YDT 4565-2023物聯(lián)網(wǎng)安全態(tài)勢感知技術(shù)要求

ICS35.240

CCSL67

YD

中華人民共和國通信行業(yè)標(biāo)準(zhǔn)

YD/T××××—××××

物聯(lián)網(wǎng)安全態(tài)勢感知技術(shù)要求

TechnicalrequirementsofsecuritysituationalawarenessforInternetofthings

20XX-××-××發(fā)布20XX-××-××實施

中華人民共和國工業(yè)和信息化部發(fā)布

YD/T×××××—××××

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口。

本文件起草單位：中國移動通信集團(tuán)有限公司、中國移動通信集團(tuán)設(shè)計院有限公司、中國信息通信

研究院、中興通訊股份有限公司、北京東方通網(wǎng)信科技有限公司、恒安嘉新（北京）科技股份公司、華

為技術(shù)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、海信集

團(tuán)控股股份有限公司、杭州安恒信息技術(shù)股份有限公司、新華三技術(shù)有限公司。

本文件主要起草人：劉利軍、張峰、柏洪濤、齊文杰、江為強、文遠(yuǎn)、張雙、譚飛越、蔣文學(xué)、萬

莉莉、陳歡、余長江、趙蓓、寧華、林兆驥、游世林、崔婷婷、徐昕白、陳璟、王龑、王暉、孫宗臣、

高雪松、張淯易、王輝、楊洪起。

II

YD/T×××××—××××

物聯(lián)網(wǎng)安全態(tài)勢感知技術(shù)要求

1范圍

本文件規(guī)定了物聯(lián)網(wǎng)安全態(tài)勢感知系統(tǒng)的總體框架、功能要求、安全要求及性能要求。

本文件適用于基礎(chǔ)電信運營企業(yè)的物聯(lián)網(wǎng)安全態(tài)勢感知系統(tǒng)的設(shè)計、開發(fā)與測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文

件。

GB/T25069-2010信息安全技術(shù)術(shù)語

GB/T33745-2017物聯(lián)網(wǎng)術(shù)語

3術(shù)語和定義

GB/T25069-2010、GB/T33745-2017界定的以及下列術(shù)語和定義適用于本文件。

3.1

物聯(lián)網(wǎng)Internetofthings，IoT

通過感知設(shè)備，按照約定協(xié)議，連接物、人、系統(tǒng)和信息資源，實現(xiàn)對物理和虛擬世界的信息進(jìn)行

處理并做出反應(yīng)的智能服務(wù)系統(tǒng)。

3.2

態(tài)勢感知situationawareness

認(rèn)知一定時間和空間內(nèi)的環(huán)境要素，理解其意義，并預(yù)測它們即將呈現(xiàn)的狀態(tài)，以實現(xiàn)決策優(yōu)勢。

3.3

物聯(lián)網(wǎng)終端IoTterminal

能對物進(jìn)行信息采集和/或執(zhí)行操作，并能聯(lián)網(wǎng)進(jìn)行通信的裝置。根據(jù)終端對數(shù)據(jù)的處理能力,可分

為自身不具備數(shù)據(jù)處理能力的傳感終端、具有操作系統(tǒng)的物聯(lián)網(wǎng)終端和不具有操作系統(tǒng)的物聯(lián)網(wǎng)終端。

3.4

物聯(lián)網(wǎng)應(yīng)用IoTapplication

物聯(lián)網(wǎng)在具體場景中的使用實例，向用戶提供物聯(lián)網(wǎng)服務(wù)的集合。

3.5

1

YD/T×××××—××××

物聯(lián)網(wǎng)基礎(chǔ)資產(chǎn)IoTbasicassets

與物聯(lián)網(wǎng)相關(guān)的主機（應(yīng)用服務(wù)器等）、網(wǎng)絡(luò)設(shè)備（路由器、交換機等）、存儲設(shè)備、安全設(shè)備（掃

描器等）等基礎(chǔ)資產(chǎn)。

3.6

物聯(lián)網(wǎng)卡IoTcard

基于蜂窩移動通信網(wǎng)絡(luò)，采用物聯(lián)網(wǎng)專用號碼作為終端業(yè)務(wù)號碼，承載于物聯(lián)網(wǎng)移動核心網(wǎng)專用網(wǎng)

元上，用于物與物、物與人通信的號碼。

3.7

卡挪用cardmisappropriation

本應(yīng)用于A物聯(lián)網(wǎng)業(yè)務(wù)的物聯(lián)網(wǎng)卡挪為B物聯(lián)網(wǎng)業(yè)務(wù)使用。不同物聯(lián)網(wǎng)業(yè)務(wù)功能需求和資費存在差

異，存在被非法使用和套利的風(fēng)險。

3.8

卡濫用cardabuse

將物聯(lián)網(wǎng)卡應(yīng)用于非物聯(lián)網(wǎng)業(yè)務(wù)。如有的物聯(lián)網(wǎng)用戶卡具備短信、語音功能，按照業(yè)務(wù)協(xié)議要求只

能應(yīng)用于物聯(lián)網(wǎng)業(yè)務(wù)，不能放入手機等其他設(shè)備中使用。

4縮略語

下列縮略語適用于本文件。

APP：移動終端智能應(yīng)用（Application）

DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）

DPI：深度包檢測（DeepPacketInspection）

EDP：增強設(shè)備協(xié)議（EnhancedDeviceProtocol）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

GRE：通用路由封裝（GenericRoutingEncapsulation）

HTTPs：超文本傳輸安全協(xié)議（HyperTextTransferProtocolSecure）

IDS：入侵檢測系統(tǒng)（intrusiondetectionsystem）

IP：網(wǎng)際協(xié)議（InternetProtocol）

IPSec：互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity）

MQTT：消息隊列遙測傳輸（MessageQueuingTelemetryTransport）

SMTP：簡單郵件傳輸協(xié)議（SimpleMailTransferProtocol）

SSH：安全外殼協(xié)議（SecureShell）

WAF：網(wǎng)絡(luò)應(yīng)用防火墻（WebApplicationFirewall）

5物聯(lián)網(wǎng)安全風(fēng)險

物聯(lián)網(wǎng)從終端設(shè)備，物聯(lián)網(wǎng)卡以及物聯(lián)網(wǎng)平臺都面臨各種安全風(fēng)險：

a)物聯(lián)網(wǎng)卡安全風(fēng)險：物聯(lián)網(wǎng)業(yè)務(wù)資費較低，存在挪用或濫用物聯(lián)網(wǎng)卡進(jìn)行非法套利及其他非法

2

YD/T×××××—××××

活動的風(fēng)險。

b)物聯(lián)網(wǎng)終端安全風(fēng)險：物聯(lián)網(wǎng)終端因為類型繁多、能力層參差不齊、成本控制嚴(yán)格等原因，傳

統(tǒng)的安全防護(hù)手段無法應(yīng)用，易受到物理攻擊、偽造或假冒攻擊、信號泄露與干擾、拒絕服務(wù)

攻擊、隱私泄露等威脅，也存在被攻擊者控制成為攻擊工具的風(fēng)險。

c)物聯(lián)網(wǎng)平臺安全風(fēng)險：物聯(lián)網(wǎng)平臺接入大量的物聯(lián)網(wǎng)終端，對應(yīng)的業(yè)務(wù)多種多樣，存在命令數(shù)

據(jù)泄露、拒絕服務(wù)攻擊，非法入侵等風(fēng)險。

d)基礎(chǔ)資產(chǎn)安全風(fēng)險：物聯(lián)網(wǎng)基礎(chǔ)資產(chǎn)數(shù)量龐大，種類多樣，存在記錄不全、非法入侵、感染病

毒、數(shù)據(jù)泄露等安全風(fēng)險。

6總體框架

物聯(lián)網(wǎng)安全態(tài)勢感知針對物聯(lián)網(wǎng)存在的安全風(fēng)險構(gòu)建安全態(tài)勢感知技術(shù)能力，實現(xiàn)物聯(lián)網(wǎng)卡、物聯(lián)

網(wǎng)終端、物聯(lián)網(wǎng)業(yè)務(wù)等方面的安全態(tài)勢分析及感知。

物聯(lián)網(wǎng)安全態(tài)勢感知技術(shù)總體框架應(yīng)包括六個功能，包括數(shù)據(jù)采集功能、數(shù)據(jù)處理功能、數(shù)據(jù)存儲

功能、安全態(tài)勢分析功能、態(tài)勢預(yù)警和處置功能、可視化展示功能。根據(jù)采集的數(shù)據(jù)利用異常行為檢測、

聚類分析、深度學(xué)習(xí)等大數(shù)據(jù)分析方法，建立安全態(tài)勢預(yù)警模型，對全網(wǎng)的安全趨勢、潛在的安全風(fēng)險

進(jìn)行趨勢分析和預(yù)警。物聯(lián)網(wǎng)安全態(tài)勢感知功能框架如圖1所示。

圖1物聯(lián)網(wǎng)安全態(tài)勢感知功能框架

7功能要求

3

YD/T×××××—××××

7.1數(shù)據(jù)采集要求

7.1.1采集能力

應(yīng)具備以下數(shù)據(jù)的采集能力：

a)物聯(lián)網(wǎng)卡數(shù)據(jù)：應(yīng)至少具備物聯(lián)網(wǎng)卡基本信息，如發(fā)卡單位、用卡單位等，物聯(lián)網(wǎng)卡語音話單、

流量話單、短信話單、聯(lián)網(wǎng)日志等數(shù)據(jù)的采集能力；

b)物聯(lián)網(wǎng)終端數(shù)據(jù)：應(yīng)至少具備終端的行為日志、進(jìn)程信息等數(shù)據(jù)的采集能力；

c)物聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)：應(yīng)至少具備物聯(lián)網(wǎng)平臺日志、操作日志、終端訪問日志等數(shù)據(jù)的采集能力；

d)基礎(chǔ)資產(chǎn)數(shù)據(jù)：應(yīng)至少具備安全設(shè)備日志、系統(tǒng)日志等數(shù)據(jù)的采集能力以及端口掃描、網(wǎng)絡(luò)流

量分析、安全漏洞掃描、WAF、沙箱、基線檢查等功能；

e)應(yīng)具有接收外部文檔導(dǎo)入，及其他數(shù)據(jù)采集的能力。

7.1.2采集方式

本項要求包括：

a)應(yīng)具備以主動為主，被動為輔的采集方式。對于無存儲功能或存儲能力有限的采集對象，如防

火墻、IDS等設(shè)備，建議采用被動采集方式；其他類型的采集對象建議優(yōu)先采用主動方式采集

數(shù)據(jù)；

b)應(yīng)支持多種物聯(lián)網(wǎng)協(xié)議以適配各種采集數(shù)據(jù)源,如EDP、MODBUS、MQTT等以適配各種采集數(shù)據(jù)

源。

7.1.3數(shù)據(jù)源類型

本項要求包括：

a)應(yīng)支持對不同類型數(shù)據(jù)源的采集，并對數(shù)據(jù)源進(jìn)行增加、刪除等管理；

b)資產(chǎn)數(shù)據(jù)的內(nèi)容應(yīng)至少包括資產(chǎn)類型、資產(chǎn)名稱、資產(chǎn)IP地址、資產(chǎn)IP歸屬地、域名、業(yè)務(wù)

系統(tǒng)名稱、業(yè)務(wù)類型、資產(chǎn)責(zé)任人等；

c)日志數(shù)據(jù)的類型應(yīng)包括但不限于以下幾種：物聯(lián)網(wǎng)卡、物聯(lián)網(wǎng)終端、物聯(lián)網(wǎng)平臺的聯(lián)網(wǎng)日志，

網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)運行日志；

d)網(wǎng)絡(luò)流量數(shù)據(jù)至少包含網(wǎng)絡(luò)協(xié)議報文；

e)外部導(dǎo)入數(shù)據(jù)的類型可包括但不限于以下一種或多種：漏洞庫、惡意IP庫、惡意域名庫。

7.2數(shù)據(jù)處理要求

為了滿足安全分析對數(shù)據(jù)質(zhì)量的要求，應(yīng)支持將采集到的數(shù)據(jù)進(jìn)行抽取、轉(zhuǎn)換、清洗、標(biāo)準(zhǔn)化等處

理，包括以下操作：

a)數(shù)據(jù)的清洗過濾，針對數(shù)據(jù)格式不一致、數(shù)據(jù)輸入錯誤、數(shù)據(jù)不完整等問題，支持對數(shù)據(jù)進(jìn)行

轉(zhuǎn)換和加工；

4

YD/T×××××—××××

b)數(shù)據(jù)標(biāo)準(zhǔn)化，對原始數(shù)據(jù)進(jìn)行統(tǒng)一格式化處理；

c)數(shù)據(jù)關(guān)聯(lián)補齊，數(shù)據(jù)源之間存在關(guān)聯(lián)性，通過關(guān)聯(lián)補齊后形成完整的數(shù)據(jù)，能夠豐富數(shù)據(jù)本身，

以便于后期的統(tǒng)計分析；

d)數(shù)據(jù)標(biāo)簽化，基于關(guān)聯(lián)補齊后的數(shù)據(jù)，結(jié)合數(shù)據(jù)所屬業(yè)務(wù)系統(tǒng)、設(shè)備類型等信息，在原數(shù)據(jù)基

礎(chǔ)上進(jìn)行標(biāo)記。

7.3數(shù)據(jù)存儲要求

對采集的不同類型的數(shù)據(jù)進(jìn)行分類存儲，滿足數(shù)據(jù)分析的要求。數(shù)據(jù)存儲應(yīng)根據(jù)數(shù)據(jù)結(jié)構(gòu)類型的不

同，支持結(jié)構(gòu)化、非結(jié)構(gòu)化、半結(jié)構(gòu)化三種類型的數(shù)據(jù)存儲。

7.4安全態(tài)勢感知要求

7.4.1數(shù)據(jù)挖掘

本項要求包括：

a)應(yīng)建立數(shù)據(jù)分析模型，對采集的數(shù)據(jù)進(jìn)行集中、動態(tài)、自動化分析；

b)應(yīng)能通過數(shù)據(jù)挖掘、機器學(xué)習(xí)等技術(shù)發(fā)現(xiàn)高危進(jìn)程、系統(tǒng)漏洞風(fēng)險等安全事件；

c)應(yīng)能對不同類型的事件進(jìn)行關(guān)聯(lián)分析；

d)應(yīng)能通過數(shù)據(jù)挖掘、機器學(xué)習(xí)等技術(shù)發(fā)現(xiàn)未知的攻擊手法及可能的入侵事件。

7.4.2態(tài)勢感知類別

物聯(lián)網(wǎng)卡安全態(tài)勢

應(yīng)支持對物聯(lián)網(wǎng)卡短信話單、流量話單、語音話單及聯(lián)網(wǎng)日志等數(shù)據(jù)的分析能力，實現(xiàn)對卡挪用、

卡濫用、跨境外聯(lián)等異常行為的分析和感知能力。

物聯(lián)網(wǎng)業(yè)務(wù)安全態(tài)勢

本項要求包括：

a)應(yīng)具備對物聯(lián)網(wǎng)業(yè)務(wù)流量報文及日志的分析能力；

b)應(yīng)具備APP系統(tǒng)漏洞、APP業(yè)務(wù)漏洞掃描能力，可對編碼規(guī)范、常見攻擊防范能力、會話安全、

數(shù)據(jù)完整性、數(shù)據(jù)保密性、身份校驗等系統(tǒng)安全進(jìn)行測試，以及對注冊、登錄、交易、轉(zhuǎn)賬、

支付等業(yè)務(wù)應(yīng)用安全、邏輯安全進(jìn)行測試；

c)應(yīng)具備國家/行業(yè)相關(guān)政策、規(guī)定的符合程度測試能力，可對國家行業(yè)監(jiān)管機構(gòu)、行業(yè)內(nèi)部安

全約束條款的符合性進(jìn)行測試；

d)應(yīng)具備安全事件識別能力，以DPI內(nèi)容分析和DFI行為分析為主要發(fā)現(xiàn)模式，結(jié)合基線分析技

5

YD/T×××××—××××

術(shù)對業(yè)務(wù)異常進(jìn)行識別，能及時發(fā)現(xiàn)APP仿冒事件、網(wǎng)絡(luò)異常掃描、網(wǎng)絡(luò)攻擊行為，并能根據(jù)

攻擊行為發(fā)出告警和提出相應(yīng)解決方案能力。

e)應(yīng)具備對FTP、HTTP、SMTP等應(yīng)用層協(xié)議的深入解析能力，精確還原傳輸內(nèi)容，及時發(fā)現(xiàn)內(nèi)網(wǎng)

設(shè)備向外傳輸數(shù)據(jù)的行為，防止敏感信息泄露。

物聯(lián)網(wǎng)終端安全態(tài)勢

本項要求包括：

a)應(yīng)具備物聯(lián)網(wǎng)終端畫像能力，通過設(shè)備類型、所屬平臺信息、廠商、產(chǎn)品型號、版本、IP地

址、端口、數(shù)量、位置等信息，實現(xiàn)對物聯(lián)網(wǎng)終端的畫像；

b)應(yīng)具備物聯(lián)網(wǎng)終端數(shù)據(jù)安全分析能力，包括發(fā)現(xiàn)物聯(lián)網(wǎng)存在的各種脆弱性問題，比如普遍存在

的弱口令問題、安全漏洞、安全配置問題，發(fā)現(xiàn)物聯(lián)網(wǎng)終端上不必要開放的賬號、服務(wù)、端口；

c)應(yīng)具備物聯(lián)網(wǎng)終端異常行為分析能力，通過建立行為基線，檢測其是否存在業(yè)務(wù)濫用，是否存

在異?？缇惩饴?lián)、被構(gòu)成僵尸網(wǎng)絡(luò)、外發(fā)拒絕服務(wù)攻擊、遠(yuǎn)程操控、DDoS攻擊等終端異常行

為。

d)應(yīng)具備物聯(lián)網(wǎng)終端入侵檢測能力，通過建立惡意樣本，結(jié)合流量分析，及時發(fā)現(xiàn)惡意程序植入、

非法入侵行為等異常行為；

e)應(yīng)具備依據(jù)風(fēng)險類型、受影響終端數(shù)量、受影響區(qū)域范圍、嚴(yán)重程度，形成整體安全風(fēng)險報告

的能力。

基礎(chǔ)資產(chǎn)安全態(tài)勢

本項要求包括：

a)應(yīng)支持對物聯(lián)網(wǎng)基礎(chǔ)資產(chǎn)安全威脅、內(nèi)部資產(chǎn)及暴露面資產(chǎn)、脆弱性與漏洞、安全溯源等方面

的態(tài)勢分析；

b)應(yīng)具備未知資產(chǎn)發(fā)現(xiàn)能力，能對基礎(chǔ)資產(chǎn)進(jìn)行全量掃描，發(fā)現(xiàn)系統(tǒng)內(nèi)網(wǎng)、外網(wǎng)所有資產(chǎn)；

c)應(yīng)具備資產(chǎn)安全漏洞檢測能力，能發(fā)現(xiàn)基礎(chǔ)資產(chǎn)存在的安全漏洞；

d)應(yīng)具備合法合規(guī)性檢測能力，通過建立資產(chǎn)安全基線，能對所有基礎(chǔ)資產(chǎn)進(jìn)行合法合規(guī)性檢測。

e)應(yīng)具備資產(chǎn)運行狀態(tài)監(jiān)控能力，通過分析物聯(lián)網(wǎng)資產(chǎn)的相關(guān)數(shù)據(jù)信息、版本信息、漏洞信息、

基線信息和運行日志等統(tǒng)計性特征，能形成資產(chǎn)安全檢測模型，對資產(chǎn)安全風(fēng)險情況進(jìn)行監(jiān)控。

7.4.3安全態(tài)勢評估

本項要求包括：

6

YD/T×××××—××××

a)應(yīng)具備資產(chǎn)的重要性、資產(chǎn)的脆弱性，如系統(tǒng)漏洞數(shù)據(jù)、漏洞等級等方面的評估能力；

b)應(yīng)具備從網(wǎng)絡(luò)威脅性，如風(fēng)險的類型、攻擊事件的影響、攻擊的影響范圍等方面的評估能力；

c)應(yīng)具備網(wǎng)絡(luò)流量及服務(wù)質(zhì)量，如包到達(dá)時間、異常流量占比等方面的評估能力；

d)應(yīng)建立一套層次化的安全態(tài)勢綜合評估指標(biāo)體系；

e)應(yīng)支持合理的評估模型及方法，包括但不局限于模糊綜合評估等，建立客觀公正的綜合評估打

分機制；

f)應(yīng)具備周期性形成安全態(tài)勢評估報告的能力。

7.5安全態(tài)勢預(yù)警及處置要求

7.5.1安全態(tài)勢預(yù)警

本項要求包括：

a)應(yīng)對各類威脅建立相應(yīng)的識別模型和預(yù)測模型，具備安全威脅預(yù)警能力；

b)應(yīng)具備按照威脅等級、威脅區(qū)域等分級分區(qū)域預(yù)警；

c)應(yīng)能支持對不止一個對象發(fā)送告警通知。

7.5.2安全威脅處置

本項要求包括：

a)應(yīng)支持對安全事件預(yù)先設(shè)置處置措施和流程的能力。

b)應(yīng)具備安全預(yù)警處置能力，系統(tǒng)感知到安全事件后，能根據(jù)事件的不同等級發(fā)出告警信息，并

自動實施預(yù)先設(shè)定的處置措施和流程；

c)應(yīng)具備安全威脅處置跟蹤能力，對安全威脅處置流程及結(jié)果進(jìn)行跟蹤；

d)應(yīng)具備安全威脅溯源能力，對安全威脅追溯到攻擊路徑、攻擊方式、攻擊工具等。

7.6可視化展示要求

7.6.1安全態(tài)勢展示

本項要求包括：

a)應(yīng)具備對物聯(lián)網(wǎng)卡安全態(tài)勢、物聯(lián)網(wǎng)終端安全態(tài)勢、物聯(lián)網(wǎng)業(yè)務(wù)安全態(tài)勢、基礎(chǔ)資產(chǎn)安全態(tài)勢

等進(jìn)行可視化展示的能力；

b)應(yīng)具備對物聯(lián)網(wǎng)安全風(fēng)險的當(dāng)前現(xiàn)狀、歷史、趨勢等進(jìn)行可視化展示的能力；

c)應(yīng)具備對物聯(lián)網(wǎng)資產(chǎn)地圖、攻擊源地圖、攻擊目標(biāo)地圖等進(jìn)行可視化展示；

d)應(yīng)具備對物聯(lián)網(wǎng)威脅溯源、威脅具體內(nèi)容等進(jìn)行可視化展示；

e)應(yīng)具備對物聯(lián)網(wǎng)信息過濾、信息篩選等進(jìn)行可視化展示；

7

YD/T×××××—××××

f)應(yīng)具備對物聯(lián)網(wǎng)安全事件告警和處置過程等進(jìn)行可視化展示。

7.6.2可選擇性展示

本項要求包括：

a)應(yīng)支持安全態(tài)勢可選擇性展示，支持以物聯(lián)網(wǎng)卡、終端、基礎(chǔ)資產(chǎn)、業(yè)務(wù)等為維度自定義過濾

條件，并進(jìn)行展示；

b)應(yīng)支持以兩種或兩種以上視圖展示以上各維度安全態(tài)勢細(xì)節(jié)，包括但不限于以下幾種：趨勢圖、

地理信息圖、柱狀圖、餅圖。

7.7態(tài)勢感知平臺安全管理要求

本項要求包括：

a)應(yīng)具備系統(tǒng)平臺管理功能，支持在平臺上提供統(tǒng)一的用戶、角色、權(quán)限（菜單）分配；

b)應(yīng)具備終端采集設(shè)備、基礎(chǔ)資產(chǎn)、情報庫等安全管理功能，支持采集設(shè)備告警和漏洞信息進(jìn)行

呈現(xiàn)和管理，支持對檢測出的物聯(lián)網(wǎng)資產(chǎn)脆弱性進(jìn)行修復(fù)，修復(fù)方式可以為打補丁或升級，固

件及應(yīng)用文件完整性的檢測。

c)應(yīng)具備統(tǒng)一運維管理功能，支持身份認(rèn)證授權(quán)管理、安全基線配置和策略下發(fā)等。

8安全要求

應(yīng)滿足安全要求，保證物聯(lián)網(wǎng)數(shù)據(jù)在傳輸、接收、處理和存儲過程中的安全性，保證態(tài)勢感知平臺

的認(rèn)證與授權(quán)安全性。具體包括：

a)應(yīng)具備密碼算法和密鑰管理等數(shù)據(jù)保密性保護(hù)能力，其算法強度符合國家相關(guān)標(biāo)準(zhǔn)。

b)應(yīng)對數(shù)據(jù)的發(fā)送方、接收方和持有方進(jìn)行身份鑒別。應(yīng)具備數(shù)據(jù)完整性校驗方法和通信超時、

斷點重連等功能，確保敏感信息、重要業(yè)務(wù)數(shù)據(jù)等關(guān)鍵信息的完整性。

c)應(yīng)具備隱私保護(hù)與設(shè)置能力，可應(yīng)用數(shù)據(jù)脫敏算法對敏感信息和數(shù)據(jù)提供方自定義的隱私部

分進(jìn)行保護(hù)，并使用HTTPs、SSH、IPSec、GRE隧道等安全協(xié)議保障數(shù)據(jù)傳輸?shù)碾[蔽性。

d)應(yīng)具備數(shù)據(jù)可用性保護(hù)能力，保證采集的數(shù)據(jù)可被授權(quán)主體及時和不間斷地訪問。

8

YD/T×××××—××××

目次

前言............................................................................................................................................................II

1范圍................................................................................................................................................................1

2規(guī)范性引用文件............................................................................................................................................1

3術(shù)語和定義....................................................................................................................................................1

4縮略語............................................................................................................................................................2

5物聯(lián)網(wǎng)安全風(fēng)險............................................................................................................................................2

6總體框架........................................................................................................................................................3

7功能要求........................................................................................................................................................3

7.1數(shù)據(jù)采集要求....................................................................................................................................4

7.1.1采集能力........................................................................................................................................4

7.1.2采集方式........................................................................................................................................4

7.1.3數(shù)據(jù)源類型....................................................................................................................................4

7.2數(shù)據(jù)處理要求....................................................................................................................................4

7.3數(shù)據(jù)存儲要求....................................................................................................................................5

7.4安全態(tài)勢感知要求............................................................................................................................5

7.4.1數(shù)據(jù)挖掘........................................................................................................................................5

7.4.2態(tài)勢感知類別................................................................................................................................5

物聯(lián)網(wǎng)卡安全態(tài)勢....................................................................................................................5

物聯(lián)網(wǎng)業(yè)務(wù)安全態(tài)勢................................................................................................................5

物聯(lián)網(wǎng)終端安全態(tài)勢................................................................................................................6

基礎(chǔ)資產(chǎn)安全態(tài)勢....................................................................................................................6

7.4.3安全態(tài)勢評估................................................................................................................................6

7.5安全態(tài)勢預(yù)警及處置要求................................................................................................................7

7.5.1安全態(tài)勢預(yù)警................................................................................................................................7

7.5.2安全威脅處置................................................................................................................................7

7.6可視化展示要求................................................................................................................................7

7.6.1安全態(tài)勢展示................................................................................................................................7

7.6.2可選擇性展示................................................................................................................................8

7.7態(tài)勢感知平臺安全管理要求............................................................................................................8

8安全要求........................................................................................................................................................8

I

YD/T×××××—××××

物聯(lián)網(wǎng)安全態(tài)勢感知技術(shù)要求

1范圍

本文件規(guī)定了物聯(lián)網(wǎng)安全態(tài)勢感知系統(tǒng)的總體框架、功能要求、安全要求及性能要求。

本文件適用于基礎(chǔ)電信運營企業(yè)的物聯(lián)網(wǎng)安全態(tài)勢感知系統(tǒng)的設(shè)計、開發(fā)與測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文

件。

GB/T25069-2010信息安全技術(shù)術(shù)語

GB/T33745-2017物聯(lián)網(wǎng)術(shù)語

3術(shù)語和定義

GB/T25069-2010、GB/T33745-2017界定的以及下列術(shù)語和定義適用于本文件。

3.1

物聯(lián)網(wǎng)Internetofthings，IoT

通過感知設(shè)備，按照約定協(xié)議，連接物、人、系統(tǒng)和信息資源，實現(xiàn)對物理和虛擬世界的信息進(jìn)行

處理并做出反應(yīng)的智能服務(wù)系統(tǒng)。

3.2

態(tài)勢感知situationawareness

認(rèn)知一定時間和空間內(nèi)的環(huán)境要素，理解其意義，并預(yù)測它們即將呈現(xiàn)的狀態(tài)，以實現(xiàn)決策優(yōu)勢。

3.3

物聯(lián)網(wǎng)終端IoTterminal

能對物進(jìn)行信息采集和/或執(zhí)行操作，并能聯(lián)網(wǎng)進(jìn)行通信的裝置。根據(jù)終端對數(shù)據(jù)的處理能力,可分

為自身不具備數(shù)據(jù)處理能力的傳感終端、具有操作系統(tǒng)的物聯(lián)網(wǎng)終端和不具有操作系統(tǒng)的物聯(lián)網(wǎng)終端。

3.4

物聯(lián)網(wǎng)應(yīng)用IoTapplication

物聯(lián)網(wǎng)在具體場景中的使用實例，向用戶提供物聯(lián)網(wǎng)服務(wù)的集合。

3.5

1

YD/T×××××—××××

物聯(lián)網(wǎng)基礎(chǔ)資產(chǎn)IoTbasicassets

與物聯(lián)網(wǎng)相關(guān)的主機（應(yīng)用服務(wù)器等）、網(wǎng)絡(luò)設(shè)備（路由器、交換機等）、存儲設(shè)備、安全設(shè)備（掃

描器等）等基礎(chǔ)資產(chǎn)。

3.6

物聯(lián)網(wǎng)卡IoTcard

基于蜂窩移動通信網(wǎng)絡(luò)，采用物聯(lián)網(wǎng)專用號碼作為終端業(yè)務(wù)號碼，承載于物聯(lián)網(wǎng)移動核心網(wǎng)專用網(wǎng)

元上，用于物與物、物與人通信的號碼。

3.7

卡挪用cardmisappropriation

本應(yīng)用于A物聯(lián)網(wǎng)業(yè)務(wù)的物聯(lián)網(wǎng)卡挪為B物聯(lián)網(wǎng)業(yè)務(wù)使用。不同物聯(lián)網(wǎng)業(yè)務(wù)功能需求和資費存在差

異，存在被非法使用和套利的風(fēng)險。

3.8

卡濫用cardabuse

將物聯(lián)網(wǎng)卡應(yīng)用于非物聯(lián)網(wǎng)業(yè)務(wù)。如有的物聯(lián)網(wǎng)用戶卡具備短信、語音功能，按照業(yè)務(wù)協(xié)議要求只

能應(yīng)用于物聯(lián)網(wǎng)業(yè)務(wù)，不能放入手機等其他設(shè)備中使用。

4縮略語

下列縮略語適用于本文件。

APP：移動終端智能應(yīng)用（Application）

DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）

DPI：深度包檢測（DeepPacketInspection）

EDP：增強設(shè)備協(xié)議（EnhancedDeviceProtocol）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

GRE：通用路由封裝（GenericRoutingEncapsulation）

HTTPs：超文本傳輸安全協(xié)議（HyperTextTransferProtocolSecure）

IDS：入侵檢測系統(tǒng)（intrusiondetectionsystem）

IP：網(wǎng)際協(xié)議（InternetProtocol）

IPSec：互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity）

MQTT：消息隊列遙測傳輸（MessageQueuingTelemetryTransport）

SMTP：簡單郵件傳輸協(xié)議（SimpleMailTransferProtocol）

SSH：安全外殼協(xié)議（SecureShell）

WAF：網(wǎng)絡(luò)應(yīng)用防火墻（WebApplicationFirewall）

5物聯(lián)網(wǎng)安全風(fēng)險

物聯(lián)網(wǎng)從終端設(shè)備，物聯(lián)網(wǎng)卡以及物聯(lián)網(wǎng)平臺都面臨各種安全風(fēng)險：

a)物聯(lián)網(wǎng)卡安全風(fēng)險：物聯(lián)網(wǎng)業(yè)務(wù)資費較低，存在挪用或濫用物聯(lián)網(wǎng)卡進(jìn)行非法套利及其他非法

2