信息安全技術 物聯網感知層網關安全技術要求-編制說明

工作簡況任務來源本項目為2014年的標準編制項目，名稱為“信息安全技術工業(yè)控制系統安全管理基本要求”由網神信息技術（北京）股份有限公司承擔，參與單位包括北京工業(yè)大學、工業(yè)和信息化部電子工業(yè)標準化研究所、北京博大光通國際半導體技術有限公司等單位。主要工作過程1.2014年4月，成立項目組，聯系各個參與單位，進行任務分工和任務組織；調研現有物聯網網關安全相關技術內容，分析各自特點，學習借鑒。2.2014年6月，項目組形成了標準草案框架，明確了標準初步研制思路，形成了標準初步草案。3.2014年8月，信安標委秘書處組織召開了標準檢查會，評審組專家對標準草案進行了檢查。4.2014年12月，信安標委秘書處組織召開了標準檢查會，評審組專家對標準草案進行了檢查。5.2015年2月，項目組組織召開了行業(yè)專家討論會，聽取了來自電力、工業(yè)控制、智能制造、物流、物聯網安全、無線傳感器、射頻等行業(yè)專家對標準草案的意見。6.2015年4月，根據任務書的要求，項目組開展了考察調研和資料搜集工作，并對標準草案進行了修改。7.2015年6月，信安標委秘書處組織了標準草案審查會，對標準的進展情況進行了中期考核，評審專家對標準內容提出了修改意見。項目組對專家意見進行了認真分析和研究，重新梳理了標準研制思路，針對重要事項內容制定了修改計劃。8.2015年8月，信安標委秘書處組織了標準草案研討會，進一步對中期考核提出的問題及修改內容進行二次討論，根據項目組專家意見對標準的具體內容進行了完善。9.2015年10月，標準工作組按照任務分工，對訪問控制、IPS技術要求部分進行了劃分規(guī)整，根據互聯網網關安全的技術要求，重新調整了了相關安全內容。10.2015年12月，項目組組織了專家研討會，聽取了與會專家關于標準的意見，項目組根據專家意見對標準內容進行了完善。11.2016年2月，項目組參加了“物聯網安全技術研討會”，聽取了工控、智能制造等不同領域專家關于物聯網感知層安全的觀點和意見，在涉及網關安全方面，聽取各位專家的意見，并進一步完善了標準草稿。14.2015年3月-2016年8月，項目組根據專家意見對標準草案內容進行了補充調整，按照信安標委要求盡快形成征求意見稿。15.2016年10月，項目組參加了信安標委2016年全國第二次研討會議，對標準內容進行了上會討論，聽取了各方專家意見。16.2016年11月，根據會員單位及會上反饋的意見進行了部分內容的修改，形成征求意見稿。17.2016年12月，對標準格式及內容，按照GBT-1.1.2009的要求，進行了形式審查，調整了文字的結構。編制原則和主要內容2.1編制原則本標準的研究與編制工作遵循以下原則：（1）通用性原則在當前物聯網信息傳輸安全的基礎上，對國內物聯網網關安全內容進行總結、歸納，參考吸納各領域在物聯網應用中關于網關安全的解決方案和相應技術規(guī)范。（2）可操作性和實用性原則標準規(guī)范是對實際工作成果的總結與提升，最終還需要用于實踐中，并經得起實踐的檢驗，做到可操作、可用與實用。（3）簡化原則根據規(guī)范化對象的結構、形式、規(guī)則等篩選提煉，經過剔除、替換，保持整體結構合理且維持原意和功能不變。2.2主要內容物聯網應用正在深入到人們生活的方方面面。物聯網安全事故的危害和影響也深刻涉及到人們的人身、財產、環(huán)境安全和社會、國家安全，比互聯網時代更為嚴重。同時，物聯網安全措施與成本的矛盾十分突出，特別是在感知層，感知器、控制器等大量分布于各行業(yè)現場，其分布廣、數量大、計算能力較弱，現有及在研國家信息安全標準在物聯網中，特別是在物聯網的感知層并不能夠完全適用。因此，需要研究制定針對物聯網感知層的新的安全標準和規(guī)范。物聯網網關實現感知網絡與通信網絡，以及不同類型感知網絡之間的協議轉換、互聯及設備管理功能，是物聯網安全的薄弱環(huán)節(jié)同時也是重要組成部分。通過制定物聯網感知層網關安全技術要求，可以為物聯網感知層網關安全技術研發(fā)與產品產業(yè)化提供指導與參考，加強物聯網信息安全體系建設，降低物聯網信息安全建設成本、提高物聯網應用的安全性。物聯網感知層網關安全技術要求主要由物聯網協議（規(guī)約）解析、訪問規(guī)則、驗證工具、包過濾、入侵檢測和安全審計等部分組成，針對物聯網感知層與網絡層通訊的特點，建立相應的參考模型，并針對應用場景給出相應的參考方案。1）協議解析與轉換協議解析與轉換是物聯網防火墻區(qū)別于傳統防火墻的重要特征，涉及的常用物聯網傳輸協議有：RFID（ISO14433TYPEA等），Zigbee，802.11x，IEC61850等。實現物聯網協議與互聯網TCP/IP協議的轉換，基于轉換后的標準協議制定；同時，具備黑名單與白名單共存的驗證機制，其中，相對開放的網絡架構采用黑名單，相對封閉的網絡架構建議采用白名單，用戶可根據需要采用適當的驗證方法。2）包過濾該策略應實現基于源地址、目的地址的訪問控制，實現基于協議（規(guī)約）類型的訪問控制，由對網絡層聯機的動態(tài)檢測，拒絕或阻擋非標準通信協議的聯機要求。主動進行數據包雙向過濾，具備短包、碎片包過濾。3）入侵檢測入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在物聯網網關系統受到危害之前攔截和響應入侵。物聯網網關的入侵檢測是物聯網安全體系中必不可少的組成部分，是訪問控制之后的第二道安全防御，是對防火墻的重要補充，在不影響物聯網性能的情況下能對網絡進行監(jiān)測。通常通過執(zhí)行以下任務來實現：監(jiān)視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。4）物聯網網關安全審計網關安全審計需要保證任何涉及安全性的操作和行為都可以被記錄和查詢，具體實現包括：任何對審計記錄進行操作的嘗試，關閉審計功能或子系統，以及受影響客體的標識；任何讀取、修改、破壞審計記錄的嘗試；所有對訪問授權與拒絕規(guī)則覆蓋的主體執(zhí)行操作的請求，以及受影響客體的標識；修改安全屬性的所有嘗試，以及修改后安全屬性的新值；所有使用安全功能中鑒別數據管理機制的請求；所有訪問鑒別數據的請求，以及訪問請求的目標；任何對鑒別機制的使用；所有使用標識機制的嘗試；所有對安全功能配置參數的修改（設置和更新），無論成功與否，以及配置參數的新值；因鑒別嘗試不成功的次數超出了設定的限制。通過對上述要求的規(guī)范，保障物聯網感知層網關的安全可控。主要試驗（或驗證）的分析、綜述報告，技術經濟論證，預期的經濟效果本標準編制期間調研和分析了國內外物聯網感知層網關要求的應用和安全現狀，研究和分析了國外物聯網安全體系相關文件和標準，吸收國外先進的體系建設思路，針對國內物聯網安全應用和安全現狀形成的標準。本標準針對物聯網感知層網關技術給出了安全規(guī)范要求，以指導企業(yè)實施物聯網產品系統安全工作，滿足物聯網感知層網關的信息安全需求，有效抵御安全風險，實現物聯網網關通信的安全。采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關數據對比情況物聯網感知層網關安全技術要求背后的規(guī)范政策將會對產業(yè)發(fā)展存在一定的建設性意見造成重大影響。為此，編制組專門分析、參考、吸收了國外物聯網標準組織IS0／IEC、JTC1、WG7、ITU-T、IETF、IEEE802.15、IEEEl451、ZigBee等的研究工作。參考了ISO／IECSGSN總體技術中，涉及傳感網體系架構、標準體系、演進路線、協同架構等內容。本標準力求在技術要素上借鑒國際權威研究內容。同時，為落實國家對物聯網信息安全技術的政策要求，標準在保持技術中立的前提下，提出了大量擴展要求。與有關的現行法律、法規(guī)和強制性國家標準的關系本標準參考了《下一代防火墻安全技術要求》、《信息安全技術網絡入侵檢測系統技術要求和測試評價方法》、《信息安全技術網絡通信審計產品技術要求》等相關網絡安全標準，為提供了物聯網感知層網關安全技術的標準提供了指導。重大分歧意見的處理經過和依據詳見標準意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過渡辦法等內容）本標準作為物