物联网 面向Web开放服务的系统安全要求征求意见稿编制说明.docVIP

PAGE

PAGE6

国家标准《物联网面向web开放服务的系统安全要求》编制说明

一、工作简况

（一）任务来源

根据国家标准化管理委员会2019年下达的标准制定计划《物联网面向Web开放服务的系统物体交互安全要求》（计划编T-469），主办单位为中国电子科技集团公司信息科学研究院，该标准由全国信息技术标准化技术委员会（SAC/TC28）归口。

（二）参与单位及主要起草人

本文件起草单位：中国电子科技集团公司信息科学研究院、中国电子技术标准化研究院、国家互联网应急中心、公安部第三研究所、北京信息科技大学、杭州海康威视数字技术股份有限公司、中电科技（北京）有限公司、中国科学技术大学、豪尔赛科技集团股份有限公司、北京东方通科技有限公司、无锡物联网产业研究院、无锡物联网创新中心有限公司、上海集成通信设备有限公司、浙江互灵物联科技有限公司、上海高等技术研究院、腾讯科技（深圳）有限公司、北京电信规划设计院有限公司、富士康工业互联网股份有限公司、金卡智能集团股份有限公司。

本文件主要起草人：王凡、李孟良、杨宏、邹昕、陈群华、张健、孙亮、刘姝、贾彦鹤、付根利、刘继顺、李琳、苗付友、张志龙、王乐菲、董接莲、马秀丽、王振明、李赟、李家京、王晖、梁艳龙、张学琴、周羽波。

（三）编制过程

本文件由中国电子科技集团公司信息科学研究院申请立项，并于2019年立项被批复,起草工作从2019年1月起，经过内部协调讨论确定标准制定工作方案,完成标准框架和编写要求，并于2020年10月形成标准内审稿。具体的工作阶段如下：

1、2019年1月：中国电子技术标准化研究院成立标准编制工作组，正式启动项目，确定标准制定工作计划，明确了任务分工。

2、2019年2月-7月：标准编制工作组进行国内外相关资料的收集和分析，开展论证调研，经多次组内研讨，确定了标准范围和框架，并形成标准草案。

3、2019年8月-12月：根据标准技术内容实际应用情况的反馈，经过组内研讨交流，对标准草案进行修改完善，形成标准草案V1.0。

4、2020年1月-5月：标准工作组邀请物联网领域相关专家通过线上会议对标准初稿V1.0进行研讨，并根据专家意见进行修改完善，形成标准草案V2.0。

5、2020年6月：在国家物联网基础标准工作组的全会上成立了标准编制工作组，正式启动项目，对各阶段标准草案进行了充分讨论，制定本文件工作计划，明确任务分工。会后根据各方研讨意见进行修改完善，形成标准草案V3.0。

6、2020年7月：经过内部对标准草案V3.0多次研讨、修订，标准编制组邀请物联网领域相关专家通过线上会议对各阶段标准草案进行研讨，提出建设性意见，并根据专家意见进行修改完善，形成标准草案V4.0。

7、2020年8月：经过内部对标准多次研讨、修订，标准编制组相关单位通过线上会议进行标准编辑，对已形成的工作组草案稿进行修改完善，形成标准草案V5.0。

8、2020年9月：经过内部对标准多次研讨、修订，标准编制组相关单位通过线上会议进行标准编辑，根据各方研讨意见进行修改完善，形成标准草案V5.0。

9、2020年10月：在北京召开标准编制工作组全体成员大会，根据各方研讨意见进行了修改完善，并对细节的编辑性和表述性问题进行了通篇修改和完善，形成内审稿。

10、2020年12-2021年1月：专家对标准内审稿进行了审查，调整了文本结构。标准编制组根据专家意见进行了修改，形成标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

(一)标准编制原则

1、规范性。本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准的结构和编写》的要求编写。

2、科学性和先进性。本文件在编制过程中充分参考国内外物联网安全相关标准，设计本文件框架体系，理顺各环节关系，规范我国面向Web开放服务的系统安全要求。

3、可操作性。国家很重视物联网应用安全。本文件从我国物联网应用安全实际情况出发，制定出满足我国物联网应用安全发展需求的国家标准，为物联网产业健康持续发展提供支撑。

4、公正性。本文件主持起草单位站在客观公正的立场上起草本文件每项条款。

(二)标准技术内容

本文件将安全要求分为基本要求和增强要求两类。基本要求适合于一般物联网信息系统安全。增强要求是在基本要求的基础上的补充，即相对于基本要求的增强。增强要求适合于具有较高安全需求的系统，例如，GB/T22239-2019规定的三级及三级以上的物联网信息系统。

本文件在根据面向Web开放服务的系统中信息交互主体，将内容划分交互主体安全和交互过程安全。本文件对信息交互主体之间的交互方式进行归纳总结：终端与网关交互、终端与Web服务器交互、网关与Web服务器交互。因此交互主体安全包括物理安全、软件安全和静态数据安