信息安全技术网络安全等级保护设计技术要求第4部分：物联网安全要求

GB/T—XXXX信息安全技术网络安全等级保护安全设计技术要求第4部分：物联网安全要求范围本标准依据《网络安全等级保护安全设计技术要求第1部分：安全通用要求》和《网络安全等级保护基本要求第4部分：物联网安全扩展要求》，规范了信息系统等级保护安全设计要求对物联网系统的扩展设计要求，包括第一级至第四级物联网系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。本标准适用于指导信息系统等级保护物联网系统安全技术方案的设计和实施，也可作为信息安全职能部门对物联网系统进行监督、检查和指导的依据。规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。GB/T25069-2010信息安全技术术语GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T25070-2010网络安全等级保护安全设计技术要求第1部分：安全通用要求GB/T22239.4-XXXX网络安全等级保护基本要求第4部分：物联网安全扩展要求GB/TXXXX物联网第2部分：术语GB/TXXXX物联网第3部分：参考体系结构与通用技术要求术语和定义下列术语和定义适用于本标准。定级系统classifiedsystem按照已确定安全保护等级的物联网系统。定级系统分为第一级、第二级、第三级和第四级物联网系统。定级系统安全保护环境securityenvironmentofclassifiedsystem由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成的对定级系统进行安全保护的环境。定级系统安全保护环境包括第一级物联网系统安全保护环境、第二级物联网系统安全保护环境、第三级物联网系统安全保护环境、第四级物联网系统安全保护环境以及定级系统的安全互联。安全计算环境securecomputingenvironment对定级系统的信息进行存储、处理及实施安全策略的相关部件。安全计算环境按照保护能力划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境和第四级安全计算环境。安全区域边界secureareaboundary对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。安全区域边界按照保护能力划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界和第四级安全区域边界。安全通信网络securecommunicationnetwork对定级系统安全计算环境和信息安全区域之间进行信息传输及实施安全策略的相关部件。安全通信网络按照保护能力划分第一级安全通信网络、第二级安全通信网络、第三级安全通信网络和第四级安全通信网络。安全管理中心securitymanagementcenter对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心，称为第二级安全管理中心、第三级安全管理中心和第四级安全管理中心。跨定级系统安全管理中心securitymanagementcenterforcrossclassifiedsystem跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。定级系统互联classifiedsysteminterconnection通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。物联网internetofthings（IOT）物联网是将感知节点设备（含RFID）通过互联网等网络连接起来构成的一个应用系统，它融合信息系统和物理世界实体，是虚拟世界与现实世界的结合。物联网安全securityforIOT对物联网机密性、完整性、可用性、私密性的保护，并可能涉及真实性、责任制、不可否认性和可靠性等其他属性。物联网安全等级保护IOTsecurityofclassifiedprotection根据物联网安全的程度进行等级划分，对物联网系统分等级进行保护和管理，对物联网信息安全事件分等级响应和处置。网关节点设备thesensorlayergateway网关节点设备是一种以将感知节点设备所采集的数据传输到数据处理中心的关键出口，是连接传统信息网络（有线网、移动网等）和传感网的桥梁，其安全设置也区分对感知层的安全设置和对网络传输层的安全设置。简单的感知层网关只是对感知数据的转发（因电力充足），而智能的感知层网关可以包括对数据进行适当处理、数据融合等业务。物联网感知层sensorlayerofIOT物联网感知层是指能形成物联网应用的集物理信息采集、简单处理、自动控制、短距离传输和汇聚的系统，包括感知设备、感知层网关以及二者之间的短距离通信（通常为无线）。感知sensing通过感知设备获得对象的信息的过程。感知设备sensornode也叫感知终端设备（endsensor）、终端感知节点设备（endsensornode），是物联网系统的最终端设备或器件，能够通过有线、无线方式发起或终结通信，采集物理信息和/或接受控制的实体设备。数据新鲜性datafreshness数据新鲜性是防止已经成功接收的历史数据再次被接收处理（通过历史数据列表比对），或超出数据接收时间（时间戳过期）的数据被接收，或超出合法性范围（如计数器无效）的数据被接收。不满足新鲜性的数据一般不予处理，其目的是用于防止数据重放攻击。物联网系统安全等级保护设计概述依据GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》和GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》，结合物联网系统的特点，构建在安全管理中心支持下的安全计算环境、安全区域边界、安全通信网络三重防御体系。信息系统等级保护物联网安全设计包括各级系统安全保护环境的设计及其安全互联的设计。各级系统安全保护环境由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成，其中安全计算环境、安全区域边界、安全通信网络是在计算环境、区域边界、通信网络中实施相应的安全策略。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。图1物联网系统安全保护设计框架安全管理中心支持下的物联网系统安全保护设计框架如图1所示，物联网感知层和应用层都由完成计算任务的计算环境和连接网络通信域的区域边界组成。安全计算环境包括物联网系统感知层和应用层中对定级系统的信息进行存储、处理及实施安全策略的相关部件，如感知设备、感知层网关、主机及主机应用等。安全区域边界包括物联网系统安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件，如感知层和网络层之间的边界、网络层和应用层之间的边界等。安全通信网络包括物联网系统安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部件，如网络层的通信网络以及感知层和应用层内部安全计算环境之间的通信网络等。安全管理中心包括对定级物联网系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台，包括系统管理、安全管理和审计管理三部分，只有第二级及第二级以上的安全保护环境设计有安全管理中心。物联网系统根据业务和数据的重要性可以划分不同的安全防护区域，所有系统都必须置于相应的安全区域内，并实施一致的安全策略。物联网系统安全区域划分如图2所示，该图指出了物联网系统的三层架构和三种主要的安全区域划分方式，以及安全计算环境、安全区域边界、安全通信网络、安全管理中心在物联网系统中的位置。图2物联网系统安全区域划分示意图安全区域A包括应用层安全计算环境、感知层安全计算环境、网络层组成的安全通信网络以及安全区域边界；安全区域B包括应用层安全计算环境、网络层组成的安全通信网络、安全子域B1以及安全区域边界；安全区域B1作为安全区域B的子域，包括感知层安全计算环境及其安全边界。图中每个安全区域由安全区域边界进行防护，安全区域A和安全区域B通过安全通信网络进行通信，安全区域内部的应用层和感知层通过网络层实现物联网数据信息和控制信息的双向传递。物联网系统的网络层可被视为安全通信网络的逻辑划分，将感知层采集的数据信息向上传输到应用层，并将应用层发出的控制指令信息向下传输到感知层。第一级物联网系统安全保护环境设计设计目标第一级物联网系统安全保护环境的设计目标是：按照GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》对第一级物联网系统的安全保护要求，实现定级系统的自主访问控制，使系统用户对其所属客体具有自我保护的能力。设计策略第一级系统安全保护环境的设计策略是：遵循GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》的4.1中相关要求，以身份鉴别为基础，按照物联网对象进行访问控制。感知层以身份标识和身份鉴别为基础，提供数据源认证；以区域边界准入控制提供区域边界保护；以数据校验等手段提供数据的完整性保护。第一级物联网系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网络的设计加以实现。设计技术要求第一级安全计算环境应从以下方面进行安全设计：安全计算环境设计技术要求身份鉴别用户身份鉴别（见GB/T250705.3.1.a)）应支持用户标识和用户鉴别。在每一个用户注册到系统时，采用用户名和用户标识符标识用户身份；在每次用户登录系统时，采用口令鉴别机制进行用户身份鉴别，并对口令数据进行保护。物联网系统身份鉴别（1）感知设备和感知层网关的身份标识和鉴别，安全管理中心对感知设备和感知层网关进行统一入网标识管理和维护；（2）应采用常规鉴别机制对感知设备发送的数据进行鉴别，确保数据来源于正确的感知设备。自主访问控制（见GB/T250705.3.1.b)）应在安全策略控制范围内，使用户/用户组对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户/用户组。访问控制主体的粒度为用户/用户组级，客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。数据完整性保护用户数据完整性保护（见GB/T250705.3.1.c)）可采用常规校验机制，检验存储的用户数据的完整性，以发现其完整性是否被破坏。物联网系统数据完整性保护可采用常规校验机制，检验感知设备生存信息的完整性，以发现其完整性是否被破坏。恶意代码防范（见GB/T250705.3.1.d)）应安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和清除恶意代码。安全区域边界设计技术要求第一级安全区域边界应从以下方面进行安全设计：区域边界包过滤（见GB/T250705.3.2.a)）可根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。区域边界恶意代码防范（见GB/T250705.3.2.b)）可在安全区域边界设置防恶意代码软件，并定期进行升级和更新，以防止恶意代码入侵。物联网系统区域边界准入控制应在安全区域边界设置准入控制机制，保证合法设备接入。安全通信网络设计技术要求第一级安全通信网络应从以下方面进行安全设计：通信网络数据传输完整性保护（见GB/T250705.3.3.）通信网络数据传输完整性保护。可采用常规校验机制，检验通信网络数据传输的完整性，并能发现其完整性被破坏。感知层网络数据传输完整性保护应采用常规校验机制，检验感知层网络敏感数据传输的完整性，并能发现其完整性被破坏。感知层网络数据传输新鲜性保护应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、计数器等，以实现感知层网络数据传输新鲜性保护。异构网安全接入保护应采用接入认证等技术建立异构网络的接入认证系统，保障控制信息的安全传输。第二级物联网系统安全保护环境设计设计目标第二级物联网系统安全保护环境的设计目标是：按照GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》对第二级物联网系统的安全保护要求，在第一级系统安全保护环境的基础上，增加感知层访问控制、区域边界审计等安全功能，使系统具有更强的安全保护能力。设计策略第二级系统安全保护环境的设计策略是：遵循GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》的5.1中相关要求，感知层以身份鉴别为基础，提供对感知设备和感知层网关的访问控制；以区域边界协议过滤与控制和区域边界安全审计等手段提供区域边界防护，以增强系统的安全保护能力。第二级物联网系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。设计技术要求安全计算环境设计技术要求第二级安全计算环境应从以下方面进行安全设计：身份鉴别用户身份鉴别（见GB/T250706.3.1.a)）应支持用户标识和用户鉴别。在每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。物联网系统身份鉴别（1）感知设备和感知层网关的身份标识和鉴别，安全管理中心对感知设备和感知层网关进行统一入网标识管理和维护，并确保在系统整个生存周期设备标识的唯一性；（2）应采用常规鉴别机制对感知设备发送的数据进行鉴别，确保数据来源于正确的感知设备；（3）应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法等，对假冒用户使用未授权的业务应用或者合法用户使用未定制的业务应用进行鉴别，防止末端感知设备身份伪造和克隆等攻击。访问控制自主访问控制（见GB/T250706.3.1.b)）应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。物联网系统访问控制（1）通过制定安全策略如访问控制列表，实现对感知设备的访问控制；（2）感知设备和其他设备（感知层网关、其他感知设备）通信时，根据安全策略对其他设备进行权限检查，只有权限检查通过后，才允许设备间开始通信。系统安全审计（见GB/T250706.3.1.c)）应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护，并可由安全管理中心管理。数据完整性保护用户数据完整性保护（见GB/T250706.3.1.d)）可采用常规校验机制，检验存储的用户数据的完整性，以发现其完整性是否被破坏。物联网系统数据完整性保护可采用常规校验机制，检验感知设备生存信息、鉴别信息、隐私性数据和重要业务数据的完整性，以发现其完整性是否被破坏。用户数据保密性保护（见GB/T250706.3.1.e)）可采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密性保护。客体安全重用（见GB/T250706.3.1.f)）应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。恶意代码防范（见GB/T250706.3.1.g)）应安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和清除恶意代码。安全区域边界设计技术要求第二级安全区域边界应从以下方面进行安全设计：区域边界包过滤（见GB/T250706.3.2.a)）应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。区域边界安全审计（见GB/T250706.3.2.b)）应在安全区域边界设置审计机制，并由安全管理中心统一管理。区域边界恶意代码防范（见GB/T250706.3.2.c)）应在安全区域边界设置防恶意代码网关，由安全管理中心管理。区域边界完整性保护（见GB/T250706.3.2.d)）应在区域边界设置探测器，探测非法外联等行为，并及时报告安全管理中心。区域边界准入控制应在安全区域边界设置准入控制机制，能够对设备进行认证，保证合法设备接入，拒绝恶意设备接入。区域边界协议过滤与控制应在安全区域边界设置协议检查，对通信报文进行合规检查。安全通信网络设计技术要求第二级安全通信网络应从以下方面进行安全设计：通信网络安全审计（见GB/T250706.3.3.a)）应在安全通信网络设置审计机制，由安全管理中心管理。通信网络数据传输完整性保护（见GB/T250706.3.3.b)）可采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护。通信网络数据传输保密性保护（见GB/T250706.3.3.c)）可采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。感知层网络数据传输完整性保护应采用密码等技术支持的完整性校验机制如国家密码行政主管部门规定的轻量级数字摘要算法、签名算法等，以实现感知层网络敏感数据传输完整性保护。感知层网络敏感数据传输保密性保护应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的轻量级对称加密算法、非对称加密算法等，以实现感知层网络数据传输保密性保护。感知层网络数据传输新鲜性保护应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、计数器等，以实现感知层网络数据传输新鲜性保护。异构网安全接入保护（1）应采用接入认证等技术建立异构网络的接入认证系统，保障控制信息的安全传输；（2）应采用入侵检测等技术拒绝恶意设备的接入，保证合法设备不被恶意设备攻击而被拒绝接入，保证网络资源的可使用性。安全管理中心设计技术要求系统管理信息系统管理（见GB/T25070）可通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。物联网系统管理应通过系统管理员对感知层的资源和运行进行配置、控制和管理，包括感知设备身份管理、标识管理、感知节点退出管理等。安全管理应通过安全管理员对系统中所使用的密钥进行统一管理，包括密钥的生成、分发、更新、存储、备份、销毁等，并采取必要措施保证密钥安全。审计管理（见GB/T25070）可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。应对安全审计员进行身份鉴别，并只允许其通过特定的命令或操作界面进行安全审计操作。第三级物联网系统安全保护环境设计设计目标第三级物联网系统安全保护环境的设计目标是：按照GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》对第三级物联网系统的安全保护要求，在第二级系统安全保护环境的基础上，增加区域边界恶意代码防范、区域边界访问控制等安全功能，使系统具有更强的安全保护能力。设计策略第三级系统安全保护环境的设计策略是：遵循GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》的6.1中相关要求，感知层实现感知设备和感知层网关双向身份鉴别；以区域边界恶意代码防范、区域边界访问控制等手段提供区域边界防护；以密码技术等手段提供数据的完整性和保密性保护，以增强系统的安全保护能力。第三级物联网系统安全保护环境的设计通过第三级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。设计技术要求安全计算环境设计技术要求第三级安全计算环境应从以下方面进行安全设计：身份鉴别用户身份鉴别（见GB/T250707.3.1.a)）应支持用户标识和用户鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。物联网系统身份鉴别（1）感知设备和感知层网关的身份标识和鉴别，安全管理中心对感知设备和感知层网关进行统一入网标识管理和维护，并确保在系统整个生存周期设备标识的唯一性；（2）感知层网关与感知设备之间应采用受安全管理中心控制的口令、密钥或具有相应安全强度的其他机制实现双向的身份鉴别，并对鉴别数据进行保密性和完整性保护；（3）应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法等，对感知设备发送的数据进行鉴别，确保数据来源于正确的感知设备且没有被恶意注入虚假信息；（4）应采取措施对感知设备组成的组进行组认证，以减少网络拥塞，组认证可通过认证代理来完成，如物联网感知层网关或主设备；（5）应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法等，对假冒用户使用未授权的业务应用或者合法用户使用未定制的业务应用进行鉴别，防止末端感知设备身份伪造和克隆等攻击。访问控制自主访问控制（见GB/T250707.3.1.b)）应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。标记和强制访问控制（见GB/T250707.3.1.c)）在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。物联网系统访问控制（1）通过制定安全策略如访问控制列表，实现对感知设备的访问控制；（2）感知设备和其他设备（感知层网关、其他感知设备）通信时，根据安全策略对其他设备进行权限检查，只有权限检查通过后，才允许设备间开始通信；（3）感知设备进行更新配置时，根据安全策略对用户进行权限检查，只有经过授权的合法用户才能通过外部接口对感知设备进行更新配置、下载软件等。系统安全审计（见GB/T250707.3.1.d)）应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护；确保对特定安全事件进行报警；确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口；对不能由系统独立处理的安全事件，提供由授权主体调用的接口。数据完整性保护用户数据完整性保护（见GB/T250707.3.1.e)）应采用密码等技术支持的完整性校验机制，检验存储和处理的用户数据的完整性，以发现其完整性是否被破坏，且在其受到破坏时能对重要数据进行恢复。物联网系统数据完整性保护应采用密码等技术支持的完整性校验机制如国家密码行政主管部门规定的数字摘要算法、签名算法等，检验感知设备生存信息、鉴别信息、隐私性数据和重要业务数据在存储过程中完整性是否破坏，以及防止被非法复制，且在其受到破坏时能够进行恢复、重传等。数据保密性保护用户数据保密性保护（见GB/T250707.3.1.f)）采用密码等技术支持的保密性保护机制，对在安全计算环境中的用户数据进行保密性保护。物联网系统数据保密性保护应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的对称加密算法、非对称加密算法等，对感知设备生存信息、鉴别信息、隐私性数据和重要业务数据进行保密性保护。客体安全重用（见GB/T250707.3.1.g)）应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。程序可信执行保护（见GB/T250707.3.1.h)）可构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时采取措施恢复，例如采用可信计算等技术。网络可信连接保护（见GB/T250707.3.1.i)）应采用具有网络可信连接保护功能的系统软件或具有相应功能的信息技术产品，在设备连接网络时，对源和目标进行平台身份鉴别、平台完整性校验、数据传输的保密性和完整性保护等。配置可信检查（见GB/T250707.3.1.j)）应将系统的安全配置信息形成基准库，实时监控或定期检查配置信息的修改行为，及时修复和基准库中内容不符的配置信息。安全区域边界设计技术要求第三级安全区域边界应从以下方面进行安全设计：区域边界访问控制信息系统区域边界访问控制（见GB/T250707.3.2.a)）应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。物联网系统区域边界访问控制（1）应能根据数据的时间戳为数据流提供明确的允许/拒绝访问的能力；（2）应提供网络最大流量及网络连接数限制机制；（3）应能够根据通信协议特性，控制不规范数据包的出入。区域边界包过滤（见GB/T250707.3.2.b)）应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。区域边界安全审计（见GB/T250707.3.2.c)）应在安全区域边界设置审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。区域边界完整性保护信息系统区域边界完整性保护（见GB/T250707.3.2.d)）应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理中心。物联网系统区域边界完整性保护应在区域边界设置轻量级的双向认证机制，能够保证防止数据的违规传输。区域边界准入控制（1）应在安全区域边界设置准入控制机制，能够对设备进行认证，保证合法设备接入，拒绝恶意设备接入；（2）应根据感知设备特点收集感知设备的健康性相关信息如固件版本、标识、配置信息校验值等，并能够对接入的感知设备进行健康性检查。区域边界协议过滤与控制应在安全区域边界设置协议过滤，能够对物联网通信内容进行过滤，对通信报文进行合规检查，根据协议特性，设置相对应控制机制。安全通信网络设计技术要求第三级安全通信网络应从以下方面进行安全设计：通信网络安全审计（见GB/T250707.3.3.a)）应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行报警。通信网络数据传输完整性保护（见GB/T250707.3.3.b)）应采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现完整性被破坏时进行恢复。通信网络数据传输保密性保护（见GB/T250707.3.3.c)）应采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。通信网络可信接入保护（见GB/T250707.3.3.d)）可采用由密码等技术支持的可信网络连接机制，通过对连接到通信网络的设备进行可信检验，确保接入通信网络的设备真实可信，防止设备的非法接入。感知层网络数据传输完整性保护应采用密码等技术支持的完整性校验机制如国家密码行政主管部门规定的轻量级数字摘要算法、签名算法等，以实现感知层网络敏感数据传输完整性保护，并在发现完整性被破坏时进行恢复。感知层网络敏感数据传输保密性保护应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的轻量级对称加密算法、非对称加密算法等，以实现感知层网络数据传输保密性保护。感知层网络数据传输新鲜性保护应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、计数器等，以实现感知层网络数据传输新鲜性保护。异构网安全接入保护（1）应采用接入认证等技术建立异构网络的接入认证系统，保障控制信息的安全传输；（2）应采用入侵检测等技术拒绝恶意设备的接入，保证合法设备不被恶意设备攻击而被拒绝接入，保证网络资源的可使用性；（3）应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的数字摘要算法、签名算法、对称加密算法、非对称加密算法等，以实现异构网接入时数据传输完整性和保密性保护；（4）

应根据各接入网的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并采取相应的防护措施。安全管理中心设计技术要求系统管理信息系统管理（见GB/T25070)）应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和（或）异地灾难备份与恢复等。应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。物联网系统管理（1）应通过系统管理员对感知层的资源和运行进行配置、控制和管理，包括感知设备身份管理、标识管理、感知节点退出管理等；（2）应通过系统管理员对感知设备状态（电力供应情况、是否在线、位置等）进行统一监测和处理；（3）应通过系统管理员对下载到感知设备上的应用软件进行授权。安全管理信息系统安全管理（见GB/T25070)）应通过安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略。应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。物联网系统安全管理应通过安全管理员对系统中所使用的密钥进行统一管理，包括密钥的生成、分发、更新、存储、备份、销毁等，并采取必要措施保证密钥安全。审计管理（见GB/T25070)）应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。对审计记录应进行分析，并根据分析结果进行处理。应对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作。第四级物联网系统安全保护环境设计设计目标第四级物联网系统安全保护环境的设计目标是：按照GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》对第四级物联网系统的安全保护要求，在第三级系统安全保护环境的基础上，增加专用通信协议或安全通信协议、数据可用性保护等安全功能，使系统具有更强的安全保护能力。设计策略第四级系统安全保护环境的设计策略是：遵循GB/T22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》的7.1中相关要求，感知层以专用通信协议或安全通信协议服务等手段提供数据的完整性和保密性保护，通过关键感知设备和通信线路的冗余保证系统可用性，增强系统的安全保护能力。第四级物联网系统安全保护环境的设计通过第四级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。设计技术要求安全计算环境设计技术要求第四级安全计算环境应从以下方面进行安全设计：身份鉴别用户身份鉴别（见GB/T250708.3.1.a)）应支持用户标识和用户鉴别。在每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录和重新连接系统时，采用受安全管理中心控制的口令、基于生物特征的数据、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，且其中一种鉴别技术产生的鉴别数据是不可替代的，并对鉴别数据进行保密性和完整性保护。物联网系统身份鉴别（1）感知设备和感知层网关的身份标识和鉴别，安全管理中心对感知设备和感知层网关进行统一入网标识管理和维护，并确保在系统整个生存周期设备标识的唯一性；（2）感知层网关与感知设备之间应采用受安全管理中心控制的口令、密钥或具有相应安全强度的其他机制实现双向的身份鉴别，并对鉴别数据进行保密性和完整性保护；（3）应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法等，对感知设备发送的数据进行鉴别，确保数据来源于正确的感知设备且没有被恶意注入虚假信息；（4）应采取措施对感知设备组成的组进行组认证，以减少网络拥塞，组认证可通过认证代理来完成，如物联网感知层网关或主设备；（5）应采用密码等技术支持的鉴别机制如国家密码行政主管部门规定的数字摘要算法、签名算法等，对假冒用户使用未授权的业务应用或者合法用户使用未定制的业务应用进行鉴别，防止末端感知设备身份伪造和克隆等攻击。访问控制自主访问控制（见GB/T250708.3.1.b)）应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。标记和强制访问控制（见GB/T250708.3.1.c)）在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记，将强制访问控制扩展到所有主体与客体；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。物联网系统访问控制（1）通过制定安全策略如访问控制列表，实现对感知设备的访问控制；（2）感知设备和其他设备（感知层网关、其他感知设备）通信时，根据安全策略对其他设备进行权限检查，只有权限检查通过后，才允许设备间开始通信；（3）感知设备进行更新配置时，根据安全策略对用户进行权限检查，只有经过授权的合法用户才能通过外部接口对感知设备进行更新配置、下载软件等；（4）由授权主体配置访问控制策略，严格限制默认账户的访问权限，并授予不同账户为完成各自承担任务所需的最小权限。系统安全审计（见GB/T250708.3.1.d)）应记录系统相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护；能对特定安全事件进行报警，终止违例进程等；确保审计记录不被破坏或非授权访问以及防止审计记录丢失等。应为安全管理中心提供接口；对不能由系统独立处理的安全事件，提供由授权主体调用的接口。数据完整性保护用户数据完整性保护（见GB/T250708.3.1.e)）应采用密码等技术支持的完整性校验机制，检验存储和处理的用户数据的完整性，以发现其完整性是否被破坏，且在其受到破坏时能对重要数据进行恢复。物联网系统数据完整性保护（1）应采用密码等技术支持的完整性校验机制如国家密码行政主管部门规定的数字摘要算法、签名算法等，检验感知设备生存信息、鉴别信息、隐私性数据和重要业务数据在存储过程中完整性是否破坏，以及防止被非法复制，且在其受到破坏时能够进行恢复、重传等；（2）应采用专用通信协议或安全通信协议服务，避免来自基于通用协议的攻击破坏数据的完整性。数据保密性保护用户数据保密性保护（见GB/T250708.3.1.f)）采用密码等技术支持的保密性保护机制，对在安全计算环境中的用户数据进行保密性保护。物联网系统数据保密性保护（1）应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的对称加密算法、非对称加密算法等，对感知设备生存信息、鉴别信息、隐私性数据和重要业务数据进行保密性保护；（2）应采用专用通信协议或安全通信协议服务，避免来自基于协议的攻击破坏数据的保密性。客体安全重用（见GB/T250708.3.1.g)）应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。程序可信执行保护（见GB/T250708.3.1.h)）应构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时采取措施恢复，例如采用可信计算等技术。网络可信连接保护（见GB/T250708.3.1.i)）应采用具有网络可信连接保护功能的系统软件或具有相应功能的信息技术产品，在设备连接网络时，对源和目标进行平台身份鉴别、平台完整性校验、数据传输的保密性和完整性保护等。配置可信检查（见GB/T250707.3.1.j)）应将系统的安全配置信息形成基准库，实时监控或定期检查配置信息的修改行为，及时修复和基准库中内容不符的配置信息。数据可用性保护应提供关键感知设备和通信线路冗余，保证系统的高可用性。安全区域边界设计技术要求第四级安全区域边界应从以下方面进行安全设计：区域边界访问控制信息系统区域边界访问控制（见GB/T250708.3.2.a)）应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。物联网系统区域边界访问控制（1）应能根据数据的时间戳为数据流提供明确的允许/拒绝访问的能力，控制粒度为节点级；（2）应提供网络最大流量及网络连接数限制机制；应能够根据通信协议特性，控制不规范数据包的出入；（3）应对进出网络的信息内容进行过滤，实现对通信协议的命令级的控制。区域边界包过滤（见GB/T250708.3.2.b)）应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。区域边界安全审计（见GB/T250708.3.2.c)）应在安全区域边界设置审计机制，由安全管理中心集中管理，对确认的违规行为及时报警并做出相应处置。区域边界完整性保护信息系统区域边界完整性保护（见GB/T250708.3.2.d)）应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理中心。物联网系统区域边界完整性保护应在区域边界设置相应强度的双向认证机制，能够保证防止数据的违规传输，对确认的违规行为及时报警并做出相应处置。区域边界准入控制（1）应在安全区域边界设置准入控制机制，能够对设备进行认证，保证合法设备接入，拒绝恶意设备接入；（2）应根据感知设备特点收集感知设备的健康性相关信息如固件版本、标识、配置信息校验值等，并能够对接入的感知设备进行健康性检查。区域边界协议过滤与控制应在安全区域边界设置协议过滤，能够对物联网通信内容进行深度检测和过滤，对通信报文进行合规检查。根据协议特性，设置相对应基于白名单控制机制。区域边界恶意代码防范应针对感知层网关的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录、分析定位。安全通信网络设计技术要求第四级安全通信网络应从以下方面进行安全设计：通信网络安全审计（见GB/T250708.3.3.a)）应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行报警，且做出相应处置。通信网络数据传输完整性保护（见GB/T250708.3.3.b)）应采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现完整性被破坏时进行恢复。通信网络数据传输保密性保护（见GB/T250708.3.3.c)）应采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。通信网络可信接入保护（见GB/T250708.3.3.d)）应采用由密码等技术支持的可信网络连接机制，通过对连接到通信网络的设备进行可信检验，确保接入通信网络的设备真实可信，防止设备的非法接入。感知层网络数据传输完整性保护应采用密码等技术支持的完整性校验机制如国家密码行政主管部门规定的轻量级数字摘要算法、签名算法等，以实现感知层网络敏感数据传输完整性保护，并在发现完整性被破坏时进行恢复。感知层网络敏感数据传输保密性保护应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的轻量级对称加密算法、非对称加密算法等，以实现感知层网络数据传输保密性保护。感知层网络数据传输新鲜性保护应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、计数器等，以实现感知层网络数据传输新鲜性保护。异构网安全接入保护（1）应采用接入认证等技术建立异构网络的接入认证系统，保障控制信息的安全传输；（2）应采用入侵检测等技术拒绝恶意设备的接入，保证合法设备不被恶意设备攻击而被拒绝接入，保证网络资源的可使用性；（3）应采用密码等技术支持的保密性保护机制如国家密码行政主管部门规定的数字摘要算法、签名算法、对称加密算法、非对称加密算法等，以实现异构网接入时数据传输完整性和保密性保护；（4）

应根据各接入网的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并采取相应的防护措施。（5）应对重要通信提供专用通信协议或安全通信协议服务，避免来自基于通用通信协议的攻击破坏数据完整性；（6）应针对异构网接入点的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录、分析定位，防止拒绝服务攻击、中间人攻击和伪造网络消息。安全管理中心设计技术要求系统管理信息系统管理（见GB/T25070)）应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和（或）异地灾难备份与恢复等。应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。物联网系统管理（1）应通过系统管理员对感知层的资源和运行进行配置、控制和管理，包括感知设备身份管理、标识管理、感知节点退出管理等；（2）应通过系统管理员对感知设备状态（电力供应情况、是否在线、位置等）进行统一监测和处理；（3）应通过系统管理员对下载到感知设备上的应用软件进行授权。安全管理信息系统安全管理（见GB/T25070)）应通过安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略，并确保标记、授权和安全策略的数据完整性。应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。物联网系统安全管理应通过安全管理员对系统中所使用的密钥进行统一管理，包括密钥的生成、分发、更新、存储、备份、销毁等，并采取必要措施保证密钥安全。审计管理（见GB/T25070)）应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。对审计记录应进行分析，并根据分析结果进行及时处理。应对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作。定级系统互联设计设计目标定级系统互联的设计目标是：对相同或不同等级的定级系统之间的互联、互通、互操作进行安全保护，确保用户身份的真实性、操作的安全性以及抗抵赖性，并按安全策略对信息流向进行严格控制，确保进出安全计算环境、安全区域边界以及安全通信网络的数据安全。设计策略定级系统互联的设计策略是：遵循GBXXXXX-XXXX对各级系统的信息安全保护要求，在各定级系统的计算环境安全、区域边界安全和通信网络安全的基础上，通过安全管理中心增加相应的安全互联策略，保持用户身份、主/客体标记、访问控制策略等安全要素的一致性，对互联系统之间的互操作和数据交换进行安全保护。设计技术要求安全互联部件设计技术要求通过通信网络交换网关与各定级系统安全保护环境的安全通信网络部件相连接，并按互联互通的安全策略进行信息交换，实现安全互联部件。安全策略由跨定级系统安全管理中心实施。跨定级系统安全管理中心设计技术要求通过安全通信网络部件与各定级系统安全保护环境中的安全管理中心相连，主要实施跨定级系统的系统管理、安全管理和审计管理。系统管理通过系统管理员对安全互联部件与相同和不同等级的定级系统中与安全互联相关的系统资源和运行进行配置和管理，包括用户身份管理、安全互联部件资源配置和管理等。安全管理通过安全管理员对相同和不同等级的定级系统中与安全互联相关的主/客体进行标记管理，使其标记能准确反映主/客体在定级系统中的安全属性；对主体进行授权，配置统一的安全策略，并确保授权在相同和不同等级的定级系统中的合理性。审计管理通过安全审计员对安全互联部件的安全审计机制、各定级系统的安全审计机制以及与跨定级系统互联有关的安全审计机制进行集中管理。包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。对审计记录应进行分析，并根据分析结果进行及时处理。

附录A（资料性附录）物联网系统架构物联网系统是将感知设备通过互联网等网络连接起来构成的一个应用系统，它融合信息系统和物理世界实体，是虚拟世界与现实世界的结合。物联网系统架构如图3所示，分为三个逻辑层，即感知层、网络层、应用层。图3物联网系统架构图感知层感知层包括感知层网关和传感器、RFID等感知设备，也包括这些感知设备与感知层网关之间的短距离通信（通常为无线）。感知层网关是将感知设备所采集的数据传输到数据处理中心的关键出口，简单的感知层网关只是对感知数据的转发（因电力充足），而智能的感知层网关可以对数据进行适当处理、数据融合等。网络层网络层主要实现物联网数据信息和控制信息的双向传递，包括互联网、移动网、专用网等，常包括几种不同网络的融合。应用层应用层指对感知数据进行集中处理的平台，其中应用支撑是为应用服务提供基础支撑服务的系统，包括标识解析、数据存储、数据处理、数据管理等。对大型物联网应用系统来说，应用层一般是云计算平台，该平台的任务包括收集合法感知网络的真实数据，存储并管理这些数据，管理终端用户对这些数据的访问和使用，以及建立审计、授权、访问控制等机制。

附录B（资料性附录）物联网系统安全风险分析物联网是一个广义的信息系统，物联网系统安全属于信息系统安全的一个子集，许多传统的信息安全问题在物联网系统中也将面临到，此部分主要阐述物联网系统特有的安全威胁及其安全需求。物联网系统的安全设计主要针对以下安全威胁构建安全防护框架，形成物联网系统安全防护体系。B.1感知层风险分析B.1.1感知层安全威胁非授权读取设备信息对于任意类型的感知设备或感知层网关，包括物联网终端、传感器节点和传感器网关，可能被攻击者物理俘获或逻辑攻破，攻击者可以利用专用工具分析出感知设备所存储的机密信息。拒绝工作在感知设备被物理俘获或逻辑攻破后，攻击者可以采用破坏或修改配置的方式造成感知设备不能正常工作。节点欺骗攻击者通过假冒网络中已有的感知设备或感知层网关，可以向感知网络注入信息来发动多种形式的攻击，包括监听感知网络中传输的信息，向感知网络中发布假的路由信息，重放已发送过的数据信息，传送假的数据信息等。恶意代码攻击木马、病毒、垃圾信息的攻击，这是由于终端操作系统或应用软件的漏洞所引起的安全威胁。隐私泄露与用户身份有关的信息泄露，包括个人信息、使用习惯、用户位置等，攻击者综合以上信息可进行恶意目的的用户行为分析。网络中断路由协议分组，特别是路由发现和路由更新消息，会被恶意感知设备中断和阻塞。攻击者可以有选择地过滤控制消息和路由更新消息，并中断路由协议的正常工作。网络拦截路由协议传输的信息，如“保持有效”等命令和“是否在线”等查询，会被攻击者中途拦截，并重定向到其他感知设备，从而扰乱网络的正常通信。篡改攻击者通过篡改路由协议分组，破坏分组中信息的完整性，并建立错误的路由，造成合法感知设备被排斥在网络之外。伪造感知层网络内部的恶意感知设备可能伪造虚假的路由信息，并把这些信息插入到正常的协议分组中，对网络造成的破坏。拒绝服务拒绝服务主要是破坏网络的可用性，减少、降低执行网络或系统执行某一期望功能能力的任何事件。如试图中断、颠覆或毁坏感知层网络，另外还包括硬件失败、软件bug、资源耗尽、环境条件等。包括在网络中恶意干扰网络中协议的传送或者物理