物联网 面向Web开放服务的系统安全要求征求意见稿编制说明

PAGEPAGE6国家标准《物联网面向web开放服务的系统安全要求》编制说明一、工作简况（一）任务来源根据国家标准化管理委员会2019年下达的标准制定计划《物联网面向Web开放服务的系统物体交互安全要求》（计划编号20192141-T-469），主办单位为中国电子科技集团公司信息科学研究院，该标准由全国信息技术标准化技术委员会（SAC/TC28）归口。（二）参与单位及主要起草人本文件起草单位：中国电子科技集团公司信息科学研究院、中国电子技术标准化研究院、国家互联网应急中心、公安部第三研究所、北京信息科技大学、杭州海康威视数字技术股份有限公司、中电科技（北京）有限公司、中国科学技术大学、豪尔赛科技集团股份有限公司、北京东方通科技有限公司、无锡物联网产业研究院、无锡物联网创新中心有限公司、上海集成通信设备有限公司、浙江互灵物联科技有限公司、上海高等技术研究院、腾讯科技（深圳）有限公司、北京电信规划设计院有限公司、富士康工业互联网股份有限公司、金卡智能集团股份有限公司。本文件主要起草人：王凡、李孟良、杨宏、邹昕、陈群华、张健、孙亮、刘姝、贾彦鹤、付根利、刘继顺、李琳、苗付友、张志龙、王乐菲、董接莲、马秀丽、王振明、李赟、李家京、王晖、梁艳龙、张学琴、周羽波。（三）编制过程本文件由中国电子科技集团公司信息科学研究院申请立项，并于2019年立项被批复,起草工作从2019年1月起，经过内部协调讨论确定标准制定工作方案,完成标准框架和编写要求，并于2020年10月形成标准内审稿。具体的工作阶段如下：1、2019年1月：中国电子技术标准化研究院成立标准编制工作组，正式启动项目，确定标准制定工作计划，明确了任务分工。2、2019年2月-7月：标准编制工作组进行国内外相关资料的收集和分析，开展论证调研，经多次组内研讨，确定了标准范围和框架，并形成标准草案。3、2019年8月-12月：根据标准技术内容实际应用情况的反馈，经过组内研讨交流，对标准草案进行修改完善，形成标准草案V1.0。4、2020年1月-5月：标准工作组邀请物联网领域相关专家通过线上会议对标准初稿V1.0进行研讨，并根据专家意见进行修改完善，形成标准草案V2.0。5、2020年6月：在国家物联网基础标准工作组的全会上成立了标准编制工作组，正式启动项目，对各阶段标准草案进行了充分讨论，制定本文件工作计划，明确任务分工。会后根据各方研讨意见进行修改完善，形成标准草案V3.0。6、2020年7月：经过内部对标准草案V3.0多次研讨、修订，标准编制组邀请物联网领域相关专家通过线上会议对各阶段标准草案进行研讨，提出建设性意见，并根据专家意见进行修改完善，形成标准草案V4.0。7、2020年8月：经过内部对标准多次研讨、修订，标准编制组相关单位通过线上会议进行标准编辑，对已形成的工作组草案稿进行修改完善，形成标准草案V5.0。8、2020年9月：经过内部对标准多次研讨、修订，标准编制组相关单位通过线上会议进行标准编辑，根据各方研讨意见进行修改完善，形成标准草案V5.0。9、2020年10月：在北京召开标准编制工作组全体成员大会，根据各方研讨意见进行了修改完善，并对细节的编辑性和表述性问题进行了通篇修改和完善，形成内审稿。10、2020年12-2021年1月：专家对标准内审稿进行了审查，调整了文本结构。标准编制组根据专家意见进行了修改，形成标准征求意见稿。二、标准编制原则和确定主要内容的论据及解决的主要问题(一)标准编制原则1、规范性。本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准的结构和编写》的要求编写。2、科学性和先进性。本文件在编制过程中充分参考国内外物联网安全相关标准，设计本文件框架体系，理顺各环节关系，规范我国面向Web开放服务的系统安全要求。3、可操作性。国家很重视物联网应用安全。本文件从我国物联网应用安全实际情况出发，制定出满足我国物联网应用安全发展需求的国家标准，为物联网产业健康持续发展提供支撑。4、公正性。本文件主持起草单位站在客观公正的立场上起草本文件每项条款。(二)标准技术内容本文件将安全要求分为基本要求和增强要求两类。基本要求适合于一般物联网信息系统安全。增强要求是在基本要求的基础上的补充，即相对于基本要求的增强。增强要求适合于具有较高安全需求的系统，例如，GB/T22239-2019规定的三级及三级以上的物联网信息系统。本文件在根据面向Web开放服务的系统中信息交互主体，将内容划分交互主体安全和交互过程安全。本文件对信息交互主体之间的交互方式进行归纳总结：终端与网关交互、终端与Web服务器交互、网关与Web服务器交互。因此交互主体安全包括物理安全、软件安全和静态数据安全。交互主体所处物理环境很重要，本文件要求部署在机房环境的交互主体，机房环境应符合GB/T9361-2011和GB/T2887相关要求；运行在交互主体的软件、操作系统分别应符合GB/T30998-2014中软件运行使用的安全保障相关要求和GB/T20272-2019中6.2节的要求；交互主体采集、存储、处理或生成的静态数据应符合GB/T36951-2018、GB/T37024-2018、GB/T20270-2006相关要求。交互过程安全包括通信信道安全、通信协议安全和动态数据安全。通信信道安全应符合GB/T37093-2018相关要求，动态数据安全应符合GB/T37025-2018相关要求。本文件主要解决面向Web开放服务的系统中信息交互主体之间进行信息交换时安全问题，从交互主体安全和交互过程安全两方面进行规范，以提高信息交互过程安全性，为推动物联网产业建设提供参考。本文件规定了面向Web开放服务的系统交互安全要求，包括物理安全、软件安全、静态数据安全、接入安全、通信安全、动态数据安全。本文件适用于面向Web开放服务的物联网系统的设计、开发与实现，为面向Web开放服务的系统信息交互安全提供指导。三、主要试验[或验证]情况分析本文件起草单位主要来自于从事物联网技术研究、应用和安全的单位，在本文件修订的过程中，不断的将标准中的内容作用于项目实践中，通过实践进一步完善该标准，从而确保本文件的可行性、有效性。四、知识产权情况说明本文件不涉及知识产权。五、产业化情况、推广应用论证和预期达到的经济效果本文件是基础共性类标准，目前在物联网产业内已有根据本文件设计的物联网软件系统应用基础，包括物联网家居、物联网视频安防等，均在应用本文件中的安全要求。本文件的应用可使面向Web开放服务的物联网系统在设计阶段就提高安全性能，在大规模推广应用时，大幅降低因系统安全问题导致的经济损失和社会影响。六、采用国际标准和国外先进标准情况无七、与现行相关法律、法规、规章及相关标准的协调性本文件与现行相关法律、法规、规章及相关标准相协调。八、重大分歧意见的处理经过和依据无。九、标准性质的建议建议作为推荐性国家标准。十、贯彻标准的要求和措施建议为有效贯彻本文件，建议依托国家物联网基础标