物聯(lián)網(wǎng) 面向Web開放服務(wù)的系統(tǒng)安全要求征求意見稿編制說明

PAGEPAGE6國家標(biāo)準(zhǔn)《物聯(lián)網(wǎng)面向web開放服務(wù)的系統(tǒng)安全要求》編制說明一、工作簡況（一）任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會2019年下達的標(biāo)準(zhǔn)制定計劃《物聯(lián)網(wǎng)面向Web開放服務(wù)的系統(tǒng)物體交互安全要求》（計劃編號20192141-T-469），主辦單位為中國電子科技集團公司信息科學(xué)研究院，該標(biāo)準(zhǔn)由全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC28）歸口。（二）參與單位及主要起草人本文件起草單位：中國電子科技集團公司信息科學(xué)研究院、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家互聯(lián)網(wǎng)應(yīng)急中心、公安部第三研究所、北京信息科技大學(xué)、杭州?？低晹?shù)字技術(shù)股份有限公司、中電科技（北京）有限公司、中國科學(xué)技術(shù)大學(xué)、豪爾賽科技集團股份有限公司、北京東方通科技有限公司、無錫物聯(lián)網(wǎng)產(chǎn)業(yè)研究院、無錫物聯(lián)網(wǎng)創(chuàng)新中心有限公司、上海集成通信設(shè)備有限公司、浙江互靈物聯(lián)科技有限公司、上海高等技術(shù)研究院、騰訊科技（深圳）有限公司、北京電信規(guī)劃設(shè)計院有限公司、富士康工業(yè)互聯(lián)網(wǎng)股份有限公司、金卡智能集團股份有限公司。本文件主要起草人：王凡、李孟良、楊宏、鄒昕、陳群華、張健、孫亮、劉姝、賈彥鶴、付根利、劉繼順、李琳、苗付友、張志龍、王樂菲、董接蓮、馬秀麗、王振明、李赟、李家京、王暉、梁艷龍、張學(xué)琴、周羽波。（三）編制過程本文件由中國電子科技集團公司信息科學(xué)研究院申請立項，并于2019年立項被批復(fù),起草工作從2019年1月起，經(jīng)過內(nèi)部協(xié)調(diào)討論確定標(biāo)準(zhǔn)制定工作方案,完成標(biāo)準(zhǔn)框架和編寫要求，并于2020年10月形成標(biāo)準(zhǔn)內(nèi)審稿。具體的工作階段如下：1、2019年1月：中國電子技術(shù)標(biāo)準(zhǔn)化研究院成立標(biāo)準(zhǔn)編制工作組，正式啟動項目，確定標(biāo)準(zhǔn)制定工作計劃，明確了任務(wù)分工。2、2019年2月-7月：標(biāo)準(zhǔn)編制工作組進行國內(nèi)外相關(guān)資料的收集和分析，開展論證調(diào)研，經(jīng)多次組內(nèi)研討，確定了標(biāo)準(zhǔn)范圍和框架，并形成標(biāo)準(zhǔn)草案。3、2019年8月-12月：根據(jù)標(biāo)準(zhǔn)技術(shù)內(nèi)容實際應(yīng)用情況的反饋，經(jīng)過組內(nèi)研討交流，對標(biāo)準(zhǔn)草案進行修改完善，形成標(biāo)準(zhǔn)草案V1.0。4、2020年1月-5月：標(biāo)準(zhǔn)工作組邀請物聯(lián)網(wǎng)領(lǐng)域相關(guān)專家通過線上會議對標(biāo)準(zhǔn)初稿V1.0進行研討，并根據(jù)專家意見進行修改完善，形成標(biāo)準(zhǔn)草案V2.0。5、2020年6月：在國家物聯(lián)網(wǎng)基礎(chǔ)標(biāo)準(zhǔn)工作組的全會上成立了標(biāo)準(zhǔn)編制工作組，正式啟動項目，對各階段標(biāo)準(zhǔn)草案進行了充分討論，制定本文件工作計劃，明確任務(wù)分工。會后根據(jù)各方研討意見進行修改完善，形成標(biāo)準(zhǔn)草案V3.0。6、2020年7月：經(jīng)過內(nèi)部對標(biāo)準(zhǔn)草案V3.0多次研討、修訂，標(biāo)準(zhǔn)編制組邀請物聯(lián)網(wǎng)領(lǐng)域相關(guān)專家通過線上會議對各階段標(biāo)準(zhǔn)草案進行研討，提出建設(shè)性意見，并根據(jù)專家意見進行修改完善，形成標(biāo)準(zhǔn)草案V4.0。7、2020年8月：經(jīng)過內(nèi)部對標(biāo)準(zhǔn)多次研討、修訂，標(biāo)準(zhǔn)編制組相關(guān)單位通過線上會議進行標(biāo)準(zhǔn)編輯，對已形成的工作組草案稿進行修改完善，形成標(biāo)準(zhǔn)草案V5.0。8、2020年9月：經(jīng)過內(nèi)部對標(biāo)準(zhǔn)多次研討、修訂，標(biāo)準(zhǔn)編制組相關(guān)單位通過線上會議進行標(biāo)準(zhǔn)編輯，根據(jù)各方研討意見進行修改完善，形成標(biāo)準(zhǔn)草案V5.0。9、2020年10月：在北京召開標(biāo)準(zhǔn)編制工作組全體成員大會，根據(jù)各方研討意見進行了修改完善，并對細(xì)節(jié)的編輯性和表述性問題進行了通篇修改和完善，形成內(nèi)審稿。10、2020年12-2021年1月：專家對標(biāo)準(zhǔn)內(nèi)審稿進行了審查，調(diào)整了文本結(jié)構(gòu)。標(biāo)準(zhǔn)編制組根據(jù)專家意見進行了修改，形成標(biāo)準(zhǔn)征求意見稿。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題(一)標(biāo)準(zhǔn)編制原則1、規(guī)范性。本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》的要求編寫。2、科學(xué)性和先進性。本文件在編制過程中充分參考國內(nèi)外物聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)，設(shè)計本文件框架體系，理順各環(huán)節(jié)關(guān)系，規(guī)范我國面向Web開放服務(wù)的系統(tǒng)安全要求。3、可操作性。國家很重視物聯(lián)網(wǎng)應(yīng)用安全。本文件從我國物聯(lián)網(wǎng)應(yīng)用安全實際情況出發(fā)，制定出滿足我國物聯(lián)網(wǎng)應(yīng)用安全發(fā)展需求的國家標(biāo)準(zhǔn)，為物聯(lián)網(wǎng)產(chǎn)業(yè)健康持續(xù)發(fā)展提供支撐。4、公正性。本文件主持起草單位站在客觀公正的立場上起草本文件每項條款。(二)標(biāo)準(zhǔn)技術(shù)內(nèi)容本文件將安全要求分為基本要求和增強要求兩類。基本要求適合于一般物聯(lián)網(wǎng)信息系統(tǒng)安全。增強要求是在基本要求的基礎(chǔ)上的補充，即相對于基本要求的增強。增強要求適合于具有較高安全需求的系統(tǒng)，例如，GB/T22239-2019規(guī)定的三級及三級以上的物聯(lián)網(wǎng)信息系統(tǒng)。本文件在根據(jù)面向Web開放服務(wù)的系統(tǒng)中信息交互主體，將內(nèi)容劃分交互主體安全和交互過程安全。本文件對信息交互主體之間的交互方式進行歸納總結(jié)：終端與網(wǎng)關(guān)交互、終端與Web服務(wù)器交互、網(wǎng)關(guān)與Web服務(wù)器交互。因此交互主體安全包括物理安全、軟件安全和靜態(tài)數(shù)據(jù)安全。交互主體所處物理環(huán)境很重要，本文件要求部署在機房環(huán)境的交互主體，機房環(huán)境應(yīng)符合GB/T9361-2011和GB/T2887相關(guān)要求；運行在交互主體的軟件、操作系統(tǒng)分別應(yīng)符合GB/T30998-2014中軟件運行使用的安全保障相關(guān)要求和GB/T20272-2019中6.2節(jié)的要求；交互主體采集、存儲、處理或生成的靜態(tài)數(shù)據(jù)應(yīng)符合GB/T36951-2018、GB/T37024-2018、GB/T20270-2006相關(guān)要求。交互過程安全包括通信信道安全、通信協(xié)議安全和動態(tài)數(shù)據(jù)安全。通信信道安全應(yīng)符合GB/T37093-2018相關(guān)要求，動態(tài)數(shù)據(jù)安全應(yīng)符合GB/T37025-2018相關(guān)要求。本文件主要解決面向Web開放服務(wù)的系統(tǒng)中信息交互主體之間進行信息交換時安全問題，從交互主體安全和交互過程安全兩方面進行規(guī)范，以提高信息交互過程安全性，為推動物聯(lián)網(wǎng)產(chǎn)業(yè)建設(shè)提供參考。本文件規(guī)定了面向Web開放服務(wù)的系統(tǒng)交互安全要求，包括物理安全、軟件安全、靜態(tài)數(shù)據(jù)安全、接入安全、通信安全、動態(tài)數(shù)據(jù)安全。本文件適用于面向Web開放服務(wù)的物聯(lián)網(wǎng)系統(tǒng)的設(shè)計、開發(fā)與實現(xiàn)，為面向Web開放服務(wù)的系統(tǒng)信息交互安全提供指導(dǎo)。三、主要試驗[或驗證]情況分析本文件起草單位主要來自于從事物聯(lián)網(wǎng)技術(shù)研究、應(yīng)用和安全的單位，在本文件修訂的過程中，不斷的將標(biāo)準(zhǔn)中的內(nèi)容作用于項目實踐中，通過實踐進一步完善該標(biāo)準(zhǔn)，從而確保本文件的可行性、有效性。四、知識產(chǎn)權(quán)情況說明本文件不涉及知識產(chǎn)權(quán)。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果本文件是基礎(chǔ)共性類標(biāo)準(zhǔn)，目前在物聯(lián)網(wǎng)產(chǎn)業(yè)內(nèi)已有根據(jù)本文件設(shè)計的物聯(lián)網(wǎng)軟件系統(tǒng)應(yīng)用基礎(chǔ)，包括物聯(lián)網(wǎng)家居、物聯(lián)網(wǎng)視頻安防等，均在應(yīng)用本文件中的安全要求。本文件的應(yīng)用可使面向Web開放服務(wù)的物聯(lián)網(wǎng)系統(tǒng)在設(shè)計階段就提高安全性能，在大規(guī)模推廣應(yīng)用時，大幅降低因系統(tǒng)安全問題導(dǎo)致的經(jīng)濟損失和社會影響。六、采用國際標(biāo)準(zhǔn)和國外先進標(biāo)準(zhǔn)情況無七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本文件與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)相協(xié)調(diào)。八、重大分歧意見的處理經(jīng)過和依據(jù)無。九、標(biāo)準(zhǔn)性質(zhì)的建議建議作為推薦性國家標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議為有效貫徹本文件，建議依托國家物聯(lián)網(wǎng)基礎(chǔ)標(biāo)