信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求-物聯(lián)網(wǎng)安全要求

1、信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求第4部分：物聯(lián)網(wǎng)安全要求1范圍本標(biāo)準(zhǔn)依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 第1部分：安全通用要求和網(wǎng)絡(luò)安全等級(jí)保 護(hù)基本要求第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求，規(guī)范了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)要求對(duì)物聯(lián)網(wǎng)系統(tǒng)的 擴(kuò)展設(shè)計(jì)要求，包括第一級(jí)至第四級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計(jì)技術(shù)要求。本標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)等級(jí)保護(hù)物聯(lián)網(wǎng)系統(tǒng)安全技術(shù)方案的設(shè)計(jì)和實(shí)施，也可作為信息安全職能部門對(duì)物聯(lián)網(wǎng)系統(tǒng)進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。2規(guī)范性引用文件下列文件中的條款通過(guò)在本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文

2、件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研 究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T 25069-2010信息安全技術(shù)術(shù)語(yǔ)GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T 25070-2010網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求第1部分：安全通用要求GB/T 22239.4-XXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求GB/T XXXX 物聯(lián)網(wǎng)第2部分：術(shù)語(yǔ)GB/T XXXX 物聯(lián)網(wǎng)第3

3、部分：參考體系結(jié)構(gòu)與通用技術(shù)要求3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1定級(jí)系統(tǒng) classified system按照已確定安全保護(hù)等級(jí)的物聯(lián)網(wǎng)系統(tǒng)。定級(jí)系統(tǒng)分為第一級(jí)、第二級(jí)、第三級(jí)和第四級(jí)物聯(lián)網(wǎng)系統(tǒng)。3.2定級(jí)系統(tǒng)安全保護(hù)環(huán)境security en vir onment of classified system由安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成的對(duì)定級(jí)系統(tǒng)進(jìn)行安全保護(hù)的環(huán)境。定級(jí)系統(tǒng)安全保護(hù)環(huán)境包括第一級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境、第二級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境、第三級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境、第四級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境以及定級(jí)系統(tǒng)的安全互聯(lián)。3.3安全計(jì)

4、算環(huán)境 secure computing environment 對(duì)定級(jí)系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件。 安全計(jì)算環(huán)境按照保護(hù)能力劃分為第一級(jí)安全計(jì)算環(huán)境、 第二級(jí)安全計(jì)算環(huán)境、 第三級(jí)安全計(jì)算環(huán) 境和第四級(jí)安全計(jì)算環(huán)境。3.4安全區(qū)域邊界 secure area boundary對(duì)定級(jí)系統(tǒng)的安全計(jì)算環(huán)境邊界， 以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略 的相關(guān)部件。安全區(qū)域邊界按照保護(hù)能力劃分為第一級(jí)安全區(qū)域邊界、 第二級(jí)安全區(qū)域邊界、 第三級(jí)安全區(qū)域邊 界和第四級(jí)安全區(qū)域邊界。3.5安全通信網(wǎng)絡(luò) secure communication network 對(duì)定

5、級(jí)系統(tǒng)安全計(jì)算環(huán)境和信息安全區(qū)域之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件。 安全通信網(wǎng)絡(luò)按照保護(hù)能力劃分第一級(jí)安全通信網(wǎng)絡(luò)、 第二級(jí)安全通信網(wǎng)絡(luò)、 第三級(jí)安全通信網(wǎng)絡(luò) 和第四級(jí)安全通信網(wǎng)絡(luò)。3.6安全管理中心 security management center對(duì)定級(jí)系統(tǒng)的安全策略及安全計(jì)算環(huán)境、 安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理 的平臺(tái)。第二級(jí)及第二級(jí)以上的定級(jí)系統(tǒng)安全保護(hù)環(huán)境需要設(shè)置安全管理中心，稱為第二級(jí)安全管理中心、 第三級(jí)安全管理中心和第四級(jí)安全管理中心。3.7跨定級(jí)系統(tǒng)安全管理中心 security management center for cross clas

6、sified system 跨定級(jí)系統(tǒng)安全管理中心是對(duì)相同或不同等級(jí)的定級(jí)系統(tǒng)之間互聯(lián)的安全策略及安全互聯(lián)部件上 的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。3.8定級(jí)系統(tǒng)互聯(lián) classified system interconnection 通過(guò)安全互聯(lián)部件和跨定級(jí)系統(tǒng)安全管理中心實(shí)現(xiàn)的相同或不同等級(jí)的定級(jí)系統(tǒng)安全保護(hù)環(huán)境之 間的安全連接。3.9物聯(lián)網(wǎng) internet of things （ IOT ）物聯(lián)網(wǎng)是將感知節(jié)點(diǎn)設(shè)備（含 RFID ）通過(guò)互聯(lián)網(wǎng)等網(wǎng)絡(luò)連接起來(lái)構(gòu)成的一個(gè)應(yīng)用系統(tǒng)，它融合信 息系統(tǒng)和物理世界實(shí)體，是虛擬世界與現(xiàn)實(shí)世界的結(jié)合。3.10物聯(lián)網(wǎng)安全 security for IOT 對(duì)物

7、聯(lián)網(wǎng)機(jī)密性、完整性、可用性、私密性的保護(hù)，并可能涉及真實(shí)性、責(zé)任制、不可否認(rèn)性和可 靠性等其他屬性。3.11物聯(lián)網(wǎng)安全等級(jí)保護(hù) IOT security of classified protection 根據(jù)物聯(lián)網(wǎng)安全的程度進(jìn)行等級(jí)劃分， 對(duì)物聯(lián)網(wǎng)系統(tǒng)分等級(jí)進(jìn)行保護(hù)和管理， 對(duì)物聯(lián)網(wǎng)信息安全事 件分等級(jí)響應(yīng)和處置。3.12網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備 the sensor layer gateway 網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備是一種以將感知節(jié)點(diǎn)設(shè)備所采集的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)處理中心的關(guān)鍵出口， 是連接傳統(tǒng) 信息網(wǎng)絡(luò)（有線網(wǎng)、 移動(dòng)網(wǎng)等） 和傳感網(wǎng)的橋梁， 其安全設(shè)置也區(qū)分對(duì)感知層的安全設(shè)置和對(duì)網(wǎng)絡(luò)傳輸 層的安全設(shè)置。簡(jiǎn)單的感知

8、層網(wǎng)關(guān)只是對(duì)感知數(shù)據(jù)的轉(zhuǎn)發(fā)（因電力充足） ，而智能的感知層網(wǎng)關(guān)可以包 括對(duì)數(shù)據(jù)進(jìn)行適當(dāng)處理、數(shù)據(jù)融合等業(yè)務(wù)。3.13物聯(lián)網(wǎng)感知層 sensor layer of IOT物聯(lián)網(wǎng)感知層是指能形成物聯(lián)網(wǎng)應(yīng)用的集物理信息采集、 簡(jiǎn)單處理、 自動(dòng)控制、 短距離傳輸和匯聚 的系統(tǒng)，包括感知設(shè)備、感知層網(wǎng)關(guān)以及二者之間的短距離通信（通常為無(wú)線）。3.14感知 sensing通過(guò)感知設(shè)備獲得對(duì)象的信息的過(guò)程。3.15感知設(shè)備 sensor node也叫感知終端設(shè)備（ end sensor ）、終端感知節(jié)點(diǎn)設(shè)備（ end sensor node ），是物聯(lián)網(wǎng)系統(tǒng)的最 終端設(shè)備或器件， 能夠通過(guò)有線、 無(wú)線方式發(fā)

9、起或終結(jié)通信， 采集物理信息和 / 或接受控制的實(shí)體設(shè)備。 3.16數(shù)據(jù)新鮮性 data freshness數(shù)據(jù)新鮮性是防止已經(jīng)成功接收的歷史數(shù)據(jù)再次被接收處理 （通過(guò)歷史數(shù)據(jù)列表比對(duì)） ，或超出數(shù) 據(jù)接收時(shí)間（時(shí)間戳過(guò)期）的數(shù)據(jù)被接收，或超出合法性范圍（如計(jì)數(shù)器無(wú)效）的數(shù)據(jù)被接收。不滿足 新鮮性的數(shù)據(jù)一般不予處理，其目的是用于防止數(shù)據(jù)重放攻擊。4 物聯(lián)網(wǎng)系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)概述依據(jù) GB/T25070-2010 信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求和GB/T 22239.4-XXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第4部分： 物聯(lián)網(wǎng)安全擴(kuò)展要求， 結(jié)合物聯(lián)網(wǎng)系統(tǒng)的特點(diǎn)， 構(gòu)建在安全 管理

10、中心支持下的安全計(jì)算環(huán)境、 安全區(qū)域邊界、 安全通信網(wǎng)絡(luò)三重防御體系。 信息系統(tǒng)等級(jí)保護(hù)物聯(lián) 網(wǎng)安全設(shè)計(jì)包括各級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)及其安全互聯(lián)的設(shè)計(jì)。 各級(jí)系統(tǒng)安全保護(hù)環(huán)境由安全計(jì)算 環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心組成，其中安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)是在計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)中實(shí)施相應(yīng)的安全策略。定級(jí)系統(tǒng)互聯(lián)由安全互聯(lián)部件和跨定級(jí)系統(tǒng)安全管理中心組成。前置處理(安全邊界)網(wǎng)關(guān)接入(安全邊界)感知計(jì)算環(huán)境物休甘象計(jì)算節(jié)點(diǎn)傳感挖制系統(tǒng) 安全 審計(jì)安全管理中心圖1物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)設(shè)計(jì)框架安全管理中心支持下的物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)設(shè)計(jì)框架如圖1所示，物聯(lián)網(wǎng)感

11、知層和應(yīng)用層都由完成計(jì)算任務(wù)的計(jì)算環(huán)境和連接網(wǎng)絡(luò)通信域的區(qū)域邊界組成。安全計(jì)算環(huán)境包括物聯(lián)網(wǎng)系統(tǒng)感知層和應(yīng)用層中對(duì)定級(jí)系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件， 如感知設(shè)備、感知層網(wǎng)關(guān)、主機(jī)及主機(jī)應(yīng)用等。安全區(qū)域邊界包括物聯(lián)網(wǎng)系統(tǒng)安全計(jì)算環(huán)境邊界，以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略的相關(guān)部件，如感知層和網(wǎng)絡(luò)層之間的邊界、網(wǎng)絡(luò)層和應(yīng)用層之間的邊界等。安全通信網(wǎng)絡(luò)包括物聯(lián)網(wǎng)系統(tǒng)安全計(jì)算環(huán)境和安全區(qū)域之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件，如網(wǎng)絡(luò)層的通信網(wǎng)絡(luò)以及感知層和應(yīng)用層內(nèi)部安全計(jì)算環(huán)境之間的通信網(wǎng)絡(luò)等。安全管理中心包括對(duì)定級(jí)物聯(lián)網(wǎng)系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安

12、全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)，包括系統(tǒng)管理、安全管理和審計(jì)管理三部分，只有第二級(jí)及第二級(jí)以上的安全保護(hù)環(huán)境設(shè)計(jì)有安全管理中心。物聯(lián)網(wǎng)系統(tǒng)根據(jù)業(yè)務(wù)和數(shù)據(jù)的重要性可以劃分不同的安全防護(hù)區(qū)域，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)，并實(shí)施一致的安全策略。物聯(lián)網(wǎng)系統(tǒng)安全區(qū)域劃分如圖2所示，該圖指出了物聯(lián)網(wǎng)系統(tǒng)的三層架構(gòu)和三種主要的安全區(qū)域劃分方式， 以及安全計(jì)算環(huán)境、 安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全管理 中心在物聯(lián)網(wǎng)系統(tǒng)中的位置。安全區(qū)域B應(yīng)用層 妾全計(jì)算環(huán)境安全邊界防護(hù)應(yīng)用層應(yīng)用庚安全計(jì)算環(huán)境安全邊菲防護(hù)（安金辿信冋琳）感知層安全計(jì)算環(huán)境感知展安全邊界防護(hù)N訃算壞境安全區(qū)域呂

13、I 安全區(qū)融界安全區(qū)域A C安全管理申心圖2物聯(lián)網(wǎng)系統(tǒng)安全區(qū)域劃分示意圖安全區(qū)域A包括應(yīng)用層安全計(jì)算環(huán)境、感知層安全計(jì)算環(huán)境、網(wǎng)絡(luò)層組成的安全通信網(wǎng)絡(luò)以及安 全區(qū)域邊界；安全區(qū)域B包括應(yīng)用層安全計(jì)算環(huán)境、網(wǎng)絡(luò)層組成的安全通信網(wǎng)絡(luò)、安全子域B1以及安全區(qū)域邊界；安全區(qū)域B1作為安全區(qū)域B的子域，包括感知層安全計(jì)算環(huán)境及其安全邊界。圖中每個(gè)安全區(qū)域由安全區(qū)域邊界進(jìn)行防護(hù)，安全區(qū)域A和安全區(qū)域B通過(guò)安全通信網(wǎng)絡(luò)進(jìn)行通信，安全區(qū)域內(nèi)部的應(yīng)用層和感知層通過(guò)網(wǎng)絡(luò)層實(shí)現(xiàn)物聯(lián)網(wǎng)數(shù)據(jù)信息和控制信息的雙向傳遞。物聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)層可被視為安全通信網(wǎng)絡(luò)的邏輯劃分，將感知層采集的數(shù)據(jù)信息向上傳輸?shù)綉?yīng)用層，并將應(yīng)用層發(fā)出

14、的控制指令信息向下傳輸?shù)礁兄獙印?第一級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)5.1 設(shè)計(jì)目標(biāo)第一級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB/T 22239.4-XXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求 對(duì)第一級(jí)物聯(lián)網(wǎng)系統(tǒng)的安全保護(hù)要求， 實(shí)現(xiàn)定級(jí)系統(tǒng)的自主訪問(wèn) 控制，使系統(tǒng)用戶對(duì)其所屬客體具有自我保護(hù)的能力。5.2 設(shè)計(jì)策略第一級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GB/T 22239.4-XXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求的 4.1中相關(guān)要求，以身份鑒別為基礎(chǔ)，按照物聯(lián)網(wǎng)對(duì)象進(jìn)行訪問(wèn)控制。感知層以身份標(biāo)識(shí)和身份鑒別為基礎(chǔ)，提供數(shù)據(jù)源認(rèn)證；以區(qū)域邊界準(zhǔn)入

15、控制提供區(qū)域邊界保護(hù)；以數(shù)據(jù)校驗(yàn)等手段提供數(shù)據(jù)的完整性保護(hù)。第一級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)第一級(jí)的安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng) 絡(luò)的設(shè)計(jì)加以實(shí)現(xiàn)。5.3 設(shè)計(jì)技術(shù)要求第一級(jí)安全計(jì)算環(huán)境應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：5.3.1 安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求5.3.1.1 身份鑒別a) 用戶身份鑒別(見 GB/T 25070 5.3.1.a) )應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。 在每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)， 采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份； 在每次用戶登錄系統(tǒng)時(shí)，采用口令鑒別機(jī)制進(jìn)行用戶身份鑒別，并對(duì)口令數(shù)據(jù)進(jìn)行保護(hù)。b) 物聯(lián)網(wǎng)系統(tǒng)身份鑒別( 1)感知設(shè)備和感知層網(wǎng)關(guān)的身份標(biāo)識(shí)和鑒別，安

16、全管理中心對(duì)感知設(shè)備和感知層網(wǎng)關(guān)進(jìn)行統(tǒng)一 入網(wǎng)標(biāo)識(shí)管理和維護(hù)；( 2)應(yīng)采用常規(guī)鑒別機(jī)制對(duì)感知設(shè)備發(fā)送的數(shù)據(jù)進(jìn)行鑒別，確保數(shù)據(jù)來(lái)源于正確的感知設(shè)備。5.3.1.2 自主訪問(wèn)控制(見 GB/T 25070 5.3.1.b) )應(yīng)在安全策略控制范圍內(nèi)，使用戶 / 用戶組對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問(wèn)操作權(quán)限，并能將這些 權(quán)限的部分或全部授予其他用戶 /用戶組。訪問(wèn)控制主體的粒度為用戶 /用戶組級(jí)， 客體的粒度為文件或 數(shù)據(jù)庫(kù)表級(jí)。訪問(wèn)操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。5.3.1.3 數(shù)據(jù)完整性保護(hù)a) 用戶數(shù)據(jù)完整性保護(hù)(見 GB/T 25070 5.3.1.c) ) 可采用常規(guī)校驗(yàn)機(jī)制，

17、檢驗(yàn)存儲(chǔ)的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。b) 物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)完整性保護(hù) 可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)感知設(shè)備生存信息的完整性，以發(fā)現(xiàn)其完整性是否被破壞。5.3.1.4 惡意代碼防范(見 GB/T 25070 5.3.1.d) ) 應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)， 并定期進(jìn)行升級(jí)和更新， 以防范和清 除惡意代碼。5.3.2 安全區(qū)域邊界設(shè)計(jì)技術(shù)要求第一級(jí)安全區(qū)域邊界應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：5.3.2.1 區(qū)域邊界包過(guò)濾(見 GB/T 25070 5.3.2.a) )可根據(jù)區(qū)域邊界安全控制策略， 通過(guò)檢查數(shù)據(jù)包的源地址、 目的地址、 傳輸層協(xié)議和請(qǐng)求的服務(wù)等， 確

18、定是否允許該數(shù)據(jù)包通過(guò)該區(qū)域邊界。5.3.2.2 區(qū)域邊界惡意代碼防范(見 GB/T 25070 5.3.2.b) ) 可在安全區(qū)域邊界設(shè)置防惡意代碼軟件，并定期進(jìn)行升級(jí)和更新，以防止惡意代碼入侵。5.3.2.3 物聯(lián)網(wǎng)系統(tǒng)區(qū)域邊界準(zhǔn)入控制應(yīng)在安全區(qū)域邊界設(shè)置準(zhǔn)入控制機(jī)制，保證合法設(shè)備接入。5.3.3 安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求第一級(jí)安全通信網(wǎng)絡(luò)應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：5.3.3.1 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)(見GB/T 25070 5.3.3. )通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。 可采用常規(guī)校驗(yàn)機(jī)制， 檢驗(yàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾裕?并能發(fā)現(xiàn) 其完整性被破壞。5.3.3.2 感知層網(wǎng)絡(luò)數(shù)據(jù)傳輸

19、完整性保護(hù)應(yīng)采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)感知層網(wǎng)絡(luò)敏感數(shù)據(jù)傳輸?shù)耐暾?，并能發(fā)現(xiàn)其完整性被破壞。5.3.3.3 感知層網(wǎng)絡(luò)數(shù)據(jù)傳輸新鮮性保護(hù)應(yīng)在感知層網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)中加入數(shù)據(jù)發(fā)布的序列信息如時(shí)間戳、 計(jì)數(shù)器等， 以實(shí)現(xiàn)感知層網(wǎng)絡(luò)數(shù) 據(jù)傳輸新鮮性保護(hù)。5.3.3.4 異構(gòu)網(wǎng)安全接入保護(hù)應(yīng)采用接入認(rèn)證等技術(shù)建立異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng)，保障控制信息的安全傳輸。6 第二級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)6.1 設(shè)計(jì)目標(biāo)第二級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照 GB/T 22239.4-XXXX 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本 要求 第4部分： 物聯(lián)網(wǎng)安全擴(kuò)展要求 對(duì)第二級(jí)物聯(lián)網(wǎng)系統(tǒng)的安全保護(hù)要求， 在第一級(jí)系統(tǒng)安全保

20、護(hù)環(huán) 境的基礎(chǔ)上，增加感知層訪問(wèn)控制、區(qū)域邊界審計(jì)等安全功能，使系統(tǒng)具有更強(qiáng)的安全保護(hù)能力。6.2 設(shè)計(jì)策略第二級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GB/T 22239.4-XXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求的 5.1 中相關(guān)要求， 感知層以身份鑒別為基礎(chǔ)， 提供對(duì)感知設(shè)備和感知層 網(wǎng)關(guān)的訪問(wèn)控制； 以區(qū)域邊界協(xié)議過(guò)濾與控制和區(qū)域邊界安全審計(jì)等手段提供區(qū)域邊界防護(hù)，以增強(qiáng)系統(tǒng)的安全保護(hù)能力。第二級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)第二級(jí)的安全計(jì)算環(huán)境、安全區(qū)域邊界、 安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。6.3 設(shè)計(jì)技術(shù)要求6.3.1 安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求第二

21、級(jí)安全計(jì)算環(huán)境應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：6.3.1.1 身份鑒別a) 用戶身份鑒別(見 GB/T 25070 6.3.1.a)應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。 在每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)， 采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份， 并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性； 在每次用戶登錄系統(tǒng)時(shí)，采用 受控的口令或具有相應(yīng) 安全強(qiáng)度的其他機(jī)制 進(jìn)行用戶身份鑒別，并對(duì) 鑒別數(shù)據(jù) 進(jìn)行保密性和完整性 保護(hù)。b) 物聯(lián)網(wǎng)系統(tǒng)身份鑒別(1) 感知設(shè)備和感知層網(wǎng)關(guān)的身份標(biāo)識(shí)和鑒別，安全管理中心對(duì)感知設(shè)備和感知層網(wǎng)關(guān)進(jìn)行統(tǒng)一 入網(wǎng)標(biāo)識(shí)管理和維護(hù)， 并確保在系統(tǒng)整個(gè)生存周期設(shè)備標(biāo)識(shí)的唯一性 ；(2) 應(yīng)采用常規(guī)鑒別機(jī)制

22、對(duì)感知設(shè)備發(fā)送的數(shù)據(jù)進(jìn)行鑒別，確保數(shù)據(jù)來(lái)源于正確的感知設(shè)備；( 3)應(yīng)采用密碼等技術(shù)支持的鑒別機(jī)制如國(guó)家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法 等，對(duì)假冒用戶使用未授權(quán)的業(yè)務(wù)應(yīng)用或者合法用戶使用未定制的業(yè)務(wù)應(yīng)用進(jìn)行鑒別，防止末端感知 設(shè)備身份偽造和克隆等攻擊。6.3.1.2 訪問(wèn)控制a) 自主訪問(wèn)控制(見 GB/T 25070 6.3.1.b) )應(yīng)在安全策略控制范圍內(nèi)， 使用戶 對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問(wèn)操作權(quán)限， 并能將這些權(quán)限的部 分或全部授予其他 用戶 。訪問(wèn)控制主體的粒度為 用戶級(jí) ，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)。 訪問(wèn)操作包 括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。b) 物聯(lián)

23、網(wǎng)系統(tǒng)訪問(wèn)控制( 1)通過(guò)制定安全策略如訪問(wèn)控制列表，實(shí)現(xiàn)對(duì)感知設(shè)備的訪問(wèn)控制；( 2)感知設(shè)備和其他設(shè)備(感知層網(wǎng)關(guān)、其他感知設(shè)備)通信時(shí)，根據(jù)安全策略對(duì)其他設(shè)備進(jìn)行 權(quán)限檢查，只有權(quán)限檢查通過(guò)后，才允許設(shè)備間開始通信。6.3.1.3 系統(tǒng)安全審計(jì)(見 GB/T 25070 6.3.1.c) )應(yīng)提供安全審計(jì)機(jī)制，記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、 類型和結(jié)果等內(nèi)容。該機(jī)制應(yīng)提供審計(jì)記錄查詢、分類和存儲(chǔ)保護(hù)，并可由安全管理中心管理。6.3.1.4 數(shù)據(jù)完整性保護(hù)a) 用戶數(shù)據(jù)完整性保護(hù)(見 GB/T 25070 6.3.1.d) ) 可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)存儲(chǔ)

24、的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。b) 物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)完整性保護(hù) 可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)感知設(shè)備生存信息 、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù) 的完整性， 以發(fā)現(xiàn)其完整性是否被破壞。6.3.1.5 用戶數(shù)據(jù)保密性保護(hù)(見 GB/T 25070 6.3.1.e) ) 可采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對(duì)在安全計(jì)算環(huán)境中存儲(chǔ)和處理的用戶數(shù)據(jù)進(jìn)行保密 性保護(hù)。6.3.1.6 客體安全重用(見 GB/T 25070 6.3.1.f) )應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對(duì)用戶使用的客體資 源，在這些客體資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，以確保

25、信息不被泄露。6.3.1.7 惡意代碼防范(見 GB/T 25070 6.3.1.g) ) 應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級(jí)和更新，以防范和 清除惡意代碼。6.3.2 安全區(qū)域邊界設(shè)計(jì)技術(shù)要求第二級(jí)安全區(qū)域邊界應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：6.3.2.1 區(qū)域邊界包過(guò)濾(見 GB/T 25070 6.3.2.a) )應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請(qǐng)求的服務(wù) 等，確定是否允許該數(shù)據(jù)包通過(guò)該區(qū)域邊界。6.322區(qū)域邊界安全審計(jì)(見GB/T 25070 6.32b)應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，并由安全管理中心統(tǒng)一管理。6.

26、3.2.3 區(qū)域邊界惡意代碼防范(見 GB/T 25070 6.3.2.c)應(yīng)在安全區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)，由安全管理中心管理。6.3.2.4 區(qū)域邊界完整性保護(hù)(見 GB/T 25070 6.3.2.d)應(yīng)在區(qū)域邊界設(shè)置探測(cè)器，探測(cè)非法外聯(lián)等行為，并及時(shí)報(bào)告安全管理中心。6.3.2.5 區(qū)域邊界準(zhǔn)入控制應(yīng)在安全區(qū)域邊界設(shè)置準(zhǔn)入控制機(jī)制，能夠?qū)υO(shè)備進(jìn)行認(rèn)證，保證合法設(shè)備接入，拒絕惡意設(shè)備接入。6.3.2.6 區(qū)域邊界協(xié)議過(guò)濾與控制應(yīng)在安全區(qū)域邊界設(shè)置協(xié)議檢查，對(duì)通信報(bào)文進(jìn)行合規(guī)檢查。6.3.3 安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求第二級(jí)安全通信網(wǎng)絡(luò)應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：6.3.3.1 通信網(wǎng)絡(luò)安全

27、審計(jì)(見 GB/T 25070 6.3.3.a)應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心管理。6.3.3.2 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)(見 GB/T 25070 6.3.3.b)可采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。6.3.3.3 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)(見 GB/T 25070 6.3.3.C)可采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。6.3.3.4 感知層網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國(guó)家密碼行政主管部門規(guī)定的輕量級(jí)數(shù)字摘要算法、 簽名算法等，以實(shí)現(xiàn)感知層網(wǎng)絡(luò)敏感數(shù)據(jù)傳輸完整性保護(hù)。

28、6.3.3.5 感知層網(wǎng)絡(luò)敏感數(shù)據(jù)傳輸保密性保護(hù)應(yīng)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國(guó)家密碼行政主管部門規(guī)定的輕量級(jí)對(duì)稱加密算法、 非對(duì)稱加密算法等，以實(shí)現(xiàn)感知層網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。6.3.3.6 感知層網(wǎng)絡(luò)數(shù)據(jù)傳輸新鮮性保護(hù)應(yīng)在感知層網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)中加入數(shù)據(jù)發(fā)布的序列信息如時(shí)間戳、計(jì)數(shù)器等，以實(shí)現(xiàn)感知層網(wǎng)絡(luò)數(shù)據(jù)傳輸新鮮性保護(hù)。6.3.3.7 異構(gòu)網(wǎng)安全接入保護(hù)(1) 應(yīng)采用接入認(rèn)證等技術(shù)建立異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng)，保障控制信息的安全傳輸；(2) 應(yīng)采用入侵檢測(cè)等技術(shù)拒絕惡意設(shè)備的接入，保證合法設(shè)備不被惡意設(shè)備攻擊而被拒絕接入，保證網(wǎng)絡(luò)資源的可使用性。634安全管理中心設(shè)計(jì)技術(shù)要求6.3

29、41 系統(tǒng)管理a) 信息系統(tǒng)管理(見 GB/T 25070 6.3.4.1)可通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份和授權(quán)管理、系統(tǒng) 資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)以及惡意代碼防范等。應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這 些操作進(jìn)行審計(jì)。b) 物聯(lián)網(wǎng)系統(tǒng)管理6.3.4.2安全管理應(yīng)通過(guò)安全管理員對(duì)系統(tǒng)中所使用的密鑰進(jìn)行統(tǒng)一管理，包括密鑰的生成、分發(fā)、更新、存儲(chǔ)、 備份、銷毀等，并采取必要措施保證密鑰安全。6.3.4.3 審計(jì)管理(見 GB/T 25070 6.3.4.2 )可通過(guò)安

30、全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì) 策略對(duì)審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行 存儲(chǔ)、管理和查詢等。應(yīng)對(duì)安全審計(jì)員進(jìn)行身份鑒別，并只允許其通過(guò)特定的命令或操作界面進(jìn)行安全審計(jì)操作。7第三級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)7.1 設(shè)計(jì)目標(biāo)第三級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB/T 22239.4-XXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求對(duì)第三級(jí)物聯(lián)網(wǎng)系統(tǒng)的安全保護(hù)要求， 在第二級(jí)系統(tǒng)安全保護(hù)環(huán) 境的基礎(chǔ)上，增加區(qū)域邊界惡意代碼防范、區(qū)域邊界訪問(wèn)控制等安全功能，使系統(tǒng)具有更強(qiáng)的安全保護(hù)

31、 能力。7.2 設(shè)計(jì)策略第三級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GB/T 22239.4-XXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求的6.1中相關(guān)要求，感知層實(shí)現(xiàn)感知設(shè)備和感知層網(wǎng)關(guān)雙向身份鑒別；以區(qū)域邊界惡意代碼防范、區(qū)域邊界訪問(wèn)控制等手段提供區(qū)域邊界防護(hù)；以密碼技術(shù)等手段提供數(shù)據(jù)的完整性和保密性保護(hù)，以增強(qiáng)系統(tǒng)的安全保護(hù)能力。第三級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)第三級(jí)的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。7.3 設(shè)計(jì)技術(shù)要求7.3.1 安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求第三級(jí)安全計(jì)算環(huán)境應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：a）用戶身份鑒別（見 GB/T

32、25070 7.3.1.a） ）應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。 在對(duì)每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)， 采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身 份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性； 在每次用戶登錄系統(tǒng)時(shí)， 采用 受安全管理中心控制 的口令、令牌、基于生物特征、數(shù)字證書 以及其他具有相應(yīng)安全強(qiáng)度的 兩種或兩種以上的組合機(jī)制 進(jìn) 行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。b）物聯(lián)網(wǎng)系統(tǒng)身份鑒別（ 1）感知設(shè)備和感知層網(wǎng)關(guān)的身份標(biāo)識(shí)和鑒別，安全管理中心對(duì)感知設(shè)備和感知層網(wǎng)關(guān)進(jìn)行統(tǒng)一 入網(wǎng)標(biāo)識(shí)管理和維護(hù)，并確保在系統(tǒng)整個(gè)生存周期設(shè)備標(biāo)識(shí)的唯一性；（ 2）感知層網(wǎng)關(guān)與感知設(shè)備之間應(yīng)采用受安全管理中心控制

33、的口令、密鑰或具有相應(yīng)安全強(qiáng)度的 其他機(jī)制實(shí)現(xiàn)雙向的身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)；（ 3）應(yīng)采用密碼等技術(shù)支持的鑒別機(jī)制如國(guó)家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法 等 ，對(duì)感知設(shè)備發(fā)送的數(shù)據(jù)進(jìn)行鑒別，確保數(shù)據(jù)來(lái)源于正確的感知設(shè)備且沒有被惡意注入虛假信息；（ 4）應(yīng)采取措施對(duì)感知設(shè)備組成的組進(jìn)行組認(rèn)證，以減少網(wǎng)絡(luò)擁塞，組認(rèn)證可通過(guò)認(rèn)證代理來(lái)完 成，如物聯(lián)網(wǎng)感知層網(wǎng)關(guān)或主設(shè)備；（ 5）應(yīng)采用密碼等技術(shù)支持的鑒別機(jī)制如國(guó)家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法 等，對(duì)假冒用戶使用未授權(quán)的業(yè)務(wù)應(yīng)用或者合法用戶使用未定制的業(yè)務(wù)應(yīng)用進(jìn)行鑒別， 防止末端感知設(shè) 備身份偽造和克隆

34、等攻擊。7.3.1.2 訪問(wèn)控制a） 自主訪問(wèn)控制（見 GB/T 25070 7.3.1.b） ）應(yīng)在安全策略控制范圍內(nèi)， 使用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問(wèn)操作權(quán)限， 并能將這些權(quán)限的部 分或全部授予其他用戶。自主訪問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí) 和（或） 記錄或字段級(jí)。 自主訪問(wèn)操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。b） 標(biāo)記和強(qiáng)制訪問(wèn)控制（見 GB/T 25070 7.3.1.c） ） 在對(duì)安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管理員通過(guò)特定操作界面對(duì)主、客 體進(jìn)行安全標(biāo)記；應(yīng)按安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確定主體訪問(wèn)客體的操作進(jìn)行控制。強(qiáng)制訪

35、 問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)。應(yīng)確保安全計(jì)算環(huán)境內(nèi)的所有主、客 體具有一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問(wèn)控制規(guī)則。c）物聯(lián)網(wǎng)系統(tǒng)訪問(wèn)控制（ 1）通過(guò)制定安全策略如訪問(wèn)控制列表，實(shí)現(xiàn)對(duì)感知設(shè)備的訪問(wèn)控制；（ 2）感知設(shè)備和其他設(shè)備（感知層網(wǎng)關(guān)、其他感知設(shè)備）通信時(shí)，根據(jù)安全策略對(duì)其他設(shè)備進(jìn)行 權(quán)限檢查，只有權(quán)限檢查通過(guò)后，才允許設(shè)備間開始通信；（ 3）感知設(shè)備進(jìn)行更新配置時(shí)，根據(jù)安全策略對(duì)用戶進(jìn)行權(quán)限檢查，只有經(jīng)過(guò)授權(quán)的合法用戶才 能通過(guò)外部接口對(duì)感知設(shè)備進(jìn)行更新配置、下載軟件等。7.3.1.3 系統(tǒng)安全審計(jì)（見 GB/T 25070 7.3.1.d） ）應(yīng)記錄系統(tǒng)

36、的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。 應(yīng)提供審計(jì)記錄查詢、分類、 分析 和存儲(chǔ)保護(hù)； 確保對(duì)特定安全事件進(jìn)行報(bào)警；確保審計(jì)記錄不被破 壞或非授權(quán)訪問(wèn)。應(yīng)為安全管理中心提供接口；對(duì)不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體 調(diào)用的接口。7.3.1.4 數(shù)據(jù)完整性保護(hù)a) 用戶數(shù)據(jù)完整性保護(hù)(見 GB/T 25070 7.3.1.e) ) 應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制， 檢驗(yàn)存儲(chǔ) 和處理 的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整 性是否被破壞， 且在其受到破壞時(shí)能對(duì)重要數(shù)據(jù)進(jìn)行恢復(fù)。b) 物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)完整性保護(hù) 應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國(guó)家密

37、碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算 法等 ，檢驗(yàn)感知設(shè)備生存信息、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性是否破壞， 以及防止被非法復(fù)制， 且在其受到破壞時(shí)能夠進(jìn)行恢復(fù)、重傳等。7.3.1.5 數(shù)據(jù)保密性保護(hù)a) 用戶數(shù)據(jù)保密性保護(hù)(見 GB/T 25070 7.3.1.f) ) 采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對(duì)在安全計(jì)算環(huán)境中的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。b) 物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)保密性保護(hù) 應(yīng)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國(guó)家密碼行政主管部門規(guī)定的對(duì)稱加密算法、非對(duì)稱 加密算法等，對(duì)感知設(shè)備生存信息、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)進(jìn)行保密性保護(hù)。7.3.1.6 客體

38、安全重用(見 GB/T 25070 7.3.1.g) )應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對(duì)用戶使用的客體資 源，在這些客體資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，以確保信息不被泄露。7.3.1.7 程序可信執(zhí)行保護(hù)(見 GB/T 25070 7.3.1.h) )可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中可執(zhí)行程序的完整性檢驗(yàn)，防范 惡意代碼等攻擊，并在檢測(cè)到其完整性受到破壞時(shí)采取措施恢復(fù)，例如采用可信計(jì)算等技術(shù)。7.3.1.8 網(wǎng)絡(luò)可信連接保護(hù)(見 GB/T 25070 7.3.1.i) )應(yīng)采用具有網(wǎng)絡(luò)可信連接保護(hù)功能的系統(tǒng)軟件或具有相應(yīng)功

39、能的信息技術(shù)產(chǎn)品，在設(shè)備連接網(wǎng)絡(luò) 時(shí)，對(duì)源和目標(biāo)進(jìn)行平臺(tái)身份鑒別、平臺(tái)完整性校驗(yàn)、數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾员Ｗo(hù)等。7.3.1.9 配置可信檢查(見 GB/T 25070 7.3.1.j) )應(yīng)將系統(tǒng)的安全配置信息形成基準(zhǔn)庫(kù)，實(shí)時(shí)監(jiān)控或定期檢查配置信息的修改行為，及時(shí)修復(fù)和基 準(zhǔn)庫(kù)中內(nèi)容不符的配置信息。7.3.2 安全區(qū)域邊界設(shè)計(jì)技術(shù)要求第三級(jí)安全區(qū)域邊界應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：7.3.2.1 區(qū)域邊界訪問(wèn)控制a) 信息系統(tǒng)區(qū)域邊界訪問(wèn)控制(見 GB/T 25070 7.3.2.a) ) 應(yīng)在安全區(qū)域邊界設(shè)置自主和強(qiáng)制訪問(wèn)控制機(jī)制，實(shí)施相應(yīng)的訪問(wèn)控制策略，對(duì)進(jìn)出安全區(qū)域邊 界的數(shù)據(jù)信息進(jìn)行控制

40、，阻止非授權(quán)訪問(wèn)。b) 物聯(lián)網(wǎng)系統(tǒng)區(qū)域邊界訪問(wèn)控制( 1)應(yīng)能根據(jù)數(shù)據(jù)的時(shí)間戳為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力；( 2)應(yīng)提供網(wǎng)絡(luò)最大流量及網(wǎng)絡(luò)連接數(shù)限制機(jī)制；( 3)應(yīng)能夠根據(jù)通信協(xié)議特性，控制不規(guī)范數(shù)據(jù)包的出入。7.3.2.2 區(qū)域邊界包過(guò)濾(見 GB/T 25070 7.3.2.b) )應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù) 等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界。7.3.2.3 區(qū)域邊界安全審計(jì)(見 GB/T 25070 7.3.2.c) )應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理， 并對(duì)確認(rèn)的違規(guī)行為及時(shí)報(bào)警。7.3.2

41、.4 區(qū)域邊界完整性保護(hù)a) 信息系統(tǒng)區(qū)域邊界完整性保護(hù)(見 GB/T 25070 7.3.2.d) )應(yīng)在區(qū)域邊界設(shè)置探測(cè)器， 例如外接探測(cè)軟件， 探測(cè)非法外聯(lián) 和入侵行為， 并及時(shí)報(bào)告安全管理中 心。b) 物聯(lián)網(wǎng)系統(tǒng)區(qū)域邊界完整性保護(hù)應(yīng)在區(qū)域邊界設(shè)置 輕量級(jí) 的雙向認(rèn)證機(jī)制，能夠保證防止數(shù)據(jù)的違規(guī)傳輸。7.3.2.5 區(qū)域邊界準(zhǔn)入控制( 1)應(yīng)在安全區(qū)域邊界設(shè)置準(zhǔn)入控制機(jī)制，能夠?qū)υO(shè)備進(jìn)行認(rèn)證，保證合法設(shè)備接入，拒絕惡意 設(shè)備接入；( 2)應(yīng)根據(jù)感知設(shè)備特點(diǎn)收集感知設(shè)備的健康性相關(guān)信息如固件版本、標(biāo)識(shí)、配置信息校驗(yàn)值等，并能夠?qū)尤氲母兄O(shè)備進(jìn)行健康性檢查。7.3.2.6 區(qū)域邊界協(xié)議過(guò)濾

42、與控制應(yīng)在安全區(qū)域邊界設(shè)置協(xié)議過(guò)濾， 能夠?qū)ξ锫?lián)網(wǎng)通信內(nèi)容進(jìn)行過(guò)濾 ，對(duì)通信報(bào)文進(jìn)行合規(guī)檢查， 根據(jù)協(xié)議特性，設(shè)置相對(duì)應(yīng)控制機(jī)制 。7.3.3 安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求第三級(jí)安全通信網(wǎng)絡(luò)應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：7.3.3.1 通信網(wǎng)絡(luò)安全審計(jì)(見 GB/T 25070 7.3.3.a) )應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理， 并對(duì)確認(rèn)的違規(guī)行為進(jìn)行報(bào)警。7.3.3.2 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)(見GB/T 25070 7.3.3.b) )應(yīng)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制， 以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)， 并在發(fā)現(xiàn)完整 性被破壞時(shí)進(jìn)行恢復(fù)。7.3.3.3 通信網(wǎng)絡(luò)

43、數(shù)據(jù)傳輸保密性保護(hù)(見GB/T 25070 7.3.3.c) )應(yīng)采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。7.3.3.4 通信網(wǎng)絡(luò)可信接入保護(hù)(見 GB/T 25070 7.3.3.d) )可采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過(guò)對(duì)連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確 保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。7.3.3.5 感知層網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國(guó)家密碼行政主管部門規(guī)定的輕量級(jí)數(shù)字摘要算法、 簽 名算法等，以實(shí)現(xiàn)感知層網(wǎng)絡(luò)敏感數(shù)據(jù)傳輸完整性保護(hù)， 并在發(fā)現(xiàn)完整性被破壞時(shí)進(jìn)行恢復(fù) 。7.3.3.6 感知層

44、網(wǎng)絡(luò)敏感數(shù)據(jù)傳輸保密性保護(hù)應(yīng)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國(guó)家密碼行政主管部門規(guī)定的輕量級(jí)對(duì)稱加密算法、 對(duì)稱加密算法等，以實(shí)現(xiàn)感知層網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。7.3.3.7 感知層網(wǎng)絡(luò)數(shù)據(jù)傳輸新鮮性保護(hù)計(jì)數(shù)器等，以實(shí)現(xiàn)感知層網(wǎng)絡(luò)數(shù)應(yīng)在感知層網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)中加入數(shù)據(jù)發(fā)布的序列信息如時(shí)間戳、據(jù)傳輸新鮮性保護(hù)。7.338異構(gòu)網(wǎng)安全接入保護(hù)（1）應(yīng)采用接入認(rèn)證等技術(shù)建立異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng)，保障控制信息的安全傳輸；（2） 應(yīng)采用入侵檢測(cè)等技術(shù)拒絕惡意設(shè)備的接入，保證合法設(shè)備不被惡意設(shè)備攻擊而被拒絕接入， 保證網(wǎng)絡(luò)資源的可使用性；（3）應(yīng)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國(guó)家密碼行政主管部門規(guī)

45、定的數(shù)字摘要算法、簽 名算法、對(duì)稱加密算法、非對(duì)稱加密算法等，以實(shí)現(xiàn)異構(gòu)網(wǎng)接入時(shí)數(shù)據(jù)傳輸完整性和保密性保護(hù)；（4） 應(yīng)根據(jù)各接入網(wǎng)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng) 段，并采取相應(yīng)的防護(hù)措施。7.3.4 安全管理中心設(shè)計(jì)技術(shù)要求7.3.4.1 系統(tǒng)管理a）信息系統(tǒng)管理（見 GB/T 25070 7.3.4.1）應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理以及支持管理本地和（或）異地災(zāi)難備份與恢復(fù)等。應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操

46、作進(jìn)行審計(jì)。b）物聯(lián)網(wǎng)系統(tǒng)管理（1 ）應(yīng)通過(guò)系統(tǒng)管理員對(duì)感知層的資源和運(yùn)行進(jìn)行配置、控制和管理，包括感知設(shè)備身份管理、 標(biāo)識(shí)管理、感知節(jié)點(diǎn)退出管理等；（2）應(yīng)通過(guò)系統(tǒng)管理員對(duì)感知設(shè)備狀態(tài)（電力供應(yīng)情況、是否在線、位置等）進(jìn)行統(tǒng)一監(jiān)測(cè)和處 理；（3）應(yīng)通過(guò)系統(tǒng)管理員對(duì)下載到感知設(shè)備上的應(yīng)用軟件進(jìn)行授權(quán)。7.3.4.2 安全管理a）信息系統(tǒng)安全管理（見 GB/T 25070 7.3.4.2）應(yīng)通過(guò)安全管理員對(duì)系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對(duì)主體進(jìn)行授權(quán)，配置一致的安全策略。應(yīng)對(duì)安全管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)。b）物聯(lián)網(wǎng)系統(tǒng)安全管理應(yīng)通過(guò)安全管

47、理員對(duì)系統(tǒng)中所使用的密鑰進(jìn)行統(tǒng)一管理，包括密鑰的生成、分發(fā)、更新、存儲(chǔ)、備 份、銷毀等，并采取必要措施保證密鑰安全。7.3.4.3 審計(jì)管理（見 GB/T 25070 7.3.4.3）應(yīng)通過(guò)安全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理。應(yīng)對(duì)安全審計(jì)員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全審計(jì)操作。8 第四級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)8.1 設(shè)計(jì)目標(biāo)第四級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照

48、GB/T 22239.4-XXXX 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本 要求 第4部分： 物聯(lián)網(wǎng)安全擴(kuò)展要求 對(duì)第四級(jí)物聯(lián)網(wǎng)系統(tǒng)的安全保護(hù)要求， 在第三級(jí)系統(tǒng)安全保護(hù)環(huán) 境的基礎(chǔ)上， 增加專用通信協(xié)議或安全通信協(xié)議、 數(shù)據(jù)可用性保護(hù)等安全功能， 使系統(tǒng)具有更強(qiáng)的安全 保護(hù)能力。8.2 設(shè)計(jì)策略第四級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GB/T 22239.4-XXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分： 物聯(lián)網(wǎng)安全擴(kuò)展要求 的7.1中相關(guān)要求， 感知層以專用通信協(xié)議或安全通信協(xié)議服務(wù)等手段提 供數(shù)據(jù)的完整性和保密性保護(hù)， 通過(guò)關(guān)鍵感知設(shè)備和通信線路的冗余保證系統(tǒng)可用性， 增強(qiáng)系統(tǒng)的安全 保護(hù)能力。第四級(jí)物聯(lián)網(wǎng)系

49、統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)第四級(jí)的安全計(jì)算環(huán)境、安全區(qū)域邊界、 安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。8.3 設(shè)計(jì)技術(shù)要求8.3.1 安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求第四級(jí)安全計(jì)算環(huán)境應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：8.3.1.1 身份鑒別a）用戶身份鑒別（見 GB/T 25070 8.3.1.a）應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。 在每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)， 采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份， 并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性； 在每次用戶登錄 和重新連接系統(tǒng) 時(shí)，采用受安全管理中 心控制的口令、 基于生物特征的數(shù)據(jù)、 數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī) 制進(jìn)行用戶身份鑒別，

50、且其中一種鑒別技術(shù)產(chǎn)生的鑒別數(shù)據(jù)是不可替代的 ，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性 和完整性保護(hù)。b）物聯(lián)網(wǎng)系統(tǒng)身份鑒別（1）感知設(shè)備和感知層網(wǎng)關(guān)的身份標(biāo)識(shí)和鑒別，安全管理中心對(duì)感知設(shè)備和感知層網(wǎng)關(guān)進(jìn)行統(tǒng)一 入網(wǎng)標(biāo)識(shí)管理和維護(hù)，并確保在系統(tǒng)整個(gè)生存周期設(shè)備標(biāo)識(shí)的唯一性；（2）感知層網(wǎng)關(guān)與感知設(shè)備之間應(yīng)采用受安全管理中心控制的口令、密鑰或具有相應(yīng)安全強(qiáng)度的 其他機(jī)制實(shí)現(xiàn)雙向的身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)；（3）應(yīng)采用密碼等技術(shù)支持的鑒別機(jī)制如國(guó)家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法 等，對(duì)感知設(shè)備發(fā)送的數(shù)據(jù)進(jìn)行鑒別，確保數(shù)據(jù)來(lái)源于正確的感知設(shè)備且沒有被惡意注入虛假信息；（4）應(yīng)采取措

51、施對(duì)感知設(shè)備組成的組進(jìn)行組認(rèn)證，以減少網(wǎng)絡(luò)擁塞，組認(rèn)證可通過(guò)認(rèn)證代理來(lái)完 成，如物聯(lián)網(wǎng)感知層網(wǎng)關(guān)或主設(shè)備；（5）應(yīng)采用密碼等技術(shù)支持的鑒別機(jī)制如國(guó)家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等，對(duì)假冒用戶使用未授權(quán)的業(yè)務(wù)應(yīng)用或者合法用戶使用未定制的業(yè)務(wù)應(yīng)用進(jìn)行鑒別，防止末端感知設(shè)備身份偽造和克隆等攻擊。a) 自主訪問(wèn)控制(見 GB/T 25070 8.3.1.b) )應(yīng)在安全策略控制范圍內(nèi)， 使用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問(wèn)操作權(quán)限， 并能將這些權(quán)限的部 分或全部授予其他用戶。自主訪問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)和(或) 記錄或字段級(jí)。自主訪問(wèn)操作包括對(duì)客體的創(chuàng)建、

52、讀、寫、修改和刪除等。b) 標(biāo)記和強(qiáng)制訪問(wèn)控制(見 GB/T 25070 8.3.1.c) ) 在對(duì)安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)上， 應(yīng)由安全管理員通過(guò)特定操作界面對(duì)主、 客體 進(jìn)行安全標(biāo)記， 將強(qiáng)制訪問(wèn)控制擴(kuò)展到所有主體與客體； 應(yīng)按安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確定 主體訪問(wèn)客體的操作進(jìn)行控制。強(qiáng)制訪問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)。 應(yīng)確保安全計(jì)算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問(wèn)控制規(guī)則。c) 物聯(lián)網(wǎng)系統(tǒng)訪問(wèn)控制( 1)通過(guò)制定安全策略如訪問(wèn)控制列表，實(shí)現(xiàn)對(duì)感知設(shè)備的訪問(wèn)控制；( 2)感知設(shè)備和其他設(shè)備(感知層網(wǎng)關(guān)、其他感知設(shè)備

53、)通信時(shí)，根據(jù)安全策略對(duì)其他設(shè)備進(jìn)行 權(quán)限檢查，只有權(quán)限檢查通過(guò)后，才允許設(shè)備間開始通信；( 3)感知設(shè)備進(jìn)行更新配置時(shí)，根據(jù)安全策略對(duì)用戶進(jìn)行權(quán)限檢查，只有經(jīng)過(guò)授權(quán)的合法用戶才 能通過(guò)外部接口對(duì)感知設(shè)備進(jìn)行更新配置、下載軟件等；( 4)由授權(quán)主體配置訪問(wèn)控制策略，嚴(yán)格限制默認(rèn)賬戶的訪問(wèn)權(quán)限，并授予不同賬戶為完成各自 承擔(dān)任務(wù)所需的最小權(quán)限。8.3.1.3 系統(tǒng)安全審計(jì)(見 GB/T 25070 8.3.1.d) )應(yīng)記錄系統(tǒng)相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。應(yīng) 提供審計(jì)記錄查詢、分類、分析和存儲(chǔ)保護(hù)；能對(duì)特定安全事件進(jìn)行報(bào)警， 終止違例進(jìn)程等； 確保審計(jì)

54、 記錄不被破壞或非授權(quán)訪問(wèn) 以及防止審計(jì)記錄丟失等。 應(yīng)為安全管理中心提供接口；對(duì)不能由系統(tǒng)獨(dú) 立處理的安全事件，提供由授權(quán)主體調(diào)用的接口。8.3.1.4 數(shù)據(jù)完整性保護(hù)a) 用戶數(shù)據(jù)完整性保護(hù)(見 GB/T 25070 8.3.1.e) ) 應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制， 檢驗(yàn)存儲(chǔ)和處理的用戶數(shù)據(jù)的完整性， 以發(fā)現(xiàn)其完整性 是否被破壞，且在其受到破壞時(shí)能對(duì)重要數(shù)據(jù)進(jìn)行恢復(fù)。b) 物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)完整性保護(hù)( 1)應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國(guó)家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽 名算法等， 檢驗(yàn)感知設(shè)備生存信息、 鑒別信息、 隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性是否

55、破 壞，以及防止被非法復(fù)制，且在其受到破壞時(shí)能夠進(jìn)行恢復(fù)、重傳等；(2)應(yīng)采用專用通信協(xié)議或安全通信協(xié)議服務(wù)，避免來(lái)自基于通用協(xié)議的攻擊破壞數(shù)據(jù)的完整性。8.3.1.5 數(shù)據(jù)保密性保護(hù)a) 用戶數(shù)據(jù)保密性保護(hù)(見 GB/T 25070 8.3.1.f) ) 采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對(duì)在安全計(jì)算環(huán)境中的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。b) 物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)保密性保護(hù)( 1)應(yīng)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國(guó)家密碼行政主管部門規(guī)定的對(duì)稱加密算法、非 對(duì)稱加密算法等，對(duì)感知設(shè)備生存信息、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)進(jìn)行保密性保護(hù)；(2)應(yīng)采用專用通信協(xié)議或安全通信協(xié)議服務(wù)，避免來(lái)自基于

56、協(xié)議的攻擊破壞數(shù)據(jù)的保密性。應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對(duì)用戶使用的客體資 源，在這些客體資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，以確保信息不被泄露。8.3.1.7 程序可信執(zhí)行保護(hù)(見 GB/T 25070 8.3.1.h) )應(yīng)構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈， 以實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中可執(zhí)行程序的完整性檢驗(yàn)， 防范惡 意代碼等攻擊，并在檢測(cè)到其完整性受到破壞時(shí)采取措施恢復(fù)，例如采用可信計(jì)算等技術(shù)。8.3.1.8 網(wǎng)絡(luò)可信連接保護(hù)(見 GB/T 25070 8.3.1.i) )應(yīng)采用具有網(wǎng)絡(luò)可信連接保護(hù)功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，在設(shè)備連接網(wǎng)絡(luò) 時(shí)，對(duì)源和目標(biāo)進(jìn)行平臺(tái)身份鑒別、平臺(tái)完整性校驗(yàn)、數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾员Ｗo(hù)等。8.3.1.9 配置可信檢查(見 GB/T 25070 7.3.1.j) )應(yīng)將系統(tǒng)的安全配置信息形成基準(zhǔn)庫(kù)，實(shí)時(shí)監(jiān)控或定期檢查配置信息的修改行為，及時(shí)修復(fù)和基 準(zhǔn)庫(kù)中內(nèi)容不符的配置信息。8.3.1.10 數(shù)據(jù)可用性保護(hù)應(yīng)提供關(guān)鍵感知設(shè)備和通信線路冗余，保證系統(tǒng)的高可用性。8.3.2 安全區(qū)域邊界設(shè)計(jì)技術(shù)要求第四級(jí)安全區(qū)域邊界應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：8.3.2