T∕TAF 102-2021 面向工業(yè)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)智能終端安全技術(shù)要求

1、ICS 33.050CCS M 30團(tuán)體標(biāo)準(zhǔn)T/TAF 102-2021面向工業(yè)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)智能終端安全技術(shù)要求Security technical requirements of Internet of Things intelligent terminal for industrial Internet2021-12-13 發(fā)布2021-12-13 實(shí)施電信終端產(chǎn)業(yè)協(xié)會(huì) 發(fā)布T/TAF 102-2021 PAGE * ROMAN III目次 HYPERLINK l _bookmark0 前言II HYPERLINK l _bookmark1 引言III HYPERLINK l _book

2、mark2 范圍1 HYPERLINK l _bookmark3 規(guī)范性引用文件1 HYPERLINK l _bookmark4 術(shù)語(yǔ)和定義1 HYPERLINK l _bookmark5 縮略語(yǔ)1 HYPERLINK l _bookmark6 工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全要求2 HYPERLINK l _bookmark7 通用安全要求2 HYPERLINK l _bookmark8 硬件安全要求2 HYPERLINK l _bookmark9 固件安全要求2 HYPERLINK l _bookmark10 操作系統(tǒng)安全要求2 HYPERLINK l _bookmark11 通信安全要求3

3、HYPERLINK l _bookmark12 加密安全要求3 HYPERLINK l _bookmark13 身份標(biāo)識(shí)與鑒別安全要求3 HYPERLINK l _bookmark14 模型算法安全要求3 HYPERLINK l _bookmark15 數(shù)據(jù)安全要求4 HYPERLINK l _bookmark16 數(shù)據(jù)生命周期安全4 HYPERLINK l _bookmark17 數(shù)據(jù)采集安全要求4 HYPERLINK l _bookmark18 數(shù)據(jù)存儲(chǔ)安全要求4 HYPERLINK l _bookmark19 數(shù)據(jù)傳輸安全要求4 HYPERLINK l _bookmark20 數(shù)據(jù)使用安

4、全要求4 HYPERLINK l _bookmark21 數(shù)據(jù)銷(xiāo)毀安全要求4 HYPERLINK l _bookmark22 附錄 A（資料性）工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全能力分級(jí)5 HYPERLINK l _bookmark23 附錄 B（資料性）安全能力等級(jí)建議7前言本文件按照 GB/T 1.1-2020標(biāo)準(zhǔn)化工作導(dǎo)則 第 1 部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由電信終端產(chǎn)業(yè)協(xié)會(huì)提出并歸口。本文件起草單位：百度在線網(wǎng)絡(luò)技術(shù)（北京）有限公司、中國(guó)信息通信研究院、鄭州信大捷安信息技術(shù)股份有限公司、聯(lián)想（北

5、京）有限公司、高通無(wú)線通信技術(shù)(中國(guó))有限公司、四川長(zhǎng)虹電子控股集團(tuán)有限公司、北京豆莢科技有限公司。本文件主要起草人：王海棠、唐佳偉、郭建領(lǐng)、國(guó)煒、袁琦、徐曉娜、劉獻(xiàn)倫、劉為華、康亮、李汝鑫、林巍巍、王江勝、唐博、譚源泉、黃德俊、楊子光、劉濤、竇麗娟。引言物聯(lián)網(wǎng)飛速發(fā)展，安全作為一個(gè)進(jìn)階需求在物聯(lián)網(wǎng)初期并沒(méi)有被各大平臺(tái)所重視，隨著物聯(lián)網(wǎng)的發(fā)展以及物聯(lián)網(wǎng) DDOS 等安全問(wèn)題的爆發(fā)，用戶、設(shè)備廠商、物聯(lián)網(wǎng)平臺(tái)也越來(lái)越重視物聯(lián)網(wǎng)的安全。物聯(lián)網(wǎng)場(chǎng)景比較復(fù)雜，在整個(gè)物聯(lián)網(wǎng)生態(tài)中，大概分為設(shè)備端、云端、移動(dòng)端三個(gè)部分，每個(gè)部分的對(duì)安全的側(cè)重都不相同。設(shè)備端情況更加復(fù)雜，物理網(wǎng)的設(shè)備多種多樣，設(shè)備的硬件、

6、系統(tǒng)、應(yīng)用、協(xié)議以及使用的庫(kù)也碎片化嚴(yán)重，很難說(shuō)有一個(gè)方案能夠解決所有問(wèn)題。工業(yè)物聯(lián)網(wǎng)智能終端是物聯(lián)網(wǎng)信息系統(tǒng)的重要組成部分,其在應(yīng)用中安全防護(hù)水平參差不齊,直接影響了物聯(lián)網(wǎng)信息系統(tǒng)的整體安全。與一般信息系統(tǒng)相比,物聯(lián)網(wǎng)信息系統(tǒng)中使用的智能終端具有數(shù)量眾多、種類(lèi)繁雜、分布區(qū)域廣、部署環(huán)境多樣、安全功能受限等特點(diǎn),這些特點(diǎn)使得智能終端應(yīng)用面臨軟硬件故障、物理攻擊、通信不正常、信息泄露或篡改、非授權(quán)訪問(wèn)或惡意控制等安全風(fēng)險(xiǎn)。為了提高物聯(lián)網(wǎng)信息系統(tǒng)中智能終端應(yīng)用的安全防護(hù)水平,建議開(kāi)展工業(yè)物聯(lián)網(wǎng)智能終端安全技術(shù)要求立項(xiàng)。T/TAF 102-2021 PAGE 7面向工業(yè)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)智能終端安全技術(shù)

7、要求范圍本文件規(guī)定了面向工業(yè)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)智能終端設(shè)備安全技術(shù)要求，包括系統(tǒng)安全、硬件安全、固件安全、通信安全、數(shù)據(jù)安全等。本文件適用于工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端設(shè)備，個(gè)別條款不適用于特殊行業(yè)、專(zhuān)業(yè)應(yīng)用，其他類(lèi)似設(shè)備也可參考使用。規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件， 僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范T/TAF 062-2020 物聯(lián)網(wǎng)設(shè)備安全平臺(tái)技術(shù)要求和分級(jí)方法T/TAF 072-2020 物聯(lián)網(wǎng)設(shè)備統(tǒng)一

8、編碼方法術(shù)語(yǔ)和定義GB/T 35273-2020、T/TAF 062-2020、T/TAF 072-2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1物聯(lián)網(wǎng)智能終端 Internet of Things smart terminals具有數(shù)據(jù)采集，存儲(chǔ)能力、計(jì)算能力等，可通過(guò)接口與平臺(tái)建立通信連接，應(yīng)用于物聯(lián)網(wǎng)的嵌入式計(jì)算機(jī)系統(tǒng)設(shè)備。3.2算法模型 algorithm model采用機(jī)器學(xué)習(xí)技術(shù)理論求解問(wèn)題，明確界定的有限且有序的規(guī)則集合，并基于輸入數(shù)據(jù)生成分類(lèi)、推理、預(yù)測(cè)等的算法。3.3魯棒性 Robustness計(jì)算機(jī)控制系統(tǒng)正確執(zhí)行以及處理意外終止和意外操作的能力。縮略語(yǔ)下列縮略語(yǔ)適用

9、于本文件：API：應(yīng)用程序接口（Application Programming Interface）TEE：可信執(zhí)行環(huán)境（Trusted Execution Environment） URL：統(tǒng)一資源定位系統(tǒng)（Uniform Resource Locator）工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全要求通用安全要求智能終端設(shè)備依據(jù)自身在身份標(biāo)識(shí)與鑒別、硬件、操作系統(tǒng)、固件、通信、模型算法、數(shù)據(jù)等安全能力提出要求，涉及物聯(lián)網(wǎng)設(shè)備安全平臺(tái)相關(guān)要求應(yīng)符合 T/TAF 062-2020 的相關(guān)規(guī)定。具備與平臺(tái)雙向認(rèn)證能力，實(shí)現(xiàn)基于硬件的數(shù)字證書(shū)機(jī)制，宜采用國(guó)產(chǎn)商用密碼算法；應(yīng)支持安全芯片或同等安全能力的安全單元，

10、為系統(tǒng)提供獨(dú)立的安全服務(wù)。對(duì)采用安全芯片的， 應(yīng)滿足 GM/T 0008 安全等級(jí) 2 級(jí)及以上要求，且應(yīng)具備商用密碼產(chǎn)品認(rèn)證證書(shū)；具備操作系統(tǒng)安全，應(yīng)采用可信計(jì)算等技術(shù)，保證系統(tǒng)安全，內(nèi)部程序采用白名單機(jī)制；智能終端應(yīng)可支持物理隔離安全性、芯片級(jí)防篡改保護(hù)機(jī)制并具備可抵御芯片級(jí)攻擊能力，可在物理設(shè)備層被攻破的情況下仍然保障密鑰的安全性。硬件安全要求硬件安全應(yīng)符合下列要求：對(duì)于具有控制臺(tái)接口的設(shè)備，需配置用戶名、口令等方式進(jìn)行認(rèn)證授權(quán)，禁止未授權(quán)訪問(wèn)；對(duì)具備USB接口的設(shè)備，應(yīng)默認(rèn)關(guān)閉USB調(diào)試接口功能，或者增加調(diào)試接口驗(yàn)證功能；應(yīng)禁用不再使用的物理接口，宜移除相關(guān)物理接口；智能終端設(shè)備應(yīng)支持

11、硬件安全隔離功能。固件安全要求固件安全應(yīng)符合下列要求：智能終端固件及對(duì)固件的任何改動(dòng)都應(yīng)經(jīng)過(guò)嚴(yán)格的流程控制和驗(yàn)證，以保證固件中不含隱藏的非法功能；智能終端上電時(shí)應(yīng)對(duì)固件做真實(shí)性、完整性校驗(yàn)，確保固件未被非法篡改。固件升級(jí)時(shí)，應(yīng)對(duì)新版固件進(jìn)行簽名驗(yàn)簽，保證新版固件的合法性；應(yīng)具備固件芯片的物理寫(xiě)入保護(hù)的功能，防止固件被惡意篡改。操作系統(tǒng)安全要求操作系統(tǒng)安全應(yīng)符合下列要求：應(yīng)提供安全啟動(dòng)機(jī)制進(jìn)行系統(tǒng)的完整性保護(hù)，當(dāng)安全驗(yàn)證通過(guò)后，系統(tǒng)方能正常啟動(dòng)，并進(jìn)行定期的檢查校驗(yàn)；系統(tǒng)應(yīng)具備對(duì)遠(yuǎn)程控制的請(qǐng)求身份驗(yàn)證和接入認(rèn)證的能力，避免非法用戶或應(yīng)用控制系統(tǒng)；系統(tǒng)應(yīng)具有有防回滾策略，防止系統(tǒng)被惡意降級(jí)；系統(tǒng)應(yīng)

12、最小化開(kāi)放網(wǎng)絡(luò)服務(wù)，如端口23的telnet，端口80的http等；應(yīng)禁止預(yù)留任何的未公開(kāi)帳號(hào)，所有帳號(hào)應(yīng)可被系統(tǒng)管理，并在資料中提供所有帳號(hào)及管理操作說(shuō)明；對(duì)于任何的外界輸入，系統(tǒng)應(yīng)做充分的參數(shù)檢查，防止非法輸入或非法報(bào)文攻擊；系統(tǒng)在應(yīng)用安裝時(shí)應(yīng)獲得授權(quán)同意，禁止安裝未知來(lái)源或未授權(quán)應(yīng)用。應(yīng)用安裝時(shí)，權(quán)限分配采取授權(quán)最小化原則，系統(tǒng)應(yīng)能禁止所有未被允許權(quán)限的使用；應(yīng)禁止存在繞過(guò)正常認(rèn)證機(jī)制直接進(jìn)入到系統(tǒng)的隱秘通道，包括不限于：組合鍵、特殊敲擊、連接特定接口、使用特殊URL等；對(duì)于支持多個(gè)用戶賬號(hào)的系統(tǒng)，用戶權(quán)限分配應(yīng)遵循最小權(quán)限原則，普通用戶只擁有系統(tǒng)賦予的最小權(quán)限，禁止越權(quán)操作，禁止使用弱

13、密碼進(jìn)行登錄；智能終端設(shè)備的操作系統(tǒng)宜能夠?qū)崿F(xiàn)用戶、進(jìn)程空間和數(shù)據(jù)安全隔離；對(duì)具備調(diào)試功能的設(shè)備，應(yīng)限制調(diào)試進(jìn)程在操作系統(tǒng)中的訪問(wèn)權(quán)限和操作權(quán)限，防止權(quán)限設(shè)置過(guò)高導(dǎo)致權(quán)限濫用。通信安全要求智能終端設(shè)備與業(yè)務(wù)平臺(tái)之間通信連接安全包括網(wǎng)絡(luò)接入安全，接口安全，數(shù)據(jù)傳輸安全等應(yīng)符合以下要求：通信會(huì)話建立前應(yīng)有安全的接入認(rèn)證機(jī)制；傳輸敏感數(shù)據(jù)時(shí)的加密密鑰禁止硬編碼在代碼中；通信會(huì)話應(yīng)支持加密、完整性保護(hù)及防重放攻擊，建議使用TLS/DTLS/TLCP等安全通信協(xié)議；會(huì)話服務(wù)端應(yīng)對(duì)客戶端的請(qǐng)求進(jìn)行合法性校驗(yàn)，應(yīng)校驗(yàn)會(huì)話標(biāo)識(shí)、及會(huì)話標(biāo)識(shí)是否與用戶IP 匹配；通信會(huì)話標(biāo)識(shí)應(yīng)使用安全隨機(jī)數(shù)算法生成；禁止在URL

14、、錯(cuò)誤信息或日志中暴露會(huì)話標(biāo)識(shí)符；所有登錄后才能訪問(wèn)的界面都應(yīng)提供主動(dòng)退出選項(xiàng)，當(dāng)用戶退出時(shí)，設(shè)備端應(yīng)斷開(kāi)會(huì)話連接；應(yīng)設(shè)置會(huì)話超時(shí)機(jī)制，在超時(shí)過(guò)后需斷開(kāi)會(huì)話連接。加密安全要求加密安全應(yīng)符合下列要求：智能終端應(yīng)支持密鑰的生成、分發(fā)、存儲(chǔ)、更新等密鑰管理功能。根密鑰應(yīng)采用安全的密碼算法；應(yīng)保證每個(gè)設(shè)備具有唯一的設(shè)備根密鑰，且設(shè)備根密鑰與智能終端身份識(shí)別信息一一綁定。智能終端認(rèn)證過(guò)程中禁止明文傳遞密鑰或以弱算法等變換后傳遞，防止反向推出密鑰，保證認(rèn)證安全。身份標(biāo)識(shí)與鑒別安全要求身份標(biāo)識(shí)與鑒別安全應(yīng)符合下列要求：智能終端應(yīng)具有唯一的終端身份識(shí)別信息，身份識(shí)別信息應(yīng)不可篡改、不可偽造、具備全球唯一性且由

15、平臺(tái)進(jìn)行統(tǒng)一管理；智能終端身份識(shí)別信息應(yīng)與終端設(shè)備信息進(jìn)行關(guān)聯(lián)，如設(shè)備廠商代碼、設(shè)備型號(hào)代碼、唯一標(biāo)識(shí)代碼、身份識(shí)別服務(wù)規(guī)范版本號(hào)等，具體身份識(shí)別信息格式應(yīng)符合T/TAF 072-2020的相關(guān)規(guī)定。模型算法安全要求對(duì)于具備算法模型的智能終端應(yīng)符合以下安全要求：模型算法宜具備抵抗對(duì)抗性攻擊的能力，如對(duì)抗樣本攻擊等；應(yīng)對(duì)算法模型進(jìn)行安全保護(hù)，以保護(hù)模型不被非法竊取，如為模型參數(shù)或預(yù)測(cè)API接口設(shè)置一定的訪問(wèn)控制機(jī)制，使之不可被公開(kāi)獲取。算法模型可被限制在TEE加載和運(yùn)行，保護(hù)隱私數(shù)據(jù)不被非法獲取。數(shù)據(jù)安全要求數(shù)據(jù)生命周期安全數(shù)據(jù)生命周期分為數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)使用和數(shù)據(jù)銷(xiāo)毀。在每個(gè)

16、階段都需要特定的安全措施來(lái)保護(hù)數(shù)據(jù)安全。涉及個(gè)人信息相關(guān)活動(dòng)應(yīng)符合GB/T 35273-2020的相關(guān)規(guī)定。數(shù)據(jù)采集安全要求應(yīng)保證信息收集主體的所有行為的合法要求，包括信息主體的授權(quán)和法律責(zé)任的明確；數(shù)據(jù)采集應(yīng)遵循最小化原則，禁止過(guò)度收集與業(yè)務(wù)無(wú)關(guān)的數(shù)據(jù)；應(yīng)保證用戶擁有充分的知情權(quán)；應(yīng)通過(guò)技術(shù)手段保障用戶的數(shù)據(jù)訪問(wèn)權(quán)、刪除權(quán)、糾正權(quán)和遷移權(quán)。數(shù)據(jù)存儲(chǔ)安全要求應(yīng)對(duì)文件數(shù)據(jù)采用加密技術(shù)實(shí)現(xiàn)文件的存儲(chǔ)保密性；應(yīng)對(duì)敏感信息，如隱私信息，除了保證存儲(chǔ)保密性，還需要在此之前完成脫敏。數(shù)據(jù)傳輸安全要求應(yīng)保證使用安全的加密保護(hù)用戶數(shù)據(jù)；應(yīng)保證用戶數(shù)據(jù)在不影響業(yè)務(wù)使用的情況下脫敏后傳輸；應(yīng)保證安全可靠的密鑰管理

17、方式，采取完整的密鑰全生命周期的管理，包括創(chuàng)建、激活、禁用、轉(zhuǎn)換、分發(fā)、備份、銷(xiāo)毀等，同時(shí)基于密鑰的數(shù)據(jù)加密存儲(chǔ)；應(yīng)保證使用動(dòng)態(tài)密鑰或設(shè)備唯一密鑰，保障設(shè)備安全；應(yīng)保證數(shù)據(jù)完整性校驗(yàn)，對(duì)數(shù)據(jù)包的所有內(nèi)容進(jìn)行簽名。數(shù)據(jù)使用安全要求應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶個(gè)人信息；應(yīng)保證權(quán)限控制，數(shù)據(jù)上傳下載時(shí)，限制用戶向上跨目錄訪問(wèn)，只能訪問(wèn)指定目錄下的文件。數(shù)據(jù)銷(xiāo)毀安全要求應(yīng)能夠提供手段協(xié)助清除因數(shù)據(jù)在不同存儲(chǔ)設(shè)備間遷移、業(yè)務(wù)終止、自然災(zāi)害、合同終止等遺留的數(shù)據(jù)，對(duì)日志的留存期限應(yīng)符合國(guó)家有關(guān)規(guī)定；應(yīng)提供手段清除數(shù)據(jù)的所有副本。附 錄 A（資料性）工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全能力分級(jí)根據(jù)工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)

18、智能終端支持的安全能力程度，將工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端的安全能力自高到低劃分為5個(gè)等級(jí)。在每一等級(jí)定義了對(duì)應(yīng)的安全能力的最小集合，也就是工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端必須支持該集合中的所有安全能力才能標(biāo)識(shí)為該級(jí)別，例如達(dá)到第五級(jí)的智能終端應(yīng)支持本文件第5章所定義的所有安全能力。具體的等級(jí)劃分詳見(jiàn)表A.1.表 A.1 工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全能力分級(jí)安全能力安全能力等級(jí)一級(jí)二級(jí)三級(jí)四級(jí)五級(jí)智能終端設(shè)備安全要求a）b）-c）-d）-身份認(rèn)證安全要求a）b）-c）-d）-硬件安全要求a）b）-c）-d）-e)-智能終端設(shè)備操作系統(tǒng)安全要求a）b）c）-d）-e)-f）-g）-h）-i）-j）-k）-固件安全要求a）b）-c）-表 A.1 工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全能力分級(jí)（續(xù)）安全能力安全能力等級(jí)一級(jí)二級(jí)三級(jí)四級(jí)五級(jí)通信安全要求a）b）c）-d）-c）-d）-e)-h）-模型算法安全要求a