基礎安全標準體系建設指南(征求意見稿)》.wps(點擊可下載)
2.《物聯網基礎安全標準體系建設指南(征求意見稿)》編制說明.wps(點擊可下載)
3.公示意見反饋信息表.doc(點擊可下載)
工業和信息化部科技司
2021年1月15日
物聯網基礎安全標準體系
建設指南
(征求意見稿)
前言
物聯網是新一代信息技術的高度集成和綜合運用,是新型基礎設施建設的重要組成部分。與傳統互聯網相比,物聯網“無縫連接、全面感知、智能處理、虛實交織”的特點突出,行業安全需求多樣。隨著5G網絡覆蓋日益完善,物聯網產品應用日益豐富,行業滲透日益加深,物聯網關鍵基礎環節的一些安全風險將更為突出,加快構建物聯網基礎安全保障體系,保障物聯網安全健康發展尤為重要。
“安全發展,標準先行”。標準化工作是保障物聯網安全發展的重要基礎。按照《中華人民共和國網絡安全法》等相關法律規定,工業和信息化部組織制定了《物聯網基礎安全標準體系建設指南》(以下簡稱《建設指南》),加強物聯網安全標準頂層設計和方向引領,推動構建系統、科學、規范的物聯網基礎安全標準體系,指導物聯網安全工作的有序開展,支撐經濟社會數字化轉型和高質量發展。
一、建設思路及目標
(一)總體思路
以習近平新時代中國特色社會主義思想為指導,堅持總體國家安全觀,以筑牢物聯網基礎安全、防范公共網絡安全風險為目標,著力構建物聯網基礎安全標準體系,指導標準統籌規劃,系統推進標準研制,促進標準落地實施,做好與國家標準、國際標準以及相關領域行業標準的有效銜接,加強國際交流合作,保障物聯網安全發展。
(二)基本原則
基礎支撐,統籌規劃。結合物聯網行業的發展現狀及特點,發揮行業主管部門在頂層設計、組織協調和政策制定等方面的重要作用,形成政府引導、市場主導、社會參與的行業標準建設體系,促進物聯網產業安全發展。
急用先行,注重實效。從物聯網基礎安全的重點難點工作出發,聚焦物聯網基礎設施和重點行業應用領域,加快基礎共性、關鍵技術、基礎通用協議類標準的研究制定,并在此基礎上,結合重點行業應用的安全風險,協同推進重點標準的研究制定。
廣泛參與,加強落實。在標準制定過程中加強與設備廠商、電信企業、安全企業、互聯網企業、科研單位、高校等產業界和學術界各方充分溝通,凝聚共識,統籌運用行業資源,發揮頭部企業在產品研發、示范引領等方面的作用,加強重點標準在行業中貫徹應用。
(三)建設目標
到2022年,初步建立物聯網基礎安全標準體系,研制重點行業標準10項以上,明確物聯網終端、網關、平臺等關鍵基礎環節安全要求,滿足物聯網基礎安全保障需要,促進物聯網基礎安全能力提升。
到2025年,推進形成完善的物聯網基礎安全標準體系,研制行業標準30項以上,提升標準對細分行業及領域的覆蓋程度,提高跨行業物聯網應用安全水平,保障消費者安全使用。
二、建設內容
(一)標準體系框架
物聯網基礎安全標準主要是指物聯網終端、網關、平臺等關鍵基礎環節的安全標準。物聯網基礎安全標準體系包括總體安全要求、終端安全、網關安全、平臺安全、安全管理五大類標準。物聯網基礎安全標準體系框架如圖1所示。
圖1物聯網基礎安全標準體系框架
(二)重點標準化領域及方向
1.總體安全要求
總體安全要求是物聯網基礎安全的基礎性、指導性和通用性標準,包括物聯網基礎安全術語定義、架構模型、安全場景、安全集成、安全分級及應用等方面標準。總體安全要求子體系如圖2所示。
圖2總體安全要求子體系
(1)物聯網基礎安全術語定義:主要規范物聯網基礎安全的概念和關鍵術語,包括技術、規范、應用領域的相關術語,實現統一標準體系內的語義理解。
(2)物聯網基礎安全架構模型:主要提出物聯網基礎安全體系框架以及各部分參考模型,以明確和界定云、管、端各層面功能、關系、角色、邊界、責任等內容。
(3)物聯網基礎安全場景:明確物聯網基礎安全體系的主要安全場景,對不同類型的場景中的安全需求進行示例和規范的標準。
(4)物聯網基礎安全集成:在物聯網系統規劃、集成、實施等過程中,保障系統各層級對象安全性和可靠性的相關標準。
(5)物聯網基礎安全分級及應用:明確物聯網基礎安全分級分類的基本原則、維度、方法、示例、建議場景等要求,為實施分級分類安全管理提供基礎支撐。
(6)物聯網基礎安全協議:針對物聯網平臺、網關、終端之間及其他組網模式的通信需求,規范通信協議和接口規范等安全要求,包括有線協議安全、無線協議安全等標準。
2.終端安全標準
終端安全標準是物聯網基礎安全體系中感知層面的標準,包括卡安全、模組安全、通信芯片安全、終端設備通用安全、行業終端安全、終端測試評估等標準。終端安全標準子體系如圖3所示。
圖3終端安全標準子體系
(1)卡安全:細化落實相關法律法規和政策文件對物聯網卡安全管理的要求,規范物聯網卡銷售、登記、使用管理等具體流程以及技術要求。包括物聯網卡安全分類管理規范、物聯網卡技術手段建設標準等。
(2)模組安全:規范物聯網終端通信模組安全要求,細化不同通信協議、網絡制式的通信模組在接入認證、數據交互、數據傳輸、抗電磁干擾等方面的安全要求,包括蜂窩通信模組和其他類型通信模組安全標準。
(3)通信芯片安全:規范通信芯片的基礎安全要求,包括通信加密算法、秘鑰管理、加解密能力、簽名驗簽、數據存儲等。
(4)終端設備通用安全:規范物聯網終端基線安全要求,包括物聯網終端硬件安全、操作系統安全、軟件安全、接入認證、數據安全、協議安全、隱私保護、接口互通、證書規范、固件升級等通用安全標準。
(5)行業終端安全:主要包括與各垂直行業密切相關的、具有特定功能的物聯網終端安全要求,如智能門鎖、監控設備等特定行業終端的特有安全要求。
(6)終端測試評估:主要用于規范物聯網終端軟硬件安全評估及測試方法,包括物聯網卡安全測試、硬件安全測試、操作系統安全測試、軟件安全測試、接入認證安全測試、數據安全測試、通信協議安全測試等標準。
3.網關安全標準
網關安全標準包括物聯網網關設備安全、網關數據交換與處理安全、網關通信與接口安全、網關物理環境安全、網關組件安全、網關測試評估等內容。網關安全標準子體系如圖4所示。
圖4網關安全標準子體系
(1)網關設備安全:規范網關設備系統級的功能架構、安全協議、安全防護能力等方面技術要求,主要包括網關設備安全架構、安全功能、安全性能、安全協議等標準。
(2)網關數據交換與處理安全:規范網關在傳輸、處理網絡感知數據、業務管理平臺數據過程中數據安全傳輸、安全處理和安全存儲等方面技術要求,主要包括數據安全模型、安全計算、處理算法、數據存儲、數據溯源等標準。
(3)網關通信與接口安全:規范網關與其他設備互聯時通信接口和管理接口的安全通信協議、黑白名單、鑒權認證等方面技術要求,主要包括網關南向、北向接口安全規程、安全協議流程、端口防護等標準。
(4)網關物理環境安全:規范網關貯存、運輸和使用環境條件下電磁輻射、防電磁干擾、抗硬力破壞、溫濕鹽霧環境適應能力等方面技術要求,提高網關產品環境適應性能力,主要包括網關設備電磁兼容、機械環境適應性、氣候環境適應性等標準。
(5)網關組件安全:規范網關功能服務、數據采集、數據傳輸處理等軟硬件組件的安全設計、功能等方面技術要求,主要包括網關設備組件安全架構、開源組件安全、應用啟動安全等標準。
(6)網關測試評估:規范網關設備安全、組件安全、接口安全、管理維護安全、數據傳輸處理安全、環境安全等方面的評估測試方法和分級分類評估方法,主要包括設備安全測試、組件安全測試、接口安全測試、安全管理維護測試、數據傳輸處理安全測試、環境適應性測試、分級分類評估測試等標準。
4.平臺安全標準
物聯網平臺包括不限于設備管理平臺、連接管理平臺、應用使能平臺、業務分析平臺、態勢感知平臺等。物聯網平臺安全標準包括平臺通用安全、平臺業務系統安全、平臺交互安全、平臺測試評估等。平臺安全標準子體系如圖5所示。
圖5平臺安全標準子體系
(1)平臺通用安全:規范各類物聯網平臺通用數據安全、通信安全、身份鑒別、安全監測、物理安全、安全可信等方面安全要求,包括通用安全框架、平臺可信計算等標準。
(2)平臺業務系統安全:規范基于物聯網平臺開發的行業業務系統自身和對外的訪問控制、防代碼逆向、安全審計、篡改和注入防范等方面安全要求,包括業務系統基礎安全、跨系統訪問以及業務系統與用戶交互等標準。
(3)平臺交互安全:規范不同物聯網平臺之間、平臺與上層業務系統、平臺與下層設備(主要是接入平臺的網關和終端)之間的數據交互、加密傳輸、交互接口配置和審計等方面的安全要求,包括不同物聯網平臺之間交互、平臺與南向和北向之間交互的安全標準。
(4)平臺測試評估:規范物聯網平臺的通用安全、業務系統安全、平臺內部和平臺之間交互安全、安全管理等方面的評估測試方法和分級分類評估方法,包括物聯網平臺通用安全測試、業務系統安全測試、交互安全測試和安全管理測試等標準。
5.安全管理標準
安全管理標準主要用于指導行業落實通用安全管理要求,包括安全信息協同、管理與維護安全、證書管理等。安全管理子體系如圖6所示。
圖6安全管理子體系
(1)安全信息協同:針對物聯網協議類型眾多,明確物聯網基礎安全相關數據互聯互通標準,實現跨協議安全互聯互通,包括接口規范、測試方法等標準。
(2)管理與維護安全:規范不同物聯網場景下終端、網關、平臺的運維管理等方面安全要求,支撐物聯網業務的安全運行及有效監測,包括制度建設、安全組織、人員管理、運行安全、資產管理、配置管理、應急響應、災備恢復等標準。
(3)證書管理:規范不同類型的物聯網終端、網關、平臺的認證管理,用于不同類型設備的安全認證互通互認,包括證書生成、證書管理、證書更換等標準。
三、組織實施
一是加快標準研制。在工業和信息化部的指導下,按照《建設指南》明確的標準研制路徑,有序推進行業標準研制工作,注重物聯網基礎安全標準化工作與行業發展實際結合,盡快制定發布一批產業急需、貼近應用的標準。
二是實施動態更新。緊盯物聯網新技術、新應用的發展趨勢,加強標準體系的科學規劃和動態更新,做好與產業各方的工作協同,在物聯網安全發展水平的不同階段,補充完善適應產業發展的安全標準。
三是深化標準應用。充分發揮地方主管部門、行業協會的作用,通過培訓、論壇、研討等方式,加大標準普及推廣力度,強化標準應用落地,積極推進重點行業領域安全標準的試點示范,快速提升物聯網安全整體水平。
四是加大交流合作。組織做好物聯網基礎安全標準跨行業交流以及國際合作,積極參與物聯網安全國際標準制定,促進行業標準向國家標準、國際標準轉換。
附件:物聯網基礎安全相關標準項目明細表
|
總序號
|
分序號
|
標準名稱
|
標準號/計劃號
|
狀態
|
|
A總體安全要求
|
|
A.1 物聯網基礎安全術語定義
|
|
1.
|
1.
|
物聯網基礎安全術語定義
|
|
待制定
|
|
A.2 物聯網基礎安全架構模型
|
|
2.
|
2.
|
物聯網安全參考模型及通用要求
|
GB/T 37044-2018
|
已發布
|
|
3.
|
3.
|
信息安全技術 網絡安全等級保護基本要求
|
GB/T 22239-2019
|
已發布
|
|
A.3 物聯網基礎安全場景
|
|
4.
|
4.
|
安全應用場景
|
|
待制定
|
|
A.4 物聯網基礎安全集成
|
|
5.
|
5.
|
M2M技術要求(第一階段) 安全解決方案
|
T/CCSA 215-2018
|
已發布
|
|
A.5 物聯網基礎安全分級及應用
|
|
6.
|
6.
|
物聯網分級分類安全 總則
|
|
待制定
|
|
A.6 物聯網基礎安全協議
|
|
7.
|
7.
|
物聯網感知層協議安全技術要求
|
YDB 171-2017
|
已發布
|
|
8.
|
8.
|
物聯網感知層協議安全性要求
|
2012B106
|
制定中
|
|
B終端安全
|
|
|
B.1卡安全
|
|
|
9.
|
1.
|
智能卡通用安全檢測指南
|
GB/T 31507-2015
|
已發布
|
|
10.
|
2.
|
智能卡安全技術要求(EAL4+)
|
GB/T 36950-2018
|
已發布
|
|
11.
|
3.
|
嵌入式通用集成電路卡(eUICC)及其遠程管理的安全技術要求
|
YD/T 2845-2015
|
已發布
|
|
12.
|
4.
|
物聯網卡安全風險監測技術要求
|
2019-0740T-YD
|
制定中
|
|
13.
|
5.
|
物聯網卡日志留存技術要求
|
2019-0300T-YD
|
制定中
|
|
14.
|
6.
|
面向消費電子設備的嵌入式通用集成電路卡(eUICC)安全能力技術要求
|
2019-1272T-YD
|
制定中
|
|
15.
|
7.
|
面向物聯網設備的嵌入式通用集成電路卡(eUICC)安全能力技術要求
|
2019-1271T-YD
|
制定中
|
|
16.
|
8.
|
移動通信智能終端卡接口安全技術要求
|
2016-0442T-YD
|
制定中
|
|
17.
|
9.
|
基于安全平臺的eSIM安全技術要求和測試方法
|
2019-1274T-YD
|
制定中
|
|
18.
|
10.
|
基于eSIM安全架構的車輛緊急救援系統 網絡部分
|
2018B46
|
制定中
|
|
19.
|
11.
|
基于SIM卡的物聯網安全服務技術要求
|
2019-0995T-YD
|
制定中
|
|
20.
|
12.
|
物聯網基礎安全 物聯網卡安全分類管理規范
|
|
制定中
|
|
21.
|
13.
|
物聯網分級分類基礎協議安全規范 物聯網卡安全監測與管理平臺數據采集接口規范
|
2019-0739T-YD
|
制定中
|
|
22.
|
14.
|
物聯網分級分類基礎協議安全規范 物聯網卡安全監測與管理平臺協同處置接口規范
|
|
制定中
|
|
B.2模組安全
|
|
23.
|
15.
|
網絡電子身份標識eID載體安全技術要求
|
YD/T 3456-2019
|
已發布
|
|
B.3通信芯片安全
|
|
24.
|
16.
|
智能家居終端安全芯片接口技術要求
|
2017-YDB-38
|
制定中
|
|
B.4終端設備通用安全
|
|
25.
|
17.
|
物聯網感知設備安全技術要求
|
20152007-T-469
|
已發布
|
|
26.
|
18.
|
物聯網感知終端應用安全技術要求
|
GB/T 36951-2018
|
已發布
|
|
27.
|
19.
|
物聯網感知層接入通信網的安全要求
|
GB/T 37093-2018
|
已發布
|
|
28.
|
20.
|
物聯網終端嵌入式操作系統安全技術要求
|
YDB 173-2017
|
已發布
|
|
29.
|
2
-
青岛蓝界文化传播 台塑华亚(山东)管业 凯赛达换热器制造 东莞市佳宾精密五金制品 中国机械制造工艺协会 斯拓达机械制造 山东水发鲁润水务科技 湖南美装家装配科技 瑞沧机械设备 鑫悦耐火材料 磊澄智能机械装备 锐腾电子科技 规格智能科技 华邦电力科技 上海攸杰数控 鹏程体育设施材料 易净环保科技 巴特夫建材 沃农肥业 聚展 东光县恒信包装机械厂 富达竹业 江西省室内装饰协会 知良实业 长沙市工程机械行业协会 丽星机械设备 凌海实验室设备 KROSSKY 巨恒機械制造 长骏人造草坪 湖南省机械工业协会 星源电子科技(深圳)有限公司 浙江省汽摩配行业商会 永盛机械泵业 盛美特机械设备 铭印建材(惠州) 创域自动化设备 弗朗戈自控阀门 浙江浩通机械 浙江省机械工业联合会 鸿振锌业 阳光防水科技 环瑞电热器材 新浪爱拓化工机械 一诺环境产业集团 得意宝不锈钢制品
|
