10月27日上午,在全国信息安全标准化技术委员会2019年第二次工作组“会议周”上,《物联网安全标准化白皮书(2019版)》正式发布。《物联网安全标准化白皮书(2019版)》(以下简称白皮书)中指出该白皮书梳理了国内外物联网发展现状、法律政策背景、安全标准化进展以及安全防护技术的研究情况,提出了物联网安全标准体系及后续工作建议,旨在为物联网安全监管机构、标准研究及测评认证机构、物联网产业建设和运营商提供参考,推动各相关方在物联网安全领域达成共识,协同完善物联网安全标准研发及应用体系,支撑国家安全监管政策有效落地,促进物联网产业健康持续发展。
以下内容针对物联网安全标准体系及推进建议章节进行摘要,文末附全文下载链接。
目前我国物联网的发展受到各行业的密切关注,但由于物联网的应用涉及到多种行业和多个领域,呈现跨度大、产业链长且涉及传统行业,导致其安全性控制较其他行业难度更大。因此,尽早对物联网安全标准进行整体布局尤为重要。
一、 物联网安全标准分类
基于物联网安全标准化需求分析,从标准主题和标准类型两个维度建立物联网安全标准体系。
图1 物联网安全标准主题分类
图2 物联网安全标准类型分类图
二、物联网安全标准体系框架
基于物联网安全需求和标准类型,建立物联网安全标准分类体系。基于以上两个维度,通过梳理 TC260(全国信息安全标准化技术委员会)已发布及在研的物联网安全标准和已发布的适用于物联网的通用安全标准,可以梳理物联网安全标准体系框架如图 3。
图 3 物联网安全标准体系框架
三、标准现状分析
以下分类的具体标准信息可参看文件附录 A.1 和 A.2。
1 、基础与通用类
TC260 已发布相关通用安全标准14 项,已发布物联网安全模型与术语类标准 1 项,即 GB/T 37044—2018《信息安全技术 物联网安全参考模型及通用要求》。已发布的相关通用安全标准包括 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》等系列标准,将物联网、工业控制系统、移动互联等列入了标准规范,并且具有适用性好、可操作性强等特征,能够在物联网领域进行应用。
GB/T 25069—2010《信息安全技术 术语》对信息安全一般概念术语、信息安全技术术语以及信息安全管理术语做出了界定,目前该标准正在修订中,物联网相关的部分术语,如智能卡、传感器等,已收录在最新版本中。随着物联网安全标准不断更新,为适应物联网领域概念体系,建议对GB/T 25069—2010《信息安全技术 术语》进行持续修订。
2、 感控设备类
TC260 已发布相关通用安全标准 4 项,已发布物联网感控设备类安全标准 6 项,在研 1 物联网安全标准项,为物联网感控设备的标准化工作提供了有意义的参考。
感控设备类标准应主要关注安全要求和检测评估类,现有安全要求类标准较多。鉴于物联网终端设备的特点,感控设备类标准需要在三个方面重点推进:首先,由于物联网终端的快速发展迭代及多样性, 建议新增针对物联网新型设备的安全要求类标准,如智能车联设备、 智能医疗设备等。其次,由于智能卡计算存储能力受限,需研制轻量化的密码算法和安全协议标准,并新增相应的安全要求类标准。第三个方面,由于智能卡设备涉及软硬件等多方面的安全要求,应在现有安全技术要求及检测指南的基础上新增检测评估类标准,为智能卡设备的安全要求实施提供更有针对性的指导。
3、 网络与交换类
TC260 已发布相关通用安全标准有 7 项,已发布物联网网络与交换类 5 项安全标准。目前已制定的物联网数据传输、感知层协议、近场通信(NFC)、射频识别空中接口协议、感知层网关等安全技术要求相关标准,对物联网传输安全模型、感知层信息传输保护、通讯协议安全模式、密钥管理、通讯流程、算法要求、感知终端接入认证、 网络访问控制、数据保护等方面进行了相应要求,并对 NFC、RFID 通讯协议机制、安全交换协议、密钥协商流程、协议规则、参数定义等进行了标准化的要求。
目前网络与交换类共有 11 项,其中 9 项为安全要求类标准。由于物联网设备安全接入方式的涉及多种新型传输协议,建议新增检测评估类安全标准,为物联网网络交换层提供更加细致的实施指导。
4、 应用与服务类
物联网行业涉及众多垂直领域,如智慧城市、工业互联网、家庭物联网、车联网、智能安防、智慧医疗、公共服务等。
TC260 已发布物联网应用与服务类安全标准 13 项、1 项已报批安全标准,包括工业控制系统、智能家居等相关内容。在研标准中,工业互联网和智慧城市行业标准进展较快,且布局较好。工业互联网方向已有在研标准共 9 项,包括通用风险评估、平台、系统、主机等方面。智慧城市方向在研标准共 6 项,包括体系框架、平台及风险评估等方面。各重点领域的安全标准研制呈现较为明显的不均衡现象, 车联网领域在 2019 年完成首次安全技术要求的立项,智能安防、智慧农业等领域的安全标准还未启步,需重点推进这些领域安全标准的立项。
随着新一代无线通信技术与物联网场景的深度融合,边缘计算为物联网应用提供了更低的时延和近距离计算、存储能力。同时,边缘计算架构存在存在非授权访问、敏感数据泄露、(D)DoS 攻击等安全风险,建议新增边缘计算场景的安全防护技术要求类标准。
5 、管理与运维类
TC260 已发布相关通用标准 12 项,包括安全管理及安全运维两个子类。
物联网安全管理涉及物联网卡、智能设备、物联网平台、基础资产等,需要进行整体的安全管控和运维,甄别关键威胁、脆弱性并做 出智能响应,实现覆盖物联网业务安全的快速预警、统一呈现并对安全风险进行处置,保障物联网端到端的安全、可管、可控,建议重点关注物联网业务系统整体的安全监测、应急响应等问题。特别地,由于物联网与经济生活、社会生活密切相关,甚至直接事关线下人身安全,建议安全应急响应规范中安全处置方法以及处置流程等方面应充分考虑物联网各行业的特殊性。
四、近期重点工作方向
为进一步提升物联网安全标准规划体系性与重点聚焦性,适应当前物联网产业快速发展的需要,需进一步调整标准体系布局、加快重点领域规范研制。
《物联网安全标准化白皮书(2019版)》全文下载链接:
链接:https://pan.baidu.com/s/1TGNr2kQok-s6uVsAxjAdpA
提取码:l9ny
