信息安全技术网络安全等级保护设计技术要求物联网安全要求.docx
《信息安全技术网络安全等级保护设计技术要求物联网安全要求.docx》由会员分享,可在线阅读,更多相关《信息安全技术网络安全等级保护设计技术要求物联网安全要求.docx(40页珍藏版)》请在冰点文库上搜索。
信息安全技术网络安全等级保护设计技术要求物联网安全要求
信息安全技术网络安全等级保护安全设计技术要求第4部分:
物联网安全要求
11 范围
本标准依据《网络安全等级保护安全设计技术要求第1部分:
安全通用要求》和《网络安全等级保护基本要求第4部分:
物联网安全扩展要求》,规范了信息系统等级保护安全设计要求对物联网系统的扩展设计要求,包括第一级至第四级物联网系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。
本标准适用于指导信息系统等级保护物联网系统安全技术方案的设计和实施,也可作为信息安全职能部门对物联网系统进行监督、检查和指导的依据。
12 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T25069-2010信息安全技术术语
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T22240-2008信息安全技术信息系统安全等级保护定级指南
GB/T25070-2010网络安全等级保护安全设计技术要求第1部分:
安全通用要求
GB/T22239.4-XXXX网络安全等级保护基本要求第4部分:
物联网安全扩展要求
GB/TXXXX物联网第2部分:
术语
GB/TXXXX物联网第3部分:
参考体系结构与通用技术要求
13 术语和定义
下列术语和定义适用于本标准。
13.1
定级系统classifiedsystem
按照已确定安全保护等级的物联网系统。
定级系统分为第一级、第二级、第三级和第四级物联网系统。
13.2
定级系统安全保护环境securityenvironmentofclassifiedsystem
由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。
定级系统安全保护环境包括第一级物联网系统安全保护环境、第二级物联网系统安全保护环境、第三级物联网系统安全保护环境、第四级物联网系统安全保护环境以及定级系统的安全互联。
13.3
安全计算环境securecomputingenvironment
对定级系统的信息进行存储、处理及实施安全策略的相关部件。
安全计算环境按照保护能力划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境和第四级安全计算环境。
13.4
安全区域边界secureareaboundary
对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。
安全区域边界按照保护能力划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界和第四级安全区域边界。
13.5
安全通信网络securecommunicationnetwork
对定级系统安全计算环境和信息安全区域之间进行信息传输及实施安全策略的相关部件。
安全通信网络按照保护能力划分第一级安全通信网络、第二级安全通信网络、第三级安全通信网络和第四级安全通信网络。
13.6
安全管理中心securitymanagementcenter
对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。
第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心,称为第二级安全管理中心、第三级安全管理中心和第四级安全管理中心。
13.7
跨定级系统安全管理中心securitymanagementcenterforcrossclassifiedsystem
跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。
13.8
定级系统互联classifiedsysteminterconnection
通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。
13.9
物联网internetofthings(IOT)
物联网是将感知节点设备(含RFID)通过互联网等网络连接起来构成的一个应用系统,它融合信息系统和物理世界实体,是虚拟世界与现实世界的结合。
13.10
物联网安全securityforIOT
对物联网机密性、完整性、可用性、私密性的保护,并可能涉及真实性、责任制、不可否认性和可靠性等其他属性。
13.11
物联网安全等级保护IOTsecurityofclassifiedprotection
根据物联网安全的程度进行等级划分,对物联网系统分等级进行保护和管理,对物联网信息安全事件分等级响应和处置。
13.12
网关节点设备thesensorlayergateway
网关节点设备是一种以将感知节点设备所采集的数据传输到数据处理中心的关键出口,是连接传统信息网络(有线网、移动网等)和传感网的桥梁,其安全设置也区分对感知层的安全设置和对网络传输层的安全设置。
简单的感知层网关只是对感知数据的转发(因电力充足),而智能的感知层网关可以包括对数据进行适当处理、数据融合等业务。
13.13
物联网感知层sensorlayerofIOT
物联网感知层是指能形成物联网应用的集物理信息采集、简单处理、自动控制、短距离传输和汇聚的系统,包括感知设备、感知层网关以及二者之间的短距离通信(通常为无线)。
13.14
感知sensing
通过感知设备获得对象的信息的过程。
13.15
感知设备sensornode
也叫感知终端设备(endsensor)、终端感知节点设备(endsensornode),是物联网系统的最终端设备或器件,能够通过有线、无线方式发起或终结通信,采集物理信息和/或接受控制的实体设备。
13.16
数据新鲜性datafreshness
数据新鲜性是防止已经成功接收的历史数据再次被接收处理(通过历史数据列表比对),或超出数据接收时间(时间戳过期)的数据被接收,或超出合法性范围(如计数器无效)的数据被接收。
不满足新鲜性的数据一般不予处理,其目的是用于防止数据重放攻击。
14 物联网系统安全等级保护设计概述
依据GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》和GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分:
物联网安全扩展要求》,结合物联网系统的特点,构建在安全管理中心支持下的安全计算环境、安全区域边界、安全通信网络三重防御体系。
信息系统等级保护物联网安全设计包括各级系统安全保护环境的设计及其安全互联的设计。
各级系统安全保护环境由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心组成,其中安全计算环境、安全区域边界、安全通信网络是在计算环境、区域边界、通信网络中实施相应的安全策略。
定级系统互联由安全互联部件和跨定级系统安全管理中心组成。
图1物联网系统安全保护设计框架
安全管理中心支持下的物联网系统安全保护设计框架如图1所示,物联网感知层和应用层都由完成计算任务的计算环境和连接网络通信域的区域边界组成。
●安全计算环境
包括物联网系统感知层和应用层中对定级系统的信息进行存储、处理及实施安全策略的相关部件,如感知设备、感知层网关、主机及主机应用等。
●安全区域边界
包括物联网系统安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件,如感知层和网络层之间的边界、网络层和应用层之间的边界等。
●安全通信网络
包括物联网系统安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部件,如网络层的通信网络以及感知层和应用层内部安全计算环境之间的通信网络等。
●安全管理中心
包括对定级物联网系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台,包括系统管理、安全管理和审计管理三部分,只有第二级及第二级以上的安全保护环境设计有安全管理中心。
物联网系统根据业务和数据的重要性可以划分不同的安全防护区域,所有系统都必须置于相应的安全区域内,并实施一致的安全策略。
物联网系统安全区域划分如图2所示,该图指出了物联网系统的三层架构和三种主要的安全区域划分方式,以及安全计算环境、安全区域边界、安全通信网络、安全管理中心在物联网系统中的位置。
图2物联网系统安全区域划分示意图
●安全区域A包括应用层安全计算环境、感知层安全计算环境、网络层组成的安全通信网络以及安全区域边界;
●安全区域B包括应用层安全计算环境、网络层组成的安全通信网络、安全子域B1以及安全区域边界;
●安全区域B1作为安全区域B的子域,包括感知层安全计算环境及其安全边界。
图中每个安全区域由安全区域边界进行防护,安全区域A和安全区域B通过安全通信网络进行通信,安全区域内部的应用层和感知层通过网络层实现物联网数据信息和控制信息的双向传递。
物联网系统的网络层可被视为安全通信网络的逻辑划分,将感知层采集的数据信息向上传输到应用层,并将应用层发出的控制指令信息向下传输到感知层。
15 第一级物联网系统安全保护环境设计
15.1 设计目标
第一级物联网系统安全保护环境的设计目标是:
按照GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分:
物联网安全扩展要求》对第一级物联网系统的安全保护要求,实现定级系统的自主访问控制,使系统用户对其所属客体具有自我保护的能力。
15.2 设计策略
第一级系统安全保护环境的设计策略是:
遵循GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分:
物联网安全扩展要求》的4.1中相关要求,以身份鉴别为基础,按照物联网对象进行访问控制。
感知层以身份标识和身份鉴别为基础,提供数据源认证;以区域边界准入控制提供区域边界保护;以数据校验等手段提供数据的完整性保护。
第一级物联网系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网络的设计加以实现。
15.3 设计技术要求
第一级安全计算环境应从以下方面进行安全设计:
15.3.1 安全计算环境设计技术要求
15.3.1.1 身份鉴别
a)用户身份鉴别(见GB/T250705.3.1.a))
应支持用户标识和用户鉴别。
在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份;在每次用户登录系统时,采用口令鉴别机制进行用户身份鉴别,并对口令数据进行保护。
b)物联网系统身份鉴别
(1)感知设备和感知层网关的身份标识和鉴别,安全管理中心对感知设备和感知层网关进行统一入网标识管理和维护;
(2)应采用常规鉴别机制对感知设备发送的数据进行鉴别,确保数据来源于正确的感知设备。
15.3.1.2 自主访问控制(见GB/T250705.3.1.b))
应在安全策略控制范围内,使用户/用户组对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户/用户组。
访问控制主体的粒度为用户/用户组级,客体的粒度为文件或数据库表级。
访问操作包括对客体的创建、读、写、修改和删除等。
15.3.1.3 数据完整性保护
a)用户数据完整性保护(见GB/T250705.3.1.c))
可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。
b)物联网系统数据完整性保护
可采用常规校验机制,检验感知设备生存信息的完整性,以发现其完整性是否被破坏。
15.3.1.4 恶意代码防范(见GB/T250705.3.1.d))
应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码。
15.3.2 安全区域边界设计技术要求
第一级安全区域边界应从以下方面进行安全设计:
15.3.2.1 区域边界包过滤(见GB/T250705.3.2.a))
可根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。
15.3.2.2 区域边界恶意代码防范(见GB/T250705.3.2.b))
可在安全区域边界设置防恶意代码软件,并定期进行升级和更新,以防止恶意代码入侵。
15.3.2.3 物联网系统区域边界准入控制
应在安全区域边界设置准入控制机制,保证合法设备接入。
15.3.3 安全通信网络设计技术要求
第一级安全通信网络应从以下方面进行安全设计:
15.3.3.1 通信网络数据传输完整性保护(见GB/T250705.3.3.)
通信网络数据传输完整性保护。
可采用常规校验机制,检验通信网络数据传输的完整性,并能发现其完整性被破坏。
15.3.3.2 感知层网络数据传输完整性保护
应采用常规校验机制,检验感知层网络敏感数据传输的完整性,并能发现其完整性被破坏。
15.3.3.3 感知层网络数据传输新鲜性保护
应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、计数器等,以实现感知层网络数据传输新鲜性保护。
15.3.3.4 异构网安全接入保护
应采用接入认证等技术建立异构网络的接入认证系统,保障控制信息的安全传输。
16 第二级物联网系统安全保护环境设计
16.1 设计目标
第二级物联网系统安全保护环境的设计目标是:
按照GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分:
物联网安全扩展要求》对第二级物联网系统的安全保护要求,在第一级系统安全保护环境的基础上,增加感知层访问控制、区域边界审计等安全功能,使系统具有更强的安全保护能力。
16.2 设计策略
第二级系统安全保护环境的设计策略是:
遵循GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分:
物联网安全扩展要求》的5.1中相关要求,感知层以身份鉴别为基础,提供对感知设备和感知层网关的访问控制;以区域边界协议过滤与控制和区域边界安全审计等手段提供区域边界防护,以增强系统的安全保护能力。
第二级物联网系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。
16.3 设计技术要求
16.3.1 安全计算环境设计技术要求
第二级安全计算环境应从以下方面进行安全设计:
16.3.1.1 身份鉴别
a)用户身份鉴别(见GB/T250706.3.1.a))
应支持用户标识和用户鉴别。
在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
b)物联网系统身份鉴别
(1)感知设备和感知层网关的身份标识和鉴别,安全管理中心对感知设备和感知层网关进行统一入网标识管理和维护,并确保在系统整个生存周期设备标识的唯一性;
(2)应采用常规鉴别机制对感知设备发送的数据进行鉴别,确保数据来源于正确的感知设备;
(3)应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法等,对假冒用户使用未授权的业务应用或者合法用户使用未定制的业务应用进行鉴别,防止末端感知设备身份伪造和克隆等攻击。
16.3.1.2 访问控制
a)自主访问控制(见GB/T250706.3.1.b))
应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。
访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。
访问操作包括对客体的创建、读、写、修改和删除等。
b)物联网系统访问控制
(1)通过制定安全策略如访问控制列表,实现对感知设备的访问控制;
(2)感知设备和其他设备(感知层网关、其他感知设备)通信时,根据安全策略对其他设备进行权限检查,只有权限检查通过后,才允许设备间开始通信。
16.3.1.3 系统安全审计(见GB/T250706.3.1.c))
应提供安全审计机制,记录系统的相关安全事件。
审计记录包括安全事件的主体、客体、时间、类型和结果等内容。
该机制应提供审计记录查询、分类和存储保护,并可由安全管理中心管理。
16.3.1.4 数据完整性保护
a)用户数据完整性保护(见GB/T250706.3.1.d))
可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。
b)物联网系统数据完整性保护
可采用常规校验机制,检验感知设备生存信息、鉴别信息、隐私性数据和重要业务数据的完整性,以发现其完整性是否被破坏。
16.3.1.5 用户数据保密性保护(见GB/T250706.3.1.e))
可采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。
16.3.1.6 客体安全重用(见GB/T250706.3.1.f))
应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。
16.3.1.7 恶意代码防范(见GB/T250706.3.1.g))
应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码。
16.3.2 安全区域边界设计技术要求
第二级安全区域边界应从以下方面进行安全设计:
16.3.2.1 区域边界包过滤(见GB/T250706.3.2.a))
应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。
16.3.2.2 区域边界安全审计(见GB/T250706.3.2.b))
应在安全区域边界设置审计机制,并由安全管理中心统一管理。
16.3.2.3 区域边界恶意代码防范(见GB/T250706.3.2.c))
应在安全区域边界设置防恶意代码网关,由安全管理中心管理。
16.3.2.4 区域边界完整性保护(见GB/T250706.3.2.d))
应在区域边界设置探测器,探测非法外联等行为,并及时报告安全管理中心。
16.3.2.5 区域边界准入控制
应在安全区域边界设置准入控制机制,能够对设备进行认证,保证合法设备接入,拒绝恶意设备接入。
16.3.2.6 区域边界协议过滤与控制
应在安全区域边界设置协议检查,对通信报文进行合规检查。
16.3.3 安全通信网络设计技术要求
第二级安全通信网络应从以下方面进行安全设计:
16.3.3.1 通信网络安全审计(见GB/T250706.3.3.a))
应在安全通信网络设置审计机制,由安全管理中心管理。
16.3.3.2 通信网络数据传输完整性保护(见GB/T250706.3.3.b))
可采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护。
16.3.3.3 通信网络数据传输保密性保护(见GB/T250706.3.3.c))
可采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。
16.3.3.4 感知层网络数据传输完整性保护
应采用密码等技术支持的完整性校验机制如国家密码行政主管部门规定的轻量级数字摘要算法、签名算法等,以实现感知层网络敏感数据传输完整性保护。
16.3.3.5 感知层网络敏感数据传输保密性保护
应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的轻量级对称加密算法、非对称加密算法等,以实现感知层网络数据传输保密性保护。
16.3.3.6 感知层网络数据传输新鲜性保护
应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、计数器等,以实现感知层网络数据传输新鲜性保护。
16.3.3.7 异构网安全接入保护
(1)应采用接入认证等技术建立异构网络的接入认证系统,保障控制信息的安全传输;
(2)应采用入侵检测等技术拒绝恶意设备的接入,保证合法设备不被恶意设备攻击而被拒绝接入,保证网络资源的可使用性。
16.3.4 安全管理中心设计技术要求
16.3.4.1 系统管理
a)信息系统管理(见GB/T250706.3.4.1)
可通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
b)物联网系统管理
应通过系统管理员对感知层的资源和运行进行配置、控制和管理,包括感知设备身份管理、标识管理、感知节点退出管理等。
16.3.4.2 安全管理
应通过安全管理员对系统中所使用的密钥进行统一管理,包括密钥的生成、分发、更新、存储、备份、销毁等,并采取必要措施保证密钥安全。
16.3.4.3 审计管理(见GB/T250706.3.4.2)
可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等。
应对安全审计员进行身份鉴别,并只允许其通过特定的命令或操作界面进行安全审计操作。
17 第三级物联网系统安全保护环境设计
17.1 设计目标
第三级物联网系统安全保护环境的设计目标是:
按照GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分:
物联网安全扩展要求》对第三级物联网系统的安全保护要求,在第二级系统安全保护环境的基础上,增加区域边界恶意代码防范、区域边界访问控制等安全功能,使系统具有更强的安全保护能力。
17.2 设计策略
第三级系统安全保护环境的设计策略是:
遵循GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分:
物联网安全扩展要求》的6.1中相关要求,感知层实现感知设备和感知层网关双向身份鉴别;以区域边界恶意代码防范、区域边界访问控制等手段提供区域边界防护;以密码技术等手段提供数据的完整性和保密性保护,以增强系统的安全保护能力。
第三级物联网系统安全保护环境的设计通过第三级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。
17.3 设计技术要求
17.3.1 安全计算环境设计技术要求
第三级安全计算环境应从以下方面进行安全设计:
17.3.1.1 身份鉴别
a)用户身份鉴别(见GB/T250707.3.1.a))
应支持用户标识和用户鉴别。
在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
b)物联网系统身份鉴别
(1)感知设备和感知层网关的身份标识和鉴别,安全管理中心对感知设备和感知层网关进行统一入网标识管理和维护,并确保在系统整个生存周期设备标识的唯一性;
(2)感知层网关与感知设备之间应采用受安全管理中心控制的口令、密钥或具有相应安全强度的其他机制实现双向的身份鉴别,并对鉴别数据进行保密性和完整性保护;
(3)应采用密码等技术支持的