T∕TAF 102-2021 面向工業(yè)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)智能終端安全技術(shù)要求

1、 ICS 33.050CCS M 30團(tuán)體標(biāo)準(zhǔn)T/TAF 102-2021面向工業(yè)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)智能終端安全技術(shù)要求Security technical requirements of Internet of Things intelligentterminal for industrial Internet2021-12-13發(fā)布2021-12-13實施 T/TAF 102-2021目次前言 . II引言 . III1范圍 . 12規(guī)范性引用文件 . 13術(shù)語和定義. 14縮略語 . 15工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全要求 . 25.1通用安全要求 . 25.2硬件安全要求 . 25.3固件安

2、全要求 . 25.4操作系統(tǒng)安全要求 . 25.5通信安全要求 . 35.6加密安全要求 . 35.7身份標(biāo)識與鑒別安全要求 . 35.8模型算法安全要求. 35.9數(shù)據(jù)安全要求. 45.9.1數(shù)據(jù)生命周期安全 . 45.9.2數(shù)據(jù)采集安全要求 . 45.9.3數(shù)據(jù)存儲安全要求 . 45.9.4數(shù)據(jù)傳輸安全要求 . 45.9.5數(shù)據(jù)使用安全要求 . 45.9.6數(shù)據(jù)銷毀安全要求 . 4附錄A（資料性）工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全能力分級. 5附錄B（資料性）安全能力等級建議. 7I T/TAF 102-2021前言本文件按照GB/T1.1-2020標(biāo)準(zhǔn)化工作導(dǎo)則第 1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起

3、草規(guī)則的規(guī)定起草。II T/TAF 102-2021引言物聯(lián)網(wǎng)飛速發(fā)展，安全作為一個進(jìn)階需求在物聯(lián)網(wǎng)初期并沒有被各大平臺所重視，隨著物聯(lián)網(wǎng)的發(fā)展以及物聯(lián)網(wǎng)DDOS等安全問題的爆發(fā)，用戶、設(shè)備廠商、物聯(lián)網(wǎng)平臺也越來越重視物聯(lián)網(wǎng)的安全。物聯(lián)網(wǎng)場景比較復(fù)雜，在整個物聯(lián)網(wǎng)生態(tài)中，大概分為設(shè)備端、云端、移動端三個部分，每個部分的對安全的側(cè)重都不相同。設(shè)備端情況更加復(fù)雜，物理網(wǎng)的設(shè)備多種多樣，設(shè)備的硬件、系統(tǒng)、應(yīng)用、協(xié)議以及使用的庫也碎片化嚴(yán)重，很難說有一個方案能夠解決所有問題。工業(yè)物聯(lián)網(wǎng)智能終端是物聯(lián)網(wǎng)信息系統(tǒng)的重要組成部分,其在應(yīng)用中安全防護(hù)水平參差不齊,直接影響了物聯(lián)網(wǎng)信息系統(tǒng)的整體安全。與一般信息

4、系統(tǒng)相比,物聯(lián)網(wǎng)信息系統(tǒng)中使用的智能終端具有數(shù)量眾多、種類繁雜、分布區(qū)域廣、部署環(huán)境多樣、安全功能受限等特點,這些特點使得智能終端應(yīng)用面臨軟硬件故障、物理攻擊、通信不正常、信息泄露或篡改、非授權(quán)訪問或惡意控制等安全風(fēng)險。為了提高物聯(lián)網(wǎng)信息系統(tǒng)中智能終端應(yīng)用的安全防護(hù)水平,建議開展工業(yè)物聯(lián)網(wǎng)智能終端安全技術(shù)要求立項。III T/TAF 102-2021面向工業(yè)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)智能終端安全技術(shù)要求1范圍本文件規(guī)定了面向工業(yè)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)智能終端設(shè)備安全技術(shù)要求，包括系統(tǒng)安全、硬件安全、固件安全、通信安全、數(shù)據(jù)安全等。本文件適用于工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端設(shè)備，個別條款不適用于特殊行業(yè)、專業(yè)應(yīng)用，其他類

5、似設(shè)備也可參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 35273-2020信息安全技術(shù)個人信息安全規(guī)范T/TAF 062-2020T/TAF 072-2020物聯(lián)網(wǎng)設(shè)備安全平臺技術(shù)要求和分級方法物聯(lián)網(wǎng)設(shè)備統(tǒng)一編碼方法3術(shù)語和定義GB/T 35273-2020、T/TAF 062-2020、T/TAF 072-2020界定的以及下列術(shù)語和定義適用于本文件。3.1物聯(lián)網(wǎng)智能終端 Internet of Things smar

6、t terminals具有數(shù)據(jù)采集，存儲能力、計算能力等，可通過接口與平臺建立通信連接，應(yīng)用于物聯(lián)網(wǎng)的嵌入式計算機(jī)系統(tǒng)設(shè)備。3.2算法模型 algorithm model采用機(jī)器學(xué)習(xí)技術(shù)理論求解問題，明確界定的有限且有序的規(guī)則集合，并基于輸入數(shù)據(jù)生成分類、推理、預(yù)測等的算法。3.3魯棒性 Robustness計算機(jī)控制系統(tǒng)正確執(zhí)行以及處理意外終止和意外操作的能力。4縮略語下列縮略語適用于本文件：API：應(yīng)用程序接口（Application Programming Interface）1 T/TAF 102-2021TEE：可信執(zhí)行環(huán)境（Trusted Execution Environment

7、）URL：統(tǒng)一資源定位系統(tǒng)（Uniform Resource Locator）5工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全要求5.1通用安全要求智能終端設(shè)備依據(jù)自身在身份標(biāo)識與鑒別、硬件、操作系統(tǒng)、固件、通信、模型算法、數(shù)據(jù)等安全能力提出要求，涉及物聯(lián)網(wǎng)設(shè)備安全平臺相關(guān)要求應(yīng)符合T/TAF 062-2020的相關(guān)規(guī)定。a)b)具備與平臺雙向認(rèn)證能力，實現(xiàn)基于硬件的數(shù)字證書機(jī)制，宜采用國產(chǎn)商用密碼算法；應(yīng)支持安全芯片或同等安全能力的安全單元，為系統(tǒng)提供獨立的安全服務(wù)。對采用安全芯片的，應(yīng)滿足 GM/T 0008安全等級 2級及以上要求，且應(yīng)具備商用密碼產(chǎn)品認(rèn)證證書；具備操作系統(tǒng)安全，應(yīng)采用可信計算等技術(shù)，保證

8、系統(tǒng)安全，內(nèi)部程序采用白名單機(jī)制；智能終端應(yīng)可支持物理隔離安全性、芯片級防篡改保護(hù)機(jī)制并具備可抵御芯片級攻擊能力，可在物理設(shè)備層被攻破的情況下仍然保障密鑰的安全性。c)d)5.2硬件安全要求硬件安全應(yīng)符合下列要求：a)b)c)d)對于具有控制臺接口的設(shè)備，需配置用戶名、口令等方式進(jìn)行認(rèn)證授權(quán)，禁止未授權(quán)訪問；對具備USB接口的設(shè)備，應(yīng)默認(rèn)關(guān)閉USB調(diào)試接口功能，或者增加調(diào)試接口驗證功能；應(yīng)禁用不再使用的物理接口，宜移除相關(guān)物理接口；智能終端設(shè)備應(yīng)支持硬件安全隔離功能。5.3固件安全要求固件安全應(yīng)符合下列要求：a)智能終端固件及對固件的任何改動都應(yīng)經(jīng)過嚴(yán)格的流程控制和驗證，以保證固件中不含隱藏的

9、非法功能；b)c)d)智能終端上電時應(yīng)對固件做真實性、完整性校驗，確保固件未被非法篡改。固件升級時，應(yīng)對新版固件進(jìn)行簽名驗簽，保證新版固件的合法性；應(yīng)具備固件芯片的物理寫入保護(hù)的功能，防止固件被惡意篡改。5.4操作系統(tǒng)安全要求操作系統(tǒng)安全應(yīng)符合下列要求：a)應(yīng)提供安全啟動機(jī)制進(jìn)行系統(tǒng)的完整性保護(hù)，當(dāng)安全驗證通過后，系統(tǒng)方能正常啟動，并進(jìn)行定期的檢查校驗；b)c)d)e)系統(tǒng)應(yīng)具備對遠(yuǎn)程控制的請求身份驗證和接入認(rèn)證的能力，避免非法用戶或應(yīng)用控制系統(tǒng)；系統(tǒng)應(yīng)具有有防回滾策略，防止系統(tǒng)被惡意降級；系統(tǒng)應(yīng)最小化開放網(wǎng)絡(luò)服務(wù)，如端口23的telnet，端口80的http等；應(yīng)禁止預(yù)留任何的未公開帳號，所

10、有帳號應(yīng)可被系統(tǒng)管理，并在資料中提供所有帳號及管理操作說明；f)g)對于任何的外界輸入，系統(tǒng)應(yīng)做充分的參數(shù)檢查，防止非法輸入或非法報文攻擊；系統(tǒng)在應(yīng)用安裝時應(yīng)獲得授權(quán)同意，禁止安裝未知來源或未授權(quán)應(yīng)用。應(yīng)用安裝時，權(quán)限分配采取授權(quán)最小化原則，系統(tǒng)應(yīng)能禁止所有未被允許權(quán)限的使用；2 T/TAF 102-2021h)i)應(yīng)禁止存在繞過正常認(rèn)證機(jī)制直接進(jìn)入到系統(tǒng)的隱秘通道，包括不限于：組合鍵、特殊敲擊、連接特定接口、使用特殊URL等；對于支持多個用戶賬號的系統(tǒng)，用戶權(quán)限分配應(yīng)遵循最小權(quán)限原則，普通用戶只擁有系統(tǒng)賦予的最小權(quán)限，禁止越權(quán)操作，禁止使用弱密碼進(jìn)行登錄；j)k)智能終端設(shè)備的操作系統(tǒng)宜能夠

11、實現(xiàn)用戶、進(jìn)程空間和數(shù)據(jù)安全隔離；對具備調(diào)試功能的設(shè)備，應(yīng)限制調(diào)試進(jìn)程在操作系統(tǒng)中的訪問權(quán)限和操作權(quán)限，防止權(quán)限設(shè)置過高導(dǎo)致權(quán)限濫用。5.5通信安全要求智能終端設(shè)備與業(yè)務(wù)平臺之間通信連接安全包括網(wǎng)絡(luò)接入安全，接口安全，數(shù)據(jù)傳輸安全等應(yīng)符合以下要求：a)b)c)d)通信會話建立前應(yīng)有安全的接入認(rèn)證機(jī)制；傳輸敏感數(shù)據(jù)時的加密密鑰禁止硬編碼在代碼中；通信會話應(yīng)支持加密、完整性保護(hù)及防重放攻擊，建議使用TLS/DTLS/TLCP等安全通信協(xié)議；會話服務(wù)端應(yīng)對客戶端的請求進(jìn)行合法性校驗，應(yīng)校驗會話標(biāo)識、及會話標(biāo)識是否與用戶 IP匹配；e)f)g)h)通信會話標(biāo)識應(yīng)使用安全隨機(jī)數(shù)算法生成；禁止在URL、錯

12、誤信息或日志中暴露會話標(biāo)識符；所有登錄后才能訪問的界面都應(yīng)提供主動退出選項，當(dāng)用戶退出時，設(shè)備端應(yīng)斷開會話連接；應(yīng)設(shè)置會話超時機(jī)制，在超時過后需斷開會話連接。5.6加密安全要求加密安全應(yīng)符合下列要求：a)智能終端應(yīng)支持密鑰的生成、分發(fā)、存儲、更新等密鑰管理功能。根密鑰應(yīng)采用安全的密碼算法；b)應(yīng)保證每個設(shè)備具有唯一的設(shè)備根密鑰，且設(shè)備根密鑰與智能終端身份識別信息一一綁定。智能終端認(rèn)證過程中禁止明文傳遞密鑰或以弱算法等變換后傳遞，防止反向推出密鑰，保證認(rèn)證安全。5.7身份標(biāo)識與鑒別安全要求身份標(biāo)識與鑒別安全應(yīng)符合下列要求：a)智能終端應(yīng)具有唯一的終端身份識別信息，身份識別信息應(yīng)不可篡改、不可偽造

13、、具備全球唯一性且由平臺進(jìn)行統(tǒng)一管理；b)智能終端身份識別信息應(yīng)與終端設(shè)備信息進(jìn)行關(guān)聯(lián)，如設(shè)備廠商代碼、設(shè)備型號代碼、唯一標(biāo)識代碼、身份識別服務(wù)規(guī)范版本號等，具體身份識別信息格式應(yīng)符合T/TAF072-2020的相關(guān)規(guī)定。5.8模型算法安全要求對于具備算法模型的智能終端應(yīng)符合以下安全要求：a)b)模型算法宜具備抵抗對抗性攻擊的能力，如對抗樣本攻擊等；應(yīng)對算法模型進(jìn)行安全保護(hù)，以保護(hù)模型不被非法竊取，如為模型參數(shù)或預(yù)測API接口設(shè)置一定的訪問控制機(jī)制，使之不可被公開獲取。算法模型可被限制在TEE加載和運(yùn)行，保護(hù)隱私數(shù)據(jù)不被非法獲取。3 T/TAF 102-20215.9數(shù)據(jù)安全要求5.9.1數(shù)據(jù)

14、生命周期安全數(shù)據(jù)生命周期分為數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)使用和數(shù)據(jù)銷毀。在每個階段都需要特定的安全措施來保護(hù)數(shù)據(jù)安全。涉及個人信息相關(guān)活動應(yīng)符合GB/T 35273-2020的相關(guān)規(guī)定。5.9.2數(shù)據(jù)采集安全要求a)b)c)d)應(yīng)保證信息收集主體的所有行為的合法要求，包括信息主體的授權(quán)和法律責(zé)任的明確；數(shù)據(jù)采集應(yīng)遵循最小化原則，禁止過度收集與業(yè)務(wù)無關(guān)的數(shù)據(jù)；應(yīng)保證用戶擁有充分的知情權(quán)；應(yīng)通過技術(shù)手段保障用戶的數(shù)據(jù)訪問權(quán)、刪除權(quán)、糾正權(quán)和遷移權(quán)。5.9.3數(shù)據(jù)存儲安全要求a)b)應(yīng)對文件數(shù)據(jù)采用加密技術(shù)實現(xiàn)文件的存儲保密性；應(yīng)對敏感信息，如隱私信息，除了保證存儲保密性，還需要在此之前完成脫

15、敏。5.9.4數(shù)據(jù)傳輸安全要求a)b)c)應(yīng)保證使用安全的加密保護(hù)用戶數(shù)據(jù)；應(yīng)保證用戶數(shù)據(jù)在不影響業(yè)務(wù)使用的情況下脫敏后傳輸；應(yīng)保證安全可靠的密鑰管理方式，采取完整的密鑰全生命周期的管理，包括創(chuàng)建、激活、禁用、轉(zhuǎn)換、分發(fā)、備份、銷毀等，同時基于密鑰的數(shù)據(jù)加密存儲；應(yīng)保證使用動態(tài)密鑰或設(shè)備唯一密鑰，保障設(shè)備安全；d)e)應(yīng)保證數(shù)據(jù)完整性校驗，對數(shù)據(jù)包的所有內(nèi)容進(jìn)行簽名。5.9.5數(shù)據(jù)使用安全要求a)b)應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息；應(yīng)保證權(quán)限控制，數(shù)據(jù)上傳下載時，限制用戶向上跨目錄訪問，只能訪問指定目錄下的文件。5.9.6數(shù)據(jù)銷毀安全要求a)b)應(yīng)能夠提供手段協(xié)助清除因數(shù)據(jù)在不同存儲設(shè)

16、備間遷移、業(yè)務(wù)終止、自然災(zāi)害、合同終止等遺留的數(shù)據(jù)，對日志的留存期限應(yīng)符合國家有關(guān)規(guī)定；應(yīng)提供手段清除數(shù)據(jù)的所有副本。4 T/TAF 102-2021附錄 A（資料性）工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全能力分級A根據(jù)工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端支持的安全能力程度，將工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端的安全能力自高到低劃分為5個等級。在每一等級定義了對應(yīng)的安全能力的最小集合，也就是工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端必須支持該集合中的所有安全能力才能標(biāo)識為該級別，例如達(dá)到第五級的智能終端應(yīng)支持本文件第5章所定義的所有安全能力。具體的等級劃分詳見表A.1.表A.1工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全能力分級安全能力等級安全能力一級-二級

17、-三級-四級-五級a）b）c）d）a）b）c）d）a）b）c）d）e)智能終端設(shè)備安全要求身份認(rèn)證安全要求-硬件安全要求-a）b）c）d）e)-智能終端設(shè)備操作系統(tǒng)安全要求f）g）h）i）j）k）a）b）c）-固件安全要求-5 T/TAF 102-2021表A.1工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端安全能力分級（續(xù)）安全能力等級安全能力一級-二級-三級-四級-五級a）b）c）d）c）d）e)-通信安全要求-h）a）b）a）b）c）d）e）a）b）c）d）e）a）b）a）b）a）b）-模型算法安全要求數(shù)據(jù)采集安全要求-數(shù)據(jù)傳輸安全要求-數(shù)據(jù)使用安全要求數(shù)據(jù)存儲安全要求數(shù)據(jù)銷毀安全要求-6 T/TAF 102-2021附錄 B（資料性）安全能力等級建議工業(yè)互聯(lián)網(wǎng)通用型典型場景有協(xié)同研發(fā)設(shè)計、遠(yuǎn)程設(shè)備操控、協(xié)同作業(yè)、輔助裝配、智能質(zhì)檢、設(shè)備故障診斷、智能物流、智能巡檢、智能監(jiān)測等。相關(guān)領(lǐng)先行業(yè)應(yīng)用實踐包括電子設(shè)備制造業(yè)、裝備制造業(yè)、鋼鐵行業(yè)、采礦行業(yè)、電力行業(yè)、農(nóng)業(yè)。附表B.1提供了分場景的安全級別建議。表B.1工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)智能終端分場景安全級別建議工業(yè)互聯(lián)網(wǎng)行業(yè)電子設(shè)備制造業(yè)應(yīng)用場景建議級別遠(yuǎn)程設(shè)備操控三級及以上三級及以上四級協(xié)同研發(fā)設(shè)計現(xiàn)場輔助裝配機(jī)器