信息安全技術(shù) 物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求-編制說明

一、工作簡況1、任務(wù)來源經(jīng)中國國家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）主任辦公會(huì)討論通過，國家標(biāo)準(zhǔn)計(jì)劃號(hào)：20141145-T-469《信息安全技術(shù)物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求》由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口,由公安部第三研究所負(fù)責(zé)牽頭制定。2、協(xié)作單位根據(jù)《信息安全技術(shù)物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求》的標(biāo)準(zhǔn)編制任務(wù)書，公安部第三研究所聯(lián)系參與單位，組建編制組。參與單位包括：公安部安全防范報(bào)警系統(tǒng)質(zhì)量監(jiān)督檢驗(yàn)測試中心、中興通訊股份有限公司、中國聯(lián)通網(wǎng)絡(luò)通信股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、無錫物聯(lián)網(wǎng)產(chǎn)業(yè)研究院、工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院等。3、主要工作過程在申請(qǐng)《信息安全技術(shù)物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求》的國家標(biāo)準(zhǔn)制訂任務(wù)之前，標(biāo)準(zhǔn)編制組的主要成員就已經(jīng)進(jìn)行了很多調(diào)研工作。包括相關(guān)的標(biāo)準(zhǔn)參考資料收集，信息系統(tǒng)安全接入實(shí)際方案和產(chǎn)品了解等。2013年10月，由公安部第三研究所牽頭、聯(lián)合公安部安全防范報(bào)警系統(tǒng)質(zhì)量監(jiān)督檢驗(yàn)測試中心、中興通訊股份有限公司、中國聯(lián)通網(wǎng)絡(luò)通信股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司等單位組成了標(biāo)準(zhǔn)編制組。完成了對(duì)物聯(lián)網(wǎng)感知層接入信息網(wǎng)絡(luò)的安全技術(shù)相關(guān)技術(shù)文檔收集和前期調(diào)研。編制組充分調(diào)研了感知層終端和網(wǎng)絡(luò)接入信息網(wǎng)絡(luò)后形成的安全威脅和形式，參考公共安全領(lǐng)域的信息化系統(tǒng)安全接入方案，結(jié)合感知層接入的特點(diǎn)，提出了感知層接入信息網(wǎng)絡(luò)的安全要求。2013年12月，編制組主要成員提出了標(biāo)準(zhǔn)提綱和草稿，隨即召集參與單位聯(lián)系人召開了標(biāo)準(zhǔn)草案的編制工作會(huì)議。經(jīng)過會(huì)上和郵件的交流和討論，形成了編制共識(shí)，最終完成了草案（第一稿）。2014年3月，編制組依托中國通信行業(yè)協(xié)會(huì)-網(wǎng)絡(luò)信息安全組（CCSA-TC8）的安全標(biāo)準(zhǔn)討論會(huì)議，對(duì)標(biāo)準(zhǔn)草案進(jìn)行了討論，會(huì)上華為技術(shù)、中科院數(shù)據(jù)所、中國電信研究院、上海貝爾等單位代表提出了意見和建議，編制組根據(jù)意見進(jìn)行修改，形成了草案（第二稿）。2014年5月，編制組在上海舉辦了討論會(huì)。會(huì)議邀請(qǐng)了公安部信息安全檢測中心、上海交大、華為技術(shù)、無錫物聯(lián)網(wǎng)研究院、博康智能、浙江宇視等、上海辰銳等多個(gè)領(lǐng)域的單位。通過會(huì)議，專家們提出多項(xiàng)意見和建議。會(huì)后，編制組根據(jù)建議進(jìn)行了標(biāo)準(zhǔn)修改，形成了標(biāo)準(zhǔn)草案（第三稿）。2014年6月，編制組參加了CCSA-TC8-WG1的北京工作會(huì)議，與會(huì)專家對(duì)標(biāo)準(zhǔn)草案進(jìn)行了認(rèn)真地審議，編制組根據(jù)意見進(jìn)行了修改完善。2014年7月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC-260）在北京召開了標(biāo)準(zhǔn)編制工作的中期檢查會(huì)，與會(huì)的資深專家認(rèn)真審議了標(biāo)準(zhǔn)草案，并提出了建議和意見。會(huì)后，編制組根據(jù)多項(xiàng)全文意見，進(jìn)行了修改，完成了標(biāo)準(zhǔn)的征求意見稿（第一稿）。之后，編制組主要成員進(jìn)行了全國物聯(lián)網(wǎng)標(biāo)準(zhǔn)工作組和傳感網(wǎng)標(biāo)準(zhǔn)工作組相關(guān)標(biāo)準(zhǔn)編制工作的調(diào)研。2016年7月，標(biāo)準(zhǔn)稿件在經(jīng)過認(rèn)真完善之后，編制組參加了在紹興舉行的CCSA-TC8-WG1的工作會(huì)議，與會(huì)專家提出了標(biāo)準(zhǔn)文稿修改意見，編制組根據(jù)意見進(jìn)行了認(rèn)真修改，完善了征求意見稿。2016年10月，編制組參加了在成都舉行的CCSA-TC8-WG1的工作會(huì)議，與會(huì)專家認(rèn)真審議了標(biāo)準(zhǔn)內(nèi)容，并提出了完善意見，編制組根據(jù)完善意見仔細(xì)修改，完成了稿件。2016年12月，編制組參加了TC260-WG6組織的標(biāo)準(zhǔn)征求意見稿討論會(huì)，與會(huì)專家、廠商和科研院所代表認(rèn)真討論了標(biāo)準(zhǔn)的各部分章節(jié)內(nèi)容，并提出了建議，編制組根據(jù)意見進(jìn)行修改，完善了稿件。4、主要起草人及其工作《信息安全技術(shù)物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求》的國家標(biāo)準(zhǔn)編制組由胡傳平、楊明、齊力、唐前進(jìn)、陶源、張艷、劉澤坤、高峰、夏俊杰、李建清、陳書義、龔潔中等人組成。其中，胡傳平主要負(fù)責(zé)標(biāo)準(zhǔn)編制過程中的各項(xiàng)技術(shù)支持和整體指導(dǎo)。楊明負(fù)責(zé)具體的標(biāo)準(zhǔn)編制工作，包括制定工作計(jì)劃、確定編制內(nèi)容提綱、調(diào)控整體進(jìn)度、安排參編人員的任務(wù)及各文稿的撰寫、上會(huì)討論與修改；齊力、唐前進(jìn)、陶源、張艷主要負(fù)責(zé)標(biāo)準(zhǔn)的前期調(diào)研、現(xiàn)狀分析、標(biāo)準(zhǔn)校對(duì)審核，高峰、夏俊杰、李建清、陳書義、龔潔中主要負(fù)責(zé)標(biāo)準(zhǔn)各版本的內(nèi)容補(bǔ)充、修改和完善。劉澤坤負(fù)責(zé)意見匯總的討論處理、廠商征求意見與反饋等工作。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1、編制原則為使標(biāo)準(zhǔn)的內(nèi)容從一開始就與現(xiàn)有國家標(biāo)準(zhǔn)保持一致，符合我國的實(shí)際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。編制過程中遵循下述幾個(gè)原則：a)符合性：遵循我國有關(guān)法律、法規(guī)，國家標(biāo)準(zhǔn)，國密局等相關(guān)的規(guī)定和技術(shù)規(guī)范。b)實(shí)用性：充分考慮我國物聯(lián)網(wǎng)感知層接入信息網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀，從物聯(lián)網(wǎng)感知層接入信息網(wǎng)絡(luò)涉及的跨網(wǎng)訪問控制、設(shè)備認(rèn)證/鑒別、數(shù)據(jù)安全性、傳輸通道、入侵防范、安全管理等多個(gè)方面進(jìn)行考慮，保障標(biāo)準(zhǔn)的安全可行；c)指導(dǎo)性：充分考慮從感知層終端/網(wǎng)關(guān)，信息網(wǎng)絡(luò)接入系統(tǒng)，傳輸通道等產(chǎn)品設(shè)計(jì)、開發(fā)和選型的信息安全要求；適度考慮已有技術(shù)和產(chǎn)品的更新發(fā)展，并保持一定的前瞻性。2、標(biāo)準(zhǔn)結(jié)構(gòu)本標(biāo)準(zhǔn)的編寫格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則。內(nèi)容包括：范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、概述、信息網(wǎng)絡(luò)接入系統(tǒng)安全技術(shù)要求、感知信息傳輸網(wǎng)絡(luò)安全技術(shù)要求、感知層接入支持安全技術(shù)要求、及典型應(yīng)用示例附錄等。3、主要內(nèi)容a)術(shù)語和概述本標(biāo)準(zhǔn)根據(jù)物聯(lián)網(wǎng)感知層接入信息網(wǎng)絡(luò)的實(shí)際情況，提出了接入信息網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和該網(wǎng)絡(luò)結(jié)構(gòu)下的安全結(jié)構(gòu)。概述從總體上描述了本標(biāo)準(zhǔn)作用于網(wǎng)絡(luò)實(shí)體的三大安全技術(shù)部分（信息網(wǎng)絡(luò)接入系統(tǒng)、感知層信息傳輸網(wǎng)絡(luò)、感知層接入）和涉及的安全內(nèi)容。如圖1所示。圖SEQ圖\*ARABIC1感知層接入信息網(wǎng)絡(luò)的信息安全結(jié)構(gòu)b)安全技術(shù)要求本標(biāo)準(zhǔn)中闡述的安全技術(shù)要求，貫穿于整個(gè)物聯(lián)網(wǎng)感知層接入信息網(wǎng)絡(luò)的實(shí)體鏈路中。并根據(jù)安全結(jié)構(gòu)的三個(gè)組成部分和安全需求的不同，將安全技術(shù)要求分為基本和增強(qiáng)兩個(gè)級(jí)別。——信息網(wǎng)絡(luò)接入系統(tǒng)是信息網(wǎng)絡(luò)接受感知層接入的門戶系統(tǒng)。本標(biāo)準(zhǔn)根據(jù)感知層接入應(yīng)用中普遍存在的設(shè)備標(biāo)識(shí)、鑒別/認(rèn)證、訪問控制、路由安全支持要求、數(shù)據(jù)傳輸要求、密鑰管理、隔離防護(hù)、入侵防護(hù)、日志與審計(jì)等安全內(nèi)容提出了技術(shù)要求?！兄畔鬏斁W(wǎng)絡(luò)是連接感知層與信息網(wǎng)絡(luò)接入系統(tǒng)的網(wǎng)絡(luò)通道，本標(biāo)準(zhǔn)對(duì)傳輸網(wǎng)絡(luò)的通道加密、隔離、抗干擾等提出了技術(shù)要求?！兄獙咏尤胫傅氖歉兄獙又械奈锫?lián)網(wǎng)終端設(shè)備、感知層網(wǎng)關(guān)的信息網(wǎng)絡(luò)接入。其要滿足的安全要求，以支持信息網(wǎng)絡(luò)接入系統(tǒng)的安全要求為重點(diǎn)。因此，標(biāo)準(zhǔn)中以接入系統(tǒng)安全要求的相關(guān)對(duì)應(yīng)形式分基本級(jí)和增強(qiáng)級(jí)，對(duì)感知層實(shí)體標(biāo)識(shí)、接入鑒別/認(rèn)證支持、感知層實(shí)體訪問控制、感知數(shù)據(jù)傳輸安全支持、接入密鑰管理支持、感知層入侵防護(hù)、實(shí)體接入日志與審計(jì)等提出了技術(shù)要求。4、擬解決的問題物聯(lián)網(wǎng)感知層存在環(huán)境開放、終端種類多樣、無人監(jiān)管等實(shí)際情況，其與主干信息網(wǎng)絡(luò)的交互過程中，容易產(chǎn)生多種信息安全問題，對(duì)應(yīng)用造成影響，甚至帶來災(zāi)難。本標(biāo)準(zhǔn)從規(guī)范感知層接入信息網(wǎng)絡(luò)的角度入手，在以原有信息系統(tǒng)為基礎(chǔ)擴(kuò)展物聯(lián)網(wǎng)應(yīng)用的前提下，以保障核心信息系統(tǒng)網(wǎng)絡(luò)的安全利益出發(fā)，規(guī)范物聯(lián)網(wǎng)感知層終端和網(wǎng)關(guān)等設(shè)備在接入通信網(wǎng)絡(luò)時(shí)的信息安全保障措施，提出跨接在物聯(lián)網(wǎng)感知層與通信網(wǎng)絡(luò)之間的接入系統(tǒng)的安全技術(shù)要求。其主要涉及感知數(shù)據(jù)傳輸、信息交互、遠(yuǎn)程設(shè)備控制等應(yīng)用基礎(chǔ)的安全性。本標(biāo)準(zhǔn)適用于指導(dǎo)物聯(lián)網(wǎng)感知層接入核心通信網(wǎng)絡(luò)的規(guī)?；瘧?yīng)用示范和系統(tǒng)工程中的信息安全保障建設(shè)，可以為大型物聯(lián)網(wǎng)互聯(lián)互通、信息共享提供安全保障參照和參考。三、主要試驗(yàn)[或驗(yàn)證]情況分析本標(biāo)準(zhǔn)在編制過程中，主要針對(duì)文件提出的三個(gè)部分的安全技術(shù)要求中的細(xì)化功能進(jìn)行了試驗(yàn)和驗(yàn)證。具體包括：在感知終端、感知層網(wǎng)關(guān)、信息網(wǎng)絡(luò)接入系統(tǒng)、信息傳輸網(wǎng)絡(luò)中實(shí)施的設(shè)備標(biāo)識(shí)、鑒別/認(rèn)證、訪問控制、路由安全支持要求、數(shù)據(jù)傳輸要求、密鑰管理、隔離防護(hù)、入侵防護(hù)、日志與審計(jì)、通道加密、隔離、抗干擾等內(nèi)容。通過試驗(yàn)和驗(yàn)證，本標(biāo)準(zhǔn)中提出的安全要求功能均可實(shí)現(xiàn)。四、知識(shí)產(chǎn)權(quán)情況說明無。五、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況目前國內(nèi)尚無涉及物聯(lián)網(wǎng)感知層接入信息網(wǎng)絡(luò)的安全技術(shù)標(biāo)準(zhǔn)，與原有的GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》、GB/T25068.3-2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》、GB/T25068.4-2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第4部分：遠(yuǎn)程接入的安全保護(hù)》、GB/T25068.5-2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)》等，存在物聯(lián)網(wǎng)應(yīng)用特點(diǎn)和內(nèi)容上的不同。原有標(biāo)準(zhǔn)無法覆蓋物聯(lián)網(wǎng)感知層接入的要求。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)遵循我國有關(guān)法律、法規(guī)，國家標(biāo)準(zhǔn)，國密局等相關(guān)的規(guī)定和技術(shù)規(guī)范。八、重大分歧意見的處理經(jīng)過和依據(jù)目前未出現(xiàn)重大分歧意見。本標(biāo)準(zhǔn)編制過程中，如標(biāo)準(zhǔn)編制組內(nèi)部出現(xiàn)重大意見分歧時(shí)，由標(biāo)準(zhǔn)編制組組長組織召開內(nèi)部調(diào)解會(huì)解決；如標(biāo)準(zhǔn)編制單位之間出現(xiàn)重大意見分歧，由標(biāo)準(zhǔn)編制承擔(dān)單位公安部第三研究所召開參編單位調(diào)解會(huì)解決。如征求意見過程中，各廠家，特別是各部委意見與標(biāo)準(zhǔn)編制組之間出現(xiàn)重大意見分歧，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織召開協(xié)調(diào)會(huì)解決，并認(rèn)真聽取專家意見進(jìn)行修改。九、標(biāo)準(zhǔn)性質(zhì)的建議建議將本標(biāo)準(zhǔn)作為國家標(biāo)準(zhǔn)在全國推薦性實(shí)施。十、貫徹標(biāo)準(zhǔn)的要求和措施建議本標(biāo)準(zhǔn)為設(shè)計(jì)、研發(fā)、選型和集成物聯(lián)網(wǎng)感知層接入信息網(wǎng)絡(luò)應(yīng)用的感知終端/網(wǎng)關(guān)、傳輸網(wǎng)絡(luò)、信息網(wǎng)絡(luò)接入系統(tǒng)提供指導(dǎo)性意見，建議盡快在全國推薦性實(shí)施。該標(biāo)準(zhǔn)通過審查報(bào)批后，標(biāo)準(zhǔn)編制工作組將立即著手啟動(dòng)相應(yīng)的《信息安全物聯(lián)網(wǎng)感知層接入信息網(wǎng)絡(luò)的安全測試方法》的編制工作，有