TZJAF 11-2021 视频图像物联终端设备安全技术要求

ICS35.040CCSL80

团 体 标 准T/ZJAF11—2021视频图像物联终端设备安全技术要求SecuritytechnicalrequirementsofIoTterminaldeviceforvideoandimage2021-12-15发布 2022-03-01实施浙江省安全技术防范行业协会发布T/ZJAFT/ZJAF11—2021II目 次前言 II112范引文件 13语定和略语 13.1术和义 13.2缩语 14备全护述 2安防架构 2硬平安全 2系平安全 2应软安全 2通安全 35备类 36全求 3硬平安全 3系平安全 3应软安全 4通安全 57同型备全求 6参考献 8T/ZJAFT/ZJAF11—2021IIII前 言GB/T1袁福贵、林勉嵩、黄海飞、李欢丽。T/ZJAFT/ZJAF11—2021PAGEPAGE8视频图像物联终端设备安全技术要求范围本文件适用于视频图像物联终端设备的设计、开发、测试和应用。（GB/T11457—2006信息技术软件工程术语GB/T25069—2010信息安全技术术语GB/T28925信息技术射频识别2.45GHz空中接口协议GB/T29768信息技术射频识别800/900MHz空中接口协议GB/T33745—2017物联网术语GB/T35273—2020信息安全技术个人信息安全规范GB/T35318—2017公安物联网感知终端安全防护技术要求GB/T37044—2018信息安全技术物联网安全参考模型及通用要求ITU-TX.509信息技术开放系统互连目录：公开秘钥和属性证书框架（Informationtechnology—OpenSystemsInterconnection—TheDirectory：Public-keyandattributecertificateframeworks）GB/T11457—2006、GB/T25069—2010、GB/T33745—20173.1.1频像联端备 IoTterminaldeviceforvideoandimage物联网中具有视频图像数据采集、存储、处理等部分或全部能力的终端设备。缩略语下列缩略语适用于本文件。AES：高级加密标准（AdvancedEncryptionStandard）CCMP：计数器模式密码块链消息完整码协议（CounterCBC-MACProtocol）IoT：物联网（InternetofThing）MQTT：消息队列遥测传输（MessageQueuingTelemetryTransport）OTA：空中下载技术（Over-The-AirTechnology）OTP（OneTimeProgrammable）PIN（PersonalIdentifyNumber）SSP（securitysupportprovider）TEE（TrustedExecutionEnvironment）TLS（TransportLayerSecurity）TPM（TrustedPlatformModule）WPA:Wi-Fi（Wi-FiProtectedAccess）应用软件安全身份认证权限控制安全审计数据保护应用软件安全身份认证权限控制安全审计数据保护密码算法物理安全安全芯片通用安全设备间交互物理安全安全芯片通用安全设备间交互蓝牙通信WiFi通信其他通信系统平台安全引导程序初始设置操作系统软件升级内核程序 图1 视频像联端备全防架图硬件平台安全主要包括物理安全防护和安全芯片应用。系统平台安全主要包括引导程序、初始设置、操作系统、软件升级、内核程序的安全防护。应用软件安全主要包括身份认证、权限控制、安全审计、数据保护、密码算法的安全防护。通信安全主要包括通用安全、设备间交互、蓝牙通信、WiFi通信及其他通信的安全防护。视频图像物联终端设备根据其安全防护能力不同分为基础型、增强型和全面型。设备分类见表1。表1 设备类设备分类分类说明适用范围基础型具备软件安全的基本防护能力，不涉及或极少涉及物理安全的防护。不涉及个人敏感信息，物理攻击的影响较小，且自身的安全问题不会影响系统中其他节点的安全防护的视频图像物联终端设备。增强型在软件安全的基础防护能力上，进一步提升软件安全防护能力，并具备一定的硬件安全防护能力。涉及个人敏感信息，自身的安全问题可能会影响系统周边节点的安全防护的视频图像物联终端设备。全面型在现有安全技术基础能力下，对软件、硬件进行全面安全加固，具备软件、硬件全面安全防护的能力。涉及个人高敏感的信息数据，或者设备的安全问题可能致使系统出现非常严重的安全事故的视频图像物联终端设备。注1：视频图像物联终端设备的安全防护能力要求根据特殊情景可作出适当的调整。注2：个人敏感信息判定见GB/T35273-2020中的附录B。6.2.2.1 GB/T35318—20177.1.2.1OTAOTA出厂设置应仅启用基本网络服务功能。IoT6.4.1.1 GB/T37044—20185.4.2.2TLSITU-TX.509MQTTPINJustWork，SSP6注：“JustWork”模式指不需要用户参与，设备发起连接即可配对目标设备。WiFiWiFiWPA2WPAAES（CCMPWiFiWPSGB/T29768和GB/T28935视频图像物联终端设备根据不同安全防护能力应符合表2规定的安全要求。表2 视频像联备全求安全要求基础型增强型全面型硬件平台物理安全6.1.1.1—●●6.1.1.2——●6.1.1.3——●6.1.1.4——●安全芯片6.1.2.1——●6.1.2.2——●6.1.2.3——●6.1.2.4——●系统平台引导程序6.2.1.1—●●6.2.1.2●●●6.2.1.3——●6.2.1.4—●●6.2.1.5——●系统平台操作系统6.2.2.1——●6.2.2.2●●●6.2.2.3—●●6.2.2.4—●●6.2.2.5——●6.2.2.6—●●6.2.2.7——●软件升级6.2.3.1●●●6.2.3.2——●6.2.3.3—●●6.2.3.4●●●6.2.3.5——●6.2.3.6——●内核程序6.2.4.1—●●6.2.4.2●●●初始设置6.2.5●●●表2 视频像联备全类要（）安全要求基础型增强型全面型应用软件身份认证6.3.1.1●●●6.3.1.2●●●6.3.1.3●●●6.3.1.4●●●6.3.1.5●●●权限控制6.3.2.1●●●6.3.2.2●●●6.3.2.3—●●安全审计6.3.3.1●●●6.3.3.2●●●6.3.3.3—●●数据保护6.3.4.1●●●6.3.4.2●●●6.3.4.3—●●应用软件密码算法6.3.5.1●●●6.3.5.2●●●6.3.5.3—●●6.3.5.4——●通信通用安全6.4.1.1—●●6.4.1.2●●●6.4.1.3●●●6.4.1.4—●●6.4.1.5●●●设备间交互6.4.2.1●●●6.4.2.2●●●6.4.2.3●●●蓝牙6.4.3.1●●●6.4.3.2●●●6.4.3.3●●●6.4.3.4●●●6.4.3.5●●●WiFi6.4.4.1●●●6.4.4.2●●●6.4.4.3●●●6.4.4.4●●●其他通信6.4.5●●●注：“●”代表强制要求项，“—”代表可选项。参 考 文 献[1]GB17859-1999计算机信息系统安全保护等级划分准则[2]G