国家标准网络安全等级保护安全设计技术要求第4部分物联网安全.DOC

国家标准《网络安全等级保护安全设计技术要求 第4部分：物联网安全要求》编制说明工作简况任务来源《信息安全技术 网络安全等级保护安全设计技术要求 第4部分：物联网系统安全要求》是国家标准化管理委员会 2015年下达的信息安全国家标准制定项目，国标计划号为：GB/T 25070.4-2010，由工业和信息化部电信研究院承担，参与单位包括公安部第一研究所、公安部第三研究所、中国电子科技集团公司第十五研究所、中国电子信息产业集团有限公司第六研究所、北京信息安全测评中心、北京神州绿盟信息安全科技股份有限公司、北京华大智宝电子系统有限公司、北京天融信科技股份有限公司、阿里巴巴云计算技术有限公司、华为技术有限公司等单位。主要工作过程1)准备阶段2013年4月，在公安部11局的统一领导下，工业和信息化部电信研究同协作单位共同成立标准编写项目组。2）调研阶段标准起草组成立以后，项目组调研了物联网安全相关的国内外标准，参考了国内等级保护相关标准，对物联网系统的安全需求、安全风险进行了充分讨论和分析。为了真实了解行业内的安全要求，项目组也对行业内的企事业单位进行了调研。3）编写阶段2014年4月-8月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。标准起草组按照分工，对标准各部分进行了编写，形成了《信息系统等级保护安全设计技术要求 第4部分：物联网系统安全》（草案）。4）第一次征求专家意见2014年9月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。项目组根据专家意见，对标准进行了修改。5）第二次征求专家意见 2014年10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。项目组召开讨论会，根据专家评审意见修改完善6）第三次征求专家意见 2015年8月，公安部11局组织业内专家对标准初稿进行了研讨，专家认为标准达到了项目申报要求。项目组根据专家意见修改后，提交安标委立项。7）参加全国信安标委2016年第二次会议周以及标准名称变更2016年10月参加在成都举办的全国信息安全标准委员会2016年第二次会议周，在WG5工作组内汇报了标准草案的编写进展以及标准草案内容，会议表决通过了将标准草案推进到征求意见稿阶段。2016年11月按照《网络安全法》（草案）要求，国家实施网络安全等级保护制度，同时与母标准《信息安全技术 网络安全等级保护安全设计技术要求 第1部分：安全通用要求》保持一致，将标准中“信息系统”改为“网络安全”；按照公安部组织的专家评审会以及TC260 WG5工作组会议中专家意见，将标准名称变更为《网络安全等级保护安全设计技术要求 第4部分：物联网安全要求》。编制原则和主要内容2.1 编制原则本标准的研究与编制工作遵循以下原则：1）科学性与实用性相结合的原则科学性是标准化的最基本原则，规范的科学性直接关系到该体系能否对物联网系统安全起到积极、稳定和长久的正面作用。实用性表明标准体系是否与实际情况相符合，是标准化研究中最重要的基本原则。科学性与实用性相结合就是理论与实践相结合在标准体系研究中的具体体现。2）先进性与开放性相结合的原则在执行本标准研制项目时，要积极引入先进的管理理念和前沿技术，充分考虑到物联网系统未来发展的方向和特点。但同时也要考虑到目前的需求和技术水平，使规范能够根据科学技术以及需求的变化而不断进行扩充和完善。3）安全性和可用性相结合的原则本规范用来指导和规范物联网系统等级保护安全设计，是安全范畴的规范。但是规范在起草过程中不能一味地追求绝对安全，而应根据当前物联网系统的实际情况，构建保证业务系统可用性基础上的适度安全体系。2.2 主要内容在标准制定过程中，项目组依据国家信息安全等级保护相关标准和《信息系统安全等级保护基本要求物联网要求》，首先，研究物联网系统架构；然后研究物联网系统安全等级划分和安全等级保护设计框架；在此基础上，根据分析得出三级物联网系统安全设计目标和设计策略，进而得出三级物联网系统的安全设计要求；最后，对三级设计要求进行削弱、增强得出二级、四级物联网系统安全设计要求。1、研究物联网系统架构物联网是将感知设备通过互联网等网络连接起来构成的一个应用系统，它融合信息系统和物理世界实体，是虚拟世界与现实世界的结合。物联网从架构上可分为三个逻辑层，即感知层、网络层、应用层。2、研究物联网系统安全等级保护设计框架在分析物联网系统安全分析的基础上，参照GB/T25070《信息安全技术 信息系统等级保护安全设计技术要求》，结合物联网系统的特点，构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系。信息系统等级