《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第4部分:物聯(lián)網(wǎng)安全擴(kuò)展要求》_第1頁(yè)
《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第4部分:物聯(lián)網(wǎng)安全擴(kuò)展要求》_第2頁(yè)
《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第4部分:物聯(lián)網(wǎng)安全擴(kuò)展要求》_第3頁(yè)
《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第4部分:物聯(lián)網(wǎng)安全擴(kuò)展要求》_第4頁(yè)
《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第4部分:物聯(lián)網(wǎng)安全擴(kuò)展要求》_第5頁(yè)
已閱讀5頁(yè),還剩64頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

GB/T28448.4—XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第4部分:物聯(lián)網(wǎng)安全

擴(kuò)展要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了對(duì)物聯(lián)網(wǎng)系統(tǒng)是否符合GB/T22239.4-20XX所進(jìn)行的測(cè)試評(píng)估活動(dòng)的要求,包括對(duì)第

一級(jí)物聯(lián)網(wǎng)系統(tǒng)、第二級(jí)物聯(lián)網(wǎng)系統(tǒng)、第三級(jí)物聯(lián)網(wǎng)系統(tǒng)和第四級(jí)物聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全測(cè)試評(píng)估的要求。

本標(biāo)準(zhǔn)略去對(duì)第五級(jí)物聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全測(cè)試評(píng)估的要求。

本標(biāo)準(zhǔn)適用于物聯(lián)網(wǎng)信息安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、物聯(lián)網(wǎng)系統(tǒng)的主管部門及運(yùn)營(yíng)使用單位對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)

安全等級(jí)保護(hù)狀況進(jìn)行的安全測(cè)試評(píng)估。信息安全監(jiān)管職能部門依法進(jìn)行的物聯(lián)網(wǎng)信息安全等級(jí)保護(hù)監(jiān)

督檢查可以參考使用。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文

件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)

GB/T22239.1-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第1部分:安全通用要求

GB/T22239.4-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分:物聯(lián)網(wǎng)安全擴(kuò)展要求

GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

GB/T28449-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

GB/T25070-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

3術(shù)語(yǔ)和定義

GB/T25069-2010和GB/T22239.4-20XX所確立的術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

4概述

4.1使用方法

本標(biāo)準(zhǔn)第5章到第8章分別描述了第一級(jí)物聯(lián)網(wǎng)系統(tǒng)、第二級(jí)物聯(lián)網(wǎng)系統(tǒng)、第三級(jí)物聯(lián)網(wǎng)系統(tǒng)和第四

級(jí)物聯(lián)網(wǎng)系統(tǒng)所有單項(xiàng)測(cè)評(píng)的內(nèi)容,在章節(jié)上分別對(duì)應(yīng)國(guó)標(biāo)GB/T22239.4-20XX的第4章到第7章。在國(guó)

標(biāo)GB/T22239.4-20XX第4章到第7章中,各章的二級(jí)目錄都分為安全技術(shù)和安全管理兩部分,三級(jí)目錄

從安全層面(如物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全等)進(jìn)行劃分和描述,四級(jí)目錄按

照安全控制點(diǎn)進(jìn)行劃分和描述(如設(shè)備和計(jì)算安全層面下分為訪問(wèn)控制、資源控制等),第五級(jí)目錄是

每一個(gè)安全控制點(diǎn)下面包括的具體安全要求項(xiàng)(以下簡(jiǎn)稱“要求項(xiàng)”,這些要求項(xiàng)在本標(biāo)準(zhǔn)中被稱為“測(cè)

評(píng)指標(biāo)”)。本標(biāo)準(zhǔn)中針對(duì)每一個(gè)要求項(xiàng)的測(cè)評(píng)就構(gòu)成一個(gè)單項(xiàng)測(cè)評(píng),單項(xiàng)測(cè)評(píng)中的每一個(gè)具體測(cè)評(píng)實(shí)

施要求項(xiàng)(以下簡(jiǎn)稱“測(cè)評(píng)要求項(xiàng)”)是與安全控制點(diǎn)下面所包括的要求項(xiàng)(測(cè)評(píng)指標(biāo))相對(duì)應(yīng)的。在

1

GB/T28448.4—XXXX

對(duì)每一要求項(xiàng)進(jìn)行測(cè)評(píng)時(shí),可能用到訪談、檢查和測(cè)試三種測(cè)試方法,也可能用到其中一種或兩種。測(cè)

評(píng)實(shí)施的內(nèi)容完全覆蓋了GB/T22239.4-20XX中所有要求項(xiàng)的測(cè)評(píng)要求,使用時(shí)應(yīng)當(dāng)從單項(xiàng)測(cè)評(píng)的測(cè)評(píng)

實(shí)施中抽取出對(duì)于GB/T22239.4-20XX中每一個(gè)要求項(xiàng)的測(cè)評(píng)要求,并按照這些測(cè)評(píng)要求開發(fā)測(cè)評(píng)指導(dǎo)

書,以規(guī)范和指導(dǎo)安全等級(jí)測(cè)評(píng)活動(dòng)。

測(cè)評(píng)過(guò)程中,測(cè)評(píng)人員應(yīng)注意對(duì)測(cè)評(píng)記錄和證據(jù)的采集、處理、存儲(chǔ)和銷毀,保護(hù)其在測(cè)評(píng)期間免

遭破壞、更改或遺失,并保守秘密。

測(cè)評(píng)的最終輸出是測(cè)評(píng)報(bào)告,測(cè)評(píng)報(bào)告應(yīng)結(jié)合GB/T28448.1-20XX中第11章的要求給出等級(jí)測(cè)評(píng)結(jié)

論。

5第一級(jí)物聯(lián)網(wǎng)系統(tǒng)單項(xiàng)測(cè)評(píng)要求

5.1安全技術(shù)測(cè)評(píng)

5.1.1物理和環(huán)境安全

5.1.1.1終端感知節(jié)點(diǎn)(包括RFID標(biāo)簽)的物理和環(huán)境安全

5.1.1.1.1測(cè)評(píng)單元(L1-PES4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):感知節(jié)點(diǎn)所處的物理環(huán)境應(yīng)該不對(duì)感知節(jié)點(diǎn)造成物理破壞,如擠壓、強(qiáng)振動(dòng)。(本

條款引用自GB/T22239.4-20XX5.1.1.1a))

b)測(cè)評(píng)對(duì)象:物理安全負(fù)責(zé)人,感知節(jié)點(diǎn)所處物理環(huán)境,設(shè)計(jì)或驗(yàn)收文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談物理安全負(fù)責(zé)人,詢問(wèn)現(xiàn)有終端感知節(jié)點(diǎn)的環(huán)境條件是否具有防擠壓、防強(qiáng)振動(dòng)等

防物理破壞的能力;

2)應(yīng)檢查感知節(jié)點(diǎn)所處物理環(huán)境的設(shè)計(jì)或驗(yàn)收文檔,是否有感知節(jié)點(diǎn)所處物理環(huán)境具有防擠

壓、防強(qiáng)振動(dòng)等能力的說(shuō)明,查看與實(shí)際情況是否一致;

3)應(yīng)檢查感知節(jié)點(diǎn)所處物理環(huán)境是否采取了防擠壓、防強(qiáng)振動(dòng)等的防護(hù)措施。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。

5.1.1.1.2測(cè)評(píng)單元(L1-PES4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):感知節(jié)點(diǎn)在工作狀態(tài)所處物理環(huán)境應(yīng)該能正確反映環(huán)境狀態(tài)(如溫濕度傳感器不能

安裝在陽(yáng)光直射區(qū)域)。(本條款引用自GB/T22239.4-20XX5.1.1.1b))

b)測(cè)評(píng)對(duì)象:物理安全負(fù)責(zé)人,感知節(jié)點(diǎn)所處物理環(huán)境,設(shè)計(jì)或驗(yàn)收文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談物理安全負(fù)責(zé)人,詢問(wèn)感知節(jié)點(diǎn)在工作狀態(tài)所處物理環(huán)境是否能正確反映環(huán)境狀態(tài)

(如溫濕度傳感器不能安裝在陽(yáng)光直射區(qū)域);

2)應(yīng)檢查感知節(jié)點(diǎn)所處物理環(huán)境的設(shè)計(jì)或驗(yàn)收文檔,是否有感知節(jié)點(diǎn)在工作狀態(tài)所處物理環(huán)

境的說(shuō)明,查看與實(shí)際情況是否一致;

3)應(yīng)檢查感知節(jié)點(diǎn)在工作狀態(tài)所處物理環(huán)境是否能正確反映環(huán)境狀態(tài)。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。

2

GB/T28448.4—XXXX

5.1.2網(wǎng)絡(luò)和通信安全

5.1.2.1數(shù)據(jù)源認(rèn)證

5.1.2.1.1測(cè)評(píng)單元(L1-NCMMS4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)確保信息來(lái)源于正確的感知節(jié)點(diǎn)設(shè)備。(本條款引用自GB/T22239.4-20XX

5.1.2.1a))

b)測(cè)評(píng)對(duì)象:網(wǎng)絡(luò)管理員,感知終端,設(shè)計(jì)文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談網(wǎng)絡(luò)管理員,詢問(wèn)感知終端接入網(wǎng)絡(luò)時(shí)是否采取設(shè)備認(rèn)證機(jī)制,具體措施有哪些;

2)應(yīng)檢查感知終端認(rèn)證機(jī)制策略文檔,查看其是否包括防止非法的物聯(lián)網(wǎng)終端接入網(wǎng)絡(luò)的機(jī)

制描述。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.1.2.2異構(gòu)網(wǎng)安全接入

5.1.2.2.1測(cè)評(píng)單元(L1-NCMMS4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)建立異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng),實(shí)現(xiàn)安全的傳輸控制信息。(本條款引用自GB/T

22239.4-20XX5.1.2.2a))

b)測(cè)評(píng)對(duì)象:網(wǎng)絡(luò)管理員,感知層網(wǎng)關(guān)。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談網(wǎng)絡(luò)管理員,詢問(wèn)異構(gòu)網(wǎng)絡(luò)接入認(rèn)證采取的何種措施實(shí)現(xiàn);

2)應(yīng)檢查異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng),查看是否能夠正確完成異構(gòu)網(wǎng)絡(luò)接入認(rèn)證功能。

d)單元判定:如果2)為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系統(tǒng)不符

合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.1.3應(yīng)用和數(shù)據(jù)安全

5.1.3.1訪問(wèn)控制

5.1.3.1.1測(cè)評(píng)單元(L1-ADS4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):對(duì)遠(yuǎn)程登陸的用戶具有認(rèn)證功能,確保只有合法用戶才能登陸。(本條款引用自

GB/T22239.4-20XX5.1.3.1a))

b)測(cè)評(píng)對(duì)象:應(yīng)用系統(tǒng)管理員,物聯(lián)網(wǎng)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談應(yīng)用系統(tǒng)管理員,詢問(wèn)應(yīng)用系統(tǒng)是否提供對(duì)遠(yuǎn)程登錄用戶的認(rèn)證功能,認(rèn)證的方式

有哪些;

2)應(yīng)檢查應(yīng)用系統(tǒng)是否提供對(duì)遠(yuǎn)程登錄用戶的認(rèn)證功能,應(yīng)通過(guò)成功和失敗登錄測(cè)試認(rèn)證功

能是否有效。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

3

GB/T28448.4—XXXX

5.1.3.2數(shù)據(jù)完整性

5.1.3.2.1測(cè)評(píng)單元(L1-ADS4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)能夠檢測(cè)到感知節(jié)點(diǎn)生存信息在傳輸過(guò)程中完整性受到破壞。(本條款引用自

GB/T22239.4-20XX5.1.3.2a))

b)測(cè)評(píng)對(duì)象:安全管理員,感知節(jié)點(diǎn)設(shè)備,傳輸協(xié)議等。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談安全管理員,詢問(wèn)針對(duì)感知節(jié)點(diǎn)生存信息在傳輸過(guò)程中完整性的保護(hù)措施,具體措

施有哪些;

2)應(yīng)檢查感知層是否配備檢測(cè)感知節(jié)點(diǎn)生存信息在傳輸過(guò)程中完整性受到破壞的功能。

d)單元判定:如果2)為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系統(tǒng)不符

合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.1.3.3數(shù)據(jù)可用性

5.1.3.3.1測(cè)評(píng)單元(L1-ADS4-03)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)保證感知網(wǎng)絡(luò)實(shí)體間通信數(shù)據(jù)的新鮮性。(本條款引用自GB/T22239.4-20XX

5.1.3.3a))

b)測(cè)評(píng)對(duì)象:網(wǎng)絡(luò)管理員,感知節(jié)點(diǎn)設(shè)備。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談網(wǎng)絡(luò)管理員,詢問(wèn)保證感知網(wǎng)絡(luò)實(shí)體間通信數(shù)據(jù)的新鮮性的措施有哪些;

2)應(yīng)檢查是否提供保障感知網(wǎng)絡(luò)實(shí)體間通信數(shù)據(jù)新鮮性的功能,采用的具體方式有哪些;

3)應(yīng)測(cè)試通信數(shù)據(jù)新鮮性保障措施是否有效,應(yīng)通過(guò)測(cè)試發(fā)送過(guò)期數(shù)據(jù),驗(yàn)證感知層網(wǎng)關(guān)是

否不接受過(guò)期數(shù)據(jù)。

d)單元判定:如果2)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2安全管理測(cè)評(píng)

5.2.1系統(tǒng)安全建設(shè)管理

5.2.1.1自行研發(fā)感知節(jié)點(diǎn)設(shè)備(包括RFID)

5.2.1.1.1測(cè)評(píng)單元(L1-CMMS4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)確保終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)的主要部件(芯片、電池、天線等)參數(shù)滿足系統(tǒng)

功能需求;(本條款引用自GB/T22239.4-20XX5.2.1.1a))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,軟、硬件研發(fā)設(shè)計(jì)文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)是否自行研發(fā),感知節(jié)點(diǎn)主要部件(芯片、電池、天線等)

參數(shù)是否滿足系統(tǒng)功能需求;

2)應(yīng)檢查軟、硬件研發(fā)設(shè)計(jì)文檔,查看感知節(jié)點(diǎn)主要部件(芯片、電池、天線等)參數(shù)是否

有滿足系統(tǒng)功能需求的設(shè)計(jì)或描述。

4

GB/T28448.4—XXXX

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.1.1.2測(cè)評(píng)單元(L1-CMMS4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)確保研發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開;(本條款引用自GB/T22239.4-20XX

5.2.1.1b))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,研發(fā)環(huán)境。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,自行研發(fā)是否在獨(dú)立的模擬環(huán)境中完成編碼和調(diào)試,如相對(duì)獨(dú)立

的網(wǎng)絡(luò)區(qū)域;

2)應(yīng)檢查研發(fā)環(huán)境是否與實(shí)際運(yùn)行環(huán)境物理分開。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.1.1.3測(cè)評(píng)單元(L1-CMMS4-03)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)確保提供軟、硬件設(shè)計(jì)的相關(guān)文檔,并由專人負(fù)責(zé)保管。(本條款引用自GB/T

22239.4-20XX5.2.1.1c))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,軟、硬件研發(fā)設(shè)計(jì)文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)軟、硬件設(shè)計(jì)相關(guān)文檔是否由專人負(fù)責(zé)保管,負(fù)責(zé)人是何人;

2)應(yīng)訪談軟、硬件研發(fā)設(shè)計(jì)文檔保管人員,采用何種方式進(jìn)行保管。

d)單元判定:如果1)為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系統(tǒng)不符

合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.1.2外包研發(fā)感知節(jié)點(diǎn)設(shè)備(包括RFID)

5.2.1.2.1測(cè)評(píng)單元(L1-CMMS4-04)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)根據(jù)研發(fā)需求檢測(cè)軟、硬件質(zhì)量;(本條款引用自GB/T22239.4-20XX5.2.1.2

a))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,檢測(cè)記錄、報(bào)告等文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)軟、硬件交付前是否依據(jù)研發(fā)要求的技術(shù)指標(biāo)對(duì)軟件、硬件

功能和性能等方面進(jìn)行驗(yàn)收測(cè)試;

2)應(yīng)檢查是否具有軟、硬件質(zhì)量檢測(cè)記錄、報(bào)告等文檔。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.1.2.2測(cè)評(píng)單元(L1-CMMS4-05)

該測(cè)評(píng)單元包括以下要求:

5

GB/T28448.4—XXXX

a)測(cè)評(píng)指標(biāo):應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼;(本條款引用自GB/T

22239.4-20XX5.2.1.2b))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,檢測(cè)記錄等文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)軟件安裝之前是否檢測(cè)軟件中的惡意代碼,檢測(cè)工具是否是

第三方的商業(yè)產(chǎn)品;

2)應(yīng)檢查是否具有惡意代碼檢測(cè)記錄。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.1.2.3測(cè)評(píng)單元(L1-CMMS4-06)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)要求研發(fā)單位提供軟、硬件設(shè)計(jì)的相關(guān)文檔和使用指南;(本條款引用自GB/T

22239.4-20XX5.2.1.2c))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,軟、硬件設(shè)計(jì)的相關(guān)文檔和使用指南等文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)是否要求研發(fā)單位提供軟、硬件設(shè)計(jì)的相關(guān)文檔和使用指南;

2)應(yīng)檢查是否具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)、軟件源代碼文檔等軟

件開發(fā)文檔和使用指南;

3)應(yīng)檢查是否具有硬件設(shè)計(jì)相關(guān)文檔和使用指南。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.1.2.4測(cè)評(píng)單元(L1-CMMS4-07)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)根據(jù)研發(fā)單位提供的硬件設(shè)計(jì)圖審查實(shí)物與設(shè)計(jì)是否一致。(本條款引用自GB/T

22239.4-20XX5.2.1.2d))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,硬件設(shè)計(jì)圖審查記錄。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)是否要求研發(fā)單位提供硬件設(shè)計(jì)圖,是否對(duì)實(shí)物與設(shè)計(jì)的一

致性進(jìn)行審查;

2)應(yīng)檢查硬件設(shè)計(jì)圖審查記錄,查看是否包括對(duì)實(shí)物與設(shè)計(jì)一致性的審查結(jié)果。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.2系統(tǒng)安全運(yùn)維管理

5.2.2.1感知層(包括RFID)環(huán)境管理

5.2.2.1.1測(cè)評(píng)單元(L1-MMS4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)指定人員定期巡視終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)的部署環(huán)境,對(duì)可能影響終端感知節(jié)

點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)正常工作的環(huán)境異常進(jìn)行記錄和維護(hù);(本條款引用自GB/T22239.4-20XX

5.2.2.1a))

6

GB/T28448.4—XXXX

b)測(cè)評(píng)對(duì)象:系統(tǒng)運(yùn)維負(fù)責(zé)人,維護(hù)記錄。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問(wèn)是否有專門的人員對(duì)終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)進(jìn)行定期維護(hù),

由何部門或何人負(fù)責(zé),維護(hù)周期多長(zhǎng);

2)應(yīng)檢查終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境維護(hù)記錄,查看是否記錄維護(hù)日期、維護(hù)人、維

護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等方面內(nèi)容。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.2.1.2測(cè)評(píng)單元(L1-MMS4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)記錄終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)的狀態(tài)(包括外觀、電量、指示燈等信息),對(duì)網(wǎng)

關(guān)設(shè)備進(jìn)行現(xiàn)場(chǎng)維護(hù)(除塵、充電、修理等);(本條款引用自GB/T22239.4-20XX5.2.2.1

b))

b)測(cè)評(píng)對(duì)象:維護(hù)記錄。

c)測(cè)評(píng)實(shí)施:應(yīng)檢查終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境維護(hù)記錄,查看是否包括了終端感知節(jié)點(diǎn)、

網(wǎng)關(guān)節(jié)點(diǎn)的狀態(tài)(包括外觀、電量、指示燈等信息)檢查、對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行現(xiàn)場(chǎng)維護(hù)(除塵、

充電、修理等)等方面內(nèi)容。

d)單元判定:如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物

聯(lián)網(wǎng)系統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.2.1.3測(cè)評(píng)單元(L1-MMS4-03)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)建立針對(duì)終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境的評(píng)估制度,編寫可操作評(píng)估方法,

并由專人完成評(píng)估;(本條款引用自GB/T22239.4-20XX5.2.2.1c))

b)測(cè)評(píng)對(duì)象:系統(tǒng)運(yùn)維負(fù)責(zé)人,終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境的評(píng)估制度。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問(wèn)是否有專門的人員對(duì)終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境進(jìn)行

評(píng)估;

2)應(yīng)檢查終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境的評(píng)估制度,查看其內(nèi)容是否包含可操作的評(píng)估

方法。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.2.1.4測(cè)評(píng)單元(L1-MMS4-04)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)制定終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)管理制度,對(duì)終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)入庫(kù)、存儲(chǔ)、

部署、攜帶、維修、丟失和報(bào)廢等過(guò)程進(jìn)行全程管理。(本條款引用自GB/T22239.4-20XX

5.2.2.1d))

b)測(cè)評(píng)對(duì)象:終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)管理制度。

c)測(cè)評(píng)實(shí)施:應(yīng)檢查終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)安全管理制度,查看其內(nèi)容是否覆蓋終端感知節(jié)點(diǎn)、

網(wǎng)關(guān)節(jié)點(diǎn)入庫(kù)、存儲(chǔ)、部署、攜帶、維修、丟失和報(bào)廢等方面。

7

GB/T28448.4—XXXX

d)單元判定:如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物

聯(lián)網(wǎng)系統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.2.2感知層(包括RFID)備份與恢復(fù)管理

5.2.2.2.1測(cè)評(píng)單元(L1-MMS4-05)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;(本條款引用自

GB/T22239.4-20XX5.2.2.2a))

b)測(cè)評(píng)對(duì)象:系統(tǒng)管理員,應(yīng)用系統(tǒng)管理員,網(wǎng)絡(luò)管理員,備份數(shù)據(jù)。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員和網(wǎng)絡(luò)管理員,,詢問(wèn)是否識(shí)別出需要定期備份的業(yè)

務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng),主要有哪些;

2)應(yīng)檢查是否已對(duì)識(shí)別的備份對(duì)象進(jìn)行備份。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2.2.2.2測(cè)評(píng)單元(L1-MMS4-06)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)規(guī)定終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存

期等。(本條款引用自GB/T22239.4-20XX5.2.2.2b))

b)測(cè)評(píng)對(duì)象:系統(tǒng)管理員,應(yīng)用系統(tǒng)管理員,網(wǎng)絡(luò)管理員,管理制度等文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員和網(wǎng)絡(luò)管理員,,詢問(wèn)是否定期執(zhí)行恢復(fù)程序,周期

多長(zhǎng);

2)應(yīng)查看其是否明確備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等方面內(nèi)容。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6第二級(jí)物聯(lián)網(wǎng)系統(tǒng)單項(xiàng)測(cè)評(píng)要求

6.1安全技術(shù)測(cè)評(píng)

6.1.1物理和環(huán)境安全

6.1.1.1終端感知節(jié)點(diǎn)(包括RFID標(biāo)簽)的物理和環(huán)境安全

6.1.1.1.1測(cè)評(píng)單元(L2-PES4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):感知節(jié)點(diǎn)所處的物理環(huán)境應(yīng)該不對(duì)感知節(jié)點(diǎn)造成物理破壞,如擠壓、強(qiáng)振動(dòng);(本

條款引用自GB/T22239.4-20XX6.1.1.1a))

b)測(cè)評(píng)對(duì)象:物理安全負(fù)責(zé)人,感知節(jié)點(diǎn)所處物理環(huán)境,設(shè)計(jì)或驗(yàn)收文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

8

GB/T28448.4—XXXX

1)應(yīng)訪談物理安全負(fù)責(zé)人,詢問(wèn)現(xiàn)有終端感知節(jié)點(diǎn)的環(huán)境條件是否具有防擠壓、防強(qiáng)振動(dòng)等

防物理破壞的能力;

2)應(yīng)檢查感知節(jié)點(diǎn)所處物理環(huán)境的設(shè)計(jì)或驗(yàn)收文檔,是否有感知節(jié)點(diǎn)所處物理環(huán)境具有防擠

壓、防強(qiáng)振動(dòng)等能力的說(shuō)明,查看與實(shí)際情況是否一致;

3)應(yīng)檢查感知節(jié)點(diǎn)所處物理環(huán)境是否采取了防擠壓、防強(qiáng)振動(dòng)等的防護(hù)措施。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。

6.1.1.1.2測(cè)評(píng)單元(L2-PES4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):感知節(jié)點(diǎn)在工作狀態(tài)所處物理環(huán)境應(yīng)該能正確反映環(huán)境狀態(tài)(如溫濕度傳感器不能

安裝在陽(yáng)光直射區(qū)域)。(本條款引用自GB/T22239.4-20XX6.1.1.1b))

b)測(cè)評(píng)對(duì)象:物理安全負(fù)責(zé)人,感知節(jié)點(diǎn)所處物理環(huán)境,設(shè)計(jì)或驗(yàn)收文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談物理安全負(fù)責(zé)人,詢問(wèn)感知節(jié)點(diǎn)在工作狀態(tài)所處物理環(huán)境是否能正確反映環(huán)境狀態(tài)

(如溫濕度傳感器不能安裝在陽(yáng)光直射區(qū)域);

2)應(yīng)檢查感知節(jié)點(diǎn)所處物理環(huán)境的設(shè)計(jì)或驗(yàn)收文檔,是否有感知節(jié)點(diǎn)在工作狀態(tài)所處物理環(huán)

境的說(shuō)明,查看與實(shí)際情況是否一致;

3)應(yīng)檢查感知節(jié)點(diǎn)在工作狀態(tài)所處物理環(huán)境是否能正確反映環(huán)境狀態(tài)。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。

6.1.1.2感知層網(wǎng)關(guān)節(jié)點(diǎn)(包括RFID讀寫器)的物理和環(huán)境安全

6.1.1.2.1測(cè)評(píng)單元(L2-PES4-03)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):網(wǎng)關(guān)設(shè)備所在物理環(huán)境應(yīng)該具備防火、防靜電的能力;(本條款引用自GB/T

22239.4-20XX6.1.1.2a))

b)測(cè)評(píng)對(duì)象:物理安全負(fù)責(zé)人,感知層網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備所在物理環(huán)境,設(shè)計(jì)或驗(yàn)收文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談物理安全負(fù)責(zé)人,詢問(wèn)感知層網(wǎng)關(guān)節(jié)點(diǎn)所在物理環(huán)境是否具有防火、防靜電的能

力;

2)應(yīng)檢查感知層網(wǎng)關(guān)節(jié)點(diǎn)所在物理環(huán)境的設(shè)計(jì)或驗(yàn)收文檔,是否有感知層網(wǎng)關(guān)節(jié)點(diǎn)所在物

理環(huán)境具有防火、防靜電能力的說(shuō)明;

3)應(yīng)查看感知層網(wǎng)關(guān)節(jié)點(diǎn)所在物理環(huán)境是否部署了防火、防靜電設(shè)施,并檢查上述設(shè)施的

使用期限、是否可正常使用。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.1.2.2測(cè)評(píng)單元(L2-PES4-04)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):網(wǎng)關(guān)設(shè)備所在物理環(huán)境應(yīng)該具備防潮、防水的能力;(本條款引用自GB/T

22239.4-20XX6.1.1.2b))

9

GB/T28448.4—XXXX

b)測(cè)評(píng)對(duì)象:物理安全負(fù)責(zé)人,感知層網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備所在物理環(huán)境,設(shè)計(jì)或驗(yàn)收文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談物理安全負(fù)責(zé)人,詢問(wèn)感知層網(wǎng)關(guān)節(jié)點(diǎn)所在物理環(huán)境是否具有防潮、防水的能力;

2)應(yīng)檢查感知層網(wǎng)關(guān)節(jié)點(diǎn)所在物理環(huán)境的設(shè)計(jì)或驗(yàn)收文檔,是否有感知層網(wǎng)關(guān)節(jié)點(diǎn)所在物

理環(huán)境具有防潮、防水能力的說(shuō)明;

3)應(yīng)查看感知層網(wǎng)關(guān)節(jié)點(diǎn)所在物理環(huán)境是否部署了防潮、防水設(shè)施,并檢查上述設(shè)施的使

用期限、是否可正常使用。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.1.2.3測(cè)評(píng)單元(L2-PES4-05)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):網(wǎng)關(guān)節(jié)點(diǎn)的主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)記。(本條款引用自

GB/T22239.4-20XX6.1.1.2c))

b)測(cè)評(píng)對(duì)象:感知層網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)檢查感知層網(wǎng)關(guān)節(jié)點(diǎn),是否對(duì)其主要部件進(jìn)行了固定,查看其是否不易被移動(dòng)或被搬

走;

2)應(yīng)檢查感知層網(wǎng)關(guān)節(jié)點(diǎn),是否設(shè)置了明顯的不易除去的標(biāo)記。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.2網(wǎng)絡(luò)和通信安全

6.1.2.1數(shù)據(jù)源認(rèn)證

6.1.2.1.1測(cè)評(píng)單元(L2-NCMMS4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)確保信息來(lái)源于正確的感知節(jié)點(diǎn)設(shè)備。(本條款引用自GB/T22239.4-20XX

6.1.2.1a))

b)測(cè)評(píng)對(duì)象:網(wǎng)絡(luò)管理員,感知終端,設(shè)計(jì)文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談網(wǎng)絡(luò)管理員,詢問(wèn)感知終端接入網(wǎng)絡(luò)時(shí)是否采取設(shè)備認(rèn)證機(jī)制,具體措施有哪些;

2)應(yīng)檢查感知終端認(rèn)證機(jī)制策略文檔,查看其是否包括防止非法的物聯(lián)網(wǎng)終端接入網(wǎng)絡(luò)的機(jī)

制描述。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.2.2感知設(shè)備訪問(wèn)控制

6.1.2.2.1測(cè)評(píng)單元(L2-NCMMS4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)設(shè)置傳感網(wǎng)入網(wǎng)訪問(wèn)控制,對(duì)感知終端接入網(wǎng)絡(luò)資源設(shè)置訪問(wèn)控制機(jī)制,防止

感知網(wǎng)資源被非法訪問(wèn)和非法使用;(本條款引用自GB/T22239.4-20XX6.1.2.2a))

10

GB/T28448.4—XXXX

b)測(cè)評(píng)對(duì)象:網(wǎng)絡(luò)管理員,傳感網(wǎng)入網(wǎng)訪問(wèn)控制設(shè)備。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談網(wǎng)絡(luò)管理員,詢問(wèn)傳感網(wǎng)入網(wǎng)訪問(wèn)控制措施有哪些,訪問(wèn)控制策略的設(shè)計(jì)原則是

什么;

2)應(yīng)檢查傳感網(wǎng)入網(wǎng)訪問(wèn)控制設(shè)備,查看其是否對(duì)感知終端接入網(wǎng)絡(luò)資源設(shè)置了訪問(wèn)控制

機(jī)制。

d)單元判定:如果2)為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系統(tǒng)不符

合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.2.2.2測(cè)評(píng)單元(L2-NCMMS4-03)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):遠(yuǎn)程配置物聯(lián)網(wǎng)終端、感知節(jié)點(diǎn)設(shè)備上軟件應(yīng)用時(shí)應(yīng)當(dāng)提供安全保護(hù)。(本條款

引用自GB/T22239.4-20XX6.1.2.2b))

b)測(cè)評(píng)對(duì)象:網(wǎng)絡(luò)管理員,感知終端,傳感網(wǎng)入網(wǎng)訪問(wèn)控制設(shè)備。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談網(wǎng)絡(luò)管理員,詢問(wèn)是否允許遠(yuǎn)程配置物聯(lián)網(wǎng)終端、感知節(jié)點(diǎn)設(shè)備上的軟件應(yīng)用;

2)應(yīng)檢查傳感網(wǎng)入網(wǎng)訪問(wèn)控制設(shè)備,查看其是否對(duì)感知終端接入網(wǎng)絡(luò)資源設(shè)置了訪問(wèn)控制

機(jī)制,機(jī)制是否覆蓋了資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作;

3)應(yīng)檢查物聯(lián)網(wǎng)終端及感知節(jié)點(diǎn)設(shè)備,查看是否啟用了遠(yuǎn)程配置軟件應(yīng)用時(shí)的安全保護(hù)措

施。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.2.3異構(gòu)網(wǎng)安全接入

6.1.2.3.1測(cè)評(píng)單元(L2-NCMMS4-04)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)建立異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng),實(shí)現(xiàn)安全的傳輸控制信息;(本條款引用自GB/T

22239.4-20XX6.1.2.3a))

b)測(cè)評(píng)對(duì)象:網(wǎng)絡(luò)管理員,感知層網(wǎng)關(guān)。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談網(wǎng)絡(luò)管理員,詢問(wèn)異構(gòu)網(wǎng)絡(luò)接入認(rèn)證采取的何種措施實(shí)現(xiàn);

2)應(yīng)檢查異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng),查看是否能夠正確完成異構(gòu)網(wǎng)絡(luò)接入認(rèn)證功能。

d)單元判定:如果2)為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系統(tǒng)不符

合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.2.3.2測(cè)評(píng)單元(L2-NCMMS4-05)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)具有拒絕惡意節(jié)點(diǎn)的接入能力,保證合法節(jié)點(diǎn)不被惡意節(jié)點(diǎn)攻擊而被拒絕接入,

保證網(wǎng)絡(luò)資源的可使用性。(本條款引用自GB/T22239.4-20XX6.1.2.3b))

b)測(cè)評(píng)對(duì)象:異構(gòu)網(wǎng)接入認(rèn)證系統(tǒng)。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)檢查異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng),查看是否能夠正確完成異構(gòu)網(wǎng)絡(luò)接入認(rèn)證功能;

11

GB/T28448.4—XXXX

2)應(yīng)測(cè)試異構(gòu)網(wǎng)絡(luò)接入認(rèn)證系統(tǒng),是否能夠識(shí)別出惡意節(jié)點(diǎn),并拒絕其接入。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.3應(yīng)用和數(shù)據(jù)安全

6.1.3.1訪問(wèn)控制

6.1.3.1.1測(cè)評(píng)單元(L2-ADS4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):對(duì)遠(yuǎn)程登陸的用戶具有認(rèn)證功能,確保只有合法用戶才能登陸;(本條款引用自

GB/T22239.4-20XX6.1.3.1a))

b)測(cè)評(píng)對(duì)象:應(yīng)用系統(tǒng)管理員,物聯(lián)網(wǎng)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談應(yīng)用系統(tǒng)管理員,詢問(wèn)應(yīng)用系統(tǒng)是否提供對(duì)遠(yuǎn)程登錄用戶的認(rèn)證功能,認(rèn)證的方式

有哪些;

2)應(yīng)檢查應(yīng)用系統(tǒng)是否提供對(duì)遠(yuǎn)程登錄用戶的認(rèn)證功能,應(yīng)通過(guò)成功和失敗登錄測(cè)試認(rèn)證功

能是否有效。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.3.1.2測(cè)評(píng)單元(L2-ADS4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):對(duì)遠(yuǎn)程登陸的用戶服務(wù)應(yīng)覆蓋高峰時(shí)期的用戶訪問(wèn)數(shù)量。(本條款引用自GB/T

22239.4-20XX6.1.3.1b))

b)測(cè)評(píng)對(duì)象:應(yīng)用系統(tǒng)管理員,物聯(lián)網(wǎng)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談應(yīng)用系統(tǒng)管理員,詢問(wèn)高峰時(shí)期的用戶訪問(wèn)數(shù)量;

2)應(yīng)檢查是否有措施保證遠(yuǎn)程登錄的用戶服務(wù)能覆蓋高峰時(shí)期的用戶訪問(wèn)數(shù)量。

d)單元判定:如果2)為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系統(tǒng)不符

合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.3.2數(shù)據(jù)完整性

6.1.3.2.1測(cè)評(píng)單元(L2-ADS4-03)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)能夠檢測(cè)到感知節(jié)點(diǎn)生存信息、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)在傳輸

過(guò)程中完整性受到破壞。(本條款引用自GB/T22239.4-20XX6.1.3.2a))

b)測(cè)評(píng)對(duì)象:安全管理員,感知節(jié)點(diǎn)設(shè)備,傳輸協(xié)議等。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談安全管理員,詢問(wèn)針對(duì)感知節(jié)點(diǎn)生存信息、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)

據(jù)在傳輸過(guò)程中完整性的保護(hù)措施,具體措施有哪些;

2)應(yīng)檢查感知層是否配備檢測(cè)感知節(jié)點(diǎn)生存信息、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)

在傳輸過(guò)程中完整性受到破壞的功能。

12

GB/T28448.4—XXXX

d)單元判定:如果2)為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系統(tǒng)不符

合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.3.3數(shù)據(jù)保密性

6.1.3.3.1測(cè)評(píng)單元(L2-ADS4-04)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)采用密碼技術(shù)對(duì)重要數(shù)據(jù)(指令控制數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù))實(shí)施機(jī)密性保護(hù),確保

這些數(shù)據(jù)在傳輸中的保密性。(本條款引用自GB/T22239.4-20XX6.1.3.3a))

b)測(cè)評(píng)對(duì)象:安全管理員,感知節(jié)點(diǎn)設(shè)備,物聯(lián)網(wǎng)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談安全管理員,詢問(wèn)重要數(shù)據(jù)(指令控制數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù))是否采用加密或其他有

效措施實(shí)現(xiàn)傳輸保密性;

2)應(yīng)檢查重要數(shù)據(jù)(指令控制數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)),查看其是否采用加密或其他有效措施實(shí)

現(xiàn)傳輸保密性;

3)應(yīng)測(cè)試重要數(shù)據(jù)(指令控制數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)),通過(guò)用嗅探工具獲取系統(tǒng)傳輸數(shù)據(jù)包,

查看其是否采用了加密或其他有效措施實(shí)現(xiàn)傳輸保密性。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.3.4數(shù)據(jù)可用性

6.1.3.4.1測(cè)評(píng)單元(L2-ADS4-05)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)提供重要業(yè)務(wù)數(shù)據(jù)的本地備份與重傳功能;(本條款引用自GB/T22239.4-20XX

6.1.3.4a))

b)測(cè)評(píng)對(duì)象:網(wǎng)絡(luò)管理員,感知節(jié)點(diǎn)設(shè)備,數(shù)據(jù)存儲(chǔ)設(shè)備,設(shè)計(jì)或驗(yàn)收文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談網(wǎng)絡(luò)管理員,詢問(wèn)是否對(duì)感知層重要業(yè)務(wù)數(shù)據(jù)進(jìn)行本地備份,備份策略是什么;

傳輸失敗時(shí)是否會(huì)重傳,重傳策略是什么;

2)應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔,查看其是否有關(guān)于感知層重要業(yè)務(wù)數(shù)據(jù)本地備份和重傳功能及

策略的描述;

3)應(yīng)檢查感知層重要業(yè)務(wù)數(shù)據(jù)的本地備份和重傳功能,其配置是否正確,并且查看其備份

結(jié)果是否與備份策略一致,重傳策略是否生效。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.3.4.2測(cè)評(píng)單元(L2-ADS4-06)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)保證感知網(wǎng)絡(luò)實(shí)體間通信數(shù)據(jù)的新鮮性。(本條款引用自GB/T22239.4-20XX

6.1.3.4b))

b)測(cè)評(píng)對(duì)象:網(wǎng)絡(luò)管理員,感知節(jié)點(diǎn)設(shè)備。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談網(wǎng)絡(luò)管理員,詢問(wèn)保證感知網(wǎng)絡(luò)實(shí)體間通信數(shù)據(jù)的新鮮性的措施有哪些;

13

GB/T28448.4—XXXX

2)應(yīng)檢查是否提供保障感知網(wǎng)絡(luò)實(shí)體間通信數(shù)據(jù)新鮮性的功能,采用的具體方式有哪些;

3)應(yīng)測(cè)試通信數(shù)據(jù)新鮮性保障措施是否有效,應(yīng)通過(guò)測(cè)試發(fā)送過(guò)期數(shù)據(jù),驗(yàn)證感知層網(wǎng)關(guān)是

否不接受過(guò)期數(shù)據(jù)。

d)單元判定:如果2)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2安全管理測(cè)評(píng)

6.2.1系統(tǒng)安全建設(shè)管理

6.2.1.1自行研發(fā)感知節(jié)點(diǎn)設(shè)備(包括RFID)

6.2.1.1.1測(cè)評(píng)單元(L2-CMMS4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)確保終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)的主要部件(芯片、電池、天線等)參數(shù)滿足系統(tǒng)

功能需求;(本條款引用自GB/T22239.4-20XX6.2.1.1a))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,軟、硬件研發(fā)設(shè)計(jì)文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)是否自行研發(fā),感知節(jié)點(diǎn)主要部件(芯片、電池、天線等)

參數(shù)是否滿足系統(tǒng)功能需求;

2)應(yīng)檢查軟、硬件研發(fā)設(shè)計(jì)文檔,查看感知節(jié)點(diǎn)主要部件(芯片、電池、天線等)參數(shù)是否

有滿足系統(tǒng)功能需求的設(shè)計(jì)或描述。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.1.1.2測(cè)評(píng)單元(L2-CMMS4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)確保研發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開;(本條款引用自GB/T22239.4-20XX

6.2.1.1b))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,研發(fā)環(huán)境。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,自行研發(fā)是否在獨(dú)立的模擬環(huán)境中完成編碼和調(diào)試,如相對(duì)獨(dú)立

的網(wǎng)絡(luò)區(qū)域;

2)應(yīng)檢查研發(fā)環(huán)境是否與實(shí)際運(yùn)行環(huán)境物理分開。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.1.1.3測(cè)評(píng)單元(L2-CMMS4-03)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)制定軟、硬件研發(fā)管理制度,明確說(shuō)明發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則;(本

條款引用自GB/T22239.4-20XX6.2.1.1c))

b)測(cè)評(píng)對(duì)象:軟、硬件研發(fā)管理制度。

c)測(cè)評(píng)實(shí)施:應(yīng)檢查軟、硬件研發(fā)管理制度,查看文件是否明確軟、硬件的設(shè)計(jì)、開發(fā)、測(cè)試、

驗(yàn)收過(guò)程的控制方法和人員行為準(zhǔn)則。

14

GB/T28448.4—XXXX

d)單元判定:如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物

聯(lián)網(wǎng)系統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.1.1.4測(cè)評(píng)單元(L2-CMMS4-04)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)確保提供軟、硬件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管。(本條款引

用自GB/T22239.4-20XX6.2.1.1d))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,軟、硬件研發(fā)設(shè)計(jì)文檔和使用指南。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)軟、硬件設(shè)計(jì)相關(guān)文檔和使用指南是否由專人負(fù)責(zé)保管,負(fù)

責(zé)人是何人;

2)應(yīng)訪談軟、硬件研發(fā)設(shè)計(jì)文檔和使用指南保管人員,采用何種方式進(jìn)行保管。

d)單元判定:如果1)為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系統(tǒng)不符

合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.1.2外包研發(fā)感知節(jié)點(diǎn)設(shè)備(包括RFID)

6.2.1.2.1測(cè)評(píng)單元(L2-CMMS4-05)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)根據(jù)研發(fā)需求檢測(cè)軟、硬件質(zhì)量;(本條款引用自GB/T22239.4-20XX6.2.1.2

a))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,檢測(cè)記錄、報(bào)告等文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)軟、硬件交付前是否依據(jù)研發(fā)要求的技術(shù)指標(biāo)對(duì)軟件、硬件

功能和性能等方面進(jìn)行驗(yàn)收測(cè)試;

2)應(yīng)檢查是否具有軟、硬件質(zhì)量檢測(cè)記錄、報(bào)告等文檔。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.1.2.2測(cè)評(píng)單元(L2-CMMS4-06)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼;(本條款引用自GB/T

22239.4-20XX6.2.1.2b))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,檢測(cè)記錄等文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)軟件安裝之前是否檢測(cè)軟件中的惡意代碼,檢測(cè)工具是否是

第三方的商業(yè)產(chǎn)品;

2)應(yīng)檢查是否具有惡意代碼檢測(cè)記錄。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.1.2.3測(cè)評(píng)單元(L2-CMMS4-07)

該測(cè)評(píng)單元包括以下要求:

15

GB/T28448.4—XXXX

a)測(cè)評(píng)指標(biāo):應(yīng)要求研發(fā)單位提供軟、硬件設(shè)計(jì)的相關(guān)文檔和使用指南;(本條款引用自GB/T

22239.4-20XX6.2.1.2c))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,軟、硬件設(shè)計(jì)的相關(guān)文檔和使用指南等文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)是否要求研發(fā)單位提供軟、硬件設(shè)計(jì)的相關(guān)文檔和使用指南;

2)應(yīng)檢查是否具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)、軟件源代碼文檔等軟

件開發(fā)文檔和使用指南;

3)應(yīng)檢查是否具有硬件設(shè)計(jì)相關(guān)文檔和使用指南。

d)單元判定:如果1)-3)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.1.2.4測(cè)評(píng)單元(L2-CMMS4-08)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)要求研發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門;(本條款引用

自GB/T22239.4-20XX6.2.1.2d))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,檢測(cè)記錄等文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)是否要求研發(fā)單位提供軟件源代碼,是否根據(jù)軟件源代碼,

對(duì)軟件中可能存在的后門進(jìn)行審查;

2)應(yīng)檢查軟件源代碼審查記錄,查看是否包括對(duì)可能存在后門的審查結(jié)果。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.1.2.5測(cè)評(píng)單元(L2-CMMS4-09)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)要求研發(fā)單位提供硬件設(shè)計(jì)圖,并審查硬件設(shè)計(jì)中可能存在的后門;(本條款

引用自GB/T22239.4-20XX6.2.1.2e))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,檢測(cè)記錄,硬件設(shè)計(jì)圖審查記錄。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)是否要求研發(fā)單位提供硬件設(shè)計(jì)圖,是否根據(jù)硬件設(shè)計(jì)圖,

對(duì)硬件中可能存在的后門進(jìn)行審查;

2)應(yīng)檢查硬件設(shè)計(jì)圖審查記錄,查看是否包括對(duì)可能存在后門的審查結(jié)果。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.1.2.6測(cè)評(píng)單元(L2-CMMS4-10)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)根據(jù)研發(fā)單位提供的硬件設(shè)計(jì)圖審查實(shí)物與設(shè)計(jì)是否一致。(本條款引用自GB/T

22239.4-20XX6.2.1.2f))

b)測(cè)評(píng)對(duì)象:系統(tǒng)建設(shè)負(fù)責(zé)人,硬件設(shè)計(jì)圖審查記錄。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)是否要求研發(fā)單位提供硬件設(shè)計(jì)圖,是否對(duì)實(shí)物與設(shè)計(jì)的一

致性進(jìn)行審查;

16

GB/T28448.4—XXXX

2)應(yīng)檢查硬件設(shè)計(jì)圖審查記錄,查看是否包括對(duì)實(shí)物與設(shè)計(jì)一致性的審查結(jié)果。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.2系統(tǒng)安全運(yùn)維管理

6.2.2.1感知層(包括RFID)環(huán)境管理

6.2.2.1.1測(cè)評(píng)單元(L2-MMS4-01)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)指定人員定期巡視終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)的部署環(huán)境,對(duì)可能影響終端感知節(jié)

點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)正常工作的環(huán)境異常進(jìn)行記錄和維護(hù);(本條款引用自GB/T22239.4-20XX

6.2.2.1a))

b)測(cè)評(píng)對(duì)象:系統(tǒng)運(yùn)維負(fù)責(zé)人,維護(hù)記錄。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問(wèn)是否有專門的人員對(duì)終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)進(jìn)行定期維護(hù),

由何部門或何人負(fù)責(zé),維護(hù)周期多長(zhǎng);

2)應(yīng)檢查終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境維護(hù)記錄,查看是否記錄維護(hù)日期、維護(hù)人、維

護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等方面內(nèi)容。

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.2.1.2測(cè)評(píng)單元(L2-MMS4-02)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)記錄終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)的狀態(tài)(包括外觀、電量、指示燈等信息),對(duì)網(wǎng)

關(guān)設(shè)備進(jìn)行現(xiàn)場(chǎng)維護(hù)(除塵、充電、修理等);(本條款引用自GB/T22239.4-20XX6.2.2.1

b))

b)測(cè)評(píng)對(duì)象:維護(hù)記錄。

c)測(cè)評(píng)實(shí)施:應(yīng)檢查終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境維護(hù)記錄,查看是否包括了終端感知節(jié)點(diǎn)、

網(wǎng)關(guān)節(jié)點(diǎn)的狀態(tài)(包括外觀、電量、指示燈等信息)檢查、對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行現(xiàn)場(chǎng)維護(hù)(除塵、

充電、修理等)等方面內(nèi)容。

d)單元判定:如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物

聯(lián)網(wǎng)系統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.2.1.3測(cè)評(píng)單元(L2-MMS4-03)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)建立針對(duì)終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境的評(píng)估制度,編寫可操作評(píng)估方法,

并由專人完成評(píng)估;(本條款引用自GB/T22239.4-20XX6.2.2.1c))

b)測(cè)評(píng)對(duì)象:系統(tǒng)運(yùn)維負(fù)責(zé)人,終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境的評(píng)估制度。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容:

1)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問(wèn)是否有專門的人員對(duì)終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境進(jìn)行

評(píng)估;

2)應(yīng)檢查終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境的評(píng)估制度,查看其內(nèi)容是否包含可操作的評(píng)估

方法。

17

GB/T28448.4—XXXX

d)單元判定:如果1)-2)均為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物聯(lián)網(wǎng)系

統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.2.1.4測(cè)評(píng)單元(L2-MMS4-04)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)制定終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)管理制度,對(duì)終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)入庫(kù)、存儲(chǔ)、

部署、攜帶、維修、丟失和報(bào)廢等過(guò)程進(jìn)行全程管理;(本條款引用自GB/T22239.4-20XX

6.2.2.1d))

b)測(cè)評(píng)對(duì)象:終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)管理制度。

c)測(cè)評(píng)實(shí)施:應(yīng)檢查終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)安全管理制度,查看其內(nèi)容是否覆蓋終端感知節(jié)點(diǎn)、

網(wǎng)關(guān)節(jié)點(diǎn)入庫(kù)、存儲(chǔ)、部署、攜帶、維修、丟失和報(bào)廢等方面。

d)單元判定:如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定,則物聯(lián)網(wǎng)系統(tǒng)符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求,否則,物

聯(lián)網(wǎng)系統(tǒng)不符合或部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.2.1.5測(cè)評(píng)單元(L2-MMS4-05)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)加強(qiáng)對(duì)終端感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)部署環(huán)境的保密性管理,包括負(fù)責(zé)檢查和維護(hù)

的人員調(diào)離工作崗位應(yīng)立即交還相關(guān)檢查工具和檢查維護(hù)記錄等。(本條款引用自GB/T

22239.4-2

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論