工信部《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南（2021版）》

111一、總體要求以習(xí)近平新時(shí)代中國特色社會(huì)主義思想為指導(dǎo)，深入貫徹落實(shí)習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國的重要思想，堅(jiān)持總體國家安全觀，以筑牢物聯(lián)網(wǎng)基礎(chǔ)安全、防范公共網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為目標(biāo)，著力構(gòu)建物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系，加強(qiáng)標(biāo)準(zhǔn)統(tǒng)籌規(guī)劃，扎實(shí)推進(jìn)標(biāo)準(zhǔn)研制，促進(jìn)標(biāo)準(zhǔn)落地實(shí)施，支撐和保障物聯(lián)網(wǎng)產(chǎn)業(yè)安全有序發(fā)展。（一）基本原則需求牽引，加強(qiáng)統(tǒng)籌。緊密貼合物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展現(xiàn)狀和趨勢，著力構(gòu)建科學(xué)合理、先進(jìn)適用、開放融合的基礎(chǔ)安全標(biāo)準(zhǔn)體系，強(qiáng)化標(biāo)準(zhǔn)工作統(tǒng)籌協(xié)調(diào)，指導(dǎo)標(biāo)準(zhǔn)制定有序開展。聚焦重點(diǎn)，急用先行。圍繞物聯(lián)網(wǎng)基礎(chǔ)設(shè)施和重點(diǎn)行業(yè)應(yīng)用，加快推進(jìn)基礎(chǔ)通用、關(guān)鍵技術(shù)、試驗(yàn)方法等重點(diǎn)和急需標(biāo)準(zhǔn)制定，及時(shí)滿足物聯(lián)網(wǎng)產(chǎn)業(yè)的安全需求。廣泛參與，強(qiáng)化實(shí)施。凝聚設(shè)備廠商、電信企業(yè)、安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、科研單位、高校等產(chǎn)學(xué)研用各方力量，鼓勵(lì)頭部企業(yè)發(fā)揮示范帶頭作用，推動(dòng)標(biāo)準(zhǔn)有效實(shí)施。到2022年，初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系，研制重點(diǎn)行業(yè)標(biāo)準(zhǔn)10項(xiàng)以上，明確物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺(tái)等關(guān)鍵基礎(chǔ)環(huán)節(jié)安全要求，滿足物聯(lián)網(wǎng)基礎(chǔ)安全保障需要，促進(jìn)物聯(lián)網(wǎng)基礎(chǔ)安全能力提升。2到2025年，推動(dòng)形成較為完善的物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系，研制行業(yè)標(biāo)準(zhǔn)30項(xiàng)以上，提升標(biāo)準(zhǔn)在細(xì)分行業(yè)及領(lǐng)域的覆蓋程度，提高跨行業(yè)物聯(lián)網(wǎng)應(yīng)用安全水平，保障消費(fèi)者安全使用。二、建設(shè)內(nèi)容物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)主要是指物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺(tái)等關(guān)鍵基礎(chǔ)環(huán)節(jié)的安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系包括總體安全、終端安全、網(wǎng)關(guān)安全、平臺(tái)安全、安全管理等51.總體安全總體安全是物聯(lián)網(wǎng)基礎(chǔ)安全的基礎(chǔ)性、指導(dǎo)性和通用性3標(biāo)準(zhǔn)，主要包括物聯(lián)網(wǎng)基礎(chǔ)安全術(shù)語定義、架構(gòu)模型、安全場景、安全集成、安全分級(jí)、安全協(xié)議等（見圖2）。（1）物聯(lián)網(wǎng)基礎(chǔ)安全術(shù)語定義：規(guī)范物聯(lián)網(wǎng)基礎(chǔ)安全的概念，統(tǒng)一相關(guān)術(shù)語的理解和使用。（2）物聯(lián)網(wǎng)基礎(chǔ)安全架構(gòu)模型：主要提出物聯(lián)網(wǎng)基礎(chǔ)安全體系框架以及各部分參考模型，明確和界定云、管、端各層面功能、關(guān)系、角色、邊界、責(zé)任等內(nèi)容。（3）物聯(lián)網(wǎng)基礎(chǔ)安全場景：主要對不同類型場景中的安全需求進(jìn)行示例和規(guī)范。（4）物聯(lián)網(wǎng)基礎(chǔ)安全集成：在物聯(lián)網(wǎng)系統(tǒng)規(guī)劃、集成、實(shí)施等過程中，通過建立安全模型等方式，保障基礎(chǔ)設(shè)施系統(tǒng)各層級(jí)對象安全性和可靠性。4（5）物聯(lián)網(wǎng)基礎(chǔ)安全分級(jí)：明確物聯(lián)網(wǎng)基礎(chǔ)安全分級(jí)的基本原則、維度、方法、示例等要求，為實(shí)施分級(jí)安全管理提供基礎(chǔ)支撐。（6）物聯(lián)網(wǎng)基礎(chǔ)安全協(xié)議：主要是物聯(lián)網(wǎng)平臺(tái)、網(wǎng)關(guān)、終端本身及設(shè)備之間的基礎(chǔ)安全協(xié)議，包括有線協(xié)議安全、無線協(xié)議安全、存儲(chǔ)協(xié)議安全等。2.終端安全終端安全是物聯(lián)網(wǎng)基礎(chǔ)安全體系中感知層面的標(biāo)準(zhǔn)，主要包括終端通用安全、模組安全、通信芯片安全、卡安全、行業(yè)終端安全、終端測試評(píng)估等（見圖3）。（1）終端通用安全：主要包括物聯(lián)網(wǎng)終端硬件安全、操作系統(tǒng)安全、軟件安全、接入認(rèn)證、數(shù)據(jù)安全、協(xié)議安全、隱私保護(hù)、證書規(guī)范、固件安全、插件/組件安全等。5（2）模組安全：規(guī)范通信模組在接入認(rèn)證、數(shù)據(jù)交互、數(shù)據(jù)傳輸、抗電磁干擾等方面的安全要求，包括蜂窩通信模組和其他類型通信模組等。（3）通信芯片安全：主要包括通信加密算法、密鑰管理、加解密能力、簽名驗(yàn)簽、數(shù)據(jù)存儲(chǔ)、芯片安全基線要求（4）卡安全：分為管理要求和技術(shù)要求。其中，管理要求主要是規(guī)范物聯(lián)網(wǎng)卡銷售、登記、使用管理等；技術(shù)要求主要包括卡身份認(rèn)證、分級(jí)分類、技術(shù)手段建設(shè)等。（5）行業(yè)終端安全：主要是指與各垂直行業(yè)密切相關(guān)的、具有特定功能的物聯(lián)網(wǎng)終端安全要求，如智能門鎖、監(jiān)控設(shè)備等特定行業(yè)終端的特有安全要求。（6）終端測試評(píng)估：主要包括物聯(lián)網(wǎng)卡安全測試、硬件安全測試、操作系統(tǒng)安全測試、軟件安全測試、接入認(rèn)證安全測試、數(shù)據(jù)安全測試、通信協(xié)議安全測試、固件安全測試等。網(wǎng)關(guān)安全主要包括物聯(lián)網(wǎng)網(wǎng)關(guān)通用安全、網(wǎng)關(guān)通信與接口安全、網(wǎng)關(guān)物理環(huán)境安全、網(wǎng)關(guān)組件安全、網(wǎng)關(guān)測試評(píng)估6（1）網(wǎng)關(guān)通用安全：規(guī)范物聯(lián)網(wǎng)網(wǎng)關(guān)相關(guān)的功能架構(gòu)、安全協(xié)議、安全防護(hù)，以及數(shù)據(jù)傳輸、處理和存儲(chǔ)等方面的安全技術(shù)要求，主要包括網(wǎng)關(guān)安全模型、安全架構(gòu)、安全功能、安全性能、數(shù)據(jù)安全、邊緣計(jì)算安全、安全協(xié)議等。（2）網(wǎng)關(guān)通信與接口安全：規(guī)范網(wǎng)關(guān)與其他設(shè)備互聯(lián)時(shí)通信接口和管理接口的安全通信協(xié)議、黑白名單、鑒權(quán)認(rèn)證等方面技術(shù)要求，主要包括網(wǎng)關(guān)南向和北向接口安全規(guī)程、安全協(xié)議流程、端口防護(hù)等。（3）網(wǎng)關(guān)物理環(huán)境安全：規(guī)范網(wǎng)關(guān)貯存、運(yùn)輸和使用環(huán)境條件下電磁輻射、防電磁干擾、抗硬力破壞、溫濕鹽霧環(huán)境適應(yīng)能力等方面技術(shù)要求，主要包括網(wǎng)關(guān)設(shè)備電磁兼容、機(jī)械環(huán)境適應(yīng)性、氣候環(huán)境適應(yīng)性等。（4）網(wǎng)關(guān)組件安全：規(guī)范網(wǎng)關(guān)功能服務(wù)、數(shù)據(jù)采集、7數(shù)據(jù)傳輸處理等軟硬件組件的安全設(shè)計(jì)、安全功能等方面技術(shù)要求，主要包括網(wǎng)關(guān)設(shè)備組件安全架構(gòu)、開源組件安全、應(yīng)用啟動(dòng)安全等。（5）網(wǎng)關(guān)測試評(píng)估：規(guī)范網(wǎng)關(guān)安全評(píng)估測試方法，主要包括設(shè)備安全測試、組件安全測試、接口安全測試、安全管理維護(hù)測試、數(shù)據(jù)傳輸處理安全測試、環(huán)境適應(yīng)性測試、分級(jí)分類評(píng)估測試等。4.平臺(tái)安全物聯(lián)網(wǎng)平臺(tái)包括設(shè)備管理平臺(tái)、連接管理平臺(tái)、應(yīng)用使能平臺(tái)、業(yè)務(wù)分析平臺(tái)、態(tài)勢感知及風(fēng)險(xiǎn)處置平臺(tái)等。物聯(lián)網(wǎng)平臺(tái)安全標(biāo)準(zhǔn)主要包括平臺(tái)通用安全、平臺(tái)安全防護(hù)、平臺(tái)交互安全、平臺(tái)安全監(jiān)測、平臺(tái)測試評(píng)估等（見圖5）。8（1）平臺(tái)通用安全：規(guī)范各類物聯(lián)網(wǎng)平臺(tái)通用數(shù)據(jù)安全、通信安全、身份鑒別、安全監(jiān)測、物理安全、安全可信等方面要求，主要包括通用安全框架、平臺(tái)可信計(jì)算等。（2）平臺(tái)安全防護(hù)：規(guī)范物聯(lián)網(wǎng)平臺(tái)以及基于物聯(lián)網(wǎng)平臺(tái)開發(fā)的行業(yè)業(yè)務(wù)系統(tǒng)和對外應(yīng)用組件的訪問控制、防代碼逆向、安全審計(jì)、篡改和注入防范等安全防護(hù)要求，主要包括平臺(tái)業(yè)務(wù)基礎(chǔ)安全、平臺(tái)安全防護(hù)要求等。（3）平臺(tái)交互安全：規(guī)范物聯(lián)網(wǎng)平臺(tái)之間、平臺(tái)與上層業(yè)務(wù)系統(tǒng)或管理系統(tǒng)、平臺(tái)與下層接入設(shè)備之間的數(shù)據(jù)交互、加密傳輸、交互接口配置和審計(jì)等方面的安全要求，主要包括不同物聯(lián)網(wǎng)平臺(tái)之間交互、平臺(tái)與南向和北向之間交（4）平臺(tái)安全監(jiān)測：規(guī)范物聯(lián)網(wǎng)平臺(tái)的安全監(jiān)測、態(tài)勢匯總等功能建設(shè)，主要包括物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)、物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)等。（5）平臺(tái)測試評(píng)估：規(guī)范物聯(lián)網(wǎng)平臺(tái)的通用安全、平臺(tái)安全防護(hù)、平臺(tái)內(nèi)部和平臺(tái)之間交互安全、平臺(tái)安全管理等方面的測試評(píng)估方法，主要包括物聯(lián)網(wǎng)平臺(tái)能力評(píng)估、安全防護(hù)測試、交互安全測試和安全管理評(píng)估等。5.安全管理安全管理標(biāo)準(zhǔn)用于指導(dǎo)行業(yè)落實(shí)通用安全管理要求，主要包括數(shù)據(jù)安全管理、安全信息協(xié)同、管理與維護(hù)安全、安9（1）數(shù)據(jù)安全管理：面向物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用產(chǎn)生的各類數(shù)據(jù)，保障數(shù)據(jù)在各環(huán)節(jié)的安全可控和使用，主要包括在采集、傳輸、存儲(chǔ)、處理、共享、銷毀等關(guān)鍵環(huán)節(jié)的數(shù)據(jù)安全基礎(chǔ)管理和技術(shù)保障等。（2）安全信息協(xié)同：針對物聯(lián)網(wǎng)協(xié)議類型眾多，明確物聯(lián)網(wǎng)基礎(chǔ)安全相關(guān)數(shù)據(jù)互聯(lián)互通標(biāo)準(zhǔn)，實(shí)現(xiàn)跨協(xié)議安全互聯(lián)互通，主要包括接口規(guī)范、測試方法等。（3）管理與維護(hù)安全：規(guī)范不同物聯(lián)網(wǎng)場景下終端、網(wǎng)關(guān)、平臺(tái)的運(yùn)維管理等方面安全要求，主要包括制度建設(shè)、安全組織、人員管理、運(yùn)行安全、資產(chǎn)管理、配置管理、遠(yuǎn)程維護(hù)安全、脆弱性檢測、應(yīng)急響應(yīng)與管理、災(zāi)備恢復(fù)等。（4）安全認(rèn)證：規(guī)范不同類型的物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺(tái)的認(rèn)證管理，用于不同類型設(shè)備的安全認(rèn)證互通互認(rèn)，主要包括證書生成、證書管理、證書更換等。三、組織實(shí)施一是加快標(biāo)準(zhǔn)研制。按照《標(biāo)準(zhǔn)體系》明確的目標(biāo)和任務(wù)，加強(qiáng)產(chǎn)學(xué)研用等各方的工作協(xié)同，注重物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)與行業(yè)發(fā)展實(shí)際相結(jié)合，成體系推進(jìn)標(biāo)準(zhǔn)研制。二是實(shí)施動(dòng)態(tài)更新。跟蹤物聯(lián)網(wǎng)新技術(shù)、新應(yīng)用的發(fā)展趨勢，主動(dòng)適應(yīng)物聯(lián)網(wǎng)安全發(fā)展水平的不斷提升，加強(qiáng)標(biāo)準(zhǔn)體系的動(dòng)態(tài)更新和完善，有效滿足產(chǎn)業(yè)安全發(fā)展需求。三是深化標(biāo)準(zhǔn)應(yīng)用。鼓勵(lì)行業(yè)協(xié)會(huì)、標(biāo)準(zhǔn)化技術(shù)組織等面向生產(chǎn)者、用戶、第三方檢測認(rèn)證機(jī)構(gòu)等，開展重點(diǎn)標(biāo)準(zhǔn)的宣傳和培訓(xùn)，引導(dǎo)企業(yè)對標(biāo)達(dá)標(biāo)，推動(dòng)標(biāo)準(zhǔn)落地實(shí)施。四是開展交流合作。支持中外企業(yè)、協(xié)會(huì)、標(biāo)準(zhǔn)化機(jī)構(gòu)等開展物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)的國際交流合作，積極參