——《信息安全技术 网络安全等级保护测评要求 第4部分:物联网安全扩展要求》解读
物联网系统有其自身不同于传统信息系统的特点,有鉴于此,物联网等保测评无论从对象选择、到测试方法、到评估手段,都具备其独特的视角和要求。下面我们邀请标准编制人信息产业信息安全测评中心张益副总工为大家解读《信息安全技术 网络安全等级保护测评要求 第4部分:物联网安全扩展要求》的主要内容。
《信息安全技术 网络安全等级保护测评要求
第4部分:物联网安全扩展要求》解读
作为新兴的信息技术,物联网应用技术在国内外发展很快,相关产品种类多,应用广泛,已经形成了从低端到高端的产品系列,并已有相对比较成熟的物联网产业链。在物联网安全评估方面,国内外已有机构和公司开展了针对物联网产品、系统的安全评估工作。为规范和强化我国在物联网安全测评方面的工作,推动相关领域等级保护工作的开展,在相关主管部门统一部署下集合了多家具有物联网领域安全评估及相关经验的单位对物联网安全评估的指标、内容、方法和手段进行了充分的调研、分析与研究,并经过多次讨论修改与多轮次专家评审,形成了该等级保护系列扩展标准。
物联网安全测评扩展要求由中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)承担,参与单位包括公安部信息安全等级保护评估中心、公安部第一研究所、工业和信息化部电信研究院、北京信息安全测评中心、全球能源互联网研究院和中国科学院软件研究所等单位。
本标准编制组成员单位也参与了物联网安全扩展基本要求的编制工作,在对等保系列标准中的物联网相关标准同时进行研究外,标准编制组还重点研究了物联网相关设备的产品安全测评标准,如《GB/T 20276 信息安全技术 具有中央处理器的IC卡嵌入式软件安全技术要求》、《GB/T 22186 信息安全技术 具有中央处理器的IC卡芯片安全技术要求》等,并将产品测评的思路和方法吸纳进来,丰富了物联网信息系统的安全测评。
本文现就本标准的几个重点做如下解读:
1、
测评描述框架解读
物联网安全等级保护测评的概念性描述框架由两部分构成:单项测评和整体测评,如下图所示:
这与通用测评要求及其他部分测评要求基本保持一致,同样在使用时,该标准用于物联网信息系统测评时也需要同步使用GB/T22239.1和本标准;区别之处在于,由于定级对象不同,使用本标准时所选取的测评对象主要集中于物联网感知层相关设备设施。
2、
测评内容体现物联网特色
本标准是配合《信息安全技术 网络安全等级保护基本要求 第4部分:物联网安全扩展要求》来使用的,在将安全要求落地到测评实践中时,需充分考虑从物联网系统角度去开展测评工作,如选取测评对象时,应以感知节点设备、网关节点设备(包括读卡器)、传感网入网访问控制设备等为主;再如对应用和数据安全测评时,对控制点测评内容的考虑也应体现物联网特点,在对“抗数据重放”测评时,测试内容是针对感知节点设备历史数据防重放,而非传统应用系统在应用层的数据防重放。
3、
测试方法倾向核查测试
从本标准测评指标的分布来看,重点在于对物联网系统安全技术方面的测评。技术方面着重于感知层及相关设备的接入后,对其设备自身、设备所处环境及安全防护功能的测评。正是由于本标准重点在此,在阐述测评单元中的测评实施时,测试方法以配置核查和测试验证为主。应当注意的是,在对同一层面不同控制点进行测评时,对于可能对感知层设备、物联网系统安全有重要影响或需要重点确认的安全要求,必须通过测试手段去验证相关安全实现,如对异构网安全接入的前三项安全要求,在测评过程中,必须通过测试手段对异构网接入认证系统、拒绝恶意节点接入的能力、完整性和保密性保护措施等这三个方面进行验证。
4、
测试工具趋向专用工具
由于物联网安全测评与其他系统安全测评最大的区别之处在于感知层设备及相关协议等方面的评估,故采用此标准开展测评时,测试工具除了传统系统测评的工具外,还需以感知层产品安全评估视角采用专用工具对其安全防护能力开展评估工作,如对感知层防功耗攻击措施的验证测试、对重要数据(指令控制数据、业务数据)的嗅探测试等,均需要专业化工具开展测评工作。
5、
安全管理测评关注研发与设备安全运维
在运用本标准开展物联网信息系统的安全管理测评时,主要聚焦于两点:一是终端感知节点设备、网关节点设备等物联网感知层设备的软、硬件研发方面的安全控制,包括了自行研发和外包研发,评估要点在于对研发环境的安全控制、研发文档的安全管理的验证和确认,此外对于外包研发的评估还需重点评估外包质量交付情况和外包研发带来的安全隐患(如预置后门、恶意代码等);二是感知层设备的环境管理以及备份与恢复管理,此方面重点关注对设备的实地运维,特别是针对感知层设备的特殊性所可能采取的不同运维方式和方法,如除尘、充电、修理等,而这方面也是与传统信息系统安全运维管理方面最大的不同之处。
实践出真知,本标准在编制过程中,充分借鉴了物联网安全评估的相关经验,但标准的实施和落地,还需待进一步的检验,编制组希望产业各方汇聚力量,多提意见,不断完善标准内容。
”即将出台的网络安全等级保护标准解读到今天暂时告一段落,感谢标准编制单位和主笔人的大力支持,感谢各位读者的耐心阅读。目前该系列标准首先以公安部行业标准正式发布(涉及主要内容的国家标准也近出台之际),这批标准在国家网络安全保护工作中将发挥重要指导作用。后续,我们将持续关注等级保护相关政策、标准、技术成果和工作动态,并及时与大家分享,再次感谢大家支持!
作者:信息产业信息安全测评中心 张益
e 安在线 两天带你解锁CIIPT-A
北京益安在线
公安部信息安全等级保护评估中心合作单位
CIIPT重要信息系统安全保护人员培训
北京地区指定授权合作伙伴
CIIPT-A培训对象
-
IT管理体系负责人、质量负责人
-
国家重要信息系统的建设、运营和使用的相关管理和技术人员
-
IT行业从事信息安全开发、管理、咨询服务及系统集成业务相关管理及技术人员
-
其他从事与信息安全相关工作的人员(如系统管理员、程序员等)
-
各级政府机构、企事业单位的信息安全主管部门的中高级管理及技术人员
课程均由获得公安部信息安全等级保护评估中心信息安全培训讲师证书的人员讲解,重点课程特邀请我国信息安全领域具有丰富实践经验的专家、学者讲解,包括国家信息安全相关政策、法规、标准起草和参与者。
考试指南
1. 报名申请
点击阅读原文立即报名或后台留言(我要报名+姓名+电话)
2. 考试形式、时间、地点、分数
考试为闭卷笔试的方式,时间为120分钟,地点在北京,及格线为60分(满分100分)。
3. 证书颁布
考试合格者获得有公安部信息安全等级保护评估中心统一印制并颁发CIIP-A证书。评估中心定期更新证书持有人目录,并向社会公布,可通过网站查验证书真实性。
更多详细内容请点击:
点击阅读原文立即报名
扫一扫
630
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
