2017年5月24日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 物联网数据传输安全技术要求》征求意见稿,征求意见截止日期为2017年7月7日。以下是征求意见稿全文。
联系人:许玉娜 xuyuna@cesi.cn 010—64102731
标准文本:信息安全技术物联网数据传输安全要求(点击下载)
《信息安全技术 物联网数据传输安全技术要求》
国家标准编制说明
物联网被认为是下一代IT潮流,设备将能够通过网络传输客户和产品数据。汽车、冰箱和其他设备连接物联网后,都可以产生并传输数据,指导公司的产品销售和创新。同时,消费者也可以使用连接物联网的设备收集自己的信息,比如现在的智能手环可以收集每天走多少步,心跳次数和睡眠质量等数据。
目前,物联网领域标准不一,让物联网市场碎片化。例如智能家居系统使用一套标准,医疗健康系统优势一套标准,甚至同样的领域,厂商的软件也指支持自己的设备。没有厂商愿意生产支持所有设备的通用程序,因此,集成数据和创建无缝的客户体验就成了难题。特别地,物联网安全标准的缺乏也让用户担心不同的设备如何保护客户数据的隐私和安全。隐私和安全是市场的敏感区域,如果物联网不能够保护好数据,很可能陷入危险的境地。”
有鉴于此,为了推进物联网产业在中国快速、健康的发展,2014年12月,全国信息安全标准化技术委员会将“信息安全技术物联网数据传输安全技术要求”课题下达给北京工业大学。
本标准工作组由北京工业大学、中国电子技术标准化研究院、中央财经大学、公安部第三研究所、中国科学院软件研究所、北京邮电大学、西安电子科技大学、无锡物联网产业研究院等组成。
本项目最终成果为:《信息安全技术 物联网数据传输安全技术要求》国家标准。
本标准的编写遵循感知终端部署技术、短距离传输技术与网络数据传输技术相结合、在传统网络安全技术的基础之上,突破物联网本身的特性,继承与创新并重的原则,以需求为导向,以企业为主体,致力于为新兴的物联网厂商和企业在产品安全问题上引导路线扫除障碍、致力于物联网由雏形向逐步成熟推动其进一步发展。
在比较传统互联网与物联网的共性与特性的前期充分准备下,以前人的研究成果为基础,提出自己的对物联网的整合观点和架构,分析其各个部分的结构和安全威胁隐患,并研究应对措施,从而提取安全要求共性,站在可执行性的角度对物联网感知层和网络层的数据传输制定安全技术要求。同时工作组在标准编制的过程中一贯坚持自主知识产权、成本和易用性等主要衡量指标,跟踪和融合国际相关领域技术发展态势,聚众家所长的基本指导思想,并遵循以下原则:
此外,在标准写作和采标上,我们将遵循以下原则:
1)研究对象
我们对国内外物联网框架进行研究,研究传统三层框架以及六域模型,确定物联网数据传输安全技术要求。
《物联网白皮书(2014年)》(工业和信息化部电信研究院)中提出的物联网框架中,以及各机构提出的物联网框架中都把物联网分为三层框架。即感知层、网络层、应用层(图1)。
图 1 物联网三层传输框架
三层模型中数据传输在感知层、网络层、应用层中都有发生。
另外,物联网基础组提出物联网六域模型(见图2),将物联网分为六个域,其中通信模型描述了物联网域间及域内实体之间网络通信关系。
图 2 六域传输模型
2)传输安全问题
感知层是物联网的信息源头,本层中包含各种类型的传感器、条码识读器、射频识别设备和生物识别设备,通过这些设备感知物理世界中各类客体对象,获取对象的信息并将其数据化。网络层主要用于把感知层收集到的信息安全可靠地传输到信息处理层,然后根据不同的应用需求进行信息处理,实现对客观世界的有效感知及有效控制。
物联网数据传输信息安全威胁是指利用任何手段能够使感知层、网络层的信息产生、读取和传输遭到破坏的情况。感知层的信息安全威胁包括信号感知安全威胁和数据传输安全威胁。感知层的信号感知安全威胁发生在“被感知对象”,“传感设备”以及处于被感知对象和传感设备之间的“感知信号通道”三个环节上,分别表现为针对被感知对象的安全攻击、针对传感设备的安全攻击和针对信号环境的安全攻击。网络层的信息安全威胁主要体现在保障数据的保密性、完整性和可用性。
3)标准主要内容
本标准通过规物联网数据传输安全参考架构,并按照分级思想,把数据传输安全分为基础级和增强级。
为了有助于实现基础级与增强级要求,有从另外一个角度(身份、行为、能力)描述安全属性。
最后给出安全能力自查表以助于使用者考查自身安全能力级别,并给出参考实施指南以供实施参考。主要包括内容如下:
前言
引言
1范围
2规范性引用文件
3术语和定义
4物联网数据传输安全概述
4.1 物联网数据传输安全模型
4.2 安全防护范围
4.3 安全分级原则
5 基础级安全技术要求
5.1 数据传输完整性
5.2 数据传输可用性
5.3 数据传输隐私
5.4 数据传输信任
5.5 信息传输策略和程序
5.6 信息传输协议
5.7 保密或非扩散协议
6 增强级安全技术要求
6.1 数据传输完整性
6.2 数据传输可用性
6.3 数据传输保密性
6.4 数据传输隐私
6.5 数据传输信任
6.6 信息传输策略和程序
6.7 信息传输协议
6.8 保密或非扩散协议
附 录 A (资料性附录) 数据传输安全能力要求与自查表
A.1数据传输安全能力要求
A.2数据传输安全能力自查表
附 录 B (资料性附录) 物联网域模型与层模型的比较
本标准自主研发。经查阅,无国内外同类标准
本标准是在物联网已有标准体系中针对数据传输的安全方面提出的技术要求,在物联网的整体技术框架中,无论是从感知层到网络层,还是由网络层到实际应用层,数据的获取和通信无处不在,数据从产生到获取到存储到应用及最后的消失,就是无数个数据的生命周期组成了物联网这个庞大的系统,也是无数数据的流动和通信成就了物联网在现实生活中的巨大作用,因此数据是关键,数据的安全性,直接影响到网络的安全性关乎整个物联网的安全性。国际国内现有的相关物联网的标准技术,大体可分为以下几类:物联网整体架构标准;物联网感知层标准;物联网网络层标准;物联网应用层标准;物联网共性技术标准等。本标准是安全技术要求标准,属于共性技术标准范畴。可用于指导感知层和网络层有关数据传输层面的技术革新和企业在感知层和网络层的相关产品开发。本标准在已有框架和技术标准的基础上,分析结合制定而来,与物联网其他技术标准是继承、结合、相互适应又融会贯通的关系。其他标准与本标准之间,前者使技术成为可能,后者使行为得到规范和保护,只有二者相辅相成,齐头并进,才能推进整个物联网行业真正向前发展。
编制过程中未出现重大分歧。其他详见意见汇总处理表。
本标准是物联网中数据传输部分通用安全技术要求标准,建议将本标准作为推荐性标准发布实施。
本标准作为国家物联网信息安全相关标准体系的一部分,配合实施。
本标准不涉及专利。
标准编制组
2017年3月