2月18日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,批准发布《道路交通标志和标线》等646项国家标准。此次发布的国家标准涉及道路交通、可持续发展、海洋探索、两化融合和养老服务等多个领域。 接下来将针对不同领域的重要标准展开详细解读。
系列解读之九
《信息安全技术 物联网感知终端应用安全技术要求》国家标准解读
一、背景情况
物联网应用范围广泛,涵盖公共安全、教育、医疗等方方面面,物联网将采集和处理涵盖国家、社会、企业和个人等范围的海量信息,这些信息和业务的安全直接影响着国家、社会、企业和个人的信息安全。而物联网作为一种新技术和新应用,安全的研究十分薄弱,十分迫切。全面研究物联网安全,提高物联网的安全保障,具有非常重要的意义。
作为战略性新兴产业,物联网受到国家和各省市的高度重视,发展物联网产业已成为我国的一项战略决策。北京、上海、江苏、浙江、广东、重庆等纷纷制定了物联网行动计划和发展纲要。国家相继发布了《物联网“十二五”发展规划》、《国务院关于推进物联网有序健康发展的指导意见》(国发[2013]7号)等政策文件。
2009年中国科学院立了重大专项,开展物联网安全的研究。随着物联网普遍为业界接受,物联网安全研究开始广受关注。但是,物联网安全国家标准欠缺,国家专门成立了国家物联网基础标准工作组。在2011年11月发布的《物联网“十二五”发展规划》中,明确要求加强物联网信息安全保障,包括加强物联网安全技术研发、建立并完善物联网安全保障体系、加强网络基础设施安全防护建设。《国务院关于推进物联网有序健康发展的指导意见》(国发[2013]7号)把安全可控作为物联网发展的一项基本原则,把安全保障作为近期的一项发展目标,并制定了物联网专项行动计划,制定信息安全等一系列标准。
感知终端是物联网系统的重要组成部分,也是物联网系统相对一般信息系统,面临安全威胁较为突出的部分。与一般信息资产一样,物联网感知终端面临着各种各样的威胁。既有来自感知终端所部署环境的威胁,如地震、洪灾等自然灾害,断电、潮湿、虫害等恶劣环境;也有技术威胁,如感知终端质量不合格及老化等质量问题引起的故障,感知终端囿于技术局限导致的系统崩溃和异常;还有人为威胁,如误操作等非恶意人为威胁,非法俘获传感节点、恶意路由、拦截、篡改、伪造传感数据等恶意人为威胁。
目前对物联网安全的研究还不完善,安全防护技术要求尚不明了,缺乏统一的安全技术规范,急切需要物联网感知终端这方面的安全规范。
二、目的意义
物联网系统中,感知终端功能受成本限制,感知终端数量大、分布广泛,部署环境恶劣,多采用无线方式组网,这些导致感知终端应用安全问题具有自身特色。
为加强物联网安全保障,国家标准委启动了《信息安全技术 物联网感知终端应用安全技术要求》国家标准的制定工作。在大量调研,以及分析总结物联网信息系统安全威胁、脆弱性和可能的安全防护措施基础上,根据物联网面临的风险,自主研制物联网感知终端应用安全技术要求,切实提高物联网信息系统安全防护水平。在标准制定过程中,广泛参考国际物联网相关领域的最新安全标准,包括物联网、传感网、RFID、工业控制系统等领域的标准,坚持与已颁布实施的相关标准相协调的原则。在多轮意见反馈及企业试用验证后形成该标准进行发布。
《信息安全技术 物联网感知终端应用安全技术要求》规定了物联网信息系统中感知终端应用的物理安全、接入安全、通信安全、设备安全、数据安全等安全技术要求。本标准适用于物联网信息系统建设运维单位对感知终端进行安全选型、部署、运行和维护。也适用于指导感知终端设计和生产。
三、主要内容
本标准在术语部分定义了感知终端,突出感知终端是物联网信息系统中的在线设备,具有信息采集和/或执行操作的能力,能与网络进行通信等。
本标准在第4章,从感知终端与物联网系统交互和自身安全的角度给出感知终端的安全框架,涵盖了物理安全、接入安全、通信安全、设备安全、数据安全等,并把物联网信息系统中感知终端应用的安全技术要求分为基本要求和增强要求两类。
标准的第5章和第6章,分别规范了基本安全要求和增强安全要求的具体内容。每个级别的安全技术要求包括物理安全、接入安全、通信安全、设备安全、数据安全等方面。物理安全主要规范选型、选址、供电、防盗窃和防破坏、防雷和防静电等安全要求;接入安全主要规范网络接入认证、网络访问控制等安全要求;通信安全主要规范无线电安全、传输完整性、传输保密性等安全要求;设备安全主要规范标识与鉴别、访问控制、日志审计、失效保护、恶意代码防范、软件安全、物理接口安全等安全要求;数据安全主要规范数据可用性、数据完整性、数据保密性等安全要求。基本安全要求和增强安全要求在具体标准条款上有所不同。
在标准的附录中,给出物联网信息系统示例、感知终端的定义,以及感知终端的主要分类。
本篇文章或报道来自 国家标准委新闻发布会解读材料