书签 分享 收藏 举报 版权申诉 / 59

全国信息安全标准化技术委员会:2019物联网安全标准化白皮书(59页).pdf

  • 上传人:风亭
  • 文档编号:14505
  • 上传时间:2020-08-01
  • 格式:PDF
  • 页数:59
  • 大小:2.01MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    全国 信息 安全 标准化 技术委员会 2019 联网 白皮书 59
    资源描述:

    《全国信息安全标准化技术委员会:2019物联网安全标准化白皮书(59页).pdf》由会员分享,可在线阅读,更多相关《全国信息安全标准化技术委员会:2019物联网安全标准化白皮书(59页).pdf(59页珍藏版)》请在三个皮匠报告文库上搜索。

    1、 II 编写单位 中国移动通信集团有限公司、中国电子技术标准化研究院、公安部第 三研究所、电子科技大学、中国信息安全测评中心、中国信息通信研 究院、四川省信息安全测评中心、北京信息安全测评中心、华为技术 有限公司、微软(中国)有限公司、广东为辰信息科技有限公司、中 电长城网际系统应用有限公司。 编写人员 杨建军、张滨、袁捷、刘贤刚、上官晓丽、于生多、李京春、张峰、 邱勤、龚洁中、王军、张伟、孙彦、江为强、赵蓓、武冰梅、李祥军、 闵京华、徐思嘉、马洁、孟楠、常玲、于乐、赵章界、顾健、张艳、 刘继顺、胡津铭、胡亚兰、彭晋、付俊、杜雪涛、张晨、刘利军、 文远、陈欢、张双、柳耀勇、苏郁、赵立君、周剑、。

    2、谢彦昊、罗蕾、 申杰、李允、陈丽蓉、王丹琛、刘冬梅、李冕、黄敏、柳扬。 III 目 录 一、 导论 . 1 1.1 背景及意义 . 1 1.2 定义及范围 . 1 二、 物联网发展现状与趋势 . 3 2.1 物联网网络建设初具规模,呈蓬勃发展趋势 . 3 2.2 物联网催生新应用、新业务,美欧积极推进 . 4 2.3 我国形成完整的物联网产业链,规划智慧城市建设 . 4 三、 物联网安全威胁与挑战 . 5 3.1 传统行业参与多,安全基础较薄弱 . 5 3.2 终端能力差异大,安全防护有短板 . 5 3.3 连接规模海量化,攻击影响易放大 . 5 3.4 业务场景多样化,安全管理有死角 . 6。

    3、 3.5 产业合作链条长,安全责任难厘清 . 6 3.6 数据采集范围广,安全保护难度大 . 6 四、 物联网安全政策和标准 . 7 4.1 安全法律政策 . 7 4.1.1 美国重视物联网安全,战略、政策、立法协同推进 . 7 4.1.2 欧盟建立物联网安全基线,严格保护个人数据和隐私 . 7 4.1.3 日本关注物联网安全,加强终端设备安全保护 . 8 4.1.4 我国物联网安全战略明确,安全管理和技术双管齐下 . 8 4.2 国内外安全标准化情况 . 9 4.2.1 国际标准聚焦安全体系和关键技术 . 9 4.2.2 产业联盟在重点安全方向积极探索 . 11 4.2.3 国内标准多点开花。

    4、、稳步推进 . 12 五、 物联网安全标准化需求 . 14 5.1 物联网安全参考模型 . 14 5.1.1 基于实体的物联网参考模型 . 14 5.1.2 物联网安全参考模型 . 15 IV 5.2 物联网安全需求 . 17 5.2.1 物联网感控设备及卡等安全需求 . 18 5.2.2 物联网网络与传输交换安全需求 . 20 5.2.3 物联网业务应用与服务安全需求 . 21 5.2.4 物联网安全管理与运维安全需求 . 22 5.3 物联网安全标准化需求 . 23 5.3.1 安全模型与术语类标准 . 24 5.3.2 感控设备安全类标准 . 25 5.3.3 网络与交换安全类标准 . 。

    5、26 5.3.4 应用与服务安全类标准 . 26 5.3.5 安全管理与运维类标准 . 27 5.4 物联网安全标准与其它领域标准的关系 . 27 六、 物联网安全标准体系及推进建议 . 29 6.1 物联网安全标准分类 . 29 6.1.1 标准主题分类 . 29 6.1.2 标准类型分类 . 29 6.2 物联网安全标准体系框架 . 30 6.3 标准体系现状分析 . 31 6.3.1 基础与通用类 . 31 6.3.2 感控设备类 . 31 6.3.3 网络与交换类 . 31 6.3.4 应用与服务类 . 32 6.3.5 管理与运维类 . 32 6.4 近期重点工作方向 . 33 6.。

    6、4.1 完善物联网感控设备安全标准的研制 . 33 6.4.2 加快物联网垂直行业的安全标准研制 . 33 6.4.3 推进物联网安全运维与管控标准研制 . 34 6.4.4 开展物联网通用业务服务平台安全规范研制 . 34 6.4.5 加强数据安全标准的应用 . 34 V 七、 物联网安全标准化工作建议 . 35 7.1 不断完善安全标准体系 . 35 7.2 鼓励关键技术标准立项 . 35 7.3 推动安全标准落地应用 . 35 7.4 加强安全标准人才培养 . 36 7.5 打造物联网安全标准与产业生态 . 36 附录 A 已发布及在研的相关标准 . 37 A.1 TC260 物联网安全。

    7、相关标准 . 37 A.2 TC260 适用于物联网的通用相关标准 . 39 A.3 其它组织主要标准 . 40 附录 B 物联网安全标准应用实践案例 . 44 B.1 视频监控领域的应用实践 . 44 B.2 公安核查领域的安全实践 . 45 B.3 智能家居领域的应用实践 . 47 B.4 终端检测领域的应用实践 . 49 B.5 安全管理领域的应用实践 . 50 附录 C 缩略语 . 52 参考文献 . 54 1 一、 导论 1.1 背景及意义 万物互联时代, 5G、 大数据、 人工智能等新技术为物联网 (Internet of Things,IoT)带来了创新活力,物联网与个人及家庭生。

    8、活、工业生 产深度融合,为全社会带来深刻变革。我国“十三五”规划将物联网 作为战略性新兴产业的重要组成内容, 世界各主要国家也纷纷将物联 网上升到国家战略高度。全球物联网正进入跨界融合、集成创新和规 模化发展的新阶段。 物联网面临着错综复杂的安全风险。从管理角度看,物联网应用 涉及国家重要行业、关键基础设施,产业合作链条长、数据采集范围 广、业务场景多,各类应用场景的业务规模、责任主体、数据种类、 信息传播形态存在差异, 为物联网安全管理带来挑战。 从技术角度看, 物联网涉及通信网络、云计算、移动 APP、WEB 等技术,本身沿袭 了传统互联网的安全风险, 加之物联网终端规模巨大、 部署环境复。

    9、杂, 传统安全问题的危害在物联网环境下会被急剧放大。 我国政府早在 2013 年就将安全能力建设纳入物联网发展规划。 近年来,随着物联网技术应用的不断成熟,物联网安全标准化得到进 一步重视,成为国家促进关键信息基础设施保护、行业应用安全可控 的重要抓手。值此物联网产业发展的关键时期,加快研制应用物联网 安全基础标准和关键技术标准,尤其是工业互联网、车联网、智能家 居等产业急需的物联网安全服务标准,已成为尤为紧迫的一项工作。 本白皮书梳理了国内外物联网发展现状、法律政策背景、安全标 准化进展以及安全防护技术的研究情况, 提出了物联网安全标准体系 及后续工作建议,旨在为物联网安全监管机构、标准研究。

    10、及测评认证 机构、物联网产业建设和运营商提供参考,推动各相关方在物联网安 全领域达成共识,协同完善物联网安全标准研发及应用体系,支撑国 家安全监管政策有效落地,促进物联网产业健康持续发展。 1.2 定义及范围 1999 年,美国麻省理工学院提出“物联网”的概念,指将所有 2 物品通过射频识别等信息传感设备与互联网连接起来, 实现智能化识 别和管理的网络。2005 年,国际电信联盟(ITU)发布了ITU 互联网 报告 2005:物联网 ,对“物联网”的涵义进行了扩展,指出世界上 所有的物体都可以通过因特网主动进行信息交换。 随着物联网的发展 成熟,其内涵和外延也在不断发生变化。 2017 年发布。

    11、的国家标准物联网 术语 (GB/T 33745-2017)以 及 2018 年 发 布 的 国 际 标 准 ISO/IEC 20924:2018 Information technology - Internet of Things Definition and vocabulary均给出 物联网的定义,即“通过感知设备,按照既定协议,连接物、人、系 统和信息资源, 实现对物理和虚拟世界的信息进行处理并做出反应的 智能服务系统” 。 其中,“物” 指物理实体。 国际标准ISO/IEC 22417:2017 Internet of things (IoT) - IoT use cases中提出物。

    12、联网的应用场景包 括交通、家居、公共建筑、办公、工业、农业、渔业、穿戴、机车、 智慧城市等 14 个方面。 本白皮书遵照现有 ISO 国际标准及国家标准对物联网的定义, 对 物联网安全标准化现状及需求进行研究分析。 3 二、 物联网发展现状与趋势 在万物互联时代,物联网实现了人与物、物与物之间的信息交互 和通信,通过与各行业深度融合,催生了智能家居、智慧城市、个人 智能穿戴等新兴应用领域,衍生出繁荣多样的物联网业务,使人们获 得更为便捷的生产、生活体验。 当前,美、欧等发达国家均将物联网作为国家级战略新兴产业快 速推进,中国也在“十三五”规划中明确提出了物联网国家战略,将 “物联网应用推广”列。

    13、为国家八大信息化专项工程之一,物联网时代 已到来。 2.1 物联网网络建设初具规模,呈蓬勃发展趋势 根据 GSMA 数据,截至 2019 年 8 月,全球已建成 119 张商用移 动物联网(NB-IoT 和 LTE-M) ,覆盖欧洲、美洲、澳洲、亚洲的大部 分地区。 图 2.1 全球移动物联网建设图(来自GSMA) 其中,中国电信、中国移动、中国联通三家运营商均已实现 NB- IoT 的商用部署, 共部署超过 70 万 NB-IoT 基站。 截至 2018 年年底, 中国的授权频段蜂窝物联网连接数为 6.72 亿,占亚太地区的 90%以 上、全球物联网连接数的 60%以上。预计到 2025 年。

    14、,中国的授权频 谱蜂窝物联网连接数将增加到 19 亿左右,物联网呈现出蓬勃发展的 4 趋势。 2.2 物联网催生新应用、新业务,美欧积极推进 物联网网络的大规模建设催生了智能物流、 智能停车、 智能烟感、 智能抄表、 智能制造、 智慧交通等行业应用, 改变了人们的生活方式, 带来极大的便利性,同时也为企业创造了新的业务和商业模式,赋能 各行各业。以智能物流为例,通过物联网技术实现对货物的检测和运 输车辆的跟踪,实现了物流运输、仓储、配送等各个环节的全面感知 和分析,提升了物流行业的运输效率和智能化水平。 各国政府也在积极部署推进物联网应用的发展。 2015 年, 美国政 府宣布投入 1.6 亿。

    15、美元推动智慧城市计划,将物联网应用试验平台的 建设作为首要任务。 欧盟成立了横跨欧盟及产业界的物联网创新联盟 (AIOTI) ,投入 5000 万欧元,通过咨询委员会和推进委员会统领新 的“四横七纵”体系架构,将包括物联网欧洲研究集群(IERC) 、地 平线 2020 在内的 11 个工作组纳入旗下, 统筹原本散落在不同部门和 组织的能力资源,协同推进欧盟物联网整体跨越式创新发展。 2.3 我国形成完整的物联网产业链,规划智慧城市建设 目前我国已经初步形成了覆盖芯片和元器件、设备、软件、系统 集成、网络运营、物联网服务在内的较为完整的产业链,形成了长三 角、珠三角、环渤海和中西部四大物联网产业。

    16、聚集发展区,在无锡、 重庆、杭州建立了三个国家级物联网产业示范基地。 我国有一半以上的城市正在进行“智慧城市”规划,其主要应用 项目依次为公共安全、交通、医疗、社区、环保、地下管网监测、水 务、教育等,这些应用均以自动感知为基础、数据采集为手段、智能 控制为核心、精细管理和服务提升为目的,实现了物联网技术的综合 集成应用。 5 三、 物联网安全威胁与挑战 随着物联网与个人生活及各行各业的深度融合, 物联网呈现出与 传统网络不同的特性。首先,终端连接数量非常巨大,且终端形态多 样, 有各类摄像头、 传感器等; 在通信层面, 终端的接入方式多样化, 包括 2/3/4/5G、WiFi、蓝牙、Zigb。

    17、ee、LoRa、NB-IoT 等多种无线接入 技术;此外,物联网的业务种类繁多,根据具体业务的不同,短信、 数据、语音等不同功能进行组合以满足物联网业务需求。新特性带来 新挑战,物联网面临复杂的安全风险与挑战。 3.1 传统行业参与多,安全基础较薄弱 大量传统行业, 包括交通、 医疗、 家居、 物流、 工农业和安防等, 借助物联网技术达成产业升级。这些传统行业的 ICT 系统起步较晚, 安全保障能力较难应对物联网安全风险挑战。具体来说,安全风险主 要集中在平台侧。 物联网业务系统和平台使用的基础环境及组件包括 虚拟机、云平台、数据库、各类中间件、web 应用等,由于软件本身 设计或业务处理流程。

    18、存在漏洞,存在认证绕过、非授权访问、篡改数 据、远程控制、服务中断等安全风险。 3.2 终端能力差异大,安全防护有短板 大部分物联网终端设备的计算资源较低, 使得很多适用于通用计 算设备的安全防护功能无法实现,抗攻击能力较差。其次,物联网终 端物理位置分散,很多设备均处在户外,无人值守,难于统一管理, 容易遭受物理攻击,导致设备非法移动、人为破坏、感知节点丢失甚 至无法工作, 此外, 由于物联网终端数量大、 部署分散, 升级成本高, 用户升级意愿低等因素,导致众多物联网终端长期“带病”运行,易 被恶意控制。 3.3 连接规模海量化,攻击影响易放大 物联网终端规模巨大,且以集群的方式存在,攻击者。

    19、容易通过暴 力破解、发送恶意数据包、利用已知漏洞等方式控制物联网终端,构 建僵尸网络,发动 DDoS 拒绝服务攻击,导致网络拥塞、瘫痪、服务 中断,且由于终端数量庞大,这种攻击造成的危害被急剧放大。 6 3.4 业务场景多样化,安全管理有死角 随着物联网与各行业的深度融合,物联网业务种类多,业务场景 和逻辑更加复杂多样,存在业务滥用、防护不足等安全风险。物联网 重要业务与普通业务在平台、网络方面未实现分级安全防护,业务防 护能力不足, 易导致业务系统被攻击。 此外, 在消费者物联网等领域, 物联网终端如智能家居设备、 智能穿戴设备等贴近终端销售者和用户, 易出现机卡分离,易发生物联网卡被滥用于。

    20、发送垃圾短信、违规获利 等,催生黑色产业链。 3.5 产业合作链条长,安全责任难厘清 物联网业务涉及到的合作伙伴多,合作链条长,涉及到用户、设 备制造商、网络运营商、服务提供者等多个利益方,一旦出现安全问 题, 安全责任界面难以划分。 例如, 若厂家生产的设备存在安全隐患, 则直接影响网络及业务平台的安全, 同时联网终端大部分属于广大用 户,由用户管理,安全管理要求难以要求用户落实,一旦发生安全事 件,存在终端用户、运营商、平台厂商责任不清的风险。 3.6 数据采集范围广,安全保护难度大 物联网采集了大量的个人及行业数据,基于大数据、云计算、AI 等技术深挖数据的价值,为个人和行业提供了更高效。

    21、便捷的服务。数 据在物联网时代成为了一项重要的资产。然而,采集的数据不可避免 地会包含敏感数据如个人隐私、生产数据、位置信息等,而敏感数据 在收集、传输、存储、处理的各个阶段均有被泄露的安全风险。 7 四、 物联网安全政策和标准 4.1 安全法律政策 4.1.1 美国重视物联网安全,美国重视物联网安全,战略、政策、立法战略、政策、立法协同推进协同推进 美国是较为重视物联网安全的国家之一, 从战略制定、 政策落实、 立法方面协同推进物联网安全的建设工作。2016 年美国国土安全部 发布了保障物联网安全战略原则 ,制定了物联网安全高级原则, 提出要在设计阶段考虑安全问题、加强安全更新和漏洞管理、建。

    22、立安 全操作方法、根据影响优先考虑安全措施、提升透明度、谨慎接入互 联网等。2017 年颁布的 13800 号总统行政令加强联邦网络和关键 基础设施的网络安全 提出美国需增强应对僵尸网络及其他自动化和 分布式威胁的能力。为落实 13800 号总统令,美国国家电信和信息管 理局 (NTIA) 发布了征求评议文件 促进利益相关者对僵尸网络和其 他自动威胁的行动 ,以应对物联网安全尤其是僵尸网络分布式拒绝 服务(DDoS)攻击威胁。美国国家标准与技术研究所(NIST)也开 展了物联网环境下增强网络弹性及应对僵尸网络威胁的解决方案的 研究。在立法方面,加州于 2018 年 9 月 28 日批准的物联网。

    23、设备网 络安全法 ,是世界上首部针对物联网设备的网络安全法规,从法律 层面规定了物联网设备的安全要求。2019 年 6 月,美国众议院通过 了物联网网络安全改进法案 ,除了要求每家企业都提升其制造的 联网设备的安全性, 该法案还希望对联邦政府使用的任何物联网设备 设定最低的安全标准。 4.1.2 欧盟建立物联网安全基线,严格保护个人数据和隐私欧盟建立物联网安全基线,严格保护个人数据和隐私 欧盟侧重于物联网安全基线的设置及用户数据的保护。2017 年 11 月 20 日,欧盟网络空间安全局(European Union Agency for Cybersecurity)发布的欧盟关键信息基础设施。

    24、环境中的物联网安全 基线指南 ,对物联网安全现状及安全基线建议进行了全面总结,以 期进一步促进欧洲物联网产业的健康快速发展。其主要内容包括:物 联网的体系架构、威胁和风险分析、安全方法和实践、差距分析以及 改进物联网安全的高层建议。2018 年 5 月 25 日正式生效的通用数 据保护条例对企业的数据保护义务提出了全新的监管要求,严格规 8 定了企业对客户数据的搜集、存储使用的规范和准则。 4.1.3 日本日本关注物联网安全,加强终端设备安全保护关注物联网安全,加强终端设备安全保护 日本针对物联网安全的法律法规制定相对美国起步较晚, 总务省 于 2017 年 10 月出台了物联网安全综合对策 。

    25、,对物联网安全对策 进行部署。此外,为了减少黑客利用物联网设备攻击东京奥运会基础 设施的可能性,2019 年 1 月,日本通过一项法律修正案, 允许政府人 员使用默认密码和密码词典来尝试登陆日本消费者的物联网设备, 将 政府人员尝试登录私人物联网设备的行为合法化。2019 年 4 月,日 本总务省就关于物联网设备的安全标准和技术标准合格认证指南 征求意见,以便明确终端设备的安全标准和认证。 4.1.4 我国物联网安全战略明确,安全管理和技术双管齐下我国物联网安全战略明确,安全管理和技术双管齐下 我国政府早在 2013 年就在政策规划中将物联网安全纳入工作体 系,并持续推进物联网安全建设工作。2。

    26、013 年发布的国务院关于推 进物联网有序健康发展的指导意见 中提出应建立健全物联网安全测 评、风险评估、安全防范、应急处置等机制。2017 年制定的物联网 “十三五”规划中明确了构建完善标准体系,提升安全保障能力等 具体任务目标。2017 年 5 月,中央网信办、国家质检总局、国家标准 委联合发布 “十三五”信息化标准工作指南 ,鼓励加快推进物联网 等重点技术标准的研制 。2019 年 2 月,全国信安标委印发全国信 息安全标准化技术委员会 2019 年度工作要点 , 明确加快工业控制系 统安全、汽车网络安全、智能门锁安全等重点领域标准研制。2019 年 8 月, 工信部等十部门发布 加强工。

    27、业互联网安全工作的指导意见 , 明确了到 2020 年制定设备、平台、数据等至少 20 项亟需的工业互联 网安全标准的工作目标。由此可见,中国物联网安全工作目标逐步细 化,安全标准工作有序推进。 此外, 相比国外, 中国的安全管理和技术保障要求较为严格。 2019 年两部委对电信运营商的考核重点之一是物联网、 通信能力开放平台 相关应用及服务等业务的反诈、数据安全、个人信息保护安全,要求 健全安全管理与技术保障措施。近期出台的网络安全等级保护 2.0 相 关标准也明确了物联网安全要求,包括感知节点物理防护、感知节点 9 设备安全、数据融合处理等方面,共划分 4 个等级、8 个控制点、21 个要。

    28、求项。 在法律方面, 我国政府已出台网络安全相关的法律和配套规范性 文件, 包括 中国人民共和国网络安全法 、国家网络安全应急预案 、 网络产品和服务安全审查办法 、网络关键设备和网络安全专用产 品目录等,为物联网行业安全监管提供了法律制度依据。 4.2 国内外安全标准化情况 在安全标准方面, 国内外标准组织近年来不断推进物联网安全标 准的制定。从标准的分布来看,国内外标准组织由于出发点和利益点 不同,各有侧重。国际主要标准化组织中,现有物联网安全标准聚焦 在安全体系框架、网络安全、隐私保护、设备安全,侧重于基础框架 和技术。产业联盟如 5G 汽车联盟(5GAA)/工业互联网联盟(IIC) 也在重点应用领域开展了具体场景下的安全标准研制。 我国重视物联 网安全监管及技术保障, 目前的物联网安全标准化工作已在安全参考 模型、感知及无线安全技术、重点行业应用等多个领域开展。 4.2.。

    展开阅读全文
      三个皮匠报告文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:全国信息安全标准化技术委员会:2019物联网安全标准化白皮书(59页).pdf
    链接地址:https://www.sgpjbg.com/baogao/14505.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 联系我们 - 行业研究网

    copyright@ 2008-2013        长沙景略智创信息技术有限公司版权所有
    网站备案/许可证号:湘ICP备17000430号-2