GB/T35592-2017
公安物联网感知终端接入安全技术要求
SecuritytechnologyrequirementsforsensingterminalsaccesstoIoTPS
- 中国标准分类号(CCS)A90
- 国际标准分类号(ICS)35.020
- 实施日期2017-12-29
- 文件格式PDF
- 文本页数12页
- 文件大小1,004.02KB
以图片形式预览公安物联网感知终端接入安全技术要求
公安物联网感知终端接入安全技术要求
国家标准 GB/T35592一2017 公安物联网感知终端接入安全技术要求 SeeurittytechnologrequirementsforsensingterminalsaccesstoIoTPsS 2017-12-29发布 2017-12-29实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/35592一2017 目 次 前言 范围 2 规范性引用文件 术语和定义 缩略语 感知终端接人概述 5.1总体结构 5.2感知终端接人方式 感知终端接人及通道要求 6.I感知终端直接接人要求 6.2感知终端间接接人要求 安全接人系统要求 7.1安全设备要求 7.2 实体接人认证 访问控制 7.3 数据传输安全要求 7.4 终端或物联网网关的证书管理机制 7.5 7.6防火墙策略 7.7人侵检测和防病毒机制 7.8可靠性要求 附录A(资料性附录)公安物联网终端安全接人应用结构示例 参考文献
GB/35592一2017 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任 本标准由公安部提出并归口
本标准起草单位:公安部第三研究所、公安部第一研究所、公安部安全防范报警系统质量监督检验 测试中心,无锡物联网产业研究院、工业和信息化部电子工业标准化研究院、华为技术有限公司浙江宇 视科技有限公司、博康智能网络科技股份有限公司、上海辰锐信息科技公司、国家计算机网络应急技术 处理协调中心
本标准主要起草人:齐力、杨明、朱兴国、唐前进、陶源、李海涛、陆洪波、张艳、李旋、陈书义,龚洁中、 陈家明、沈国华、廖双龙、郑武、王晖
GB/35592一2017 公安物联网感知终端接入安全技术要求 范围 本标准规定了感知终端接人公安物联网的安全接人方式及相关安全技术要求
本标准适用于公安物联网的建设和管理
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB17859一1999计算机信息系统安全保护等级划分准则 GB/T18794.2一2002信息技术开放系统互连开放系统安全框架第2部分:鉴别框架 GB/T20275信息安全技术网络人侵检测系统技术要求和测试评价方法 GB/T20281信息安全技术防火墙安全技术要求和测试评价方法 GB/T25069一2010信息安全技术术语 GA/T1266一2015公安物联网术语 术语和定义 GB178591999,GB/T18794.22002,GB/T25069-2010和GAT1266-2015界定的以及下 列术语和定义适用于本文件
3.1 安全接入系统seeurityaccesssystemofcorenetwork 用于保障感知终端与公安物联网进行数据通信的安全性,并起到连接和应用映射作用的安全控制 设施 3.2 物联网网关sensinglayergateway 部署在公安物联网感知层与网络层边界,实现物联网感知终端与网络层通信网络通信的一种网络 连接、控制和管理设备 缩略语 下列缩略语适用于本文件
D:身份标识号码(Identity oTPS;公安物联网(InternetofThingsofPublicSecurity P互联网协议(InternetProtocolD RFID;射频识别RadioFrequeneyIdentifcation
GB/T35592一2017 5 感知终端接入概述 5.1总体结构 感知终端接人公安物联网的总体结构见图1,主要包括以下几个部分 感知终端位于公安物联网感知层中,为应用系统采集相关的数据信息 a b)传输通道位于公安物联网网络层中,连接感知终端与安全接人系统的通信通道,包括有线和无 线两种; 安全接人系统位于公安物联网网络层中,为感知终端接人核心业务区提供终端接人、系统应用 及管理、安全防护,隔离交换等服务,接人示例结构参见附录A; 核心业务系统位于公安物联网应用层中,为信息采集、交换和数据处理提供信息化应用服务
核心业务区 物联网 核心业务系统1 核心业务系统2 应用层 安全 接入区 安全接入系统 物联网 网络层 传输 有线连接方式 无线连接方式 通道 传输通道 传输通道 物联网网关 感知终端 感知终端 感知终灌 物联网 RS-485、RS-232、 Bluetooth、 感知终崩 网给段城烧城智能 同轴电缆等有线终 RFID读写卡终端 感知层 ZigBeec.,UWB等无 洲 线终糊 终端摄像头 图1感知终端接入总体结构图 5.2感知终端接入方式 感知终端与安全接人系统的连接方式见图2,包括 直接接人方式:感知终端直接通过传输通道与安全接人系统连接
接人示例结构参见附录A
a b 间接接人方式:感知终端先连接到物联网网关,再通过传输通道与安全接人系统连接
接人示 例结构参见附录A
GB/35592一2017 应用层 核心业务区 安全接入区-安全接入系统 网络层 间 传输通道 接 接 传输 接 感知层网关 遇道 感知层 终 终 终 终端 端 图2感知终端接入方式 感知终端接入及通道要求 6.1感知终端直接接入要求 6.1.1传输通道要求 6.1.1.1有线连接方式 宜采用专用网络或建立加密通道方式保护数据通信
6.1.1.2无线连接方式 宜采用专用无线网络或通道
采用公众移动通信网时,应配置网络设备并建立虚拟专用拨号网 VPDN)或接人点(APN)
6.1.2安全功能要求 实体唯一标识及识别 6.1.2.1 感知终端应具备安全接人系统可识别的唯一标识信息
6.1.2.2支持实体认证 感知终端与安全接人系统应支持双向实体认证
6.1.2.3支持访问控制 感知终端应支持授权用户对包括外设接口,应用软件和用户数据等终端资源的访问,并应阻断非 授权的访问
6.1.2.4支持数据传输安全机制 感知终端宜具备安全功能硬件,并满足以下数据传输安全要求 数据保密性; aa b 数据完整性; 数据时效性; c
GB/T35592一2017 d 数据不可抵赖性
6.1.2.5支持接入安全管理 感知终端与安全接人系统应支持终端接人安全策略管理和日志审计等功能
6.2感知终端间接接入要求 6.2.1感知层传输通道要求 6.2.1.1有线连接方式 感知终端采用专用线路、通道等与物联网网关进行连接
6.2.1.2无线连接方式 感知终端采用无线通信网络与物联网网关进行连接时,无线通信网络具备链路加密功能,并支持感 知终端与物联网网关的加密通信 6.2.2连接安全要求 感知终端以间接接人方式连接安全接人系统,应满足以下条件 物联网网关与安全接人系统均不应旁路 a) b)物联网网关能对感知终端的接人进行管理
6.2.3安全功能要求 感知终端连接物联网网关的安全功能要求 6.2.3.1 6.2.3.1.1实体标识及识别 感知终端与物联网网关的实体标识和识别应满足以下安全要求 感知终端、物联网网关均具备应用系统中唯一的标识信息; a b 物联网网关具备识别感知终端标识的功能
6.2.3.1.2感知终端与物联网网关的连接认证 感知终端与物联网网关的连接认证应满足以下要求: 支持感知终端接人物联网网关的单向实体接人认证; a b) 物联网网关能终止认证超时的感知终端的会话" 物联网网关能终止规定次数认证失败的感知终端建立会话的尝试
c 6.2.3.1.3感知终端与物联网网关的数据安全传输 感知终端与物联网网关的数据传输宜满足以下安全要求 采用专用线路或国家规定的算法进行数据加密 a 采用国家规定的数据完整性安全机制 b c 采用加人时间戳或包含时间序列的数据加密方式 d 采用国家规定的数字签名和验证算法
6.2.3.1.4物联网网关入侵检测 物联网网关宜具备人侵检测功能
GB/35592一2017 6.2.3.2物联网网关连接安全接入系统的功能要求 6.2.3.2.1 实体标识要求 物联网网关应具备安全接人系统可识别的系统唯一标识
6.2.3.2.2支持实体认证 物联网网关应具备安全功能硬件,并满足与安全接人系统之间的双向实体认证要求
6.2.3.2.3支持访问控制 物联网网关应支持授权用户对感知层网络资源的访问,并应阻断非授权的访问
6.2.3.2.4支持数据传输安全机制 物联网网关与安全接人系统之间的传输安全机制应满足以下要求 数据保密性; a b 数据完整性; 数据时效性; c d 数据不可抵赖性
6.2.3.2.5支持接入安全管理 物联网网关与安全接人系统应支持终端接人安全策略管理和日志审计等功能
6.2.3.2.6物联网网关的安全管理 物联网网关应具备权限管理和安全功能配置管理,满足以下安全要求 提供查阅和配置鉴别/认证、访问控制和数据传输等功能 a b 当具备人侵检测、数据过滤等功能时,提供相应的查阅和配置的功能 提供查阅和管理日志/审计信息的功能
6.2.3.2.7物联网网关日志/审计功能 物联网网关应能生成安全事件日志信息,包括 记录授权鉴别/认证成功和失败; a b 记录接人终端鉴别/认证成功和失败; 记录系统人侵警告、病毒隔离防护事件
安全接入系统要求 7.1安全设备要求 安全接人系统应至少包括以下安全设备 a 符合GB/T20281的防火墙; b 符合GB/T20275的人侵检测设备 安全接人网关
GB/T35592一2017 7.2实体接入认证 7.2.1接入认证 有线接人宜采用基于数字证书的双向认证,无线接人应采用基于数字证书的双向认证
7.2.2认证失败处理 安全接人系统对接人的终端或物联网网关进行认证时,应支持以下失败处理 能终止认证超时的当前会话 a b)能终止规定次数认证失败的接人会话的尝试
7.3访问控制 7.3.1访问控制策略 安全接人系统应支持感知终端或物联网网关访问控制安全策略的配置和执行,并满足以下安全 要求 对不同用户/用户组制定不同的感知终端或物联网网关感知数据资源的访问控制策略 a) b)执行用户访问感知终端或物联网网关获取感知数据的策略 7.3.2 自主访问控制 自主访问控制应满足以下安全要求 通过访问控制列表(ACL)来进行用户对感知终端或物联网网关的访问控制 a b) 阻断用户对非授权的感知终端或物联网网关的访问行为,并产生报警信息
7.3.3强制访问控制 强制访问控制应满足以下安全要求 支持对主体和被授权的感知终端和物联网网关资源设置敏感标记; a b) 支持基于敏感标记和访问控制策略的强制访问控制
7.4数据传输安全要求 数据传输应采用国家规定的加密算法,以端到端信道加密方式保障数据传输安全
7.5终端或物联网网关的证书管理机制 采用基于数字证书双向认证的安全接人系统时,应支持证书管理,满足以下安全要求 用于认证的数字证书的签发,恢复、废除、重发等; a 用于认证和通信的密钥的产生、分发、更新和注销等
b) 7.6防火墙策略 防火墙应向安全接人网关开放指定的P地址和端口映射,最小化控制开放端口的数量
7.7入侵检测和防病毒机制 安全接人系统应满足以下防护机制安全要求 支持应用数据格式、控制协议等的检查和对内容的过滤,只允许合法协议和数据通过 a b)具备对感知终端或物联网网关发起的攻击或异常行为的检测能力
GB/35592一2017 具备对已知病毒、木马等恶意代码的检测和阻断能力
7.8可靠性要求 安全接人系统宜支持安全接人网关的双机热备和负载均衡
GB/T35592一2017 附 录 A 资料性附录) 公安物联网终端安全接入应用结构示例 物联网感知网络和终端设备接人物联网核心业务网络应用时,应部署安全接人系统,并具备与之匹 配的感知终端支持安全技术
其安全接人系统结构示例如图A.1中虚线框所示
间接接入示例 传输通道 安全接入系统 核心业务系统 感知层网络 RFID读卡然 RFID设卡路 , 身份证该卡器 安全按入系统网络 核心业务系统网络 公众移动网4 网猪f一 格专用线路 直接接入示例 专用网络 E家 感知现场 图A.1公安物联网终端安全接入应用结构示例图 公安物联网终端安全接人示例包括;感知现场、传输通道、安全接人系统、核心业务系统等
感知现场包括;间接接人应用示例(RFID应用、可穿戴装备应用等),如图A.1左上方框内所示
其中RFID读卡器,身份证读卡器等非IP类终端根据接人安全技术要求,需要连接经过安全接人系统 认证和建立可信连接的物联网网关,才能形成物联网安全接人
直接接接人应用示例台式服务终端、 移动智能终端,无线音视频终端、车载通信终端),如图A.1左下方框内所示
其中,台式公共服务终 端、移动智能终端、无线音视频终端、车载通信终端等IP类带操作系统终端根据接人安全技术要求,与 安全接人系统进行认证和建立可信连接,即可形成物联网安全接人 安全接人系统包括;防火墙设备,人侵检测设备、安全接人网关、证书服务设备等
形成对物联网终 端接人的认证和可信接人,建立感知终端与核心业务区的数据通路,形成物联网应用
GB/35592一2017 考文 参 献 GB/T202692006信息安全技术信息系统安全管理要求 [[2]GB/T20270一2006 信息安全技术网络基础安全技术要求 [3]GB/T20271一2006信息安全技术信息系统通用安全技术要求 [门 GB/T20282一2006信息安全技术信息系统安全工程管理要求 [5幻 GB/T210522007 信息安全技术信息系统物理安全技术要求 [们 G;B/T28181一2016公共安全视频监控联网系统信息传输、交换,控制技术要求 [7 GA/T3902002计算机信息系统安全等级保护通用技术要求 [8]GM/T0002-一2012sM4分组密码算法 [9]GM/T0003一2012sM2椭圆曲线公钥密码算法 [10]GM/T00042012SM3密码杂凑算法
公安物联网感知终端接入安全技术要求GB/T35592-2017
随着物联网技术的不断发展,公安物联网越来越广泛地应用于公安部门的信息化建设中。然而,公安物联网感知终端作为公安物联网的重要组成部分,其接入安全问题也日益突出。为了保障公安物联网感知终端的接入安全,我国制定并发布了《公安物联网感知终端接入安全技术要求GB/T35592-2017》标准。
该标准主要包含以下内容:
- 安全技术要求的基本原则
- 感知终端接入安全实施方案
- 感知终端接入安全管理要求
在安全技术要求的基本原则方面,该标准对公安物联网感知终端的接入安全提出了保密性、完整性、可用性、审计性和可追溯性等五个基本原则。这些原则为感知终端接入安全提供了指导,确保了公安物联网系统的安全稳定运行。
在感知终端接入安全实施方案方面,该标准明确规定了感知终端接入安全策略、网络隔离、访问控制、数据加密等具体技术要求。这些要求从技术上保障了感知终端接入的安全性,有效遏制了黑客攻击、病毒传播等风险。
在感知终端接入安全管理要求方面,该标准主要规定了感知终端接入安全管理机构、安全培训、安全事件处理等方面的要求。这些要求督促公安机关加强对公安物联网系统的安全管理,完善安全管理流程和制度,提高安全管理水平。
需要注意的是,该标准适用于公安部门及其相关单位在开展信息化建设时对公安物联网感知终端进行接入安全评估和治理的工作。因此,在公安物联网系统建设过程中,公安机关应该按照标准要求对感知终端进行接入安全评估和治理,确保公安物联网体系的安全和稳定运行。
综上所述,GB/T35592-2017《公安物联网感知终端接入安全技术要求》为公安物联网感知终端接入安全提供了明确的技术和管理要求,是公安物联网建设的重要保障措施之一。公安机关在进行信息化建设时应该积极落实该标准的相关要求,提高公安物联网的安全性和可靠性。
