《标准-GBT37025-2018信息安全技术物联网数据传输安全技术要求.docx》由会员分享,可在线阅读,更多相关《标准-GBT37025-2018信息安全技术物联网数据传输安全技术要求.docx(10页珍藏版)》请在第壹文秘上搜索。
1、ICS35.(MO1.80GB中华人民共和家标准GBr1.370252018信息安全技术物联网数据传输安全技术要求Informationsecuritytechno1.ogj,一Securitytechnica1.requirementsOfdatatransmissionforinternetofthings2018-12-28发布2019-07f1实施国家市场监督管理总局中国国家标准化管理委员会前吉I范阳2规范性引用文件3术用和定义4缩略谱5物联网数据传输安全概述5.1 物联网数据传输安全5.2 安全防护范困5.3 安全分徼原则6基本级安全技术要求6.1 数据传除完整性6.2 数据传输可用
2、性6.3 数据传输除私6.4 数据传输信任56.5 信息传输策略和程序56.6 信息传输办议S6.7 传输仇议的审定与更新57地强出安全技术要求57.1 数据传输完整性57-2数据传辎可用性57.3 数据传输隐私67.4 数据传输信任67.5 信息传输策略和程序67.6 信息传输协议67.7 传输协议的审定与更新67.8 数据传输保密性67.9 F1.忐与审计6附录A(资料性附录)物联N三层参考模型下数据传给安全问题分析7附录B(资料性附录数据传蝌安全能力要求与自查表9朝殛I1.采用统时向分配渐正加怖!,数据中立包含时间标识等:b)准确性:在数据存在可接受的误差时,建立容错机制保障系统正常运行
3、。6.3 数据传摘瞪私进行数据传输时,在告知用户可能的阳私暴露环节,告知可能的陛私收蛆与存储部分,保护用户隐私。对于敏感数据.例如用户口令、生物特征、私钊、对称密仍等,不潴以明文的形式显示或存储:b)需要时,对数据传输双方身份进行隐私保护.可采用数据脱敏算法等进行鼓密信息保护。用户应能选择安全协议(例如SSH、IPSit.v情用g三i三HiMk,7.3 数据传输隐私在满足6.3基础上,应满足如下要求:当1财,允许用户进行邮设匕UaW用户自定义!租对其认为的眸部分进行侦匕7.4 mttt三在满足6.4基砒匕应满足如下要求:对信任。7.5 值总传和程序在满足6.5基础匕应满足如卜要求:a)策略和程
4、序宜具有监控策略,监视非法连接;b)策略和程序宜具有被管理员禁止的功能;O袤略和程序应能够控制传输速率,7.6 值息传ttHA在满足6.6基础匕应满足如下要求ra)协议应保证传输的保密性和完整性;b)对于重要数据,协议应支持密码保护措施;O对于重要数据,使用隐蔽随机化的传输协议。7.7 传做的审定与更新在满足6.7基础上,应满足如下要求:对于重要数据、箜别信息和重要业务数据应采用定制的协议保护信息,并且满足:a)采用数据传输的保的议需要强于基本级安全机制,如邺虽的加密、鉴别算法,增长的密钥、摘要长度等;b)需对传输安全协议进行审定,确保该协议应反映对于数据传输安全保护的要求.7.8a)对于重要
5、数据、鉴别信息和重要业务数据应采用有一定强度的加密算法或其他有效措施对信息进行加密;b)对发送方和接收方进行身份鉴别,在建立连接前,利用定码技术进行初始化会话脍证;C)必要时采用专用传物协议或安全传输孙议服务,避免来自基于协议的攻击破坏保密性.7.9 日志与审计传输系统应对以下安全失效事件记录日志和进行审计,日志内容应至少包含日期,时间事件类型、事件主体、事件I齿述,成功/失败的信息,并满足以下要求:a)数据传输建立成功与失败;b)传输设备在线监测异常与告警事件;C)恶意程序入侵警报事件;管理员/非管理员造成的配置修改操作.BA(资料性的方物砌三层套制蝴下数据传安全fi吩析2*川4山5.2基卜
6、GRT334742016出的物联网六域参考模型界定了物联网数据性输安全防护范困:物联网系统功能域内、域间数据传输通信接口的安全保障以及安全性支持,作用于系统全生命周期(规划i知、开发建设、运维管理、废弃通仇除了六城薇考候m之外,业界常来阳三笈极仪技术柒物,IU矮如炭络加和它用层来描述特联三层模电的股结构如图Aj所示。三层分别对应于物联网的三个特点,即全面感知、可弑传递以及智能处理。感知层由各种传转器以及传感潜网关构成,包含各种传转器、无线射频识别系统、视觉系统、信息扫描元件以及其他信息采集元件,是物联网识用物体、采集信息的来源;网络层由互.联网、各种专用网络、有线和无线通信网及网络管理系统等组
7、成,负员代递和处理感知层获取的信息:而应用层是物联网面对用户需求、行业需求的软件平台,以实现各种智侬用。WU理疗Ifi0IIwff1.IIwm|其世校用:行国灿塔。网络层问网关代好排网络S阳;(*ffiRJWft,iihW致JK也MKj分析广播电视网标签与iP5tt其他族颊0符JI人密电汽、晒布戈一电力一II;实体级合R三ems物联网六域模型与三层模型的简单对应关系如图A2所示。:六KK1.系M(IBSa.2三Mf1.21.A*Sf1.M成关系A.2JMffi下物联网mt安全问施F三层模型可以同样界定物联网数据传输安全防护范困:物联同各层内、层间数据传输接口安全保障以及安全性支持,作用于系统全
8、生命周期(规划设计、开发建设、运雉管理、废弃退出)。可初步分为感知层的数据传输安全威胁,网络层的数据传输安全成胁,以及针对感知边界的安全攻击.感知层的数据传箱安全眩胁是指利用任何手段能妙使感知环境的信恩传怆遭到破坏的情况.网络层的数据传输成胁与传统网络攻击相对应.对感知边界的安全攻击主要是针对边界网关发起的攻击.具体安全威胁类型如图A3所示.A.3MB(资料性附录)gg安全能力*求与自HAI依传安全力襄求为实现旗本级安全技术要求,需符合6.16.7,以及为实现增演级安全要求需符合6.16.7及7.17.9,测评过程可委托专业测评机构进行。同时为了方便用户进行快速口自,可以根据身份、行为、能力三
9、个属性做出数据传输安全等级评估,请注意自查评估仅方便使用者与基本级、增强级要求进行快速对照,不作为评定数据传输是否符合基本级及增强级安全技术要求相应条款的依据.如图B.I所示,身份、行为、能力三个属性的定义如下:身份周性明蹴传输主体身份,依据为身份完整性,具体包括硬件设备,引导程序,配置文件,操作系统等不被篡改.行为网性明确传输行为特性,依据为安全性(密钥信息、加密强僮),可用性(资源占用率、带宽占用率、时间延迟),可靠性(丢包率、误码率、故障率)等.能力属性明确彳播能力等级,依据为安全能力,包括数据完整性保护能力,数据保密性能力,效据容tft前力.数据泄露补救能力等.女全H标fiUrt安全i
10、*ii:图&1安全属性参考图B.2依据传输安全能力自查表表B爆出了数据安全能力自强表。表中安全能力要求可以依据图B.1给出的:级证据进行评f.同时可以扩展用户自定义的其他属性.K.1.Et安全力要求与ME赛类榜安全施力要求票本级增强统t1完整性坡件设名未核破坏.2引导程序完整未整尊改3卮置文件完整未般熊改1推作乐统完婺未般翦改行为安全性密例信息2ID密强度03可用性资源占用率04蒋宽占用率O5时阚延迟O6可喜性去包车O7WW*08故障率O能力I安全能力数据完整性保护僮力2故燃机积性保护能力3数据容的佳力1数据刑减?卜救能力O综合评价注:“&示必造的功晚双目:(表示可选的功能取K1.考文IGB.
11、T2GBT3GBT4GBT5GB,T6GBT76652OOS传感器通用术语2027126信息安全技术信息系统通用安全技术要求250692010信息安全技术术语337452017物联网术语352732017佶息安全技术个人信息安全规范370442018信息安全技术物联网安全参考模型及通用要求oz1.1.nzoZgI9中华人民共和国国家标准信融安全技术气麻川敷传安全技术襄求GB.T370252018中国标准出版社出版发行北京市朝阳区和平里西街甲2号(KX)O29)北京市西城区三蛔北街IM(KXxM5)网址:WWWspcocn服务热线一XXA1.制0102019年I月第一版HQ:15J1.661-61781权者侵权必究
