 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 2022年3月9日,云安全联盟大中华区发布《物联网安全规范》(征求意见稿)。本文件给出了物联网系统应该具备的安全相关的技术或能力要求,规定了物联网安全对象及各相关方的安全责任,提供各应用工业物联网领域的设备厂商或甲方构建安全的物联网系统的指导,也可为各组织制定自身的物联网安全标准提供参考。 物联网安全技术框架主要是在合法合规的基础上,通过安全治理、物联网系统安全防护、运营和运维以及安全开发来进行设计。 法律法规的遵从主要是通过对法律合规进行评估,并落实实施计划和制定相关文件,包括需遵循的隐私政策的声明、相关方责任、明确数据转移准则等。 安全治理主要通过分析物联网所特有的安全需求,提出有针对性的安全策略方针,从而形成适用于物联网业务的安全治理方案。 物联网系统安全防护主要从物理层、设备层、网络层、应用层展开设计,包括物理安全、设备安全、网络安全、通信安全、无线安全、应用安全和数据安全这几个层面。 安全运营和运维描述了安全控制的具体技术实现,主要通过安全事件管理、漏洞管理、日志监控审计、安全配置管理、安全培训、安全操作管理和资产管理等措施保障。 安全开发主要通过对整个开发流程的安全措施和策略、供应链安全及安全测试的实施来保障。 规范内容目次如下:《物联网安全规范》(征求意见表)点击链接下载:《物联网安全规范》意见征集表 《物联网安全规范》(征求意见稿)点击链接下载:《物联网安全规范》(征求意见稿) 想象一下,如果数十家不同的供应商和数十家不同的企业决定推出各种相互竞争的协议和系统来管理物联网安全,那么将会出现什么样的混乱局面。缺乏集成不仅会成为噩梦,而且还会成为无法保护系统和数据的借口。事实是,这就是目前正在发生的事情,许多物联网设备供应商都有自己的方法来实施和更新安全性,但很少有标准来指导他们。 当然,对于希望从物联网带来的效率和其他好处中受益的组织来说,物联网安全性需要成为首要考虑因素。目前,全球已经部署了数百亿台物联网设备,预计在2022年其部署将加速。所有这些新设备意味着黑客的攻击面越来越大,因此避免将您的物联网部署暴露在不必要的风险中意味着安全性必须放在首位。 缺乏安全标准意味着每个人都依赖各自的最佳实践和/或建议,而且由于物联网基础设施由许多小型且通常价格低廉的端点设备和传感器组成,因此很容易低估其所带来的风险。 行业领袖、政府机构、专家和倡导团体都应该团结起来,为物联网制定通用的安全标准。虽然有一些基于地区的标准,而且也有一些组织试图制定标准,但这些标准要么不完整,要么还不成熟。事实上,加利福尼亚州拥有世界上为数不多的专门针对物联网设备隐私和安全的官方法律。此外,GSMA(全球移动通信系统协会)也支持 IoT SAFE,它将提供一种通用机制来保护物联网设备到云的通信。 但这是解决办法吗,这就足够了吗?虽然这是朝着正确方向迈出的一步,但我们还需要做得更多。理想情况下,行业领袖、政府机构、公认的专家和倡导团体将携手合作,制定并实施一份物联网安全建议的通用清单,组织可以使用该清单来确保采取正确的安全预防措施。我们都知道标准的重要性,因此物联网标准可以参照美国国家安全局(NSA)或欧盟网络安全局(ENISA)针对移动设备或家庭网络的最佳实践,但在制定时要特别考虑到物联网的安全挑战。 因此,尽管物联网安全的监管环境正在不断发展,并且开始在整个物联网价值链中制定和引入标准,但仍然存在很多混乱,监管情况仍然复杂且脱节,没有可以普遍适用的建议或规范。 好消息是,事情正在开始发生变化,所以请继续关注并为此做好准备。 随着IOT设备的大规模普及,终端设备和IDC设备一样,面临着众多安全层面的挑战,包括硬件、OS、应用、平台、数据等各个层面的安全都需要引起重视,为了方便大家在寻源、选址、采购、设计、开发等环节全面评估设备安全性,流火哥撰写了一份全面的物联网安全技术规范。 1 范围本规范规定了应用在物联网信息系统中的物联网终端基础级安全技术要求和增强级安全技术要求。 本规范面主要面向物联网系统建设方,适用于对物联网信息系统中物联网终端的设计、选型、部署、运行和维护,为物联网系统建设方提供终端安全技术建议和参考。 2 术语、定义和缩略语物联网 Internet of Things 通过终端,按照约定协议,连接物、人、系统和信息资源,实现对物理和虚拟世界的信息进行处理并作出反应的智能服务系统。 物联网终端 Internet of Things Terminal 能对物进行信息采集和/或执行操作,并能联网进行通信的装置。终端根据是否具有操作系统,可分为自身不具备数据处理能力的传感终端、具有操作系统的物联网终端和不具有操作系统的物联网终端。后文简称为终端。 传感器 Sensor 能感受被测量并按照一定的规律转换成可用输出信号的器件或装置,通常由敏感元件和转换元件组成。 数据新鲜性 Data Freshness 接收到的数据,相对最近时刻从数据源采集的数据而言,其内容未发生变化且其传输时间未超出规定范围的特性。 可信平台模块 Trusted Platform Module 是指符合TPM标准的安全芯片,它能有效地保护终端设备和防止非法用户访问。 可信执行环境 Trusted Execution Environment 是Global Platform(GP)组织提出的针对移动设备的开放环境安全问题,在设备上独立执行并与Rich OS(通常是Android等)并存的运行环境,同时给Rich OS提供从硬件到开源操作系统的更高级别的安全服务。 3 总体安全技术要求3.1 物联网终端安全框架物联网的主要特征是无处不在的传感网络,包含了大量的传感器和网关设备,同时IP化和融合化,以及业务的开放性,这些特征导致物联网面临的安全威胁相比传统的互联网存在很大不同。物联网中终端和传感器的漏洞将对整个物联网系统形成巨大的威胁,这些设备的安全威胁既包含其自身被入侵的威胁,也包含对网络侧和云侧的威胁。 物联网终端的安全包括物理安全、接入安全、通信安全、系统安全和数据安全,如图3-1所示。其中,“系统安全”中的“系统”指的是由硬件、固件和软件构成的终端整体 应用在物联网信息系统中的终端安全涵盖选型、部署、运行、维护各个环节。 本规范中的安全技术要求除特别指出适用于某种类型的终端之外,适用于具有操作系统的终端和不具有操作系统的终端。 3.2 安全技术要求级别物联网终端安全要求的级别与用户的具体应用相关,终端应该根据用户的安全要求选择相应的软硬件平台。 本文将终端的安全技术要求分为基础级和增强级两类。终端至少应满足基础级安全技术要求;处理敏感数据或如遭到破坏会对人身安全、环境安全带来严重影响的终端应满足增强级要求。 4 基础级安全技术要求4.1 物理安全要求4.1.1 选型 物联网信息系统中选用终端产品时,终端产品应满足如下要求: a) 应取得质量认证证书; b) 应满足物联网相关国家或国际标准所确定的外壳防护等级(IP 代码)要求,比如中国 GB 4208-2008 标准; c) 应满足相关国家或国际标准所确定的有关的专用产品或产品类电磁兼容抗扰度标准,并通过该标准的电磁兼容抗扰度试验且性能满足需求,比如中国 GB/T 17799.1-1999、GB/T 17799.2-2003。 4.1.2 选址 物联网信息系统进行终端选址时,终端应满足如下要求: a) 应选择能满足供电、防盗窃、防破坏、防水、防潮、防极端温度等要求的环境部署; b) 应选择能满足信号防干扰、防屏蔽、防阻挡等要求的环境部署。 4.1.3 供电 终端的供电应稳定可靠。 4.1.4 防盗窃和防破坏 终端应满足如下防盗窃和防破坏要求: a) 应部署在安全场所中; b) 宜采用防盗窃和防破坏的措施。 4.2 接入安全要求4.2.1 网络接入认证 在接入网络时,终端应满足如下要求: a) 应在接入网络中具有唯一网络身份标识; b) 应能向接入网络证明其网络身份,至少支持以下身份鉴别机制之一: 1)基于网络身份标识的鉴别; 2)基于 MAC 地址的鉴别; 3)基于通信协议的鉴别; 4)基于通信端口的鉴别; 5)基于对称秘钥机制的鉴别; 6)基于非对称秘钥机制的鉴别。 c) 应在采用插卡方式进行网络身份鉴别时采取措施防止卡片被拔除或替换; d) 应保证密钥存储和交换安全。 4.2.2 网络访问控制 终端应满足以下网络访问控制要求: a) 禁用闲置的通信接口,包括但不限制:USB 口、UART 串口、SPI、RS-485、以太网口、光纤口、CAN、ModBus等; b) 应设置网络访问控制策略,限制对终端的网络访问。 4.2.3 网络攻击控制 少数终端即使在被外部控制后,也不应对整体网络产生影响: a)禁止终端与网络之间进行全局路由协议交互,比如 OSPF、BGP、RIP、IS-IS 等,只能与网关或平台进行点对点数据交互。 4.3 通信安全要求4.3.1 传输保密性 终端应对传输身份鉴别信息、隐私数据和重要业务数据等敏感信息进行加密保护。 在通信层面,具备无线和有线网络通信芯片的终端应满足 3GPP、ITU、IETF、IEEE、IEC、 CCSA等标准组织所规定的网络通信传输安全标准和加密能力。 在传输层及应用层,应具备以下安全能力: a) 加密密钥能力:终端应具备与云端或上层网络单元(比如核心网、网管平台等设备)之间进行非对称和对称加密密钥传输的能力,并具备从云端或上层网元获取 CA 证书和双向认证的能力; b) 加密算法要求:数据传输中应使用 RSA 非对称加密算法或 AES256 及以上强度的对称加密算法,要求使用 RSA 算法密码长度不能低于 2048 位,单向 hash 算法默认要求使用 SHA256 及以上强度的能力。安全要求不高的信息,或对接方处理能力有限,或对接方有降质需求情况下,终端可采用 AES128、AES192 和 3DES,但不可因为降质需求,造成对平台或上层网元的安全攻击; c) 轻量级加密算法:对计算能力受限的终端,应采用轻量级的加密算法; d) 加密协议要求:具备 TLS1.1 及以上加密协议能力。 4.3.2 传输完整性 终端应满足以下通信完整性要求: a) 应具有并启用通信完整性校验机制,实现鉴别信息、隐私数据、数字签名和重要业务数据等数据传输的完整性保护; b) 应具有通信延时和中断的处理机制。 4.3.3 无线电安全 终端应按国家规定使用无线电频段和辐射强度,并具有抗干扰能力。 4.4 系统安全要求4.4.1 标识与鉴别 对于具有操作系统的终端,应满足以下标识与鉴别要求: a) 终端的操作系统用户应有唯一标识; b) 应对终端的操作系统用户进行身份鉴别。使用用户名和口令鉴别时,口令应由字母、数字及特殊字符组成,长度不小于8 位。 4.4.2 访问控制 终端应满足以下访问控制要求: a) 具有操作系统的终端应能控制操作系统不同应用的访问权限; b) 具有操作系统的终端,操作系统不同任务应仅被授予完成任务所需的最小权限; c) 终端应能控制数据的本地或远程访问,严格管理不同用户所能访问的数据、访问权限(读、写、执行); d) 终端应具有口令管理能力,具备弱口令、长期未变更口令等的终端进行识别和报警。 4.4.3 日志审计 具有操作系统的终端,应满足以下日志审计要求: a) 应能为操作系统事件生成审计记录,审计记录应包括日期、时间、操作用户、访问发起端地址或标识、操作类型、被访问的资源名称、事件结果等信息; b) 应能由安全审计员开启和关闭操作系统的审计功能; c) 应能提供操作系统的审计记录查阅功能。 4.4.4 远程固件更新 对于大规模、大范围部署的终端,如水表、智能路灯、智慧家庭终端等,为了减少可能的安全漏洞产生的影响,这些终端应该提供远程固件更新能力: a) 提供远程固件更新接口,并连接到相应的设备管理平台接受固件更新指令; b) 在远程固件更新失败时,能回退到出厂状态,并能重新接受平台的指令; c) 在远程固件更新时,终端能对固件的合法性和完整性进行签名验证; d) 远程固件升级前应该通过安全测试验证。 4.4.5 软件安全 具有操作系统的终端,应满足以下软件安全要求: a) 应按照策略进行软件补丁更新和升级,且保证所更新的数据是来源合法的和完整的; b) 软件补丁更新和升级前应经过安全测试验证; c) 对于处理能力较弱的终端,建议采用轻量级安全操作系统,比如 LiteOS 系统 ,并应具备轻量级加密算法能力。LiteOS 操作系统架构可参考附录 B; d) 具备处理能力较强的终端,操作系统应安装物联网终端安全防护套件,包括 SDK或安全插件。架构可以参考附录C; e) 终端操系统需具备数据隔离功能,划设出安全隔离区,对于应用数据和操作系统之间进行严格隔离; f) 终端操作系统应具备漏洞扫描、加速、修复、远程升级等功能。 4.4.6 接口安全 接口安全应满足以下要求: a) 应禁用终端闲置的外部设备接口。 b) 应禁用终端的外接存储设备自启动功能。 4.4.7 失效保护 具有操作系统的终端应能在设备故障时重启。 4.4.8 系统管理 终端应具备统一纳管能力,上层IoT管理平台能对其操作系统进行统一管理,比如编号、读取、跟踪、数据隔离等,可根据终端能力而有所不同。 4.5 数据安全要求4.5.1 数据保密性 终端应对本地存储的鉴别信息、个人隐私数据和重要业务数据等敏感信息进行加密保护。加密算法应符合国家密码相关规定。 4.5.2 数据完整性 终端应为其采集的重要数据进行完整性校验,如:采用校验码、消息摘要、数字签名等。 4.5.3 数据可用性 终端在传输其采集到的数据时,应对数据新鲜性做出标识,如采用时间戳。 4.6 芯片安全要求涉及终端数据的处理、通信、存储等系统主要芯片应具备安全启动、数据传输加密等功能。 5 增强级安全技术要求5.1 物理安全要求5.1.1 选型 在满足 5.1.1 基础上,应满足以下要求: a) 物联网中使用的终端产品应经过信息安全检测。 5.1.2 选址 应满足5.1.2要求。 5.1.3 供电 在满足5.1.3基础上,应满足以下要求: a) 关键终端应具有备用电力供应,至少满足关键终端正常运行的供电时长要求; b) 应提供技术和管理手段监测终端的供电情况,并能在电力不足时及时报警。 5.1.4 防盗窃和防破坏 在满足5.1.4的基础上,应满足以下要求: a) 户外部署的重要终端应设置在视频监控范围内; b) 户外部署的关键终端应具有定位装置。 5.1.5 防雷和防静电 重要终端应采取必要的避雷和防静电措施。 5.1.6 特殊行业要求 对于特殊行业(比如电力、石油炼化、煤炭、化工、核工业等)的物联网终端,应满足国家和行业制定的相关物理安全标准和产品认证,比如防爆、防尘、防泄漏等。 5.2 接入安全要求5.2.1 网络接入认证 在满足4.2.1 a)c)d)基础上,应满足以下要求: a) 终端与其接入网络间应进行双向认证,双方至少支持如下身份鉴别机制之一: 1) 基于对称秘钥机制的鉴别; 2) 基于非对称秘钥机制的鉴别。 b) 终端应能进行鉴别失败处理。 5.2.2 网络访问控制 应满足4.2.2的要求。 5.3 通信安全要求5.3.1 传输保密性 应满足4.3.1的要求。 5.3.2 传输完整性 应满足4.3.2的要求。 5.3.3 无线电安全 应满足4.3.3的要求。 5.4 系统安全要求5.4.1 标识与鉴别 在满足4.4.1基础上,应满足以下要求: 具有执行能力的终端应能鉴别下达执行指令者的身份。 5.4.2 访问控制 在满足4.4.2基础上,应满足以下要求: a) 终端应提供安全措施控制对其远程配置; b) 终端系统访问控制范围应覆盖所有主体、客体以及它们之间的操作。 5.4.3 日志审计 在满足4.4.3基础上,应满足以下要求: 具有操作系统的终端应保护已存储的操作系统审计记录,以避免未授权的修改、删除、覆盖等。 5.4.4 软件安全 在满足4.4.4基础上,应满足以下要求:应仅安装经授权的软件。 5.4.5 接口安全 在满足4.4.6基础上,应满足如下要求:终端接口的访问应具备认证机制。 5.4.6 失效保护 在满足4.4.5基础上,应满足以下要求: a) 终端应能自检出已定义的设备故障并进行告警,确保设备未受故障影响部分的功能正常; b) 具有执行能力的终端应具有本地手动控制功能,并且手动控制功能优先级高于自动控制功能。 5.4.7 恶意代码防范 具有操作系统的终端应具有恶意代码防范能力。 5.4.8 数据安全要求数据保密性 终端应对鉴别信息、隐私数据和重要业务数据等敏感信息采用密码算法进行加密保护。加密算法应符合国家密码相关规定。 5.4.9 数据完整性 在满足4.5.2基础上,应满足以下要求: 终端应对存储的鉴别信息、数字签名、隐私数据和重要业务数据等进行完整性检测,并在检测到完整性错误时采取必要的恢复措施。 5.4.10 数据可用性 在满足4.5.3基础上,应满足如下要求: 终端应支持通过冗余部署方式采集重要数据。 5.5 芯片安全要求在满足4.6基础上,对终端中特别重要的信息(涉及人身安全、重大财产损失、特别敏感的信息泄露等),比如视频摄像头、家庭网关、工业网关、支付终端等,应采用芯片级的安全技术措施,具备TPM/TEE安全功能,同时具备安全加密加速能力。 参考文献[1] IoT Security Guidelines Overview Document. GSMA, 2016 [2] IoT Security Guidelines for Service Ecosystems. GSMA, 2016 [3] IoT Security Guidelines for Endpoint Ecosystems. GSMA, 2016 [4] IoT Security Guidelines for Network Operators. GSMA, 2016 [5] Guide to Industrial Control Systems (ICS) Security. NIST, 2015 [6] Security in the Internet of Things White Paper. WIND, 2015 [7] 《信息安全技术 物联网感知终端应用安全技术要求》(GB/T 36951-2018) [8] 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008) [9] 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008) [10]《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019) [11] Security Solutions. TS-0003-V2.4.1. OneM2M, 2016 鸣谢https://mp.weixin.qq.com/s/zV1bxYIagyDNyGPYBfkMNg |
物 聯網 安全 規範
版權 © 2024 zh.apacode Inc.
