國家標準《信息安全技術 物聯網數據傳輸安全技術要求》征求意見稿全文
責編:mhshi |2017-05-26 13:38:082017年5月24日,全國信息安全標準化技術委員會發布國家標準《信息安全技術 物聯網數據傳輸安全技術要求》征求意見稿,征求意見截止日期為2017年7月7日。以下是征求意見稿全文。
聯系人:許玉娜???xuyuna@cesi.cn?? 010—64102731
標準文本:信息安全技術物聯網數據傳輸安全要求(點擊下載)
《信息安全技術 ?物聯網數據傳輸安全技術要求》
國家標準編制說明
- 工作簡況
- 任務來源
物聯網被認為是下一代IT潮流,設備將能夠通過網絡傳輸客戶和產品數據。汽車、冰箱和其他設備連接物聯網后,都可以產生并傳輸數據,指導公司的產品銷售和創新。同時,消費者也可以使用連接物聯網的設備收集自己的信息,比如現在的智能手環可以收集每天走多少步,心跳次數和睡眠質量等數據。
目前,物聯網領域標準不一,讓物聯網市場碎片化。例如智能家居系統使用一套標準,醫療健康系統優勢一套標準,甚至同樣的領域,廠商的軟件也指支持自己的設備。沒有廠商愿意生產支持所有設備的通用程序,因此,集成數據和創建無縫的客戶體驗就成了難題。特別地,物聯網安全標準的缺乏也讓用戶擔心不同的設備如何保護客戶數據的隱私和安全。隱私和安全是市場的敏感區域,如果物聯網不能夠保護好數據,很可能陷入危險的境地。”
有鑒于此,為了推進物聯網產業在中國快速、健康的發展,2014年12月,全國信息安全標準化技術委員會將“信息安全技術物聯網數據傳輸安全技術要求”課題下達給北京工業大學。
本標準工作組由北京工業大學、中國電子技術標準化研究院、中央財經大學、公安部第三研究所、中國科學院軟件研究所、北京郵電大學、西安電子科技大學、無錫物聯網產業研究院等組成。
本項目最終成果為:《信息安全技術 ?物聯網數據傳輸安全技術要求》國家標準。
- 主要工作過程
??主要工作過程如下:
- 2015年3-4月,課題組結合各參與單位的意見和實際系統的安全測評,進行任務研究分工,研究國內外相關標準內容,結合實際情況和各成員返回意見對標準草案編制方案進行了初步規劃。
- 2015年5月,明確標準研制思路,項目組編制標準草案。
- 2015年6月,組織了標準草案研討會,討論已制定內容,根據研討會各成員專家意見對內容進行完善。
- 2015年6月,進行信安標委專家研討會,收集整理專家組修改意見,對草案下一步寫作及修改內容進行制定。
- 2015年7月,進行第二次成員單位研討會,討論信安標委專家研討會會議內容及修改辦法。
- 2015年6-9月,調研國內外物聯網現狀,與成員單位物聯網企業進行交流調研,進行資料收集整理。
- 2015年9-12月,整理現有資料和調研結果,根據國內外物聯網信息與安全技術標志研究報告。
- 2016年1月,與公安物聯網小組進行研討會,交換意見。
- 2016年2月,結合目前所有研究結果,對草案內容進行補充,按照信安標委專家要求盡快形成標準草案稿,征求意見表,編制說明。
- 2016年3月-2017年3月,結合目前研究現狀和各專家意見,對草案進行修改完善,形成征求意見稿。
- 編制原則和主要內容
- 編制原則
本標準的編寫遵循感知終端部署技術、短距離傳輸技術與網絡數據傳輸技術相結合、在傳統網絡安全技術的基礎之上,突破物聯網本身的特性,繼承與創新并重的原則,以需求為導向,以企業為主體,致力于為新興的物聯網廠商和企業在產品安全問題上引導路線掃除障礙、致力于物聯網由雛形向逐步成熟推動其進一步發展。
在比較傳統互聯網與物聯網的共性與特性的前期充分準備下,以前人的研究成果為基礎,提出自己的對物聯網的整合觀點和架構,分析其各個部分的結構和安全威脅隱患,并研究應對措施,從而提取安全要求共性,站在可執行性的角度對物聯網感知層和網絡層的數據傳輸制定安全技術要求。同時工作組在標準編制的過程中一貫堅持自主知識產權、成本和易用性等主要衡量指標,跟蹤和融合國際相關領域技術發展態勢,聚眾家所長的基本指導思想,并遵循以下原則:
- 基于團隊合作與自主研發,高水平高質量完成物聯網數據傳輸安全技術指導。
- 技術上繼承了傳統的互聯網信息安全防護基本機制。
- 從實現功能、優化成本、推進產業化等因素出發,走產學研相結合的路線,以面向應用為原則,作為評判技術方案的依據。
- 工作組成員單位進行產品開發和互聯互通驗證,同時聽取專家意見,形成客觀標準技術。
- 充分考慮未來產品的應用需求和技術發展的基礎上,標準實施是開放是建立,遞進式推進。
此外,在標準寫作和采標上,我們將遵循以下原則:
- 積極采用國家標準和國外先進標準的技術,并貫徹國家有關政策與法規;
- 標準編制要具有一定的先進性、科學性、可行性、實用性和可操作性;
- 標準內容要符合中國國情,廣泛征求用戶、企業、專家和管理部門的意見,并做好意見的正確處理;
- 面向市場,參編自愿;標準編制工作與意見處理,應堅持公平、公正,切實支持產業發展;
- 合理利用國內已有標準科技成果,處理好標準與知識產權的關系;
- 采用理論與實踐相結合的工作方法,開展標準驗證試點工作,并充分利用國內已有的各類可信計算重點項目、示范項目的建設經驗,處理好標準的先進性和實用性之間的關系;
- 盡可能吸納成熟的技術和已有共識的框架結構,適當的提出前瞻性的規范。引導交換體系應用向著成熟穩定和良好結構的方向發展。
- 面向實際應用需求,重點解決具有共性的交換問題,而不涉及應用面狹窄或者使用落后技術的交換應用,或者純學術研究型交換技術和不成熟的技術。
- 標準結構和編寫規則,按照GB/T1.1-2000執行。
- 主要內容
1)研究對象
我們對國內外物聯網框架進行研究,研究傳統三層框架以及六域模型,確定物聯網數據傳輸安全技術要求。
《物聯網白皮書(2014年)》(工業和信息化部電信研究院)中提出的物聯網框架中,以及各機構提出的物聯網框架中都把物聯網分為三層框架。即感知層、網絡層、應用層(圖1)。
圖 1?物聯網三層傳輸框架
????三層模型中數據傳輸在感知層、網絡層、應用層中都有發生。
另外,物聯網基礎組提出物聯網六域模型(見圖2),將物聯網分為六個域,其中通信模型描述了物聯網域間及域內實體之間網絡通信關系。
圖 2?六域傳輸模型
2)傳輸安全問題
感知層是物聯網的信息源頭,本層中包含各種類型的傳感器、條碼識讀器、射頻識別設備和生物識別設備,通過這些設備感知物理世界中各類客體對象,獲取對象的信息并將其數據化。網絡層主要用于把感知層收集到的信息安全可靠地傳輸到信息處理層,然后根據不同的應用需求進行信息處理,實現對客觀世界的有效感知及有效控制。
物聯網數據傳輸信息安全威脅是指利用任何手段能夠使感知層、網絡層的信息產生、讀取和傳輸遭到破壞的情況。感知層的信息安全威脅包括信號感知安全威脅和數據傳輸安全威脅。感知層的信號感知安全威脅發生在“被感知對象”,“傳感設備”以及處于被感知對象和傳感設備之間的“感知信號通道”三個環節上,分別表現為針對被感知對象的安全攻擊、針對傳感設備的安全攻擊和針對信號環境的安全攻擊。網絡層的信息安全威脅主要體現在保障數據的保密性、完整性和可用性。
3)標準主要內容
本標準通過規物聯網數據傳輸安全參考架構,并按照分級思想,把數據傳輸安全分為基礎級和增強級。
為了有助于實現基礎級與增強級要求,有從另外一個角度(身份、行為、能力)描述安全屬性。
最后給出安全能力自查表以助于使用者考查自身安全能力級別,并給出參考實施指南以供實施參考。主要包括內容如下:
前言
引言
1范圍
2規范性引用文件
3術語和定義
4物聯網數據傳輸安全概述
4.1 物聯網數據傳輸安全模型
4.2 安全防護范圍
4.3 安全分級原則
5 基礎級安全技術要求
5.1 數據傳輸完整性
5.2 數據傳輸可用性
5.3 數據傳輸隱私
5.4 數據傳輸信任
5.5 信息傳輸策略和程序
5.6 信息傳輸協議
5.7 保密或非擴散協議
6 增強級安全技術要求
6.1 數據傳輸完整性
6.2 數據傳輸可用性
6.3 數據傳輸保密性
6.4 數據傳輸隱私
6.5 數據傳輸信任
6.6 信息傳輸策略和程序
6.7 信息傳輸協議
6.8 保密或非擴散協議
附 錄 A (資料性附錄) 數據傳輸安全能力要求與自查表
A.1數據傳輸安全能力要求
A.2數據傳輸安全能力自查表
附 錄 B (資料性附錄) 物聯網域模型與層模型的比較
- 采用國際標準和國外先進標準的程度,以及與國際、國外同類標準水平的對比情況,或與測試的國外樣品、樣機的有關數據對比情況
本標準自主研發。經查閱,無國內外同類標準
- 與有關的現行法律、法規和強制性國家標準的關系
本標準是在物聯網已有標準體系中針對數據傳輸的安全方面提出的技術要求,在物聯網的整體技術框架中,無論是從感知層到網絡層,還是由網絡層到實際應用層,數據的獲取和通信無處不在,數據從產生到獲取到存儲到應用及最后的消失,就是無數個數據的生命周期組成了物聯網這個龐大的系統,也是無數數據的流動和通信成就了物聯網在現實生活中的巨大作用,因此數據是關鍵,數據的安全性,直接影響到網絡的安全性關乎整個物聯網的安全性。國際國內現有的相關物聯網的標準技術,大體可分為以下幾類:物聯網整體架構標準;物聯網感知層標準;物聯網網絡層標準;物聯網應用層標準;物聯網共性技術標準等。本標準是安全技術要求標準,屬于共性技術標準范疇。可用于指導感知層和網絡層有關數據傳輸層面的技術革新和企業在感知層和網絡層的相關產品開發。本標準在已有框架和技術標準的基礎上,分析結合制定而來,與物聯網其他技術標準是繼承、結合、相互適應又融會貫通的關系。其他標準與本標準之間,前者使技術成為可能,后者使行為得到規范和保護,只有二者相輔相成,齊頭并進,才能推進整個物聯網行業真正向前發展。
- 重大分歧意見的處理經過和依據
編制過程中未出現重大分歧。其他詳見意見匯總處理表。
- 國家標準作為強制性國家標準或推薦性國家標準的建議
本標準是物聯網中數據傳輸部分通用安全技術要求標準,建議將本標準作為推薦性標準發布實施。
- 貫徹國家標準的要求和措施建議(包括組織措施、技術措施、過渡辦法等內容)
本標準作為國家物聯網信息安全相關標準體系的一部分,配合實施。
- 其他事項說明
本標準不涉及專利。
標準編制組
2017年3月