物聯(lián)網(wǎng) 面向Web開放服務(wù)的系統(tǒng)安全要求征求意見稿編制說(shuō)明

PAGEPAGE6國(guó)家標(biāo)準(zhǔn)《物聯(lián)網(wǎng)面向web開放服務(wù)的系統(tǒng)安全要求》編制說(shuō)明一、工作簡(jiǎn)況（一）任務(wù)來(lái)源根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2019年下達(dá)的標(biāo)準(zhǔn)制定計(jì)劃《物聯(lián)網(wǎng)面向Web開放服務(wù)的系統(tǒng)物體交互安全要求》（計(jì)劃編號(hào)20192141-T-469），主辦單位為中國(guó)電子科技集團(tuán)公司信息科學(xué)研究院，該標(biāo)準(zhǔn)由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC28）歸口。（二）參與單位及主要起草人本文件起草單位：中國(guó)電子科技集團(tuán)公司信息科學(xué)研究院、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、公安部第三研究所、北京信息科技大學(xué)、杭州?？低晹?shù)字技術(shù)股份有限公司、中電科技（北京）有限公司、中國(guó)科學(xué)技術(shù)大學(xué)、豪爾賽科技集團(tuán)股份有限公司、北京東方通科技有限公司、無(wú)錫物聯(lián)網(wǎng)產(chǎn)業(yè)研究院、無(wú)錫物聯(lián)網(wǎng)創(chuàng)新中心有限公司、上海集成通信設(shè)備有限公司、浙江互靈物聯(lián)科技有限公司、上海高等技術(shù)研究院、騰訊科技（深圳）有限公司、北京電信規(guī)劃設(shè)計(jì)院有限公司、富士康工業(yè)互聯(lián)網(wǎng)股份有限公司、金卡智能集團(tuán)股份有限公司。本文件主要起草人：王凡、李孟良、楊宏、鄒昕、陳群華、張健、孫亮、劉姝、賈彥鶴、付根利、劉繼順、李琳、苗付友、張志龍、王樂(lè)菲、董接蓮、馬秀麗、王振明、李赟、李家京、王暉、梁艷龍、張學(xué)琴、周羽波。（三）編制過(guò)程本文件由中國(guó)電子科技集團(tuán)公司信息科學(xué)研究院申請(qǐng)立項(xiàng)，并于2019年立項(xiàng)被批復(fù),起草工作從2019年1月起，經(jīng)過(guò)內(nèi)部協(xié)調(diào)討論確定標(biāo)準(zhǔn)制定工作方案,完成標(biāo)準(zhǔn)框架和編寫要求，并于2020年10月形成標(biāo)準(zhǔn)內(nèi)審稿。具體的工作階段如下：1、2019年1月：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院成立標(biāo)準(zhǔn)編制工作組，正式啟動(dòng)項(xiàng)目，確定標(biāo)準(zhǔn)制定工作計(jì)劃，明確了任務(wù)分工。2、2019年2月-7月：標(biāo)準(zhǔn)編制工作組進(jìn)行國(guó)內(nèi)外相關(guān)資料的收集和分析，開展論證調(diào)研，經(jīng)多次組內(nèi)研討，確定了標(biāo)準(zhǔn)范圍和框架，并形成標(biāo)準(zhǔn)草案。3、2019年8月-12月：根據(jù)標(biāo)準(zhǔn)技術(shù)內(nèi)容實(shí)際應(yīng)用情況的反饋，經(jīng)過(guò)組內(nèi)研討交流，對(duì)標(biāo)準(zhǔn)草案進(jìn)行修改完善，形成標(biāo)準(zhǔn)草案V1.0。4、2020年1月-5月：標(biāo)準(zhǔn)工作組邀請(qǐng)物聯(lián)網(wǎng)領(lǐng)域相關(guān)專家通過(guò)線上會(huì)議對(duì)標(biāo)準(zhǔn)初稿V1.0進(jìn)行研討，并根據(jù)專家意見進(jìn)行修改完善，形成標(biāo)準(zhǔn)草案V2.0。5、2020年6月：在國(guó)家物聯(lián)網(wǎng)基礎(chǔ)標(biāo)準(zhǔn)工作組的全會(huì)上成立了標(biāo)準(zhǔn)編制工作組，正式啟動(dòng)項(xiàng)目，對(duì)各階段標(biāo)準(zhǔn)草案進(jìn)行了充分討論，制定本文件工作計(jì)劃，明確任務(wù)分工。會(huì)后根據(jù)各方研討意見進(jìn)行修改完善，形成標(biāo)準(zhǔn)草案V3.0。6、2020年7月：經(jīng)過(guò)內(nèi)部對(duì)標(biāo)準(zhǔn)草案V3.0多次研討、修訂，標(biāo)準(zhǔn)編制組邀請(qǐng)物聯(lián)網(wǎng)領(lǐng)域相關(guān)專家通過(guò)線上會(huì)議對(duì)各階段標(biāo)準(zhǔn)草案進(jìn)行研討，提出建設(shè)性意見，并根據(jù)專家意見進(jìn)行修改完善，形成標(biāo)準(zhǔn)草案V4.0。7、2020年8月：經(jīng)過(guò)內(nèi)部對(duì)標(biāo)準(zhǔn)多次研討、修訂，標(biāo)準(zhǔn)編制組相關(guān)單位通過(guò)線上會(huì)議進(jìn)行標(biāo)準(zhǔn)編輯，對(duì)已形成的工作組草案稿進(jìn)行修改完善，形成標(biāo)準(zhǔn)草案V5.0。8、2020年9月：經(jīng)過(guò)內(nèi)部對(duì)標(biāo)準(zhǔn)多次研討、修訂，標(biāo)準(zhǔn)編制組相關(guān)單位通過(guò)線上會(huì)議進(jìn)行標(biāo)準(zhǔn)編輯，根據(jù)各方研討意見進(jìn)行修改完善，形成標(biāo)準(zhǔn)草案V5.0。9、2020年10月：在北京召開標(biāo)準(zhǔn)編制工作組全體成員大會(huì)，根據(jù)各方研討意見進(jìn)行了修改完善，并對(duì)細(xì)節(jié)的編輯性和表述性問(wèn)題進(jìn)行了通篇修改和完善，形成內(nèi)審稿。10、2020年12-2021年1月：專家對(duì)標(biāo)準(zhǔn)內(nèi)審稿進(jìn)行了審查，調(diào)整了文本結(jié)構(gòu)。標(biāo)準(zhǔn)編制組根據(jù)專家意見進(jìn)行了修改，形成標(biāo)準(zhǔn)征求意見稿。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題(一)標(biāo)準(zhǔn)編制原則1、規(guī)范性。本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》的要求編寫。2、科學(xué)性和先進(jìn)性。本文件在編制過(guò)程中充分參考國(guó)內(nèi)外物聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)，設(shè)計(jì)本文件框架體系，理順各環(huán)節(jié)關(guān)系，規(guī)范我國(guó)面向Web開放服務(wù)的系統(tǒng)安全要求。3、可操作性。國(guó)家很重視物聯(lián)網(wǎng)應(yīng)用安全。本文件從我國(guó)物聯(lián)網(wǎng)應(yīng)用安全實(shí)際情況出發(fā)，制定出滿足我國(guó)物聯(lián)網(wǎng)應(yīng)用安全發(fā)展需求的國(guó)家標(biāo)準(zhǔn)，為物聯(lián)網(wǎng)產(chǎn)業(yè)健康持續(xù)發(fā)展提供支撐。4、公正性。本文件主持起草單位站在客觀公正的立場(chǎng)上起草本文件每項(xiàng)條款。(二)標(biāo)準(zhǔn)技術(shù)內(nèi)容本文件將安全要求分為基本要求和增強(qiáng)要求兩類?；疽筮m合于一般物聯(lián)網(wǎng)信息系統(tǒng)安全。增強(qiáng)要求是在基本要求的基礎(chǔ)上的補(bǔ)充，即相對(duì)于基本要求的增強(qiáng)。增強(qiáng)要求適合于具有較高安全需求的系統(tǒng)，例如，GB/T22239-2019規(guī)定的三級(jí)及三級(jí)以上的物聯(lián)網(wǎng)信息系統(tǒng)。本文件在根據(jù)面向Web開放服務(wù)的系統(tǒng)中信息交互主體，將內(nèi)容劃分交互主體安全和交互過(guò)程安全。本文件對(duì)信息交互主體之間的交互方式進(jìn)行歸納總結(jié)：終端與網(wǎng)關(guān)交互、終端與Web服務(wù)器交互、網(wǎng)關(guān)與Web服務(wù)器交互。因此交互主體安全包括物理安全、軟件安全和靜態(tài)數(shù)據(jù)安全。交互主體所處物理環(huán)境很重要，本文件要求部署在機(jī)房環(huán)境的交互主體，機(jī)房環(huán)境應(yīng)符合GB/T9361-2011和GB/T2887相關(guān)要求；運(yùn)行在交互主體的軟件、操作系統(tǒng)分別應(yīng)符合GB/T30998-2014中軟件運(yùn)行使用的安全保障相關(guān)要求和GB/T20272-2019中6.2節(jié)的要求；交互主體采集、存儲(chǔ)、處理或生成的靜態(tài)數(shù)據(jù)應(yīng)符合GB/T36951-2018、GB/T37024-2018、GB/T20270-2006相關(guān)要求。交互過(guò)程安全包括通信信道安全、通信協(xié)議安全和動(dòng)態(tài)數(shù)據(jù)安全。通信信道安全應(yīng)符合GB/T37093-2018相關(guān)要求，動(dòng)態(tài)數(shù)據(jù)安全應(yīng)符合GB/T37025-2018相關(guān)要求。本文件主要解決面向Web開放服務(wù)的系統(tǒng)中信息交互主體之間進(jìn)行信息交換時(shí)安全問(wèn)題，從交互主體安全和交互過(guò)程安全兩方面進(jìn)行規(guī)范，以提高信息交互過(guò)程安全性，為推動(dòng)物聯(lián)網(wǎng)產(chǎn)業(yè)建設(shè)提供參考。本文件規(guī)定了面向Web開放服務(wù)的系統(tǒng)交互安全要求，包括物理安全、軟件安全、靜態(tài)數(shù)據(jù)安全、接入安全、通信安全、動(dòng)態(tài)數(shù)據(jù)安全。本文件適用于面向Web開放服務(wù)的物聯(lián)網(wǎng)系統(tǒng)的設(shè)計(jì)、開發(fā)與實(shí)現(xiàn)，為面向Web開放服務(wù)的系統(tǒng)信息交互安全提供指導(dǎo)。三、主要試驗(yàn)[或驗(yàn)證]情況分析本文件起草單位主要來(lái)自于從事物聯(lián)網(wǎng)技術(shù)研究、應(yīng)用和安全的單位，在本文件修訂的過(guò)程中，不斷的將標(biāo)準(zhǔn)中的內(nèi)容作用于項(xiàng)目實(shí)踐中，通過(guò)實(shí)踐進(jìn)一步完善該標(biāo)準(zhǔn)，從而確保本文件的可行性、有效性。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明本文件不涉及知識(shí)產(chǎn)權(quán)。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果本文件是基礎(chǔ)共性類標(biāo)準(zhǔn)，目前在物聯(lián)網(wǎng)產(chǎn)業(yè)內(nèi)已有根據(jù)本文件設(shè)計(jì)的物聯(lián)網(wǎng)軟件系統(tǒng)應(yīng)用基礎(chǔ)，包括物聯(lián)網(wǎng)家居、物聯(lián)網(wǎng)視頻安防等，均在應(yīng)用本文件中的安全要求。本文件的應(yīng)用可使面向Web開放服務(wù)的物聯(lián)網(wǎng)系統(tǒng)在設(shè)計(jì)階段就提高安全性能，在大規(guī)模推廣應(yīng)用時(shí)，大幅降低因系統(tǒng)安全問(wèn)題導(dǎo)致的經(jīng)濟(jì)損失和社會(huì)影響。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況無(wú)七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本文件與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)相協(xié)調(diào)。八、重大分歧意見的處理經(jīng)過(guò)和依據(jù)無(wú)。九、標(biāo)準(zhǔn)性質(zhì)的建議建議作為推薦性國(guó)家標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議為有效貫徹本文件，建議依托國(guó)家物聯(lián)網(wǎng)基礎(chǔ)標(biāo)