1 范圍

      本標準規定了物聯網信息系統中感知終端應用的物理安全、接入安全、通信安全、設備安全、數據安全等安全技術要求。

      本標準適用于物聯網信息系統建設運維單位對感知終端進行安全選型、部署、運行和維護。本標準也適用于指導感知終端設計和生產。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 4208-2017 外殼防護等級（IP代碼）

      GB/T 17799.1-2017 電磁兼容 通用標準 居住、商業和輕工業環境中的抗擾度試驗

      GB/T 17799.2-2003 電磁兼容 通用標準 工業環境中的抗擾度試驗

      GB/T 22240-2008 信息安全技術 信息系統安全等級保護定級指南

      GB/T 25069-2010 信息安全技術 術語

3 術語和定義、縮略語

3.1 術語和定義

      GB/T 25069-2010界定的以及下列術語和定義適用于本文件。

3.1.1

      物聯網 internet of things

      通過感知終端，按照約定協議，連接物、人、系統和信息資源，實現對物理和虛擬世界的信息進行處理并作出反應的智能服務系統。

3.1.2

      感知終端 sensing terminal

      能對物或環境進行信息采集和/或執行操作，并能聯網進行通信的裝置。

3.1.3

      傳感器 transducer/sensor

      能感受被測量并按照一定的規律轉換成可用輸出信號的器件或裝置，通常由敏感元件和轉換元件組成。

      ［GB/T 7665-2005，定義3.1.1］

      注：GB/T 7665-2005定義了傳感器的一般分類術語，其中從被測量角度定義了三類傳感器，即物理量傳感器、化學量傳感器和生物量傳感器。

3.1.4

      數據新鮮性 data freshness

      對所接收的歷史數據或超出時限的數據進行識別的特性。

3.2 縮略語

      下列縮略語適用于本文件：

      IoT：物聯網（internet of things）

      RFID：射頻識別（radio frequency identification）

4 總體安全技術要求

4.1 安全框架

      感知終端應用是指在物聯網信息系統中開展感知終端的選型、部署、運行和維護。感知終端在物聯網信息系統中應用，成為物聯網信息系統的重要組成部分，參見附錄A。

      在物聯網信息系統中，感知終端處于特定的物理環境中，與該環境中的感知對象交換數據，或對感知對象進行控制；感知終端接入信息通信網絡，并通過網絡進行通信。感知終端應用的安全包括物理安全、接入安全、通信安全、設備安全和數據安全，如圖1所示。

圖1 物聯網感知終端應用的安全框架

      感知終端根據是否具有操作系統，可分為具有操作系統的感知終端和不具有操作系統的感知終端。本標準中的安全技術要求除非特別規定，否則適用于具有操作系統的感知終端和不具有操作系統的感知終端。

4.2 安全技術要求級別

      物聯網信息系統中感知終端應用的安全技術要求分為基本要求和增強要求兩類。感知終端應用的安全至少應滿足基本要求；處理敏感數據的感知終端，或一旦遭到破壞將對人身安全、環境安全帶來嚴重影響的感知終端，或GB/T 22240-2008規定的三級以上物聯網信息系統中的感知終端，感知終端應用的安全應滿足增強要求。

      注：相對于基本要求，增強要求新增內容用黑體字表示。

5 基本要求

5.1 物理安全要求

5.1.1 選型

      選用感知終端產品時，感知終端產品：

      a）應取得質量認證證書；

      b）應滿足GB/T 4208-2017確定的外殼防護等級（IP代碼）要求；

      c）應通過依據GB/T 17799.1-2017、GB/T 17799.2-2003或有關的專用產品/產品類電磁兼容抗擾度標準進行的電磁兼容抗擾度試驗，且性能滿足需求。

5.1.2 選址

      物聯網信息系統中進行感知終端選址時，感知終端：

      a）應在防盜竊防破壞、防水防潮、防極端溫度等方面滿足部署的要求；

      b）應在信號防干擾、防屏蔽、防阻擋等方面滿足部署環境的要求。

5.1.3 供電

      感知終端的供電應穩定可靠。

5.1.4 防盜竊和防破壞

      感知終端：

      a）應避免部署在不受控的非安全場所中；

      b）宜采用防盜竊和防破壞的措施。

5.2 接入安全要求

5.2.1 網絡接入認證

      在接入網絡時，感知終端：

      a）應在接入網絡中具有唯一網絡身份標識；

      b）應能向接入網絡證明其網絡身份，至少支持如下身份鑒別機制之一：

      1）基于網絡身份標識的鑒別；

      2）基于MAC地址的鑒別；

      3）基于通信協議的鑒別；

      4）基于通信端口的鑒別；

      5）基于對稱密碼機制的鑒別；

      6）基于非對稱密碼機制的鑒別。

      c）應能進行鑒別失敗處理；

      d）在采用插卡方式進行網絡身份鑒別時，應采取措施防止卡片被拔除或替換；

      e）應保證密鑰存儲和交換安全。

5.2.2 網絡訪問控制

      感知終端：

      a）應禁用業務需求以外的通信端口；

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。