国家标准 GB/T37024一2018 信息安全技术物联网感知层网关安全技术要求 Informationsecuritytechnology一 Seeuritytechniealrequirementsofgatewyinsensinglayerftheintermetofthings 2018-12-28发布 2019-07-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/37024一2018 目次前言范围 2 规范性引用文件 3 术语和定义缩略语概述 5.1感知层网关描述 5,2安全威胁 5.3级别划分基础级安全技术要求 6.1物理安全要求 6.2安全功能要求安全保障要求 63 增强级安全技术要求 7.1物理安全要求 7.2安全功能要求 7.3安全保障要求附录A(资料性附录)物联网信息系统 10 参考文献 12
GB/37024一2018 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAT/TC260)提出并归口本标准起草单位:网神信息技术(北京)股份有限公司、北京奇安信科技有限公司、北京工业大学、网络安全审查技术与认证中心、电子技术标准化研究院、神华信息技术有限公司、北方工业大学、国网网安(北京)科技有限公司、北京威努特技术有限公司本标准主要起草人;齐向东、吴云坤,曲晓东、孙凌、纪胜龙,鲍旭华、郑新华、李健、张剑,范科峰龚洁中,乔思远、王梅、李继军、刘学忠,魏淑华、陈春霖、刘莹,黄敏、刘浩
GB/37024一2018 信息安全技术物联网感知层网关安全技术要求范围本标准规定了应用在物联网信息系统中感知层网关的安全技术要求,主要包括安全技术要求级别划分及其物理安全、安全功能和安全保障等要求本标准适用于物联网信息系统中感知层网关的设计、开发与测试规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T222402008信息安全技术信息系统安全等级保护定级指南 GB/T25069一2010信息安全技术术语 GA/T681一2007信息安全技术网关安全技术要求术语和定义 GB/T250692010界定的以及下列术语和定义适用于本文件 3.1 物联网intermetofthings 通过感知终端,按照约定协议,连接物、人、系统和信息资源,实现对物理和虚拟世界的信息进行处理并做出反应的智能服务系统 [GB/T337452017,定义2.1.1 3.2 感知层网关gatewayinsensinglayer 实现感知网络与通信网络,不同类型感知网络之间的协议转换和互联,部署于物联网感知层的网络连接设备 3.3 感知终端sensorterminal 能对物进行信息采集和/或执行操作,可以连接一个或多个感知网络的设备缩略语下列缩略语适用于本文件 ACL;访问控制列表(AccessControlList)
GB/T37024一2018 5 概述 5.1感知层网关描述感知层网关是物联网信息系统的重要组成部分,参见附录A 在物联网信息系统中,感知层网关运行于感知网络的边缘,是连接传统信息网络(有线网、移动网等)和感知网络的桥梁,支持一种或多种有线/无线短距离通信协议蓝牙、Wi-Fi等)与广域网通信协议之间的数据编码和转换功能,如图1所示感知层网关通常由软件、硬件两部分构成,所具备的功能与部署环境有较强的相关性,在户外部署时,易受物理环境包括温度、湿度、供电、电磁、人为破坏等因素的影响感知终端 RFID读写器短迎郎廷伸网络传感器终端有线信道链路信息网络定位终端传输音视频采集无线终端信道智能化设备感知网络图1物联网感知层网关 5.2安全威胁感知层网关可能面临安全威胁主要包括攻击者可以窃取或者截获感知层网关数据,可以收集来自于感知终端的源地址、目的地址、数 a 据内容、数据传输时间和协议类型等; 攻击者伪造感知终端,对感知层网关发起拒绝服务攻击和重放攻击; b 未授权的用户伪装成已授权的用户试图访问网络资源 c 用户超越所授予的权限而访问和修改数据; d 存在被盗窃、人为损坏,导致的设备组件的完整性缺失供电不足导致设备无法正常运转; f) 部署环境选择不当,如高温、潮湿、静电、雷击等恶劣环境,会对设备安全构成威胁 g 5.3级别划分安全技术要求分为基础级和增强级两个等级其中基础级符合GA/T681一2007网关安全保护等
GB/T37024一2018 级划分第二级要求,增强级符合GA/T681一2007网关安全保护等级划分第三级要求在GB/T22240一2008规定的三级以下物联网信息系统中,感知层网关应满足基础级要求;在 GB/T222402008规定的三级和三级以上物联网信息系统中,感知层网关应满足增强级要求相对于基础级安全技术要求,增强级安全技术要求新增内容用黑体字表示基础级安全技术要求 6.1物理安全要求感知层网关在物理安全方面,应满足如下要求具备基本的防火、,防静电的措施 a b) 具备基本的防潮、防水的措施; 主要部件应进行固定,并设置明显的不易除去的标记 c 6.2安全功能要求 6.2.1感知终端接入认证感知层网关应能够对接人的感知终端进行认证,应满足如下要求保证对感知终端标识在感知层网关生命周期内的惟一性 a b)能够对感知终端进行鉴别,至少支持如下机制之一基于网络标识的鉴别 ) 基于MAC地址的鉴别 2) 基于通信协议的鉴别 3 基于通信端口的鉴别 4 5)基于口令鉴别保证密钥存储和交换安全 6.2.2网络访问控制感知层网关能够控制接人设备的网络访问,应满足如下要求支持访问控制表(ACL)等访问控制策略,防止资源被非法访问和非法使用 a b 控制相同网络内部的相互访问控制不同网络之间的跨网访问 6.2.3数据保护 6.2.3.1 数据存储保护感知层网关应满足如下数据存储保护要求对感知层网关中存储的重要数据进行保护,避免非授权的访问 a b)具备对感知层网关存储数据的完整性检测机制,实现鉴别信息、协议转换规则、审计记录等重要数据的完整性检测 6.2.3.2数据传输保护感知层网关应满足如下数据传输保护要求: a 保护感知层网关数据在传输过程中不被泄露,采用密码技术对重要数据(指令控制数据,业务数据)实施机密性保护,确保数据传输的保密性
GB/T37024一2018 b 具备对传输数据完整性校验机制,实现隐私数据,重要业务数据等重要数据的传输完整性保护(如;校验码消息摘要、数字签名等); 具有通信延时和中断的处理机制 6.2.4 系统安全保护 6.2.4.1时间戳应具备可靠的时间戳 6.2.4.2标识与鉴别感知层网关能够对于用户进行标识和鉴别,应满足如下要求 a 感知层网关的用户应有唯一标识 b)对感知层网关用户进行身份鉴别,使用用户名和口令鉴别时,口令由字母、数字及特殊字符组成,长度不小于8位 6.2.4.3访问控制感知层网关能够对于用户进行访问控制,应满足如下要求能控制感知层网关用户的访问权限,并避免权限的扩散， a) b 仅授予感知层网关用户完成任务所需的最小权限; 能控制数据的本地或远程访问 c 提供安全措施控制对感知层网关进行远程配置; d 控制范围应覆盖所有主体、客体以及它们之间的操作 o 6.2.4.4安全审计 6.2.4.4.1审计数据生成应能对下列可审计事件生成审计记录审计功能的启动和关闭; a 身份鉴别失败,记录用户的身份和所使用的访问设备的标识 b 协议转换失败,记录转换数据包的来源和时间 c 任何读取、修改、破坏审计记录的尝试: d 所有对访问授权与拒绝规则覆盖的主体执行操作的请求,以及受影响客体的标识修改安全属性的所有尝试,以及修改后安全属性的新值所有使用安全功能中鉴别数据管理机制的请求; 所有访问鉴别数据的请求,以及访问请求的目标 h 任何对鉴别机制的使用: 所有使用标识机制的尝试; 因鉴别尝试不成功的次数超出了设定的限制 k 对于每一个审计记录,安全功能应至少记录以下信息;事件发生的日期和时间,事件的类型和主体身份 6.2.4.4.2审计数据查阅应满足如下审计数据查阅要求: 限制审计记录访问; a
GB/37024一2018 b 能提供审计记录的查阅功能 6.2.4.4.3审计数据存储应能够保护审计记录信息,防止对审计记录的修改 6.2.4.5失败保护应具备保护状态,确保感知层网关断电恢复时安全策略的正确性 6.3安全保障要求 6.3.1开发 6.3.1.1安全架构开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求与产品设计文档中对安全功能实施抽象描述的级别一致 a b)描述与安全功能要求一致的产品安全功能的安全域; 描述产品安全功能初始化过程为何是安全的; c d 证实产品安全功能能够防止被破坏证实产品安全功能能够防止安全特性被旁路 6.3.1.2功能规范开发者应提供完备的功能规范说明,功能规范说明应满足以下要求完全描述产品的安全功能; a 描述所有安全功能接口的目的与使用方法; b 标识和描述每个安全功能接口相关的所有参数描述安全功能接口相关的安全功能实施行为 d 描述由安全功能实施行为处理而引起的直接错误消息 e 证实安全功能要求到安全功能接口的追溯 6.3.1.3产品设计开发者应提供产品设计文档,产品设计文档应满足以下要求 a)根据子系统描述产品结构 b) 标识和描述产品安全功能的所有子系统; 描述安全功能所有子系统间的相互作用; ce d)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口 6.3.2指导性文档 6.3.2.1 操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持致,对每一种用户角色的描述应满足以下要求描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息 a b 描述如何以安全的方式使用产品提供的可用接口; 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值 c
GB/37024一2018 6.3.5脆弱性评定基于已标识的潜在脆弱性,产品能够抵抗具有基本攻击潜力的攻击者的攻击增强级安全技术要求 7.1物理安全要求在满足6.1基础上,应满足如下要求关键感知层网关具有持久的,稳定的电力供应措施; aa b)关键感知层网关所在物理环境保证其具有良好的信号收发(尽量避免信道遭遇屏蔽) 关键感知层网关具有定位装置 c 7.2安全功能要求 7.2.1感知终端接入认证在满足6.2.1基础上,应满足如下要求对基于口令的鉴别,具备能检测出已失效的或复制的口令数据重放的安全机制 aa b 限定鉴别失败的次数,当超过设定值后终止感知终端的访问,并在一定的安全时间间隔后才能恢复 7.2.2网络访问控制在满足6.2.2基础上,应满足如下要求访问控制的覆盖范围应扩展到访问相关的主体、客体及它们之间的操作; aa 支持黑名单、白名单机制 b c 能够控制感知终端访问数量 7.2.3数据保护在满足6.2.3基础上,应具备原发抗抵赖和接受抗抵赖的能力,能够证明感知终端已经发送过或接受过信息 7.2.4系统安全保护 7.2.4.1 时间戳应满足6.2.4.1的要求 7.2.4.2标识与鉴别应满足6,2.4.2的要求 7.2.4.3访问控制应满足6.2.4.3的要求 7.2.4.4安全审计 7.2.4.4.1审计数据生成应满足6.2.4.4.1的要求
GB/T37024一2018 7.2.4.4.2审计数据查阅应满足6.2.4.4.2的要求 7.2.4.4.3审计数据存储在满足6.2.4.4.3基础上,应满足如下要求支持审计数据的备份存储,防止因自然或人为灾害导致的审计数据丢失; a b) 具备防止审计记录数据丢失的机制,当在审计记录数据存储已满时,可采取如覆盖时间最久的记录的措施,防止审计记录数据的丢失 7.2.4.5失败保护应满足6.2.4.5的要求 7.2.4.6恶意代码防范感知层网关应具有恶意代码防范能力 7.3安全保障要求 7.3.1开发 7.3.1.1 安全架构应满足6.3.1.1的要求 7.3.1.2功能规范在满足6.3.1.2基础上,应满足如下要求: 描述安全功能实施过程中,与安全功能接口相关的所有行为 a b) 描述可能由安全功能接口的调用而引起的所有直接错误消息 7.3.1.3实现表示开发者应提供全部安全功能的实现表示,实现表示应满足以下要求提供产品设计描述与实现表示实例之间的映射,并证明其一致性 a b) 按详细级别定义产品安全功能,详细程度达到不用进一步设计就能生成安全功能的程度; 以开发人员使用的形式提供 c 7.3.1.4产品设计在满足6.3.1.3基础上,应根据模块描述安全功能 7.3.2指导性文档应满足6.3,2的要求 7.3.3生命周期支持 7.3.3.1配置管理能力在满足6.3.3.1基础上,应满足如下要求
GB/37024一2018 配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示 a 进行已授权的改变; b 配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品实施的配置管理与配置管理计划相一致; 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序 7.3.3.2配置管理范围在满足6.3.3.2基础上,应实现表示、安全缺陷报告及其解决状态 7.3.3.3交付程序应满足6.3.3.3的要求 7.3.3.4开发安全开发者应提供开发安全文档开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施 7.3.3.5生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行必要的控制,并提供生命周期定义文档描述用于开发和维护产品的模型 7.3.3.6工具和技术开发者应明确定义用于开发产品的工具,并提供开发工具使用的文档,该文档应无歧义地定义每个语句的含义和所有选项的含义 7.3.4测试 7.3.4.1测试覆盖在满足6.3.4.1基础上,应证实功能规范中的所有安全功能接口都进行了测试 7.3.4.2测试深度开发者应提供测试深度的分析,测试深度分析描述应满足以下要求证实测试文档中的测试与产品设计中安全功能和实现模块之间的一致性 a 5 证实产品设计中的所有安全功能、实现模块都已经进行过测试 7.3.4.3功能测试应满足6.3.4.2的要求 7.3.4.4独立测试应满足6.3.4.3的要求 7.3.5脆弱性评定应满足6.3.5的要求
GB/T37024一2018 附录 A 资料性附录) 物联网信息系统根据物联网信息系统组成部分的功能、定位、分布、服务对象的不同,物联网信息系统通常可以划分为6个区域,分别为目标对象域、感知控制域、资源交换域、服务提供域、运维管理域、用户域,见图A.1 用户域资源交换域运维管理域服务提供域感知控制域感知层网关感知控制系统智能设备传感器网标签识别位置信息音视频信息系统采集系统络系统接口系统系统感知对象目标对象域控制对象图A.1物联网信息系统模型图A.1中用户域是不同类型物联网用户和用户系统的实体集合物联网用户可通过用户系统及其他域 a 的实体获取物理世界对象的感知和操控服务目标对象域是物联网用户期望获取相关信息或执行相关操控的对象实体集合,可包括感知对 b 象和控制对象感知对象是用户期望获取信息的对象,控制对象是用户期望执行操控的对象感知对象和控制对象可与感知控制域中的实体(如传感网系统、标签识别系统、智能设备接口系统等)以非数据通信类接口或数据通信类接口的方式进行关联,实现物理世界和虚拟世界的接口绑定感知控制域是各类获取感知对象信息与操控控制对象的软硬件系统的实体集合感知控制域可实现针对物理世界对象的本地化感知协同和操控,并为其他域提供远程管理和服务的接口服务提供域是实现物联网基础服务和业务服务的软硬件系统的实体集合服务提供域可实现对感知数据、控制数据及服务关联数据的加工、处理和协同,为物联网用户提供对物理世界对象的感知和操控服务的接口 10
GB/37024一2018 运维管理域是实现物联网运行维护和法规符合性监管的软硬件系统的实体集合运维管理域可保障物联网的设备和系统的安全、可靠、高效运行,以及保障物联网系统中实体及其行为与相关法律规则等的符合性 t 资源交换域是实现物联网系统与外部系统间信息资源的共享与交换,以及实现物联网系统信息和服务集中交易的软硬件系统的实体集合资源交换域可获取物联网服务所需外部信息资源,也可为外部系统提供所需的物联网系统的信息资源,以及为物联网系统的信息流、服务流、资金流的交换提供保障 11
GB/T37024一2018 考文献参 [[1]GB17859一1999计算机信息系统安全保护等级划分准则 [2]GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件 [3]GB/T20281一2015信息安全技术防火墙安全技术要求和测试评价方法 [4]GB/T22239一2008 信息安全技术信息系统安全等级保护基本要求 [们 GB/T25068.32010 信息技术安全技术IT网络安全第3部分:使用安全网关的网间通信安全保护 [6]GB/T33474一2016物联网参考体系结构 [7]GB/T33745一2017物联网术语 [8 信息安全技术物联网感知终端应用安全技术要求 GB/T369512018 信息安全技术物联网数据传输安全技术要求 [[9]GB/T37025一2018 [10]GB/T37044一2018信息安全技术物联网安全参考模型及通用要求 12

信息安全技术物联网感知层网关安全技术要求GB/T37024-2018解析

近年来，随着物联网技术的不断进步，越来越多的设备被连接到互联网上。然而，这种无处不在的互联网连接也意味着网络安全问题日益突出。特别是在物联网感知层网关这一环节，由于其连接各种传感器和控制设备的同时，还需要承担数据采集、处理、存储等任务，因此安全性显得尤为重要。

为了保障物联网感知层网关的安全，国家标准化管理委员会发布了《信息安全技术物联网感知层网关安全技术要求GB/T37024-2018》（以下简称“GB/T37024”）。该标准规定了物联网感知层网关的基本要求和安全技术措施，以确保其在数据采集、传输、处理等环节中能够有效地防范各种网络安全威胁。

GB/T37024的主要内容

GB/T37024将物联网感知层网关的安全要求分为三个方面：管理安全、技术安全和应急响应。其中，管理安全主要包括安全组织、安全策略和安全培训等；技术安全则包括物理安全、网络安全和系统安全等；应急响应则是针对网络攻击事件的应急处置和恢复。

此外，GB/T37024还规定了物联网感知层网关的安全评估和认证要求，以确保其符合国家相关标准和法规的要求。

GB/T37024的意义

GB/T37024的发布，标志着我国在物联网领域的安全标准体系日趋完善。该标准不仅为物联网感知层网关的安全提供了明确的指导，也为相关企业和机构提供了可依据的标准。

同时，GB/T37024的实施也有助于提升我国物联网行业的整体安全水平，保障企业和用户的合法权益。在未来，我们也期待能够有更多的标准出台，为物联网的健康发展提供坚实的保障。