信息安全技术物联网安全参考模型及通用要求-全国信息安全标准化
物联网安全技术国家标准
物联网安全技术国家标准2018年12月28日,全国信息安全标准化技术委员会归口的27项国家标准正式发布,涉及到物联网安全的有:GB/T 37044-2018 《信息安全技术物联网安全参考模型及通用要求》GB/T 36951-2018 《信息安全技术物联网感知终端应用安全技术要求》GB/T 37024-2018 《信息安全技术物联网感知层网关安全技术要求》GB/T 37025-2018 《信息安全技术物联网数据传输安全技术要求》GB/T 37093-2018 《信息安全技术物联网感知层接入通信网的安全要求》再也不会有人说,IOT安全国家没有标准了。
国家标准的出台,非常不易,值得行业相关人士仔细品读,比如物联网安全参考模型及通用要求》从2014年信安标委就开始着手,到2019年7月实施,花了5年多时间。
我们来看下标准中说的物联网安全参考模型:上面这个图也就是将通用参考模型和安全要求全都画上去了。
物联网安全架构是从安全防护需求角度描绘物联网系统安全功能。
物联网安全措施是从实际实施的角度描述物联网系统安全因素。
措施和架构都分别有基础设施+安全技术来保障,共同支撑物联网安全对象。
物联网安全对象包括但不限于智慧医疗,智慧交通,智慧安防,智慧旅游,智慧政府,智慧社区,智慧家庭等。
其他的安智客也不做解读了,现在还是草案。
值得注意的是:物联网信息系统中感知终端的安全技术要求分为基础级和增强级两类。
感知终端至少应满足基础级安全技术要求;处理敏感数据或遭到破坏对人身安全、环境安全带来严重影响的感知终端,或GB/T 22240-2008规定的三级以上物联网信息系统中的感知终端应满足增强级要求。
物联网数据传输安全技术要求也分为基础级和增强级两类。
处理一般性数据传输应满足基础级安全技术要求;处理重要数据、敏感数据,涉及重大安全问题的数据传输应满足增强级安全技术要求,或参考等级保护或其他相关标准中安全等级划分内容。
物联网感知层接入信息网络的安全技术要求中基础级和增强级,比如对于设备标识,基础级要求是信息网络接入系统中的设备应具备可用于通信识别的物联网系统中的唯一标识。
《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布
《网络安全标准实践指南——生成式人工智能服务内容标识
方法》发布
佚名
【期刊名称】《自动化博览》
【年(卷),期】2024(41)1
【摘要】2023年8月,全国信息安全标准化技术委员会发布《网络安全标准实践指南—生成式人工智能服务内容标识方法》。
该《实践指南》围绕文本、图片、音频、视频四类生成内容给出了内容标识方法,可用于指导生成式人工智能服务提供者提高安全管理水平。
【总页数】1页(P2-2)
【正文语种】中文
【中图分类】TP3
【相关文献】
1.全国信息安全标准化技术委员会发布《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》
2.《网络安全标准实践指南——网络数据分类分级指引》正式发布
3.1项网络安全标准实践指南发布
4.全国信息安全标准化技术委员会发布《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》
因版权原因,仅展示原文概要,查看原文内容请购买。
物联网的标准化及安全
政策法规的完善:政府需要制定和完善相关政策法规,以保障物联网的安全发展。例如,制定严格 的数据安全法规和网络安全法规,以确保物联网的安全运行。
降低物联网设备的 成本和价格
物联网标准化的主要领域
感知层标准化
网络层标准化
应用层标准化
共性技术标准化
物联网标准化的重要性
促进物联网技术的协调发 展
提高物联网的互操作性和 兼容性
降低物联网的开发和维护 成本
保障物联网的安全性和可 靠性
物联网标准化的发展趋势
物联网标准化受到全球关注,成为各国竞争的焦点。 物联网标准化发展呈现多元化趋势,不同国家和地区都有自己的标准化组织。 物联网标准化在各个领域都有广泛应用,如智能制造、智慧城市、智能交通等。 物联网标准化的发展将促进信息技术的创新和产业升级。
证等
强化安全意识 培训:定期开 展安全培训, 提高员工的安 全意识,防止 人为泄露信息
建立应急响应 机制:制定应 急响应计划, 及时处理安全 事件,减少安
全损失
物联网的安全管理实践案例分析
案例1:智能家居的安全管理 案例2:工业物联网的安全管理 案例3:车联网的安全管理 案例4:物联网安全事件应急响应
物联网未来发展中的安全挑战与应对策略
物联网设备安全防护能力较 弱
物联网应用场景多样,安全 隐患各异
物联网设备数量庞大,管理 复杂
数据泄露和隐私保护风险加 大
物联网未来发展中安全管理的重要性和必要性分析
物联网未来发展将涉及更多敏感信 息,如医疗、金融等,安全问题不 容忽视。
信息安全技术 互联网信息服务安全通用要求-编制说明
国家标准《信息安全技术互联网信息服务安全通用要求》(草案)编制说明一、工作简况1.1任务来源《信息安全技术互联网信息服务安全通用要求》是全国信息安全技术标准化委员会2019年立项的信息安全国家标准制定项目,由中国科学院信息工程研究所主要牵头承担。
该标准参照国家针对网络安全与互联网信息服务出台的一系列法律法规政策,包括《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。
该标准由全国信息安全标准化技术委员会归口管理。
1.2主要起草单位和工作组成员中国科学院信息工程研究所(以下简称“中科院信工所”)主要负责起草,公安部第三研究所、中国电子技术标准化研究院、中国信息通信研究院、中国电子科技集团公司第十五研究所、北京理工大学等单位共同参与该标准的起草工作。
工作组成员包括:孟丹、郭涛、张潇丹、顾健、周熙、胡静远、韩冀中、赵云霞、贺滢睿、姚相振、魏巍、霍珊珊、锁延锋、张媛媛、马庆栋、周薇、王宇航、张华平等。
1.3 主要工作过程1、2017年4月——2018年5月,中科院信工所作为《信息安全技术互联网新闻信息服务新技术新应用安全评估实施规范》研究项目参与单位之一,顺利项目完成结题验收。
2、2018年7月——2018年12月,与参与单位共同开展标准体系架构研讨,组织召开3次内部技术研讨会,修改10余次。
3、2018年12月——2019年2月,与参与单位共同完成标准草案,并组织召开专家研讨会,并根据专家意见对标准内容进行3轮次修改。
4、2019年2月——2019年4月,对标准内容进行修改和调整,并组织召开专家研讨会,根据专家意见对标准内容进行2轮次修改,形成标准草案。
5、2019年4月,在全国信息安全标准化技术委员会2019年第一次工作组“会议周”上进行立项申请。
6、2019年5月——2019年9月,对标准草案进行讨论和完善。
信息安全技术-网络安全等级保护设计技术要求-物联网安全要求
信息安全技术网络安全等级保护安全设计技术要求第4部分:物联网安全要求1范围本标准依据《网络安全等级保护安全设计技术要求第1部分:安全通用要求》和《网络安全等级保护基本要求第4部分:物联网安全扩展要求》,规范了信息系统等级保护安全设计要求对物联网系统的扩展设计要求,包括第一级至第四级物联网系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。
本标准适用于指导信息系统等级保护物联网系统安全技术方案的设计和实施,也可作为信息安全职能部门对物联网系统进行监督、检查和指导的依据。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 25069-2010信息安全技术术语GB17859-1999计算机信息系统安全保护等级划分准则GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南GB/T 25070-2010网络安全等级保护安全设计技术要求第1部分:安全通用要求GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分:物联网安全扩展要求GB/T XXXX物联网第2部分:术语GB/T XXXX物联网第3部分:参考体系结构与通用技术要求3术语和定义下列术语和定义适用于本标准。
3.1定级系统classified system按照已确定安全保护等级的物联网系统。
定级系统分为第一级、第二级、第三级和第四级物联网系统。
3.2定级系统安全保护环境security environment of classified system由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。
定级系统安全保护环境包括第一级物联网系统安全保护环境、第二级物联网系统安全保护环境、第三级物联网系统安全保护环境、第四级物联网系统安全保护环境以及定级系统的安全互联。
物联网国家标准
物联网标准体系框架
物联网标准体系
总体标准 感知层标准 网络层标准 应用层标准 共性标准
数据采集
短距离传输和 自组织组网
协同信息处理 和服务支持
服务支撑
行业应用
共性技术
传 感 器
射 频 识 别
二 维 条 码
数 据 采 集 接 口
低 速 短 距 离 传 输
中 速 短 距 离 传 输
自 组 织 组 网 和 路 由
传感器网络标准化进展
2006年
全国信标委开 始组织相关单 位进行传感器 网络标准方面 的研究工作
2007年
国标委正式批 准在全国信标 委下成立无线 传感器网络工 作组
2008年
传感器网络工 作组4月上报 筹备方案, 11月在无锡 召开筹备会议
2009年
分为8个项目 组,召开工作 组全会,开展 具体国家标准 的制定工作
智能计算技术
网 络 层
SOA
平台增强技术
云计算
安全 技术 互联网 QoS 管理
承载网支撑技术
下一代承载网 异构网融合 移动通信网
网络层与感知层互通 自组织组网和协同信息处理
感 知 层
低速和中高速短 距离传输技术
自组织组网 技术
协同信息处 理技术
传感网中间 件技术
网络 管理
数据采集
传感器 二维条码 RFID 多媒体信息
天线设计 天线设计 和制造 和制造
标签封装 标签封装
读写设备 读写设备 开发与生 开发与生 产 产
接口与软件 接口与软件 中间件 中间件
系统集成 系统集成 与应用系 与应用系 统开发 统开发
使用者
RFID应用系统架构
应用系统
2023版最新现行信息技术建设有效标准及规范清单
2023版最新现行信息技术建设有效标准及规范清单简介本文档旨在提供2023年最新的信息技术建设有效标准和规范清单。
这些标准和规范有助于确保信息技术的安全性、可靠性和合规性。
请注意,这份清单仅供参考,具体应根据实际情况和需求进行调整和实施。
标准与规范清单1. 信息安全管理- ISO/IEC :信息安全管理体系要求- ISO/IEC :信息安全管理实施指南- 《信息系统安全等级保护基本要求》:我国对信息系统安全等级保护的基本要求2. 网络安全- GB/T :网络与信息安全防护术语- GB/T :信息安全技术网络安全基本要求3. 数据保护与隐私- GDPR:欧洲通用数据保护条例- 《个人信息安全规范》:我国个人信息保护的基本要求4. 云计算- ISO/IEC :云计算参考架构- 《云计算服务等级分级及安全基本要求》:我国云计算服务安全的基本要求5. 软件开发与测试- ISO/IEC :软件生命周期过程- ISO/IEC :软件产品质量模型6. 系统集成- GB/T :信息系统集成服务过程参考模型- 《信息系统集成服务等级定义与评价指南》:我国信息系统集成服务等级评价的指南7. 项目管理- PMBOK:项目管理知识体系- PRINCE2:项目管理方法8. 安全审计与监控- ISO/IEC :信息技术安全管理系统审计指南- 《信息系统安全事件的分类与处理指南》:我国信息系统安全事件的分类与处理指南以上清单仅列举了部分信息技术建设的标准和规范,具体选择和实施应根据组织的需求和背景进行权衡和决策。
为确保信息技术建设达到预期效果,建议结合实际情况进行适当的定制化和整合。
结论本文档提供了2023年版最新的信息技术建设有效标准和规范清单。
这些标准和规范是信息技术建设过程中的重要参考,帮助组织确保信息技术的安全、可靠和合规。
务必根据实际情况进行调整和实施,以实现最佳效果。
高等学校数字校园建设规范
高等学校数字校园建设规范(试行)教育部2021年3月目次前言 3引言 4高等学校数字校园建设规范 51 范围 52 规范性引用文件 53 总体要求 53.1 建设目标 63.2 建设原则 63.3 建设流程 64 主要组成 75 基础设施 85.1 概述 85.2 校园网络 85.3 数据中心 95.4 校园卡系统 115.5 信息化教学环境 125.6 信息化育人环境 126 信息资源 126.1 概述 126.2 基础数据 126.3 业务数据 136.4 数字化教学资源 13 6.5 数字化科研资源 14 6.6 数字化文化资源 156.7 信息资源管理服务 157 信息素养 157.1 概述 157.2 信息素养组成要素 167.3 信息素养培养方式 178 应用服务 178.1 概述 178.2 基础应用服务 178.3 业务应用 188.4 人机交互界面 198.5 决策支持 199 网络安全 199.1 概述 209.2 基础设施安全 209.3 信息系统安全 219.4 信息终端安全 219.5 数据安全 229.6 内容安全 229.7 安全管理 2210 保障体系 2310.1 概述 2310.2 组织机构 2410.3 人员队伍 2410.4 规章制度 2410.5 标准规范 2410.6 经费保障 2510.7 运维服务 2510.8 评价体系 25前言本规范由中华人民共和国教育部科学技术司提出并归口管理。
本规范起草单位:教育部教育信息化技术标准委员会、清华大学、浙江大学、北京邮电大学、北京工业大学、华中师范大学、华东师范大学、西安电子科技大学、教育部教育管理信息中心。
本规范主要起草人:罗念龙、杜婧、马严、杨宗凯、郑莉、陈文智、张闯、郭煜、吴砥、窦天芳、常志华、李建聪、张小平、杨家海、佟秋利、曾德华、李绯、刘乃嘉、张慧琳、石凌、陈晨、韩丽风、杨慧、曾晓牧、朱莎、钱冬明、陈怀楚、朱晓瑛、徐世东、尹世学、王振华、王臻、谢素萍、刘聪、云霞、陈敏、饶景阳、胡燕、吴战杰、吴晨、钟晓流、徐建、李海霞、宋述强。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家标准《信息安全技术物联网安全参考模型及通
用要求》编制说明
一、工作简况
1.1任务来源
为促进我国物联网技术健康发展,确保物联网系统安全可靠,全国信息安全标准化技术委员会于2014年下发了委托开展物联网安全参考模型及通用要求标准制定工作的相关文件,名称为“信息安全技术物联网安全参考模型及通用要求”,国标计划号为20151593-T-469,信安标委计划号为2014bzzd-WG5-010。
该标准由中国电子技术标准化研究院牵头承担研制工作,参与单位包括北京工业大学、国家信息技术安全研究中心、国家网络与信息系统安全产品质量监督检验中心、无锡物联网产业研究院等单位。
1.2主要工作过程
主要工作过程如下:
1)2014年6月,成立项目组,联系各个参与单位,进行任务分工和任务组织;研究现有国内外物联网技术及安全相关标准,分析各自特点,学习借鉴,包括《信息技术传感器网络第1部分:参考体系结构和通用技术要求》(GB/T 30269.1-2015 )、《信息技术传感器网络第601部分:信息安全:通用技术规范》(GB/T 30269.601-2016 ),《推荐的联邦信息系统和组织的安全控制措施》(NIST SP 800-53)等标准。
2)2014年7-9月,项目组先后到网神信息技术(北京)股份有限公司、中国信息通信研究院、北京信息安全测评中心、大唐移动通信设备有限公司等多个单位进行了实地调研,并与物联网相关技术人员进行了座谈,掌握了物联网安全的基本需求。
3)2014年10-12月,项目组形成了标准草案框架,明确了标准初步研制思路,形成了标准初步草案。
4)2015年3月,项目组组织召开了行业专家讨论会,听取了来自启明星辰、北京神州绿盟信息安全科技股份有限公司等行业专家对标准草案的意见。
5)2015年4月,组织了标准草案研讨会,进一步对标准制定内容进行讨论,项目组根据专家意见对标准内容进行了完善,根据已有标准《物联网总体框架与
技术要求》,研制物联网安全参考模型。
6)2015年5月,标准工作组按照4月研讨会专家意见建议,提出了物联网安全参考模型,并梳理了通用要求。
7)2015年7月,项目组组织了信息标委专家研讨会,听取了与会专家关于标准的意见,项目组根据专家意见对物联网安全参考模型和通用要求进行了完善。
8)2015年8月-11月,项目组根据专家意见,会同本标准参与单位,对标准中通用安全要求部分进行了修改。
9)2015年12月,项目组邀请物联网领域相关专家,召开标准研讨会。
会上,专家建议从物理安全、网络安全、系统安全、数据安全等方面提出通用安全要求。
会后,项目组根据专家意见对标准文本进行了修改。
10)2016年2月,信安标委秘书处组织了标准草案研讨会,在前期工作基础上,专家建议将运维安全和管理安全部分加入通用安全要求。
11)2016年3月-2016年5月,项目组根据专家意见对标准草案内容进行了补充调整,按照信安标委要求尽快形成标准草案稿,征求意见。
12) 2016年6日,项目组在北京召开《信息安全技术物联网安全参考模型及通用要求》标准研讨会,根据国内外最新成果,修改通用要求部分,将不适合作为通用要求的如主动安全防护等技术要求移除。
13) 2016年10月,信安标委于2016年10月召开了标准会议周,审议通过了本标准成为征求意见稿。
二、编制原则和主要内容
2.1编制原则
本标准的研究与编制工作遵循以下原则:
一是充分吸收已有国内外信息安全相关法律法规及标准等。
本标准在编制过程中参考了国外诸多信息安全标准,包括:《推荐的联邦信息系统和组织的安全控制措施》(NIST SP 800-53)等,同时还参考了我国《信息技术传感器网络第1部分:参考体系结构和通用技术要求》(GB/T 30269.1-2015)、《信息技术传感器网络第601部分:信息安全:通用技术规范》(GB/T 30269.601-2016)等国家标准,既确保标准科学性,又使得标准内容符合我国国情。
二是提出安全参考模型和通用安全要求,但不限制具体实现方式。
本标准在借鉴诸多物联网、传感器网络、信息安全领域相关标准的基础上,从安全对象、安全架构、安全措施三方面建立物联网安全参考模型,同时从物理安全、网络安全、系统安全、应用安全、运维安全和安全管理等方面对物联网系统提出了通用安全要求,但本标准并未规定物联网系统安全要求的具体实现方式,而是需要物联网相关责任单位根据自身实际情况,依据相关标准、技术自主选择,从而增强了标准的可操作性,为提高物联网系统安全水平提供支撑。
2.2主要内容
1)物联网安全参考模型
物联网安全参考模型从物联网安全对象、物联网安全架构和物联网安全措施三个维度描述物联网安全保护方法。
物联网安全对象规范了物联网最终达到的安全目标,物联安全架构规范了安全技术防护体系,物联网安全措施规范了具体实施环节的安全要素。
2)物联网安全通用要求
物理安全:物联网感知延伸层、网络/业务层和应用层由传感器等各类感知终端、路由器、交换机、计算机等物理设备组成,其物理安全是物联网安全的重要方面。
主要包括:应制定物理设备的物理访问授权、控制等制度,具备可靠稳定的供电要求,同时具备防火、防盗、防潮、防雷和电磁防护等物理防护措施。
网络安全:物联网的网络部分包含通信网、互联网、行业专网等,具有网络异构化、多样化等特点,其安全要求主要包含接入安全和通信安全。
接入安全要求各类感知终端和接入设备在接入网络时应具备唯一标识,对其接入行为具有身份鉴别机制,对于网络的访问控制采取禁用闲置端口、设置访问控制策略等防护手段,对于网关、防火墙等网络边界设备,需配置安全策略,具备加密功能和访问控制等防护措施;在通信安全方面,物联网中的数据传输协议需有数据校验功能以确保数据传输的完整性,应采用标准化时间戳机制等技术确保数据传输的可用性,应采用技术手段对数据传输的隐私性进行保护,在网络数据交互前,可采用认证等方式为交互双方身份的可信性提供证明,可采用国家政策允许的加密算法对网络传输数据进行加密,确保信息的保密性。
系统安全:对于物联网中存在的主机,应具备安全要求,如对登录物联网
中各系统的用户进行身份标识和鉴别,应启用访问控制功能并制定相应安全策略,应限制默认帐户的访问权限并及时更改默认账户及口令,应对系统中多余、过期的账户,制定定期删除等管理制度。
物联网中的操作系统,应遵循最小安全原则,及时更新补丁程序,应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
在使用中间件技术时,应确保其安全性。
应用安全:物联网的安全对象包括智慧医疗、智慧交通、智慧安防、智慧旅游等,在实际应用需要大量应用软件,采集大量数据,故需对其安全提出要求。
应提供数据有效性检验功能,保证通过人机交互输入或通信接口输入的数据格式或长度符合系统设定要求,应对重要数据进行备份,以确保其安全。
运维安全:物联网是由多个子系统组成的复杂系统,其运行和维护通常由不同责任方负责开展。
物联网中不同责任方应根据其职责,在物联网系统建设时,对物联网设备和系统的获取做出规定,如规定设备和系统提供方的资质要求,可信赖性,提供系统文档的详细程度,供应链的安全要求等;对于物联网系统运行维护中的相关参与人员,应提出人员资质、身份审核、可信证明、诚信承诺等要求,以确保其在物联网系统维护过程中的安全可信;应对物联网系统运维的时效性、维护工具等提出安全要求,对于远程维护设备的,应对远程维护制定安全守则。
安全管理:物联网系统在运行过程中,各子系统责任方应结合自身要求,制定安全管理策略规程,明确不同设备责任人安全职责及其行为准则,根据实际情况制定应急计划和配置管理策略,必要时,可对物联网系统定期开展安全评估等工作。
三、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的
对比情况,或与测试的国外样品、样机的有关数据对比情况
信息安全标准已经成为网络空间国际竞争的战略制高点。
特别是,物联网安全标准及其背后的管理政策将会对信息产业发展造成重大影响。
为此,编制组专门分析、参考、吸收了国外信息安全相关标准,主要包括:
1)《美国联邦系统安全控制的建议》(NIST SP 800-53)。
这是美国对联邦政府信息安全的评估标准,其中提供了信息系统安全控制措施、不同等级的信息系统安全基线、裁剪选择指南等内容。
2)国际标准《信息安全管理体系要求》(ISO/IEC 27001)。
该标准为建立信息安全管理体系(ISMS)提供了指导,详细说明了建立、实施和维护信息安全管理体系的要求。
本标准力求在技术要素上覆盖国际权威标准。
同时,为落实国家对物联网信息安全管理的政策要求,标准在保持技术中立的前提下,提出了大量扩展要求。
四、与有关的现行法律、法规和强制性国家标准的关系
本标准与制定中的《信息安全技术物联网感知层网关安全技术要求》、《信息安全技术物联网数据传输安全要求》、《信息安全技术物联网信息安全参考模型及通用要求》、《信息安全技术物联网感知设备安全技术要求》等相关标准协调一致,提供了物联网技术、运维等工作的标准指导。
五、重大分歧意见的处理经过和依据
编制过程中未出现重大分歧。
其他详见意见汇总处理表。
六、国家标准作为强制性国家标准或推荐性国家标准的建议
建议作为推荐性国家标准发布实施。
七、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等
内容)
本标准作为国家物联网信息安全相关标准体系的一部分,配合实施。
八、其他事项说明
本标准不涉及专利。
标准编制组
2016年9月。