信息安全技术 智能门锁网络安全技术规范-编制说明

国家标准送审资料PAGE4工作简况1、任务来源为了建立和完善国家信息安全标准体系，根据《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》（信安秘字[2019]050号），制定本标准。根据公安部第三研究所的申请，全国信息安全标准化技术委员会于2019年在《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》（信安秘字[2019]050号）下达了《信息安全技术智能门锁安全技术要求和测试评价方法》的标准制定任务，由公安部第三研究所牵头承担标准制定工作，起草单位包括：中国网络安全审查技术与认证中心、国家计算机网络与信息安全管理中心、中国信息安全研究院有限公司、杭州萤石软件有限公司、北京奇虎科技有限公司、上海市质量监督检验技术研究院、工业和信息化部电子第五研究所、中山市锁业协会、上海市信息安全行业协会、阿里巴巴（北京）软件服务有限公司、中国电信集团有限公司、青岛海尔智能家电科技有限公司、上海嘉韦思信息科技有限公司、翼盾（上海）智能科技有限公司、浙江智贝信息科技有限公司、上海物盾信息科技有限公司、移康智能科技（上海）股份有限公司、南京东屋电气有限公司。2、主要起草单位和工作组成员本标准起草单位：公安部第三研究所、中国网络安全审查技术与认证中心、国家计算机网络与信息安全管理中心、中国信息安全研究院有限公司、杭州萤石软件有限公司、北京奇虎科技有限公司、上海市质量监督检验技术研究院、工业和信息化部电子第五研究所、中山市锁业协会、上海市信息安全行业协会、阿里巴巴（北京）软件服务有限公司、中国电信集团有限公司、青岛海尔智能家电科技有限公司、上海嘉韦思信息科技有限公司、翼盾（上海）智能科技有限公司、浙江智贝信息科技有限公司、上海物盾信息科技有限公司、移康智能科技（上海）股份有限公司、南京东屋电气有限公司。主要起草人有：刘继顺、陆臻、顾健、沈亮、张艳、孙永清、李海鹏、胡津铭、张智强、潘灏、申永波、何清林、杨晨、常涛、张屹、何曙、李乐言、冯秀英、黄磊、方强、汪来富、潘月霖、舒首衡、朱易翔、周正达、徐梦宇、朱林清、闵浩。3、主要工作过程标准制定的主要工作过程如下：2019年01月至2019年03月，根据《2019年网络安全国家标准项目申报指南》开展标准草案编制工作，并组织内部、外部专家进行两次讨论和审议，形成草案修改稿。2019年03月-2019年04月，向全国信安标委会提交立项申请，在宁波TC260WG5工作组会议中通过现场答辩。2019年08月，根据《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》（信安秘字[2019]050号），本标准立项成功。2019年10月，编制组召开标准启动会，参编单位和与会专家对标准的结构、内容进行了研讨。2019年10月，编制组应标委会工作组要求，召开专家评审会，来自中国电子标准化研究院、北京江南天安科技有限公司、国家信息中心、国家信息技术安全研究中心、中国信息安全测评中心等单位的专家对标准文本进行了评审，编制组根据专家意见对标准文稿进行了修改。2019年10月-2019年11月，编制组在重庆TC260WG5工作组会议上进行了标准编制工作汇报，经工作组专家投票决定将标准推进到征求意见稿，会后根据会议专家意见修改文稿，形成征求意见稿。标准编制原则和确定主要内容的论据及解决的主要问题1、标准编制原则本标准的编制立足于我国信息安全技术及相关产业发展现状，以GB/T25064-2010、GB/T25065-2010等法规和标准为依据，本着“科学、合理、系统、适用”的原则，注重通用性、可操作性和实用性，提出智能门锁安全技术要求和测试评价方法。同时参考了以下国际和国家标准：ISO/IECJTC1/SC27N17773PDIoT-TextforPDGuidelinesforsecurityandprivacyinInternetofThings(IoT)NISTSP800-183Networkof“Things”ISO/IECCD30141InternetofThingsReferenceArchitecture(IoTRA)ISO/IEC27033Informationtechnology--Securitytechniques--NetworksecurityISO/IEC9798Informationtechnology--Securitytechniques--EntityauthenticationISO/IEC27034Informationtechnology--Securitytechniques--ApplicationsecurityGB21556-2008锁具安全使用通用技术条件2、标准解决的问题及主要内容随着智能门锁行业的迅猛发展，各类产品以及相关技术解决方案层出不穷，由于标准以及相关安全技术规范发展相对滞后，各种安全隐患也不断暴露出来，诸如近场通信劫持、WIFI流量劫持、密码猜解、指纹异物、强磁故障注入、APP漏洞和云端服务漏洞等各种智能门锁的安全隐患，已经引起国家市场监管总局等部门重点关注，经中央电视台等媒体报道后，也引起了社会各界的广泛关注。经过调研，我们发现国内外关于智能门锁的网络安全标准仍然没有建立。该标准规定了智能门锁系统的安全技术要求和测试评价方法，其中包括：设备身份认证、固件安全、鉴别信息安全、故障注入攻击防范等智能门锁锁体安全功能要求，安全接入控制、设备单向/双向认证、传输通道安全等接入网关安全功能要求，安全身份认证、用户权限控制、用户隐私保护、安全配置与管理等管理服务平台安全技术要求，远程控制安全、用户身份鉴别、用户数据保护、逆向分析防范等移动应用安全功能要求，以及智能门锁锁体、接入网关、管理服务平台、移动应用等安全功能要求的测试方法。本标准的研制目标是针对门锁智能化、联网化后，智能门锁系统中突显出的门锁用户鉴别信息仿冒、设备仿冒、固件漏洞、用户信息泄露等网络信息安全问题，提出安全技术要求和测试评价方法；为智能门锁设计、生产、运营厂商的安全设计、生产与运营提供指导；为国家规范智能门锁行业健康有序发展提供技术依据；为国家信息安全产品管理部门与第三方测评机构对该类产品进行管理与测评提供依据。主要试验[或验证]情况分析编制组组织相关生产企业对标准中传输保密性、传输完整性、电磁故障注入等标准条目进行了试验，试验结果发现标准要求基本合理，具体性能指标需要进一步试验分析。知识产权情况说明本标准不涉及专利。产业化情况、推广应用论证和预期达到的经济效果智能门锁产业近年来增长迅猛，根据国家互联网应急中心发布的《智能门锁网络安全分析报告》以及《2018中国智能门锁行业研究报告》，截止到2017年，全国智能门锁有1300多家企业，2800多个品牌，2017年智能门锁销量约800万套，预计到2020年，我国智能门锁年销量将超过4000万套。我国广东、浙江等地均有智能门锁产业基地，相关技术与产品的研发和应用取得显著进展，产业链建设日臻完善，本标准将促进相关产业的发展。采用国际标准和国外先进标准情况本标准并非采标标准，但在制定的过程中参考了ISO/IEC、NIST。与现行相关法律、法规、规章及相关标准的协调性《信息安全技术智能门锁安全技术要求和测试评价方法》符合现有法律法规的要求。重大分歧意见的处理经过和依据无。标准性质的建议根据本标准的性质，建议本标准为推荐性标准。贯彻标准的要求和措施建议该标准规定了智能门锁系统的安全技术要求和测试评价方法，其中包括：设备身份认证、固件安全、鉴别信息安全、故障注入攻击防范等智能门锁锁体安全功能要求，安全接入控制、设备单向/双向认证、传输通道安全等接入网关安全功能要求，安全身份认证、用户权限控制、用户隐私保护、安全配置与管理等管理服务平台安全技术要求，远程控制安全、用户身份鉴别、用户数据保护、逆向分析防范等移动应用安全功能要求，以及智能门锁锁体、接入网关、管理服务平台、移动应用等安全功能要求的测试方法。建议与其他锁具标准配合实施。替代或废止现行相关标准的建议无。其它应予说明的事项无。《信息安全