《信息安全技术 物联网感知层网关安全技术要求-编制说明》

一、工作简况

1.1任务来源

本项目为2014年的标准编制项目，名称为“信息安全技术工业控制系统安

全管理基本要求”由网神信息技术（北京）股份有限公司承担，参与单位包括北

京工业大学、工业和信息化部电子工业标准化研究所、北京博大光通国际半导体

技术有限公司等单位。

1.2主要工作过程

1.2014年4月，成立项目组，联系各个参与单位，进行任务分工和任务组

织；调研现有物联网网关安全相关技术内容，分析各自特点，学习借鉴。

2.2014年6月，项目组形成了标准草案框架，明确了标准初步研制思路，

形成了标准初步草案。

3.2014年8月，信安标委秘书处组织召开了标准检查会，评审组专家对标

准草案进行了检查。

4.2014年12月，信安标委秘书处组织召开了标准检查会，评审组专家对标

准草案进行了检查。

5.2015年2月，项目组组织召开了行业专家讨论会，听取了来自电力、工

业控制、智能制造、物流、物联网安全、无线传感器、射频等行业专家对标准草

案的意见。

6.2015年4月，根据任务书的要求，项目组开展了考察调研和资料搜集工

作，并对标准草案进行了修改。

7.2015年6月，信安标委秘书处组织了标准草案审查会，对标准的进展情

况进行了中期考核，评审专家对标准内容提出了修改意见。项目组对专家意见进

行了认真分析和研究，重新梳理了标准研制思路，针对重要事项内容制定了修改

计划。

8.2015年8月，信安标委秘书处组织了标准草案研讨会，进一步对中期考

核提出的问题及修改内容进行二次讨论，根据项目组专家意见对标准的具体内容

进行了完善。

9.2015年10月，标准工作组按照任务分工，对访问控制、IPS技术要求部

分进行了划分规整，根据互联网网关安全的技术要求，重新调整了了相关安全内

容。

1

10.2015年12月，项目组组织了专家研讨会，听取了与会专家关于标准的

意见，项目组根据专家意见对标准内容进行了完善。

11.2016年2月，项目组参加了“物联网安全技术研讨会”，听取了工控、

智能制造等不同领域专家关于物联网感知层安全的观点和意见，在涉及网关安全

方面，听取各位专家的意见，并进一步完善了标准草稿。

14.2015年3月-2016年8月，项目组根据专家意见对标准草案内容进行了

补充调整，按照信安标委要求尽快形成征求意见稿。

15.2016年10月，项目组参加了信安标委2016年全国第二次研讨会议，对

标准内容进行了上会讨论，听取了各方专家意见。

16.2016年11月，根据会员单位及会上反馈的意见进行了部分内容的修改，

形成征求意见稿。

17.2016年12月，对标准格式及内容，按照GBT-1.1.2009的要求，进行了

形式审查，调整了文字的结构。

二、编制原则和主要内容

2.1编制原则

本标准的研究与编制工作遵循以下原则：

（1）通用性原则

在当前物联网信息传输安全的基础上，对国内物联网网关安全内容进行总

结、归纳，参考吸纳各领域在物联网应用中关于网关安全的解决方案和相应技术

规范。

（2）可操作性和实用性原则

标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得

起实践的检验，做到可操作、可用与实用。

（3）简化原则

根据规范化对象的结构、形式、规则等筛选提炼，经过剔除、替换，保持整

体结构合理且维持原意和功能不变。

2.2主要内容

物联网应用正在深入到人们生活的方方面面。物联网安全事故的危害和影响

也深刻涉及到人们的人身、财产、环境安全和社会、国家安全，比互联网时代更

2

为严重。同时，物联网安全措施与成本的矛盾十分突出，特别是在感知层，感知

器、控制器等大量分布于各行业现场，其分布广、数量大、计算能力较弱，现有

及在研国家信息安全标准在物联网中，特别是在物联网的感知层并不能够完全适

用。因此，需要研究制定针对物联网感知层的新的安全标准和规范。

物联网网关实现感知网络与通信网络，以及不同类型感知网络之间的协议转

换、互联及设备管理功能，是物联网安全的薄弱环节同时也是重要组成部分。通

过制定物联网感知层网关安全技术要求，可以为物联网感知层网关安全技术研发

与产品产业化提供指导与参考，加强物联网信息安全体系建设，降低物联网信息

安全建设成本、提高物联网应用的安全性。物联网感知层网关安全技术要求主要

由物联网协议（规约）解析、访问规则、验证工具、包过滤、入侵检测和安全审

计等部分组成，针对物联网感知层与网络层通讯的特点，建立相应的参考模型，

并针对应用场景给出相应的参考方案。

1）协议解析与转换

协议解析与转换是物联网防火墙区别于传统防火墙的重要特征，涉及的常用

物联网传输协议有：RFID（ISO14433TYPEA等），Zigbee，802.11x，IEC61850

等。实现物联网协议与互联网TCP/IP协议的转换，基于转换后的标准协议制定；

同时，具备黑名单与白名单共存的验证机制，其中，相对开放的网络架构采用黑

名单，相对封闭的网络架构建议采用白名单，用户可根据需要采用适当的验证方

法。

2）包过滤

该策略应实现基于源地址、目的地址的访问控制，实现基于协议（规约）类

型的访问控制，由对网络层联机的动态检测，拒绝或阻挡非标准通信协议的联机

要求。主动进行数据包双向过滤，具备短包、碎片包过滤。

3）入侵检测

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击

和误操作的实时保护，在物联网网关系统受到危害之前拦截和响应入侵。物联网

网关的入侵检测是物联网安全体系中必不可少的组成部分，是访问控制之后的第

二道安全防御，是对防火墙的重要补充，在不影响物联网性能的情况下能对网络

进行监测。通常通过执行以下任务来实现：监视、分析用户及系统活动；系统构

造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模

3

式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，

并识别用户违反安全策略的行为。

4）物联网网关安全审计

网关安全审计需要保证任何涉及安全性的操作和行为都可以被记录和查询，

具体实现包括：任何对审计记录进行操作的尝试，关闭审计功能或子系统，以及

受影响客体的标识；任何读取、修改、破坏审计记录的尝试；所有对访问授权与

拒绝规则覆盖的主体执行操作的请求，以及受影响客体的标识；修改安全属性的

所有尝试，以及修改后安全属性的新值；所有使用安全功能中鉴别数据管理机制

的请求；所有访问鉴别数据的请求，以及访问请求的目标；任何对鉴别机制的使

用；所有使用标识机制的尝试；所有对安全功能配置参数的修改（设置和更新），

无论成功与否，以及配置参数的新值；因鉴别尝试不成功的次数超出了设定的限

制。通过对上述要求的规范，保障物联网感知层网关的安全可控。

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

本标准编制期间调研和分析了国内外物联网感知层网关要求的应用和安全

现状，研究和分析了国外物联网安全体系相关文件和标准，吸收国外先进的体系

建设思路，针对国内物联网安全应用和安全现状形成的标准。

本标准针对物联网感知层网关技术给出了安全规范要求，以指导企业实施物

联网产品系统安全工作，满足物联网感知层网关的信息安全需求，有效抵御安全

风险，实现物联网网关通信的安全。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

物联网感知层网关安全技术要求背后的规范政策将会对产业发展存在一定

的建设性意见造成重大影响。为此，编制组专门分析、参考、吸收了国外物联网

标准组织IS0／IEC、JTC1、WG7、ITU-T、IETF、IEEE802.15、IEEEl451、ZigBee

等的研究工作。参考了ISO／IECSGSN总体技术中，涉及传感网体系架构、标

准体系、演进路线、协同架构等内容。

本标准力求在技术要素上借鉴国际权威研究内容。同时，为落实国家对物

联网信息安全技术的政策要求，标准在保持技术中立的前提下，提出了大量扩展

要求。

五、与有关的现行法律、法规和强制性国家标准的关系

4

本标准参考了《下一代防火墙安全技术要求》、《信息安全技术网络入侵

检测系统技术要求和测试评价方法》、《信息安全技术网络通信审计产品技术

要求》等相关网络安全标准，为提供了物联网感知层网关安全技术的标准提供了

指导。

六、重大分歧意见的处理经过和依据

详见标准意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等

内容）

本标准作为物联网网关