信息系统等级保护安全设计技术要求 第4部分：对物联网系统的扩展设计要求-编制说明

工作简况任务来源《信息安全技术网络安全等级保护安全设计技术要求第4部分：物联网系统安全要求》是国家标准化管理委员会2015年下达的信息安全国家标准制定项目，国标计划号为：GB/T25070.4-2010，由工业和信息化部电信研究院承担，参与单位包括公安部第一研究所、公安部第三研究所、中国电子科技集团公司第十五研究所、中国电子信息产业集团有限公司第六研究所、北京信息安全测评中心、北京神州绿盟信息安全科技股份有限公司、北京华大智宝电子系统有限公司、北京天融信科技股份有限公司、阿里巴巴云计算技术有限公司、华为技术有限公司等单位。主要工作过程1)准备阶段2013年4月，在公安部11局的统一领导下，工业和信息化部电信研究同协作单位共同成立标准编写项目组。2）调研阶段标准起草组成立以后，项目组调研了物联网安全相关的国内外标准，参考了国内等级保护相关标准，对物联网系统的安全需求、安全风险进行了充分讨论和分析。为了真实了解行业内的安全要求，项目组也对行业内的企事业单位进行了调研。3）编写阶段2014年4月-8月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。标准起草组按照分工，对标准各部分进行了编写，形成了《信息系统等级保护安全设计技术要求第4部分：物联网系统安全》（草案）。4）第一次征求专家意见2014年9月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。项目组根据专家意见，对标准进行了修改。5）第二次征求专家意见2014年10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。项目组召开讨论会，根据专家评审意见修改完善6）第三次征求专家意见2015年8月，公安部11局组织业内专家对标准初稿进行了研讨，专家认为标准达到了项目申报要求。项目组根据专家意见修改后，提交安标委立项。7）参加全国信安标委2016年第二次会议周以及标准名称变更2016年10月参加在成都举办的全国信息安全标准委员会2016年第二次会议周，在WG5工作组内汇报了标准草案的编写进展以及标准草案内容，会议表决通过了将标准草案推进到征求意见稿阶段。2016年11月按照《网络安全法》（草案）要求，国家实施网络安全等级保护制度，同时与母标准《信息安全技术网络安全等级保护安全设计技术要求第1部分：安全通用要求》保持一致，将标准中“信息系统”改为“网络安全”；按照公安部组织的专家评审会以及TC260WG5工作组会议中专家意见，将标准名称变更为《网络安全等级保护安全设计技术要求第4部分：物联网安全要求》。编制原则和主要内容2.1编制原则本标准的研究与编制工作遵循以下原则：1）科学性与实用性相结合的原则科学性是标准化的最基本原则，规范的科学性直接关系到该体系能否对物联网系统安全起到积极、稳定和长久的正面作用。实用性表明标准体系是否与实际情况相符合，是标准化研究中最重要的基本原则。科学性与实用性相结合就是理论与实践相结合在标准体系研究中的具体体现。2）先进性与开放性相结合的原则在执行本标准研制项目时，要积极引入先进的管理理念和前沿技术，充分考虑到物联网系统未来发展的方向和特点。但同时也要考虑到目前的需求和技术水平，使规范能够根据科学技术以及需求的变化而不断进行扩充和完善。3）安全性和可用性相结合的原则本规范用来指导和规范物联网系统等级保护安全设计，是安全范畴的规范。但是规范在起草过程中不能一味地追求绝对安全，而应根据当前物联网系统的实际情况，构建保证业务系统可用性基础上的适度安全体系。2.2主要内容在标准制定过程中，项目组依据国家信息安全等级保护相关标准和《信息系统安全等级保护基本要求物联网要求》，首先，研究物联网系统架构；然后研究物联网系统安全等级划分和安全等级保护设计框架；在此基础上，根据分析得出三级物联网系统安全设计目标和设计策略，进而得出三级物联网系统的安全设计要求；最后，对三级设计要求进行削弱、增强得出二级、四级物联网系统安全设计要求。1、研究物联网系统架构物联网是将感知设备通过互联网等网络连接起来构成的一个应用系统，它融合信息系统和物理世界实体，是虚拟世界与现实世界的结合。物联网从架构上可分为三个逻辑层，即感知层、网络层、应用层。2、研究物联网系统安全等级保护设计框架在分析物联网系统安全分析的基础上，参照GB/T25070《信息安全技术信息系统等级保护安全设计技术要求》，结合物联网系统的特点，构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系。信息系统等级保护物联网安全设计包括各级系统安全保护环境的设计及其安全互联的设计。各级系统安全保护环境由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成，其中安全计算环境、安全区域边界、安全通信网络是在计算环境、区域边界、通信网络中实施相应的安全策略。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。3、提出三级物联网系统安全设计要求针对第三级安全设计要求，分析物联网系统安全威胁的基础上，对比物联网系统与传统信息系统的区别，我们提出的三级物联网系统不同于《GB/T25070-2010信息系统等级保护安全设计技术要求》的安全设计技术要求如下，具体控制点区别参见标准草案。安全计算环境设计技术要求身份鉴别访问控制数据完整性保护数据保密性保护安全区域边界设计技术要求区域边界准入控制区域边界完整性保护区域边界协议过滤与控制区域边界恶意代码防范区域边界访问控制区域边界包过滤区域边界安全审计安全通信网络设计技术要求感知层网络数据传输完整性保护感知层网络敏感数据传输保密性保护感知层网络数据传输新鲜性保护异构网安全接入保护安全管理中心设计技术要求系统管理安全管理审计管理4、完善二级、四级物联网系统安全设计要求参照《GB/T25070-2010信息系统等级保护安全设计技术要求》和《信息系统安全等级保护基本要求物联网要求》，根据确定第三级安全设计技术要求，增强更高的安全设计后作为第四级安全的设计要求，削弱并保留最基本的安全设计，可作为第二级安全的设计要求。主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果当前物联网发展迅速，但业界对物联网安全重视程度不足、安全防护措施不到位，这将是物联网产业健康和可持续发展的瓶颈，必将成为物联网大发展的重大隐患。目前，物联网系统的安全怎么保障，如何实施，怎样检测等一系列问题都悬而未决，而且有着极大的市场期待，因此尽快出台物联网系统安全的有关标准，对规范物联网产业的健康发展，具有重要的意义。物联网安全必须改变先系统后安全的思路，在物联网应用设计和实施之初，就同时考虑应用和安全，将两者从一开始就紧密结合起来，系统地考虑感知层、网络层和应用层的安全，才能更好地解决各种物联网安全问题，应对物联网安全的新挑战。通过研究和制定本标准，明确不同安全保护等级的物联网系统安全保护环境设计方法，包括安全计算环境设计、安全区域边界设计、安全通信网络设计和安全管理中心设计。其中安全计算环境是对物联网系统的信息进行存储、处理及实施安全策略的相关部件；安全区域边界是对物联网系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件；安全通信网络是对物联网系统安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部件；安全管理中心是对物联网系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。进行安全技术设计时，要根据物联网系统定级情况，确定相应安全策略，采取相应级别的安全保护措施，本标准为不同安全保护等级的物联网系统安全技术方案的设计和实施提供指导，也为信息安全职能部门对物联网系统进行监督、检查和指导提供依据。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况本标准为自主制定，没有采用国际标准和国外先进标准。与有关的现行法律、法规和强制性国家标准的关系没有与有关的现行法律、法规和强制性标准发生相互联系，与有关的现行法律、法规和强制性标准是协调一致的。重大分歧意见的处理经过和依据详见标准意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）本标准作为等级保护相