信息安全技术-网络安全等级保护设计技术要求-物联网安全要求

1、信息安全技术网络安全等级保护安全设计技术要求第4部分：物联网安全要求1范围本标准依据网络安全等级保护安全设计技术要求 第1部分：安全通用要求和网络安全等级保 护基本要求第4部分：物联网安全扩展要求，规范了信息系统等级保护安全设计要求对物联网系统的 扩展设计要求，包括第一级至第四级物联网系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。本标准适用于指导信息系统等级保护物联网系统安全技术方案的设计和实施，也可作为信息安全职能部门对物联网系统进行监督、检查和指导的依据。2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文

2、件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研 究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。GB/T 25069-2010信息安全技术术语GB17859-1999计算机信息系统安全保护等级划分准则GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南GB/T 25070-2010网络安全等级保护安全设计技术要求第1部分：安全通用要求GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分：物联网安全扩展要求GB/T XXXX 物联网第2部分：术语GB/T XXXX 物联网第3

3、部分：参考体系结构与通用技术要求3术语和定义下列术语和定义适用于本标准。3.1定级系统 classified system按照已确定安全保护等级的物联网系统。定级系统分为第一级、第二级、第三级和第四级物联网系统。3.2定级系统安全保护环境security en vir onment of classified system由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成的对定级系统进行安全保护的环境。定级系统安全保护环境包括第一级物联网系统安全保护环境、第二级物联网系统安全保护环境、第三级物联网系统安全保护环境、第四级物联网系统安全保护环境以及定级系统的安全互联。3.3安全计

4、算环境 secure computing environment 对定级系统的信息进行存储、处理及实施安全策略的相关部件。 安全计算环境按照保护能力划分为第一级安全计算环境、 第二级安全计算环境、 第三级安全计算环 境和第四级安全计算环境。3.4安全区域边界 secure area boundary对定级系统的安全计算环境边界， 以及安全计算环境与安全通信网络之间实现连接并实施安全策略 的相关部件。安全区域边界按照保护能力划分为第一级安全区域边界、 第二级安全区域边界、 第三级安全区域边 界和第四级安全区域边界。3.5安全通信网络 secure communication network 对定

5、级系统安全计算环境和信息安全区域之间进行信息传输及实施安全策略的相关部件。 安全通信网络按照保护能力划分第一级安全通信网络、 第二级安全通信网络、 第三级安全通信网络 和第四级安全通信网络。3.6安全管理中心 security management center对定级系统的安全策略及安全计算环境、 安全区域边界和安全通信网络上的安全机制实施统一管理 的平台。第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心，称为第二级安全管理中心、 第三级安全管理中心和第四级安全管理中心。3.7跨定级系统安全管理中心 security management center for cross clas

6、sified system 跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上 的安全机制实施统一管理的平台。3.8定级系统互联 classified system interconnection 通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之 间的安全连接。3.9物联网 internet of things （ IOT ）物联网是将感知节点设备（含 RFID ）通过互联网等网络连接起来构成的一个应用系统，它融合信 息系统和物理世界实体，是虚拟世界与现实世界的结合。3.10物联网安全 security for IOT 对物

7、联网机密性、完整性、可用性、私密性的保护，并可能涉及真实性、责任制、不可否认性和可 靠性等其他属性。3.11物联网安全等级保护 IOT security of classified protection 根据物联网安全的程度进行等级划分， 对物联网系统分等级进行保护和管理， 对物联网信息安全事 件分等级响应和处置。3.12网关节点设备 the sensor layer gateway 网关节点设备是一种以将感知节点设备所采集的数据传输到数据处理中心的关键出口， 是连接传统 信息网络（有线网、 移动网等） 和传感网的桥梁， 其安全设置也区分对感知层的安全设置和对网络传输 层的安全设置。简单的感知

8、层网关只是对感知数据的转发（因电力充足） ，而智能的感知层网关可以包 括对数据进行适当处理、数据融合等业务。3.13物联网感知层 sensor layer of IOT物联网感知层是指能形成物联网应用的集物理信息采集、 简单处理、 自动控制、 短距离传输和汇聚 的系统，包括感知设备、感知层网关以及二者之间的短距离通信（通常为无线）。3.14感知 sensing通过感知设备获得对象的信息的过程。3.15感知设备 sensor node也叫感知终端设备（ end sensor ）、终端感知节点设备（ end sensor node ），是物联网系统的最 终端设备或器件， 能够通过有线、 无线方式发

9、起或终结通信， 采集物理信息和 / 或接受控制的实体设备。 3.16数据新鲜性 data freshness数据新鲜性是防止已经成功接收的历史数据再次被接收处理 （通过历史数据列表比对） ，或超出数 据接收时间（时间戳过期）的数据被接收，或超出合法性范围（如计数器无效）的数据被接收。不满足 新鲜性的数据一般不予处理，其目的是用于防止数据重放攻击。4 物联网系统安全等级保护设计概述依据 GB/T25070-2010 信息安全技术 信息系统等级保护安全设计技术要求和GB/T 22239.4-XXXX网络安全等级保护基本要求 第4部分： 物联网安全扩展要求， 结合物联网系统的特点， 构建在安全 管理

10、中心支持下的安全计算环境、 安全区域边界、 安全通信网络三重防御体系。 信息系统等级保护物联 网安全设计包括各级系统安全保护环境的设计及其安全互联的设计。 各级系统安全保护环境由安全计算 环境、安全区域边界、安全通信网络和（或）安全管理中心组成，其中安全计算环境、安全区域边界、安全通信网络是在计算环境、区域边界、通信网络中实施相应的安全策略。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。前置处理(安全边界)网关接入(安全边界)感知计算环境物休甘象计算节点传感挖制系统 安全 审计安全管理中心图1物联网系统安全保护设计框架安全管理中心支持下的物联网系统安全保护设计框架如图1所示，物联网感

11、知层和应用层都由完成计算任务的计算环境和连接网络通信域的区域边界组成。安全计算环境包括物联网系统感知层和应用层中对定级系统的信息进行存储、处理及实施安全策略的相关部件， 如感知设备、感知层网关、主机及主机应用等。安全区域边界包括物联网系统安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件，如感知层和网络层之间的边界、网络层和应用层之间的边界等。安全通信网络包括物联网系统安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部件，如网络层的通信网络以及感知层和应用层内部安全计算环境之间的通信网络等。安全管理中心包括对定级物联网系统的安全策略及安全计算环境、安

12、全区域边界和安全通信网络上的安全机制实施统一管理的平台，包括系统管理、安全管理和审计管理三部分，只有第二级及第二级以上的安全保护环境设计有安全管理中心。物联网系统根据业务和数据的重要性可以划分不同的安全防护区域，所有系统都必须置于相应的安全区域内，并实施一致的安全策略。物联网系统安全区域划分如图2所示，该图指出了物联网系统的三层架构和三种主要的安全区域划分方式， 以及安全计算环境、 安全区域边界、安全通信网络、安全管理 中心在物联网系统中的位置。安全区域B应用层 妾全计算环境安全边界防护应用层应用庚安全计算环境安全边菲防护（安金辿信冋琳）感知层安全计算环境感知展安全边界防护N讣算坏境安全区域吕

13、I 安全区融界安全区域A C安全管理申心图2物联网系统安全区域划分示意图安全区域A包括应用层安全计算环境、感知层安全计算环境、网络层组成的安全通信网络以及安 全区域边界；安全区域B包括应用层安全计算环境、网络层组成的安全通信网络、安全子域B1以及安全区域边界；安全区域B1作为安全区域B的子域，包括感知层安全计算环境及其安全边界。图中每个安全区域由安全区域边界进行防护，安全区域A和安全区域B通过安全通信网络进行通信，安全区域内部的应用层和感知层通过网络层实现物联网数据信息和控制信息的双向传递。物联网系统的网络层可被视为安全通信网络的逻辑划分，将感知层采集的数据信息向上传输到应用层，并将应用层发出

14、的控制指令信息向下传输到感知层。5第一级物联网系统安全保护环境设计5.1 设计目标第一级物联网系统安全保护环境的设计目标是：按照GB/T 22239.4-XXXX网络安全等级保护基本要求 第4部分：物联网安全扩展要求 对第一级物联网系统的安全保护要求， 实现定级系统的自主访问 控制，使系统用户对其所属客体具有自我保护的能力。5.2 设计策略第一级系统安全保护环境的设计策略是：遵循GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分：物联网安全扩展要求的 4.1中相关要求，以身份鉴别为基础，按照物联网对象进行访问控制。感知层以身份标识和身份鉴别为基础，提供数据源认证；以区域边界准入

15、控制提供区域边界保护；以数据校验等手段提供数据的完整性保护。第一级物联网系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网 络的设计加以实现。5.3 设计技术要求第一级安全计算环境应从以下方面进行安全设计：5.3.1 安全计算环境设计技术要求5.3.1.1 身份鉴别a) 用户身份鉴别(见 GB/T 25070 5.3.1.a) )应支持用户标识和用户鉴别。 在每一个用户注册到系统时， 采用用户名和用户标识符标识用户身份； 在每次用户登录系统时，采用口令鉴别机制进行用户身份鉴别，并对口令数据进行保护。b) 物联网系统身份鉴别( 1)感知设备和感知层网关的身份标识和鉴别，安

16、全管理中心对感知设备和感知层网关进行统一 入网标识管理和维护；( 2)应采用常规鉴别机制对感知设备发送的数据进行鉴别，确保数据来源于正确的感知设备。5.3.1.2 自主访问控制(见 GB/T 25070 5.3.1.b) )应在安全策略控制范围内，使用户 / 用户组对其创建的客体具有相应的访问操作权限，并能将这些 权限的部分或全部授予其他用户 /用户组。访问控制主体的粒度为用户 /用户组级， 客体的粒度为文件或 数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。5.3.1.3 数据完整性保护a) 用户数据完整性保护(见 GB/T 25070 5.3.1.c) ) 可采用常规校验机制，

17、检验存储的用户数据的完整性，以发现其完整性是否被破坏。b) 物联网系统数据完整性保护 可采用常规校验机制，检验感知设备生存信息的完整性，以发现其完整性是否被破坏。5.3.1.4 恶意代码防范(见 GB/T 25070 5.3.1.d) ) 应安装防恶意代码软件或配置具有相应安全功能的操作系统， 并定期进行升级和更新， 以防范和清 除恶意代码。5.3.2 安全区域边界设计技术要求第一级安全区域边界应从以下方面进行安全设计：5.3.2.1 区域边界包过滤(见 GB/T 25070 5.3.2.a) )可根据区域边界安全控制策略， 通过检查数据包的源地址、 目的地址、 传输层协议和请求的服务等， 确

18、定是否允许该数据包通过该区域边界。5.3.2.2 区域边界恶意代码防范(见 GB/T 25070 5.3.2.b) ) 可在安全区域边界设置防恶意代码软件，并定期进行升级和更新，以防止恶意代码入侵。5.3.2.3 物联网系统区域边界准入控制应在安全区域边界设置准入控制机制，保证合法设备接入。5.3.3 安全通信网络设计技术要求第一级安全通信网络应从以下方面进行安全设计：5.3.3.1 通信网络数据传输完整性保护(见GB/T 25070 5.3.3. )通信网络数据传输完整性保护。 可采用常规校验机制， 检验通信网络数据传输的完整性， 并能发现 其完整性被破坏。5.3.3.2 感知层网络数据传输

19、完整性保护应采用常规校验机制，检验感知层网络敏感数据传输的完整性，并能发现其完整性被破坏。5.3.3.3 感知层网络数据传输新鲜性保护应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、 计数器等， 以实现感知层网络数 据传输新鲜性保护。5.3.3.4 异构网安全接入保护应采用接入认证等技术建立异构网络的接入认证系统，保障控制信息的安全传输。6 第二级物联网系统安全保护环境设计6.1 设计目标第二级物联网系统安全保护环境的设计目标是：按照 GB/T 22239.4-XXXX 网络安全等级保护基本 要求 第4部分： 物联网安全扩展要求 对第二级物联网系统的安全保护要求， 在第一级系统安全保

20、护环 境的基础上，增加感知层访问控制、区域边界审计等安全功能，使系统具有更强的安全保护能力。6.2 设计策略第二级系统安全保护环境的设计策略是：遵循GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分：物联网安全扩展要求的 5.1 中相关要求， 感知层以身份鉴别为基础， 提供对感知设备和感知层 网关的访问控制； 以区域边界协议过滤与控制和区域边界安全审计等手段提供区域边界防护，以增强系统的安全保护能力。第二级物联网系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、 安全通信网络以及安全管理中心的设计加以实现。6.3 设计技术要求6.3.1 安全计算环境设计技术要求第二

21、级安全计算环境应从以下方面进行安全设计：6.3.1.1 身份鉴别a) 用户身份鉴别(见 GB/T 25070 6.3.1.a)应支持用户标识和用户鉴别。 在每一个用户注册到系统时， 采用用户名和用户标识符标识用户身份， 并确保在系统整个生存周期用户标识的唯一性； 在每次用户登录系统时，采用 受控的口令或具有相应 安全强度的其他机制 进行用户身份鉴别，并对 鉴别数据 进行保密性和完整性 保护。b) 物联网系统身份鉴别(1) 感知设备和感知层网关的身份标识和鉴别，安全管理中心对感知设备和感知层网关进行统一 入网标识管理和维护， 并确保在系统整个生存周期设备标识的唯一性 ；(2) 应采用常规鉴别机制

22、对感知设备发送的数据进行鉴别，确保数据来源于正确的感知设备；( 3)应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法 等，对假冒用户使用未授权的业务应用或者合法用户使用未定制的业务应用进行鉴别，防止末端感知 设备身份伪造和克隆等攻击。6.3.1.2 访问控制a) 自主访问控制(见 GB/T 25070 6.3.1.b) )应在安全策略控制范围内， 使用户 对其创建的客体具有相应的访问操作权限， 并能将这些权限的部 分或全部授予其他 用户 。访问控制主体的粒度为 用户级 ，客体的粒度为文件或数据库表级。 访问操作包 括对客体的创建、读、写、修改和删除等。b) 物联

23、网系统访问控制( 1)通过制定安全策略如访问控制列表，实现对感知设备的访问控制；( 2)感知设备和其他设备(感知层网关、其他感知设备)通信时，根据安全策略对其他设备进行 权限检查，只有权限检查通过后，才允许设备间开始通信。6.3.1.3 系统安全审计(见 GB/T 25070 6.3.1.c) )应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、 类型和结果等内容。该机制应提供审计记录查询、分类和存储保护，并可由安全管理中心管理。6.3.1.4 数据完整性保护a) 用户数据完整性保护(见 GB/T 25070 6.3.1.d) ) 可采用常规校验机制，检验存储

24、的用户数据的完整性，以发现其完整性是否被破坏。b) 物联网系统数据完整性保护 可采用常规校验机制，检验感知设备生存信息 、鉴别信息、隐私性数据和重要业务数据 的完整性， 以发现其完整性是否被破坏。6.3.1.5 用户数据保密性保护(见 GB/T 25070 6.3.1.e) ) 可采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密 性保护。6.3.1.6 客体安全重用(见 GB/T 25070 6.3.1.f) )应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资 源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保

25、信息不被泄露。6.3.1.7 恶意代码防范(见 GB/T 25070 6.3.1.g) ) 应安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和 清除恶意代码。6.3.2 安全区域边界设计技术要求第二级安全区域边界应从以下方面进行安全设计：6.3.2.1 区域边界包过滤(见 GB/T 25070 6.3.2.a) )应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务 等，确定是否允许该数据包通过该区域边界。6.322区域边界安全审计(见GB/T 25070 6.32b)应在安全区域边界设置审计机制，并由安全管理中心统一管理。6.

26、3.2.3 区域边界恶意代码防范(见 GB/T 25070 6.3.2.c)应在安全区域边界设置防恶意代码网关，由安全管理中心管理。6.3.2.4 区域边界完整性保护(见 GB/T 25070 6.3.2.d)应在区域边界设置探测器，探测非法外联等行为，并及时报告安全管理中心。6.3.2.5 区域边界准入控制应在安全区域边界设置准入控制机制，能够对设备进行认证，保证合法设备接入，拒绝恶意设备接入。6.3.2.6 区域边界协议过滤与控制应在安全区域边界设置协议检查，对通信报文进行合规检查。6.3.3 安全通信网络设计技术要求第二级安全通信网络应从以下方面进行安全设计：6.3.3.1 通信网络安全

27、审计(见 GB/T 25070 6.3.3.a)应在安全通信网络设置审计机制，由安全管理中心管理。6.3.3.2 通信网络数据传输完整性保护(见 GB/T 25070 6.3.3.b)可采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护。6.3.3.3 通信网络数据传输保密性保护(见 GB/T 25070 6.3.3.C)可采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。6.3.3.4 感知层网络数据传输完整性保护应采用密码等技术支持的完整性校验机制如国家密码行政主管部门规定的轻量级数字摘要算法、 签名算法等，以实现感知层网络敏感数据传输完整性保护。

28、6.3.3.5 感知层网络敏感数据传输保密性保护应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的轻量级对称加密算法、 非对称加密算法等，以实现感知层网络数据传输保密性保护。6.3.3.6 感知层网络数据传输新鲜性保护应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、计数器等，以实现感知层网络数据传输新鲜性保护。6.3.3.7 异构网安全接入保护(1) 应采用接入认证等技术建立异构网络的接入认证系统，保障控制信息的安全传输；(2) 应采用入侵检测等技术拒绝恶意设备的接入，保证合法设备不被恶意设备攻击而被拒绝接入，保证网络资源的可使用性。634安全管理中心设计技术要求6.3

29、41 系统管理a) 信息系统管理(见 GB/T 25070 6.3.4.1)可通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份和授权管理、系统 资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这 些操作进行审计。b) 物联网系统管理6.3.4.2安全管理应通过安全管理员对系统中所使用的密钥进行统一管理，包括密钥的生成、分发、更新、存储、 备份、销毁等，并采取必要措施保证密钥安全。6.3.4.3 审计管理(见 GB/T 25070 6.3.4.2 )可通过安

30、全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计 策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行 存储、管理和查询等。应对安全审计员进行身份鉴别，并只允许其通过特定的命令或操作界面进行安全审计操作。7第三级物联网系统安全保护环境设计7.1 设计目标第三级物联网系统安全保护环境的设计目标是：按照GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分：物联网安全扩展要求对第三级物联网系统的安全保护要求， 在第二级系统安全保护环 境的基础上，增加区域边界恶意代码防范、区域边界访问控制等安全功能，使系统具有更强的安全保护

31、 能力。7.2 设计策略第三级系统安全保护环境的设计策略是：遵循GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分：物联网安全扩展要求的6.1中相关要求，感知层实现感知设备和感知层网关双向身份鉴别；以区域边界恶意代码防范、区域边界访问控制等手段提供区域边界防护；以密码技术等手段提供数据的完整性和保密性保护，以增强系统的安全保护能力。第三级物联网系统安全保护环境的设计通过第三级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。7.3 设计技术要求7.3.1 安全计算环境设计技术要求第三级安全计算环境应从以下方面进行安全设计：a）用户身份鉴别（见 GB/T

32、25070 7.3.1.a） ）应支持用户标识和用户鉴别。 在对每一个用户注册到系统时， 采用用户名和用户标识符标识用户身 份，并确保在系统整个生存周期用户标识的唯一性； 在每次用户登录系统时， 采用 受安全管理中心控制 的口令、令牌、基于生物特征、数字证书 以及其他具有相应安全强度的 两种或两种以上的组合机制 进 行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。b）物联网系统身份鉴别（ 1）感知设备和感知层网关的身份标识和鉴别，安全管理中心对感知设备和感知层网关进行统一 入网标识管理和维护，并确保在系统整个生存周期设备标识的唯一性；（ 2）感知层网关与感知设备之间应采用受安全管理中心控制

33、的口令、密钥或具有相应安全强度的 其他机制实现双向的身份鉴别，并对鉴别数据进行保密性和完整性保护；（ 3）应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法 等 ，对感知设备发送的数据进行鉴别，确保数据来源于正确的感知设备且没有被恶意注入虚假信息；（ 4）应采取措施对感知设备组成的组进行组认证，以减少网络拥塞，组认证可通过认证代理来完 成，如物联网感知层网关或主设备；（ 5）应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法 等，对假冒用户使用未授权的业务应用或者合法用户使用未定制的业务应用进行鉴别， 防止末端感知设 备身份伪造和克隆

34、等攻击。7.3.1.2 访问控制a） 自主访问控制（见 GB/T 25070 7.3.1.b） ）应在安全策略控制范围内， 使用户对其创建的客体具有相应的访问操作权限， 并能将这些权限的部 分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级 和（或） 记录或字段级。 自主访问操作包括对客体的创建、读、写、修改和删除等。b） 标记和强制访问控制（见 GB/T 25070 7.3.1.c） ） 在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客 体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访

35、 问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客 体具有一致的标记信息，并实施相同的强制访问控制规则。c）物联网系统访问控制（ 1）通过制定安全策略如访问控制列表，实现对感知设备的访问控制；（ 2）感知设备和其他设备（感知层网关、其他感知设备）通信时，根据安全策略对其他设备进行 权限检查，只有权限检查通过后，才允许设备间开始通信；（ 3）感知设备进行更新配置时，根据安全策略对用户进行权限检查，只有经过授权的合法用户才 能通过外部接口对感知设备进行更新配置、下载软件等。7.3.1.3 系统安全审计（见 GB/T 25070 7.3.1.d） ）应记录系统

36、的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。 应提供审计记录查询、分类、 分析 和存储保护； 确保对特定安全事件进行报警；确保审计记录不被破 坏或非授权访问。应为安全管理中心提供接口；对不能由系统独立处理的安全事件，提供由授权主体 调用的接口。7.3.1.4 数据完整性保护a) 用户数据完整性保护(见 GB/T 25070 7.3.1.e) ) 应采用密码等技术支持的完整性校验机制， 检验存储 和处理 的用户数据的完整性，以发现其完整 性是否被破坏， 且在其受到破坏时能对重要数据进行恢复。b) 物联网系统数据完整性保护 应采用密码等技术支持的完整性校验机制如国家密

37、码行政主管部门规定的数字摘要算法、签名算 法等 ，检验感知设备生存信息、鉴别信息、隐私性数据和重要业务数据在存储过程中完整性是否破坏， 以及防止被非法复制， 且在其受到破坏时能够进行恢复、重传等。7.3.1.5 数据保密性保护a) 用户数据保密性保护(见 GB/T 25070 7.3.1.f) ) 采用密码等技术支持的保密性保护机制，对在安全计算环境中的用户数据进行保密性保护。b) 物联网系统数据保密性保护 应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的对称加密算法、非对称 加密算法等，对感知设备生存信息、鉴别信息、隐私性数据和重要业务数据进行保密性保护。7.3.1.6 客体

38、安全重用(见 GB/T 25070 7.3.1.g) )应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资 源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。7.3.1.7 程序可信执行保护(见 GB/T 25070 7.3.1.h) )可构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程序的完整性检验，防范 恶意代码等攻击，并在检测到其完整性受到破坏时采取措施恢复，例如采用可信计算等技术。7.3.1.8 网络可信连接保护(见 GB/T 25070 7.3.1.i) )应采用具有网络可信连接保护功能的系统软件或具有相应功

39、能的信息技术产品，在设备连接网络 时，对源和目标进行平台身份鉴别、平台完整性校验、数据传输的保密性和完整性保护等。7.3.1.9 配置可信检查(见 GB/T 25070 7.3.1.j) )应将系统的安全配置信息形成基准库，实时监控或定期检查配置信息的修改行为，及时修复和基 准库中内容不符的配置信息。7.3.2 安全区域边界设计技术要求第三级安全区域边界应从以下方面进行安全设计：7.3.2.1 区域边界访问控制a) 信息系统区域边界访问控制(见 GB/T 25070 7.3.2.a) ) 应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边 界的数据信息进行控制

40、，阻止非授权访问。b) 物联网系统区域边界访问控制( 1)应能根据数据的时间戳为数据流提供明确的允许/拒绝访问的能力；( 2)应提供网络最大流量及网络连接数限制机制；( 3)应能够根据通信协议特性，控制不规范数据包的出入。7.3.2.2 区域边界包过滤(见 GB/T 25070 7.3.2.b) )应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务 等，确定是否允许该数据包进出该区域边界。7.3.2.3 区域边界安全审计(见 GB/T 25070 7.3.2.c) )应在安全区域边界设置审计机制，由安全管理中心集中管理， 并对确认的违规行为及时报警。7.3.2

41、.4 区域边界完整性保护a) 信息系统区域边界完整性保护(见 GB/T 25070 7.3.2.d) )应在区域边界设置探测器， 例如外接探测软件， 探测非法外联 和入侵行为， 并及时报告安全管理中 心。b) 物联网系统区域边界完整性保护应在区域边界设置 轻量级 的双向认证机制，能够保证防止数据的违规传输。7.3.2.5 区域边界准入控制( 1)应在安全区域边界设置准入控制机制，能够对设备进行认证，保证合法设备接入，拒绝恶意 设备接入；( 2)应根据感知设备特点收集感知设备的健康性相关信息如固件版本、标识、配置信息校验值等，并能够对接入的感知设备进行健康性检查。7.3.2.6 区域边界协议过滤

42、与控制应在安全区域边界设置协议过滤， 能够对物联网通信内容进行过滤 ，对通信报文进行合规检查， 根据协议特性，设置相对应控制机制 。7.3.3 安全通信网络设计技术要求第三级安全通信网络应从以下方面进行安全设计：7.3.3.1 通信网络安全审计(见 GB/T 25070 7.3.3.a) )应在安全通信网络设置审计机制，由安全管理中心集中管理， 并对确认的违规行为进行报警。7.3.3.2 通信网络数据传输完整性保护(见GB/T 25070 7.3.3.b) )应采用由密码等技术支持的完整性校验机制， 以实现通信网络数据传输完整性保护， 并在发现完整 性被破坏时进行恢复。7.3.3.3 通信网络

43、数据传输保密性保护(见GB/T 25070 7.3.3.c) )应采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。7.3.3.4 通信网络可信接入保护(见 GB/T 25070 7.3.3.d) )可采用由密码等技术支持的可信网络连接机制，通过对连接到通信网络的设备进行可信检验，确 保接入通信网络的设备真实可信，防止设备的非法接入。7.3.3.5 感知层网络数据传输完整性保护应采用密码等技术支持的完整性校验机制如国家密码行政主管部门规定的轻量级数字摘要算法、 签 名算法等，以实现感知层网络敏感数据传输完整性保护， 并在发现完整性被破坏时进行恢复 。7.3.3.6 感知层

44、网络敏感数据传输保密性保护应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的轻量级对称加密算法、 对称加密算法等，以实现感知层网络数据传输保密性保护。7.3.3.7 感知层网络数据传输新鲜性保护计数器等，以实现感知层网络数应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、据传输新鲜性保护。7.338异构网安全接入保护（1）应采用接入认证等技术建立异构网络的接入认证系统，保障控制信息的安全传输；（2） 应采用入侵检测等技术拒绝恶意设备的接入，保证合法设备不被恶意设备攻击而被拒绝接入， 保证网络资源的可使用性；（3）应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规

45、定的数字摘要算法、签 名算法、对称加密算法、非对称加密算法等，以实现异构网接入时数据传输完整性和保密性保护；（4） 应根据各接入网的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网 段，并采取相应的防护措施。7.3.4 安全管理中心设计技术要求7.3.4.1 系统管理a）信息系统管理（见 GB/T 25070 7.3.4.1）应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和（或）异地灾难备份与恢复等。应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操

46、作进行审计。b）物联网系统管理（1 ）应通过系统管理员对感知层的资源和运行进行配置、控制和管理，包括感知设备身份管理、 标识管理、感知节点退出管理等；（2）应通过系统管理员对感知设备状态（电力供应情况、是否在线、位置等）进行统一监测和处 理；（3）应通过系统管理员对下载到感知设备上的应用软件进行授权。7.3.4.2 安全管理a）信息系统安全管理（见 GB/T 25070 7.3.4.2）应通过安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略。应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。b）物联网系统安全管理应通过安全管

47、理员对系统中所使用的密钥进行统一管理，包括密钥的生成、分发、更新、存储、备 份、销毁等，并采取必要措施保证密钥安全。7.3.4.3 审计管理（见 GB/T 25070 7.3.4.3）应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。对审计记录应进行分析，并根据分析结果进行处理。应对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作。8 第四级物联网系统安全保护环境设计8.1 设计目标第四级物联网系统安全保护环境的设计目标是：按照

48、GB/T 22239.4-XXXX 网络安全等级保护基本 要求 第4部分： 物联网安全扩展要求 对第四级物联网系统的安全保护要求， 在第三级系统安全保护环 境的基础上， 增加专用通信协议或安全通信协议、 数据可用性保护等安全功能， 使系统具有更强的安全 保护能力。8.2 设计策略第四级系统安全保护环境的设计策略是：遵循GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分： 物联网安全扩展要求 的7.1中相关要求， 感知层以专用通信协议或安全通信协议服务等手段提 供数据的完整性和保密性保护， 通过关键感知设备和通信线路的冗余保证系统可用性， 增强系统的安全 保护能力。第四级物联网系

49、统安全保护环境的设计通过第四级的安全计算环境、安全区域边界、 安全通信网络以及安全管理中心的设计加以实现。8.3 设计技术要求8.3.1 安全计算环境设计技术要求第四级安全计算环境应从以下方面进行安全设计：8.3.1.1 身份鉴别a）用户身份鉴别（见 GB/T 25070 8.3.1.a）应支持用户标识和用户鉴别。 在每一个用户注册到系统时， 采用用户名和用户标识符标识用户身份， 并确保在系统整个生存周期用户标识的唯一性； 在每次用户登录 和重新连接系统 时，采用受安全管理中 心控制的口令、 基于生物特征的数据、 数字证书以及其他具有相应安全强度的两种或两种以上的组合机 制进行用户身份鉴别，

50、且其中一种鉴别技术产生的鉴别数据是不可替代的 ，并对鉴别数据进行保密性 和完整性保护。b）物联网系统身份鉴别（1）感知设备和感知层网关的身份标识和鉴别，安全管理中心对感知设备和感知层网关进行统一 入网标识管理和维护，并确保在系统整个生存周期设备标识的唯一性；（2）感知层网关与感知设备之间应采用受安全管理中心控制的口令、密钥或具有相应安全强度的 其他机制实现双向的身份鉴别，并对鉴别数据进行保密性和完整性保护；（3）应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法 等，对感知设备发送的数据进行鉴别，确保数据来源于正确的感知设备且没有被恶意注入虚假信息；（4）应采取措

51、施对感知设备组成的组进行组认证，以减少网络拥塞，组认证可通过认证代理来完 成，如物联网感知层网关或主设备；（5）应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法等，对假冒用户使用未授权的业务应用或者合法用户使用未定制的业务应用进行鉴别，防止末端感知设备身份伪造和克隆等攻击。a) 自主访问控制(见 GB/T 25070 8.3.1.b) )应在安全策略控制范围内， 使用户对其创建的客体具有相应的访问操作权限， 并能将这些权限的部 分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和(或) 记录或字段级。自主访问操作包括对客体的创建、

52、读、写、修改和删除等。b) 标记和强制访问控制(见 GB/T 25070 8.3.1.c) ) 在对安全管理员进行身份鉴别和权限控制的基础上， 应由安全管理员通过特定操作界面对主、 客体 进行安全标记， 将强制访问控制扩展到所有主体与客体； 应按安全标记和强制访问控制规则，对确定 主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。 应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。c) 物联网系统访问控制( 1)通过制定安全策略如访问控制列表，实现对感知设备的访问控制；( 2)感知设备和其他设备(感知层网关、其他感知设备

53、)通信时，根据安全策略对其他设备进行 权限检查，只有权限检查通过后，才允许设备间开始通信；( 3)感知设备进行更新配置时，根据安全策略对用户进行权限检查，只有经过授权的合法用户才 能通过外部接口对感知设备进行更新配置、下载软件等；( 4)由授权主体配置访问控制策略，严格限制默认账户的访问权限，并授予不同账户为完成各自 承担任务所需的最小权限。8.3.1.3 系统安全审计(见 GB/T 25070 8.3.1.d) )应记录系统相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应 提供审计记录查询、分类、分析和存储保护；能对特定安全事件进行报警， 终止违例进程等； 确保审计

54、 记录不被破坏或非授权访问 以及防止审计记录丢失等。 应为安全管理中心提供接口；对不能由系统独 立处理的安全事件，提供由授权主体调用的接口。8.3.1.4 数据完整性保护a) 用户数据完整性保护(见 GB/T 25070 8.3.1.e) ) 应采用密码等技术支持的完整性校验机制， 检验存储和处理的用户数据的完整性， 以发现其完整性 是否被破坏，且在其受到破坏时能对重要数据进行恢复。b) 物联网系统数据完整性保护( 1)应采用密码等技术支持的完整性校验机制如国家密码行政主管部门规定的数字摘要算法、签 名算法等， 检验感知设备生存信息、 鉴别信息、 隐私性数据和重要业务数据在存储过程中完整性是否

55、破 坏，以及防止被非法复制，且在其受到破坏时能够进行恢复、重传等；(2)应采用专用通信协议或安全通信协议服务，避免来自基于通用协议的攻击破坏数据的完整性。8.3.1.5 数据保密性保护a) 用户数据保密性保护(见 GB/T 25070 8.3.1.f) ) 采用密码等技术支持的保密性保护机制，对在安全计算环境中的用户数据进行保密性保护。b) 物联网系统数据保密性保护( 1)应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的对称加密算法、非 对称加密算法等，对感知设备生存信息、鉴别信息、隐私性数据和重要业务数据进行保密性保护；(2)应采用专用通信协议或安全通信协议服务，避免来自基于

56、协议的攻击破坏数据的保密性。应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资 源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。8.3.1.7 程序可信执行保护(见 GB/T 25070 8.3.1.h) )应构建从操作系统到上层应用的信任链， 以实现系统运行过程中可执行程序的完整性检验， 防范恶 意代码等攻击，并在检测到其完整性受到破坏时采取措施恢复，例如采用可信计算等技术。8.3.1.8 网络可信连接保护(见 GB/T 25070 8.3.1.i) )应采用具有网络可信连接保护功能的系统软件或具有相应功能的信息技术产品，在设备连接网络 时，对源和目标进行平台身份鉴别、平台完整性校验、数据传输的保密性和完整性保护等。8.3.1.9 配置可信检查(见 GB/T 25070 7.3.1.j) )应将系统的安全配置信息形成基准库，实时监控或定期检查配置信息的修改行为，及时修复和基 准库中内容不符的配置信息。8.3.1.10 数据可用性保护应提供关键感知设备和通信线路冗余，保证系统的高可用性。8.3.2 安全区域边界设计技术要求第四级安全区域边界应从以下方面进行安全设计：8.3.2