主办单位:中国物品编码中心 | 中国自动识别技术协会 | 《中国自动识别技术》杂志社

设为首页 | 加入收藏 | 关于我们

  物联网  正文

网络安全标准 对物联网系统安全保障作用浅析

发布时间:2022年11月10日 来源:中国自动识别网 作者:王庆升 尹秀兰 胡彬 车长明

物联网目的是要实现“万物互联”,将实体设备接入虚拟的信息世界,实现信息数据的融合和处理,因此安全的物联网才能抵御各种错综复杂的安全问题和风险。2021年有关部门发布了《国家物联网新型基础设施建设三年行动计划(2021-2023年)》。标准作为公认的为产品、技术及产业发展提供规范和要求的技术成果,在网络安全保障工作中同样发挥着重要作用。网络安全标准是对《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求具体化和法律要求落地的具体支撑,对于产品、行业、产业具有重要的引领、规范、保障作用。《行动计划》同时提出,到2023年底,要“构建一套健全完善的物联网标准和安全保障体系”。在我国物联网技术提升、产业发展、对外交流等方面,网络安全标准化将发挥重要保障和支撑作用。
 
物联网安全标准化工作进展
物联网发展离不开标准,特别是信息技术产业规模的不断扩大,物联网技术飞速发展,应用领域已扩展到各行各业,成为重要的网络资源。物联网安全标准化作为促进产业发展、保障行业应用安全可控的重要手段,其积极作用已逐步成为行业共识。因此,国内外标准组织纷纷开展物联网安全标准化工作。ISO/IEC信息技术委员会(JTC1)下多个分技术委员会,诸如(安全技术分委员会)SC27、(物联网及相关技术分委员会)SC41,以及(国际电信联盟电信标准化组织) ITU-T、(欧洲电信标准化协会)ETSI,持续开展物联网安全标准化工作,制定、发布了大量物联网相关标准,标准内容主要聚焦于安全体系框架、网络安全、隐私保护、设备安全内容。ISO/IEC JTC1/SC27 2018年发布了ISO/IEC 30141:2018《物联网  参考体系架构》及ISO/IEC 29192《信息安全  轻量密码学》等标准。2022年ISO/IEC正式发布了ISO/IEC 27400:2022《网络安全 物联网安全和隐私指南》,对物联网相关风险、原则以及安全和隐私控制提供了指南,将隐私控制和个人信息保护要求扩展到物联网领域中。ITU-T发布了ITU-T X.1361《基于网关模型的物联网安全框架》和 ITU-T X.1362《物联网环境的简单加密规程》等标准。另外,国外一些产业联盟也积极开展物联网安全标准化工作,5G 汽车联盟(5GAA)、工业互联网联盟(IIC)、全球移动通信系统协会(GSMA)也在各自业务领域中开展物联网安全标准化研究。
我国在物联网发展历程中,持续关注物联网安全保障及能力建设,并作为物联网发展规划的重要内容。尤其是工业互联网、车联网、智能家居等产业快速发展,加快研制应用物联网安全基础标准和关键技术标准需求愈发迫切。截至 2022年7月,全国信息安全标准化技术委员会(TC260)已发布308项信息安全国家标准,其中,部分通用的安全标准如风险预警、风险处理、漏洞管理、密码算法、密钥管理、PKI、通信协议(IPSec、SSL 等)、安全评估、等级保护相关的安全标准同样适用于广义的物联网安全。
除通用的安全标准以外,在物联网安全领域,我国已发布了部分物联网安全参考模型、物联网感知层网关安全、物联网数据传输安全、物联网感知终端应用安全要求等方面的国家标准,并已开始在工业互联网、车联网、智能家居等领域开展安全标准的研究工作。
中国通信标准化协会也在相关物联网安全标准化领域开展大量研究,发布了YD/T 3339、YDB 171等多个物联网安全标准。2019年10月,全国信息安全标准化技术委员会通信安全标准工作组在组织行业进行物联网安全技术标准化工作基础上,发布了《物联网安全标准化白皮书(2019版)》,给出了物联网安全标准体系框架,如图1所示。其中,TC260各类标准进展见表1。
图1  物联网安全标准体系框架
 
表1
结合上述物联网安全标准进展,从目前产业发展来看,我国现有物联网安全标准还未能满足物联网全方位安全保障的需求,物联网基础安全标准体系需进一步建立和完善,需要重点推进基础通用、关键技术、试验方法技术研究和标准制定工作,支撑物联网产业发展。2021年9月,工信部印发了《物联网基础安全标准体系建设指南(2021版)》,进一步发挥标准对物联网基础安全的规范和保障作用,提出了到2025年要提升标准在细分行业及领域的覆盖程度,提高跨行业物联网应用安全水平的要求。
 
网络安全标准在物联网系统中的保障作用
现阶段,在物联网基础安全标准体系逐步建立完善过程中,在物联网系统规划、建设、运行时,除物联网安全标准外,充分利用现行的国家标准、行业标准中部分通用的安全标准,应用网络安全等级化保护、信息安全管理体系、个人信息保护等成熟的国家标准,指导物联网系统,特别是网络安全等级化保护范围内的物联网系统的规划设计、建设实施、运行管理、系统终止等环节的安全保障,提高物联网安全管理及个人信息保护水平,同样具有重要作用。
在GB/T 37044-2018《信息安全技术 物联网安全参考模型及通用要求》中定义了物联网安全参考模型,如图2所示。该模型包括物联网系统参考安全分区、系统生存周期、基本安全防护措施三个维度。各维度的不同阶段或不同层面的划分,可适用部分上述三个领域安全标准的相关要求。
图2 物联网安全参考模型
 
网络安全等级保护系列标准
《中华人民共和国网络安全法》中明确我国实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求履行安全保护义务。我国网络安全等级保护系列标准得到不断完善,等级保护2.0已将物联网纳入保护范围。网络安全等级保护工作的开展所依据的标准主要有GB/T 25058-2019《信息系统安全等级保护实施指南》、GB/T 22240-2020《网络安全等级保护定级指南》GB/T 22239-2019《网络安全等级保护基本要求》GB/T 28448-2019《网络安全等级保护测评要求》等。纳入国家网络安全等级保护范围的物联网系统,应按照等级保护相关标准要求进行等保定级、备案工作,系统应在满足安全通用要求的基础上,满足对应级别的物联网安全扩展要求。对物联网等级保护定级时,应将感知、网络传输和处理应用等特征要素作为一个整体对象定级,各要素不应单独定级。GB/T 22239-2019《信息安全技术  网络安全等级保护基本要求》给出了从一至五级的等级化物联网安全扩展要求,包括安全物理环境、安全区域边界、安全计算环境、安全运维管理四个方面,重点针对物联网系统末端的感知节点物理环境保护、感知节点及网关节点设备安全、数据重放及数据融合、以及感知节点的巡检、维护等方面提出了安全要求。在物联网系统建设过程中,在感知节点部署地点选择、附属设施配置、访问控制策略、数据处理及运行管理制度的制定等方面均可按照标准中技术和管理要求进行设计和落实。
信息安全管理体系标准
ISO27000系列标准作为国际通行的信息安全管理要求被各国广泛采用,我国将ISO27001标准等同采用,发布了GB/T 22080-2016《信息技术 安全技术 信息安全管理体系 要求》国家标准,并作为我国信息安全管理体系认证审核的依据,为政府部门、企事业单位提高信息安全管理水平提供了有力支撑。信息安全管理体系标准中的各条款及要求,通用于各种业务类型、规模的组织,物联网系统的开发、运营、维护等各类组织同样适用本标准。信息安全管理体系与其他管理体系相同,通过PDCA循环不断提升管理水平,对信息安全风险管理进行管控,将风险控制在组织可接受范围内。基于风险管理方法保障物联网安全,是对物联网安全等级化保护方式的有益补充。该标准对组织日常管理中与信息安全相关要求,诸如内外部环境、领导作用、角色及权责、资源支撑、人员意识及能力提出了要求,标准中提供了规范性附录,定义了信息安全管理的14个控制域、35个控制目标以及114项控制措施,涵盖了信息安全组织、资产管理、访问控制等方面,分别可对物联网安全的策略规则、谁来做、保护对象、事前管理、事后管理等方面的管理提供指引,如图3所示。
图3  信息安全管理体系控制措施架构
 
以标准附录“A.11物理和环境安全”为例,在物联网系统建设及运维过程中,结合物联网系统开展风险评估,对不可接受的物理和环境风险,加强感知设备及重要网关节点的安置和保护、部署不间断电源、空调等支持性设施、针对各类安全风险采取相应安全保护手段,避免感知层设备保密性、完整性及可用性受到损害,提高业务连续性。在系统日常运维过程中,强化对系统巡检、分析、报告等方面的管理要求,明确管理责任,编制节点、设备的巡检、分析及报告模板,及时对结果进行记录和报告。通过管理手段的系统化、规范化、文件化保障物联网系统的安全。
个人信息安全规范标准
随着大众个人信息保护意识不断提高,《中华人民共和国个人信息保护法》正式颁布实施,个人信息保护相关国家标准也及时跟进,发布实施了GB/T 35273 -2020《信息安全技术 个人信息安全规范》国家标准,为不同性质的组织提高个人信息保护能力提供了有力保障。目前,工信部、中央网信办等多部委联合开展的“App违法违规收集使用个人信息专项治理”行动持续开展,并取得丰硕成果,有效整治了个人信息收集及使用过程中的违规乱象。专项行动除按照相关法律法规相关要求开展治理外,也将GB/T 35273《信息安全技术个人信息安全规范》作为重要支撑性技术要求。随着物联网应用领域的不断扩展,物联网所涉及个人信息数据量也急剧增加,个人信息保护的问题逐步显现出来。在物联网各类感知节点使用过程中,对于个人信息收集的安全性保障,以及物联网运营者对于个人信息收集范围的界定及用途,个人信息的存储、使用、加工、传输、提供、公开、删除等过程,在符合相关法律法规要求的同时,应按照GB/T 35273《信息安全技术个人信息安全规范》要求进行规范。特别是具有APP端的物联网系统,涉及个人信息收集的应按照合法、正当、必要的原则,满足标准中关于个人信息收集的合法性、最小必要、自主选择、授权同意等要求,制定符合标准要求的隐私政策,明确告知用户个人信息的收集范围、用途等内容,保障个人信息主体正当权利,建立个人信息安全事件处置流程和要求,制定涵盖个人信息数据声明周期的管理制度,保障个人信息安全。
标准是现代社会技术和成果的总结和归纳,是推动产业发展的重要抓手,也是经济社会高质量发展的有力支撑。网络安全标准作为支撑法律法规,是提供技术支持和方向引导的重要成果,在物联网安全保障过程中,具有重要作用。在物联网安全标准尚未制定或完善的情况下,利用传统网络中安全保障的最佳实践及标准要求提升物联网安全管理和技术水平,保障物联网系统安全,不失为解决物联网安全问题的有效方法。
王庆升  尹秀兰  胡彬  车长明 /文
作者单位:山东电子职业技术学院
《中国自动识别技术》2022年第5期总第98期

延伸阅读:

声明:

    凡本网注明“来源:中国自动识别网、《中国自动识别技术》、《条码与信息系统》”的所有作品,版权均属于中国自动识别网、《中国自动识别技术》、《条码与信息系统》, 未经本网授权不得转载、摘编或利用其他方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:中国自动识别网、《中国自动识别技术》或《条码与信息系统》”。违反上述声明者,本网将追究其相关法律责任。
    凡本网注明“来源:XXX(非中国自动识别网、《中国自动识别技术》、《条码与信息系统》)”的作品,均转载自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。文章内容仅供参考。 如因作品内容、版权和其他问题需要同本网联系的,请将内容传真至010-84295675,以便本网尽快处理。

高端访谈 更多>>
商品二维码 全球商品通用...
王毅 研究员、中国物品编码中心技术部副主任兼二维码研究室主任,国际自动识别与数据采集技术分委会(ISO/IEC JTC 1/...
物品身份及其编码的本质
张成海 中国物品编码中心主任、中国ECR委员会联合主席、国际物品编码组织(GS1)管理委员会委员及顾问委员会委员、全...
推进我国二维码标准化应...
王毅,中国物品编码中心二维码研究室主任,技术部副主任,研究员,国际自动识别与数据采集技术分委会(ISO/IEC JTC1/S...
AVEVA剑维软件: 信息和智...
数据是数字化转型的关键因素,是企业的重要资产。
杂志专区 更多>>

《2024第1期》

《2024第1期》