《信息安全技术 信息系统安全等级保护基本要求 第4部分 物联网安全扩展要求-编制说明》.pdfVIP

一、 工作简况 1.1任务来源 《信息安全技术 信息系统安全等级保护基本要求 第4部分 物联网安全扩 展要求》是国家标准化管理委员会2015年下达的信息安全国家标准制定项目， 由公安部第一研究所承担，参与单位包括公安部第三研究所、北京微分信安科技 有限责任公司、北京天融信科技股份有限公司、华北电力大学、中国电子科技集 团公司第十五研究所、工业和信息化部电信研究院、中国电子信息产业集团有限 公司第六研究所、国家计算机病毒应急处理中心等单位。 1.2主要工作过程 1)准备阶段 2013年12月，在公安部11局的统一领导下，公安部第一研究所同协作单 位共同成立标准编写项目组。 2）调研阶段 标准起草组成立以后，项目组收集了大量物联网相关的国内外相关标准， 进行了研讨。同时项目组参考国内等级保护相关标准，对物联网系统的等级保护 安全需求、安全风险进行了充分讨论。为了真实了解行业内的安全要求，项目组 也对物联网的企事业单位进行了调研。 3）编写阶段 2014年1月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关 领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。 标准起草组按照分工，对标准各部分进行了编写，形成了《信息安全技术物联网 系统安全等级保护基本要求》（草案）。 4）首次征求专家意见 2014年4月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标 准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。项目组根据专家 意见，对标准进行了修改。 5）第二次征求专家意见 2014年10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专 家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。同时专家 认为标准达到了项目申报要求。项目组根据专家意见修改后，提交安标委。 6）系列标准统一修订阶段 2015年4月，我所组织等级保护系列标准起草组进行统一研讨，会上针对 系列标准，制订了统一模板。同时要求根据安标委的统一部署，将标准名称修改 为 《信息安全技术 信息系统安全等级保护基本要求 第4部分 物联网安全扩展 要求》。会后项目组根据相关要求，对标准进行了修订。 7）2016年10月，由全国信息安全标准化技术委员会组织的标准周上，成 员单位对系类标准进行了评审，按照会议意见标准更名为 《信息安全技术 网络 安全等级保护基本要求 第4部分：物联网安全扩展要求》。 二、编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： 1）科学性与实用性相结合的原则 科学性是标准化的最基本原则，规范的科学性直接关系到该体系能否对物 联网系统安全起到积极、稳定和长久的正面作用。实用性表明标准体系是否与实 际情况相符合，是标准化研究中最重要的基本原则。科学性与实用性相结合就是 理论与实践相结合在标准体系研究中的具体体现。 2）先进性与开放性相结合的原则 在执行本标准研制项目时，要积极引入先进的管理理念和前沿技术，充分 考虑到物联网系统未来发展的方向和特点。但同时也要考虑到目前的需求和技术 水平，使规范能够根据科学技术以及需求的变化而不断进行扩充和完善。 3）安全性和可用性相结合的原则 本规范用来指导和规范物联网系统安全等级保护工作，是安全范畴的规范。 但是规范在起草过程中不能一味地追求绝对安全，而应根据当前物联网系统的实 际情况，构建保证业务系统可用性基础上的适度安全体系。 2.2 主要内容 本项目主要包括以下三部分内容： 首先，按照等级保护的思想，研究通用物联网安全保护模型。其次，针对 不同行业，不同类型的物联网系统，进行信息安全保护等级的划分研究；在此基 础上，研究三级物联网系统区别与传统信息系统的安全威胁；进而，根据面临的 安全威胁得出三级物联网系统所应具备的安全保护能力，得出三级物联网系统的 安全保护要求；最后，对三级要求进行削弱、增强得出二级、四级物联网系统安 全保护要求。 1) 物联网系统安全等级保护模型 物联网架构一般分为三层：感知层、网络层和应用层。 图1 感知层由各种传感器构成，包括温湿度传感器、二维码标签、RFID标签和 读写器、摄像头、红外线、GPS等感知终端。感知层是物联网识别物体、采集信 息的来源。