信息安全技術(shù) 物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求

信息安全技術(shù)物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求范圍本標(biāo)準(zhǔn)規(guī)定了應(yīng)用在物聯(lián)網(wǎng)信息系統(tǒng)中的感知終端的基礎(chǔ)級安全技術(shù)要求和增強(qiáng)級安全技術(shù)要求。本標(biāo)準(zhǔn)適用于物聯(lián)網(wǎng)信息系統(tǒng)建設(shè)運維單位對物聯(lián)網(wǎng)信息系統(tǒng)中感知終端的選型、部署、運行和維護(hù)。感知終端生產(chǎn)提供商可參照執(zhí)行。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB4208-2008外殼防護(hù)等級（IP代碼）GB/T7665-2005傳感器通用術(shù)語GB/T17799.1-1999電磁兼容通用標(biāo)準(zhǔn)居住、商業(yè)和輕工業(yè)環(huán)境中的抗擾度試驗GB/T17799.2-2003電磁兼容通用標(biāo)準(zhǔn)工業(yè)環(huán)境中的抗擾度試驗GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南GB/T25069-2010信息安全技術(shù)術(shù)語術(shù)語、定義和縮略語術(shù)語和定義GB/T25069-2010界定的以及下列術(shù)語和定義適用于本文件。物聯(lián)網(wǎng)internetofthings通過感知終端，按照約定協(xié)議，連接物、人、系統(tǒng)和信息資源，實現(xiàn)對物理和虛擬世界的信息進(jìn)行處理并作出反應(yīng)的智能服務(wù)系統(tǒng)。感知終端perceptionterminal能對物進(jìn)行信息采集和/或執(zhí)行操作，并能聯(lián)網(wǎng)進(jìn)行通信的裝置。感知終端根據(jù)是否具有操作系統(tǒng),可分為具有操作系統(tǒng)的感知終端和不具有操作系統(tǒng)的感知終端。傳感器transducer/sensor能感受被測量并按照一定的規(guī)律轉(zhuǎn)換成可用輸出信號的器件或裝置，通常由敏感元件和轉(zhuǎn)換元件組成。[GB/T7665-2005]GB/T7665-2005定義了傳感器的一般分類術(shù)語，其中從被測量角度定義了三類傳感器，即物理量傳感器、化學(xué)量傳感器和生物量傳感器。數(shù)據(jù)新鮮性datafreshness接收到的數(shù)據(jù)，相對最近時刻從數(shù)據(jù)源采集的數(shù)據(jù)而言，其內(nèi)容未發(fā)生變化且其傳輸時間未超出規(guī)定范圍的特性。縮略語下列縮略語適用于本文件：IoT物聯(lián)網(wǎng)（internetofthings）RFID射頻識別（radiofrequencyidentification）總體安全技術(shù)要求安全框架感知終端應(yīng)用在物聯(lián)網(wǎng)信息系統(tǒng)中，成為物聯(lián)網(wǎng)信息系統(tǒng)的重要組成部分，參見附錄A。在物聯(lián)網(wǎng)信息系統(tǒng)中，感知終端處于特定的物理環(huán)境中，與該環(huán)境中的物交換數(shù)據(jù)，或?qū)ξ镞M(jìn)行控制；感知終端接入信息通信網(wǎng)絡(luò)，并通過網(wǎng)絡(luò)進(jìn)行通信。感知終端的安全包括物理安全、接入安全、通信安全、系統(tǒng)安全和數(shù)據(jù)安全。如圖1所示。其中，“系統(tǒng)安全”中的“系統(tǒng)”指的是由硬件、固件和軟件構(gòu)成的感知終端整體。物聯(lián)網(wǎng)感知終端安全框架應(yīng)用在物聯(lián)網(wǎng)信息系統(tǒng)中的感知終端安全涵蓋選型、部署、運行、維護(hù)各個環(huán)節(jié)。本標(biāo)準(zhǔn)第5章和第6章中的條款針對這些環(huán)節(jié)提出了安全技術(shù)要求。本標(biāo)準(zhǔn)中的安全技術(shù)要求除非特別指出適用于具有操作系統(tǒng)的感知終端，否則適用于具有操作系統(tǒng)的感知終端和不具有操作系統(tǒng)的感知終端。安全技術(shù)要求級別物聯(lián)網(wǎng)信息系統(tǒng)中感知終端的安全技術(shù)要求分為基礎(chǔ)級和增強(qiáng)級兩類。感知終端至少應(yīng)滿足基礎(chǔ)級安全技術(shù)要求；處理敏感數(shù)據(jù)或遭到破壞對人身安全、環(huán)境安全帶來嚴(yán)重影響的感知終端，或GB/T22240-2008規(guī)定的三級以上物聯(lián)網(wǎng)信息系統(tǒng)中的感知終端應(yīng)滿足增強(qiáng)級要求。相對于基礎(chǔ)級安全技術(shù)要求，增強(qiáng)級安全技術(shù)要求新增內(nèi)容用宋體加粗字表示。基礎(chǔ)級安全技術(shù)要求物理安全要求選型物聯(lián)網(wǎng)信息系統(tǒng)中選用感知終端產(chǎn)品時，感知終端產(chǎn)品應(yīng)滿足如下要求：應(yīng)取得質(zhì)量認(rèn)證證書；應(yīng)滿足物聯(lián)網(wǎng)應(yīng)用根據(jù)GB4208-2008確定的外殼防護(hù)等級（IP代碼）要求；應(yīng)通過依據(jù)GB/T17799.1-1999、GB/T17799.2-2003或有關(guān)的專用產(chǎn)品或產(chǎn)品類電磁兼容抗擾度標(biāo)準(zhǔn)進(jìn)行的電磁兼容抗擾度試驗且性能滿足需求。選址物聯(lián)網(wǎng)信息系統(tǒng)中進(jìn)行感知終端選址時，感知終端應(yīng)滿足如下要求：應(yīng)選擇能滿足供電、防盜竊防破壞、防水防潮、防極端溫度等要求的環(huán)境部署；應(yīng)選擇能滿足信號防干擾、防屏蔽、防阻擋等要求的環(huán)境部署。供電感知終端的供電應(yīng)穩(wěn)定可靠。防盜竊和防破壞感知終端應(yīng)滿足如下防盜竊和防破壞要求：應(yīng)部署在安全場所中；宜采用防盜竊和防破壞的措施。接入安全要求網(wǎng)絡(luò)接入認(rèn)證在接入網(wǎng)絡(luò)時，感知終端應(yīng)滿足如下要求：應(yīng)在接入網(wǎng)絡(luò)中具有唯一網(wǎng)絡(luò)身份標(biāo)識；應(yīng)能向接入網(wǎng)絡(luò)證明其網(wǎng)絡(luò)身份，至少支持如下身份鑒別機(jī)制之一：基于網(wǎng)絡(luò)身份標(biāo)識的鑒別；基于MAC地址的鑒別；基于通信協(xié)議的鑒別；基于通信端口的鑒別；基于對稱密碼機(jī)制的鑒別；基于非對稱密碼機(jī)制的鑒別。應(yīng)在采用插卡方式進(jìn)行網(wǎng)絡(luò)身份鑒別時采取措施防止卡片被拔除或替換；應(yīng)保證密鑰存儲和交換安全。網(wǎng)絡(luò)訪問控制感知終端應(yīng)滿足如下網(wǎng)絡(luò)訪問控制要求：宜禁用閑置的通信端口；應(yīng)設(shè)置網(wǎng)絡(luò)訪問控制策略，限制對感知終端的網(wǎng)絡(luò)訪問。通信安全要求無線電安全感知終端應(yīng)按國家規(guī)定使用無線電頻段和輻射強(qiáng)度，并具有抗干擾能力。傳輸完整性感知終端應(yīng)滿足如下傳輸完整性要求：應(yīng)具有并啟用通信完整性校驗機(jī)制，實現(xiàn)鑒別信息、隱私數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等數(shù)據(jù)傳輸?shù)耐暾员Ｗo(hù)；應(yīng)具有通信延時和中斷的處理機(jī)制。系統(tǒng)安全要求標(biāo)識與鑒別對于具有操作系統(tǒng)的感知終端，應(yīng)滿足如下標(biāo)識與鑒別要求：感知終端的操作系統(tǒng)用戶應(yīng)有唯一標(biāo)識；應(yīng)對感知終端的操作系統(tǒng)用戶進(jìn)行身份鑒別。使用用戶名和口令鑒別時，口令應(yīng)由字母、數(shù)字及特殊字符組成，長度不小于8位。訪問控制感知終端應(yīng)滿足如下訪問控制要求：具有操作系統(tǒng)的感知終端應(yīng)能控制操作系統(tǒng)用戶的訪問權(quán)限；對于具有操作系統(tǒng)的感知終端，操作系統(tǒng)用戶應(yīng)僅被授予完成任務(wù)所需的最小權(quán)限；感知終端應(yīng)能控制數(shù)據(jù)的本地或遠(yuǎn)程訪問；感知終端應(yīng)提供安全措施控制對其遠(yuǎn)程配置。日志審計具有操作系統(tǒng)的感知終端，應(yīng)滿足如下日志審計要求：應(yīng)能為操作系統(tǒng)事件生成審計記錄，審計記錄應(yīng)包括日期、時間、操作用戶、操作類型等信息；應(yīng)能由安全審計員開啟和關(guān)閉操作系統(tǒng)的審計功能；應(yīng)能提供操作系統(tǒng)的審計記錄查閱功能。失效保護(hù)感知終端應(yīng)能自檢出已定義的設(shè)備故障并進(jìn)行告警，確保設(shè)備未受故障影響部分的功能正常。軟件安全具有操作系統(tǒng)的感知終端，應(yīng)滿足如下軟件安全要求：應(yīng)僅安裝經(jīng)授權(quán)的軟件；應(yīng)按照策略進(jìn)行軟件補丁更新和升級，且保證所更新的數(shù)據(jù)是來源合法的和完整的。數(shù)據(jù)安全要求數(shù)據(jù)可用性感知終端在傳輸其采集到的數(shù)據(jù)時,應(yīng)對數(shù)據(jù)新鮮性做出標(biāo)識。數(shù)據(jù)完整性感知終端應(yīng)為其采集的數(shù)據(jù)生成完整性證據(jù)(如:校驗碼、消息摘要、數(shù)字簽名等)。增強(qiáng)級安全技術(shù)要求物理安全要求選型在滿足5.1.1基礎(chǔ)上，應(yīng)滿足如下要求：物聯(lián)網(wǎng)中使用的感知終端產(chǎn)品應(yīng)經(jīng)過信息安全檢測。選址應(yīng)滿足5.1.2要求。供電在滿足5.1.3基礎(chǔ)上，應(yīng)滿足如下要求：關(guān)鍵感知終端應(yīng)具有備用電力供應(yīng)，至少滿足關(guān)鍵感知終端正常運行的供電時長要求；應(yīng)提供技術(shù)和管理手段監(jiān)測感知終端的供電情況，并能在電力不足時及時報警。防盜竊和防破壞在滿足5.1.4的基礎(chǔ)上，應(yīng)滿足如下要求：戶外部署的重要感知終端宜設(shè)置在視頻監(jiān)控范圍內(nèi)；戶外部署的關(guān)鍵感知終端應(yīng)具有定位裝置。防雷和防靜電重要感知終端應(yīng)采取必要的避雷和防靜電措施。接入安全要求網(wǎng)絡(luò)接入認(rèn)證在滿足5.2.1a）c）d）基礎(chǔ)上，應(yīng)滿足如下要求：感知終端與其接入網(wǎng)絡(luò)間應(yīng)進(jìn)行雙向認(rèn)證，雙方至少支持如下身份鑒別機(jī)制之一：基于對稱密碼機(jī)制的鑒別；基于非對稱密碼機(jī)制的鑒別。感知終端應(yīng)能進(jìn)行鑒別失敗處理。網(wǎng)絡(luò)訪問控制應(yīng)滿足5.2.2的要求。通信安全要求無線電安全應(yīng)滿足5.3.1的要求。傳輸完整性應(yīng)滿足5.3.2的要求。傳輸保密性感知終端傳輸鑒別信息、隱私數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等敏感信息時應(yīng)進(jìn)行加密保護(hù)。加密算法應(yīng)符合國家密碼相關(guān)規(guī)定。系統(tǒng)安全要求標(biāo)識與鑒別在滿足5.4.1基礎(chǔ)上，應(yīng)滿足如下要求：具有執(zhí)行能力的感知終端應(yīng)能鑒別下達(dá)執(zhí)行指令者的身份。訪問控制在滿足5.4.2基礎(chǔ)上，應(yīng)滿足如下要求：感知終端系統(tǒng)訪問控制范圍應(yīng)覆蓋所有主體、客體以及它們之間的操作。日志審計在滿足5.4.3基礎(chǔ)上，應(yīng)滿足如下要求：具有操作系統(tǒng)的感知終端應(yīng)保護(hù)已存儲的操作系統(tǒng)審計記錄，以避免未授權(quán)的修改、刪除、覆蓋等。失效保護(hù)在滿足5.4.4基礎(chǔ)上，應(yīng)滿足如下要求：具有操作系統(tǒng)的感知終端應(yīng)能在操作系統(tǒng)崩潰時重啟；具有執(zhí)行能力的感知終端應(yīng)具有本地手動控制功能，并且手動控制功能優(yōu)先級高于自動控制功能。惡意代碼防范具有操作系統(tǒng)的感知終端應(yīng)具有惡意代碼防范能力。軟件安全在滿足5.4.5基礎(chǔ)上，應(yīng)當(dāng)滿足如下要求：具有操作系統(tǒng)的感知終端軟件補丁更新和升級前應(yīng)經(jīng)過安全測試驗證。接口安全接口安全應(yīng)滿足如下要求：宜禁用感知終端閑置的外部設(shè)備接口；應(yīng)禁用感知終端的外接存儲設(shè)備自啟動功能。數(shù)據(jù)安全要求數(shù)據(jù)可用性在滿足5.5.1基礎(chǔ)上，應(yīng)滿足如下要求：感知終端應(yīng)支持通過冗余部署方式采集重要數(shù)據(jù)。數(shù)據(jù)完整性在滿足5.5.2基礎(chǔ)上，應(yīng)滿足如下要求：感知終端應(yīng)對存儲的鑒別信息、隱私數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等進(jìn)行完整性檢測，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。數(shù)據(jù)保密性感知終端應(yīng)對鑒別信息、隱私數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等敏感信息采用密碼算法進(jìn)行加密保護(hù)。加密算法應(yīng)符合國家密碼相關(guān)規(guī)定。（資料性附錄）物聯(lián)網(wǎng)感知終端物聯(lián)網(wǎng)信息系統(tǒng)物聯(lián)網(wǎng)信息系統(tǒng)通常由感知層、網(wǎng)絡(luò)層和應(yīng)用層組成。感知層的感知終端采集數(shù)據(jù)，通過網(wǎng)絡(luò)傳給業(yè)務(wù)應(yīng)用系統(tǒng)，業(yè)務(wù)應(yīng)用系統(tǒng)對數(shù)據(jù)處理后再通過網(wǎng)絡(luò)傳給感知終端，或?qū)Ω兄K端下達(dá)操作指令。物聯(lián)網(wǎng)信息系統(tǒng)示例感知終端是物聯(lián)網(wǎng)信息系統(tǒng)的重要組成部分，感知終端安全貫穿物聯(lián)網(wǎng)信息系統(tǒng)設(shè)計、建設(shè)、運維和廢止各個環(huán)節(jié)。在設(shè)計階段感知終端應(yīng)進(jìn)行合理選型，選擇滿足安全功能要求的感知終端產(chǎn)品；在建設(shè)階段，應(yīng)保證感知終端安裝、部署和配置安全；在運維階段，應(yīng)保證感知終端安全使用和維護(hù)；在廢棄階段應(yīng)安全處理感知終端中存儲的數(shù)據(jù)。感知終端感知終端通常集成或外接有一個或多個傳感器、執(zhí)行器、定位設(shè)備、音視頻采集播放終端、條碼掃描器或RFID讀寫器、智能化設(shè)備等信息采集和/或指令執(zhí)行模塊，并集成有中央處理功能模塊和網(wǎng)絡(luò)通信模塊。感知終端通過網(wǎng)絡(luò)通信模塊接入物聯(lián)網(wǎng)中，按照約定協(xié)議，連接物、人、系統(tǒng)和信息資源，使得彼此相互通信。感知終端主要分類感知終端按照是否安裝有操作系統(tǒng)，可以分為具有操作系統(tǒng)的感知終端和不具有操作系統(tǒng)的感知終端。具有操作系統(tǒng)的感知終端，如一些RFID讀寫器、攝像頭、具有讀卡功能的智能手機(jī)等，通常具有較強(qiáng)的安全功能，但也為攻擊者提供了較多的攻擊途徑；不具有操作系統(tǒng)的感知終端集成有采集和/或執(zhí)行功能模塊、中央處理功能模塊和網(wǎng)絡(luò)通信功能模塊，這類感知終端通常安全功能有限，但為攻擊者提供的攻擊途徑也有限。參?考?文?獻(xiàn)[1]ISO/IEC20180:2012Telecommunicationsandinformationexchangebetweensystems-Securityframeworkforubiquitoussensornetworks[2]IEC62443-1-1:2009Industrialcomm