GA_T 1267-2015公安物联网感知层信息安全技术导则.pdf

ICS 35.020GAA 90中华人民共和国公共安全行业标准GA/T 1267--2015公安物联网感知层信息安全技术导则Technical guidelines for sensing layer information securityof internet of things of public security2015-07-16 发布2015-07-16实施中华人民共和国公安部发布 GA/T 1267—2015前言本标准按照GB/T1.1一2009给出的规范起草，本标准由公安部第一研究所提出。本标准由公安部计算机与信息处理标准化技术委员会归口。本标准起草单位：公安部第一研究所、公安部第三研究所。本标主要起草人：范红、李程远、邵华、胡志昂、张洪斌、李海涛、张冬芳、韩煜、杜大海、王冠周东平、金丽娜、齐力、赵会敏、杨明、刘鑫、唐前进、李娜。1 GA/T 1267--2015公安物联网感知层信息安全技术导则1范围本标准规定了公安物联网感知层信息安全通用技术要求。本标准适用于指导公安物联网感知层信息安全设计。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。GB/T250692010　信息安全技术　术语GB/T 25070-2010信息安全技术信息系统等级保护安全设计技术要求GA/T 1266--2015，公安物联网术语3术语和定义GB/T25069一2010、GA/T1266—2015界定的以及下列术语和定义适用于本文件。3.1感知节点设备sensor node device连接在公安物联网中并完成感知操作过程的一个或一组装置。示例：摄像机、RFID标签及RFID阅读器。［GA/T 1266--2015,定义2.3]3.2感知操作sensing operation感知节点设备对感知对象进行数据读取或状态控制的过程。［GA/T1266—2015,定义2.5]4感知层安全体系感知层安全体系结构如图1所示，感知层安全体系包括：a）感知操作安全。指感知节点设备和感知对象在进行感知操作过程中的安全要求。感知操作方式分为单向读取、双向读取、单向控制和双向控制四类：1）单向读取指感知节点设备向感知对象单方面获取信息数据的感知操作过程；2）双向读取指感知节点设备与感知对象间交互获取信息数据的感知操作过程；3）单向控制指感知节点设备对感知对象发送控制指令使其状态发生改变的感知操作过程；4）双向控制指感知节点设备与感知对象间相互发送控制指令使对方改变状态的感知操作过程。b）数据处理安全。指感知节点设备通过感知操作获取感知数据后，在设备内部对数据进行运算处理过程中的安全要求。1 GA/T 1267—2015c)数据存储安全。指感知节点设备对感知数据在处理过程中或处理后进行缓存时的安全要求。（P感知节点设备通信安全。指感知节点设备间在进行网络通信过程中的安全要求。感知节点设备安全。指感知节点设备的用户身份鉴别、访问控制、安全审计和备份与恢复等安e）全要求。f）感知安全监管。指部署在物联网系统中负责物联网感知层系统管理、策略下发、审计以及安全保障的系统模块。感知操作安全数据处理安全数据存储安全感知节点设备通信安全单双向控制向控制感知节点设备安全感知安全监管图1感知层安全体系结构5感知操作安全5.1感知操作安全技术要素感知操作安全技术要素主要为数据保密性、数据完整性、数据新鲜性、设备认证、访问控制、抗干扰6个方面。感知操作的安全技术要素如表1所示。表 1感知操作安全技术要素单向读取双向读取单向控制双向控制安全技术要素数据保密性★★★数据完整性数据新鲜性★设备认证★★访问控制★抗干扰★★注：“★”表示包含本行与第1列对应的安全技术要素，“二”表示不包含对应的安全技术要素。2 GA/T 1267---20155.2单向读取安全技术要求5.2.1数据完整性宜对所读取数据进行完整性验证，可采用具有完整性校验机制的空中接口通信协议5.2.2抗干扰宜采用报警机制，限定于扰國值，若超过值则实施报警。5.3双向读取安全技术要求5.3.1数据保密性宜为交互数据提供数据加密，可采用具有链路加密功能的空中接口通信协议。5.3.2数据完整性宜对所交互数据进行完整性验证，可采用具有完整性校验机制的空中接口通信协议。5.3.3数据新鲜性宜采用适当的安全机制提供抵御重放攻击的能力，可采用时间戳或序列号的方式。5.3.4设备认证在感知节点设备与感知对象进行数据交互之前，感知节点设备应对感知对象进行合法认证，可采用密码技术支持的双向认证机制。5.3.5抗干扰宜采用适当的抗干扰机制提供抵御无线信号干扰的能力，可采用电磁/无线电屏蔽等机制。5.4单向控制安