TZJAF 11-2021 視頻圖像物聯(lián)終端設備安全技術要求

ICS35.040CCSL80

團 體 標 準T/ZJAF11—2021視頻圖像物聯(lián)終端設備安全技術要求SecuritytechnicalrequirementsofIoTterminaldeviceforvideoandimage2021-12-15發(fā)布 2022-03-01實施浙江省安全技術防范行業(yè)協(xié)會發(fā)布T/ZJAFT/ZJAF11—2021II目 次前言 II112范引文件 13語定和略語 13.1術和義 13.2縮語 14備全護述 2安防架構 2硬平安全 2系平安全 2應軟安全 2通安全 35備類 36全求 3硬平安全 3系平安全 3應軟安全 4通安全 57同型備全求 6參考獻 8T/ZJAFT/ZJAF11—2021IIII前 言GB/T1袁福貴、林勉嵩、黃海飛、李歡麗。T/ZJAFT/ZJAF11—2021PAGEPAGE8視頻圖像物聯(lián)終端設備安全技術要求范圍本文件適用于視頻圖像物聯(lián)終端設備的設計、開發(fā)、測試和應用。（GB/T11457—2006信息技術軟件工程術語GB/T25069—2010信息安全技術術語GB/T28925信息技術射頻識別2.45GHz空中接口協(xié)議GB/T29768信息技術射頻識別800/900MHz空中接口協(xié)議GB/T33745—2017物聯(lián)網(wǎng)術語GB/T35273—2020信息安全技術個人信息安全規(guī)范GB/T35318—2017公安物聯(lián)網(wǎng)感知終端安全防護技術要求GB/T37044—2018信息安全技術物聯(lián)網(wǎng)安全參考模型及通用要求ITU-TX.509信息技術開放系統(tǒng)互連目錄：公開秘鑰和屬性證書框架（Informationtechnology—OpenSystemsInterconnection—TheDirectory：Public-keyandattributecertificateframeworks）GB/T11457—2006、GB/T25069—2010、GB/T33745—20173.1.1頻像聯(lián)端備 IoTterminaldeviceforvideoandimage物聯(lián)網(wǎng)中具有視頻圖像數(shù)據(jù)采集、存儲、處理等部分或全部能力的終端設備?？s略語下列縮略語適用于本文件。AES：高級加密標準（AdvancedEncryptionStandard）CCMP：計數(shù)器模式密碼塊鏈消息完整碼協(xié)議（CounterCBC-MACProtocol）IoT：物聯(lián)網(wǎng)（InternetofThing）MQTT：消息隊列遙測傳輸（MessageQueuingTelemetryTransport）OTA：空中下載技術（Over-The-AirTechnology）OTP（OneTimeProgrammable）PIN（PersonalIdentifyNumber）SSP（securitysupportprovider）TEE（TrustedExecutionEnvironment）TLS（TransportLayerSecurity）TPM（TrustedPlatformModule）WPA:Wi-Fi（Wi-FiProtectedAccess）應用軟件安全身份認證權限控制安全審計數(shù)據(jù)保護應用軟件安全身份認證權限控制安全審計數(shù)據(jù)保護密碼算法物理安全安全芯片通用安全設備間交互物理安全安全芯片通用安全設備間交互藍牙通信WiFi通信其他通信系統(tǒng)平臺安全引導程序初始設置操作系統(tǒng)軟件升級內(nèi)核程序 圖1 視頻像聯(lián)端備全防架圖硬件平臺安全主要包括物理安全防護和安全芯片應用。系統(tǒng)平臺安全主要包括引導程序、初始設置、操作系統(tǒng)、軟件升級、內(nèi)核程序的安全防護。應用軟件安全主要包括身份認證、權限控制、安全審計、數(shù)據(jù)保護、密碼算法的安全防護。通信安全主要包括通用安全、設備間交互、藍牙通信、WiFi通信及其他通信的安全防護。視頻圖像物聯(lián)終端設備根據(jù)其安全防護能力不同分為基礎型、增強型和全面型。設備分類見表1。表1 設備類設備分類分類說明適用范圍基礎型具備軟件安全的基本防護能力，不涉及或極少涉及物理安全的防護。不涉及個人敏感信息，物理攻擊的影響較小，且自身的安全問題不會影響系統(tǒng)中其他節(jié)點的安全防護的視頻圖像物聯(lián)終端設備。增強型在軟件安全的基礎防護能力上，進一步提升軟件安全防護能力，并具備一定的硬件安全防護能力。涉及個人敏感信息，自身的安全問題可能會影響系統(tǒng)周邊節(jié)點的安全防護的視頻圖像物聯(lián)終端設備。全面型在現(xiàn)有安全技術基礎能力下，對軟件、硬件進行全面安全加固，具備軟件、硬件全面安全防護的能力。涉及個人高敏感的信息數(shù)據(jù)，或者設備的安全問題可能致使系統(tǒng)出現(xiàn)非常嚴重的安全事故的視頻圖像物聯(lián)終端設備。注1：視頻圖像物聯(lián)終端設備的安全防護能力要求根據(jù)特殊情景可作出適當?shù)恼{(diào)整。注2：個人敏感信息判定見GB/T35273-2020中的附錄B。6.2.2.1 GB/T35318—20177.1.2.1OTAOTA出廠設置應僅啟用基本網(wǎng)絡服務功能。IoT6.4.1.1 GB/T37044—20185.4.2.2TLSITU-TX.509MQTTPINJustWork，SSP6注：“JustWork”模式指不需要用戶參與，設備發(fā)起連接即可配對目標設備。WiFiWiFiWPA2WPAAES（CCMPWiFiWPSGB/T29768和GB/T28935視頻圖像物聯(lián)終端設備根據(jù)不同安全防護能力應符合表2規(guī)定的安全要求。表2 視頻像聯(lián)備全求安全要求基礎型增強型全面型硬件平臺物理安全6.1.1.1—●●6.1.1.2——●6.1.1.3——●6.1.1.4——●安全芯片6.1.2.1——●6.1.2.2——●6.1.2.3——●6.1.2.4——●系統(tǒng)平臺引導程序6.2.1.1—●●6.2.1.2●●●6.2.1.3——●6.2.1.4—●●6.2.1.5——●系統(tǒng)平臺操作系統(tǒng)6.2.2.1——●6.2.2.2●●●6.2.2.3—●●6.2.2.4—●●6.2.2.5——●6.2.2.6—●●6.2.2.7——●軟件升級6.2.3.1●●●6.2.3.2——●6.2.3.3—●●6.2.3.4●●●6.2.3.5——●6.2.3.6——●內(nèi)核程序6.2.4.1—●●6.2.4.2●●●初始設置6.2.5●●●表2 視頻像聯(lián)備全類要（）安全要求基礎型增強型全面型應用軟件身份認證6.3.1.1●●●6.3.1.2●●●6.3.1.3●●●6.3.1.4●●●6.3.1.5●●●權限控制6.3.2.1●●●6.3.2.2●●●6.3.2.3—●●安全審計6.3.3.1●●●6.3.3.2●●●6.3.3.3—●●數(shù)據(jù)保護6.3.4.1●●●6.3.4.2●●●6.3.4.3—●●應用軟件密碼算法6.3.5.1●●●6.3.5.2●●●6.3.5.3—●●6.3.5.4——●通信通用安全6.4.1.1—●●6.4.1.2●●●6.4.1.3●●●6.4.1.4—●●6.4.1.5●●●設備間交互6.4.2.1●●●6.4.2.2●●●6.4.2.3●●●藍牙6.4.3.1●●●6.4.3.2●●●6.4.3.3●●●6.4.3.4●●●6.4.3.5●●●WiFi6.4.4.1●●●6.4.4.2●●●6.4.4.3●●●6.4.4.4●●●其他通信6.4.5●●●注：“●”代表強制要求項，“—”代表可選項。參 考 文 獻[1]GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則[2]G