信息安全技术 物联网安全参考模型及通用要求
物联网安全是社会发展的趋势,我国已经在物联网安全上发布了相关的标准 GB/T 37044-2018 信息安全技术 物联网安全参考模型及通用要求 http://www.github5.com/view/613
物联网安全参考模型,包括物联网安全对象及各对象的安全责任,并规定了物联网系统的安全通用要求。 本标准适用于各应用领域物联网系统的规划设计、开发建设、运维管理、废弃退出等整个生存周期,也可为各组织定制自身的物联网安全标准提供基线参考。
物联网安全概述物联网参考安全分区是在物联网参考体系结构的基础上,对不同域及其子域的安全需求进行分析,并结合实际应用后得出的结果,是指导设计物联网安全参考模型的一个重要逻辑空间维度。对于各个域的划分及功能说明见 GB/T33474—2016。
本标准定义的物联网系统生存周期的四个生存阶段,是指导设计物联网安全参考模型的时间维度。物联网基本安全防护措施是以传统互联网信息安全防护为基础,综合考虑物联网系统的特殊安全风险与威胁,推导总结出了针对物联网的相应安全防护措施,适用于对物联网参考安全分区的具体安全加固实现。 物联网安全参考模型是由物联网参考体系结构经过分区抽象,结合系统生存周期及基本安全防护措施共同建立而成,能够为设计和实施物联网系统信息安全防护提供参考。 物联网参考体系结构、参考安全分区、系统生存周期、基本安全防护措施与安全参考模型之间的关 系如图1所示。
不同的物联网应用系统的部署环境差异较大,因此在规划设计阶段既需要考虑到周围的环境对于感知终端的安全性影响,采用适当的安全措施将降低此类风险;同时还需要考虑到上层用户系统对底层感知终端的访问权限问题,避免非法操控行为。
开发建设在该阶段,相关人员需要部署实现所有安全防护功能的相应机制和具体措施,包括保障系统中数据的保密性、完整性和可用性,身份认证及访问控制机制、用户隐私保护、密钥协商机制、防重放攻击、抗DDoS攻击等,以保障物联网系统的整体信息安全保护能力。
运维管理物联网应用系统最终是需要在现实环境中开展运营服务的,运维管理阶段的信息安全保障水平直接关系到整个系统的效率,因此该阶段的信息安全保护能力要求不仅包括系统安全监控,更多的在于信息安全管理,在有健全的安全管理制度的同时,还需要有配套的控制落实措施。
废弃退出物联网应用系统到期废弃后,需要对原来采集的数据、访问日志等信息进行及时的备份或销毁处理,部分设备在复用之前需要进行必要的初始化状态重置、缓存数据清理等操作,避免原系统信息的泄露。
物联网安全通用要求根据安全参考模型,物联网系统的每一个参考安全区及每一个生存周期阶段都面临相应的信息安全风险,需要提供针对性的保护措施,但并非每一个参考安全分区在每一个生存周期阶段都需要进行安全防护考虑。通用要求是对所有物联网系统应该达到的信息安全保障能力的基线要求,是指导一般物联网系统在“何处何时”需要进行基本的安全防护(见表1),具有较强的通用性,具体物联网系统可以根据不同需求在此基础上进行安全增强。
GB/T 37044-2018 信息安全技术 物联网安全参考模型及通用要求 下载地址 http://www.github5.com/view/613
