2019物联网安全标准白皮书.docx

2019物联网安全标准白皮书目录一、导论 . 1 1.1 背景及意义 . 1 1.2 定义及范围 . 1 二、物联网发展现状与趋势 . 3 2.1 物联网网络建设初具规模，呈蓬勃发展趋势 . 3 2.2 物联网催生新应用、新业务，美欧积极推进 . 4 2.3 我国形成完整的物联网产业链，规划智慧城市建设 . 4 三、物联网安全威胁与挑战 . 5 3.1 传统行业参与多，安全基础较薄弱 . 5 3.2 终端能力差异大，安全防护有短板 . 5 3.3 连接规模海量化，攻击影响易放大 . 5 3.4 业务场景多样化，安全管理有死角 . 6 3.5 产业合作链条长，安全责任难厘清 . 6 3.6 数据采集范围广，安全保护难度大 . 6 四、物联网安全政策和标准 . 7 4.1 安全法律政策 . 7 4.1.1 美国重视物联网安全，战略、政策、立法协同推进 . 7 4.1.2 欧盟建立物联网安全基线，严格保护个人数据和隐私 . 7 4.1.3 日本关注物联网安全，加强终端设备安全保护 . 8 4.1.4 我国物联网安全战略明确，安全管理和技术双管齐下 . 8 4.2 国内外安全标准化情况 . 9 4.2.1 国际标准聚焦安全体系和关键技术 . 9 4.2.2 产业联盟在重点安全方向积极探索 . 11 4.2.3 国内标准多点开花、稳步推进 . 12 五、物联网安全标准化需求 . 14 5.1 物联网安全参考模型 . 14 5.1.1 基于实体的物联网参考模型 . 14 5.1.2 物联网安全参考模型 . 15 5.2 物联网安全需求 . 17 5.2.1 物联网感控设备及卡等安全需求 . 18 5.2.2 物联网网络与传输交换安全需求 . 20 5.2.3 物联网业务应用与服务安全需求 . 21 5.2.4 物联网安全管理与运维安全需求 . 22 5.3 物联网安全标准化需求 . 23 5.3.1 安全模型与术语类标准 . 24 5.3.2 感控设备安全类标准 . 25 5.3.3 网络与交换安全类标准 . 26 5.3.4 应用与服务安全类标准 . 26 5.3.5 安全管理与运维类标准 . 27 5.4 物联网安全标准与其它领域标准的关系 . 27 六、物联网安全标准体系及推进建议 . 29 6.1 物联网安全标准分类 . 29 6.1.1 标准主题分类 . 29 6.1.2 标准类型分类 . 29 6.2 物联网安全标准体系框架 . 30 6.3 标准体系现状分析 . 31 6.3.1 基础与通用类 . 31 6.3.2 感控设备类 . 31 6.3.3 网络与交换类 . 31 6.3.4 应用与服务类 . 32 6.3.5 管理与运维类 . 32 6.4 近期重点工作方向 . 33 6.4.1 完善物联网感控设备安全标准的研制 . 33 6.4.2 加快物联网垂直行业的安全标准研制 . 33 6.4.3 推进物联网安全运维与管控标准研制 . 34 6.4.4 开展物联网通用业务服务平台安全规范研制 . 34 6.4.5 加强数据安全标准的应用 . 34 七、物联网安全标准化工作建议 . 35 7.1 不断完善安全标准体系 . 35 7.2 鼓励关键技术标准立项 . 35 7.3 推动安全标准落地应用 . 35 7.4 加强安全标准人才培养 . 36 7.5 打造物联网安全标准与产业生态 . 36 附录 A 已发布及在研的相关标准 . 37 A.1 TC260 物联网安全相关标准 . 37 A.2 TC260 适用于物联网的通用相关标准 . 39 A.3 其它组织主要标准 . 40 附录 B 物联网安全标准应用实践案例 . 44 B.1 视频监控领域的应用实践 . 44 B.2 公安核查领域的安全实践 . 45 B.3 智能家居领域的应用实践 . 47 B.4 终端检测领域的应用实践 . 49 B.5 安全管理领域的应用实践 . 50 附录 C 缩略语 . 52 参考文献 . 54 一、导论 1.1 背景及意义万物互联时代， 5G、大数据、人工智能等新技术为物联网（ Internet of Things， IoT）带来了创新活力，物联网与个人及家庭生活、工业生产深度融合，为全社会带来深刻变革。我国 “ 十三五 ” 规划将物联网作为战略性新兴产业的重要组成内容，世界各主要国家也纷纷将物联网上升到国家战略高度。全球物联网正进入跨界融合、集成创新和规模化发展的新阶段。物联网面临着错综复杂的安全风险。从管理角度看，物联网应用涉及国家重要行业、关键基础设施，产业合作链条长、数据采集范围广、业务场景多，各类应用场景的业务规模、责任主体、数据种类、信息传播形态存在差异，为物联网安全管理带来挑战。从技术角度看，物联网涉及通信网络、云计算、移动 APP、 WEB 等技术，本身沿袭了传统互联网的安全风险，加之物联网终端规模巨大、部署环境复杂，传统安全问题的危害在物联网环境下会被急剧放大。我国政府早在 2013 年就将安全能力建设纳入物联网发展规划。近年来，随着物联网技术应用的不断成熟，物联网安全标准化得到进一步重视，成为国家促进关键信息基础设施保护、行业应用安全可控的重要抓手。值此物联网产业发展的关键时期，加快研制应用物联网安全基础标准和关键技术标准，尤其是工业互联网、车联网、智能家居等产业急需的物联网安全服务标准，已成为尤为紧迫的一项工作。本白皮书梳理了国内外物联网发展现状、法律政策背景、安全标准化进展以及安全防护技术的研究情况，提出了物联网安全标准体系及后续工作建议，旨在为物联网安全监管机构、标准研究及测评认证机构、物联网产业建设和运营商提供参考，推动各相关方在物联网安全领域达成共识，协同完善物联网安全标准研发及应用体系，支撑国家安全监管政策有效落地，促进物联网产业健康持续发展。 1.2 定义及范围 1999 年，美国麻省理工学院提出 “ 物联网 ” 的概念，指将所有 2 物品通过射频识别等信息传感设备与互联网连接起来，实现智能化识别和管理的网络。 2005 年，国际电信联盟 (ITU)发布了 ITU 互联网报告 2005：物联网，对 “ 物联网 ” 的涵义进行了扩展，指出世界上所有的物体都可以通过因特网主动进行信息交换。随着物联网的发展成熟，其内涵和外延也在不断发生变化。 2017 年发布的国家标准物联网术语（ GB/T 33745-2017）以及 2018 年发布的国际标准 ISO/IEC 20924:2018 Information technology - Internet of Things Definition and vocabulary均给出物联网的定义，即 “ 通过感知设备，按照既定协议，连接物、人、系统和信息资源，实现对物理和虚拟世界的信息进行处理并做出反应的智能服务系统 ” 。其中，“ 物 ” 指物理实体。国际标准 ISO/IEC 22417:2017 Internet of things (IoT) - IoT use cases中提出物联网的应用场景包括交通、家居、公共建筑、办公、工业、农业、渔业、穿戴、机车、智慧城市等 14 个方面。本白皮书遵照现有 ISO 国际标准及国家标准对物联网的定义，对物联网安全标准化现状及需求进行研究分析。 3 二、物联网发展现状与趋势在万物互联时代，物联网实现了人与物、物与物之间的信息交互和通信，通过与各行业深度融合，催生了智能家居、智慧城市、个人智能穿戴等新兴应用领域，衍生出繁荣多样的物联网业务，使人们获得更为便捷的生产、生活体验。当前，美、欧等发达国家均将物联网作为国家级战略新兴产业快速推进，中国也在 “ 十三五 ” 规划中明确提出了物联网国家战略，将 “ 物联网应用推广 ” 列为国家八大信息化专项工程之一，物联网时代已到来。 2.1 物联网网络建设初具规模，呈蓬勃发展趋势根据 GSMA 数据，截至 2019 年 8 月，全球已建成 119 张商用移动物联网（ NB-IoT 和 LTE-M），覆盖欧洲、美洲、澳洲、亚洲的大部分地区。图 2.1 全球移动物联网建设图（来自 GSMA）其中，中国电信、中国移动、中国联通三家运营商均已实现 NB- IoT 的商用部署，共部署超过 70 万 NB-IoT 基站。截至 2018 年年底，中国的授权频段蜂窝物联网连接数为 6.72 亿，占亚太地区的 90%以上、全球物联网连接数的 60%以上。预计到 2025 年，中国的授权频谱蜂窝物联网连接数将增加到 19 亿左右，物联网呈现出蓬勃发展的 4 趋势。 2.2 物联网催生新应用、新业务，美欧积极推进物联网网络的大规模建设催生了智能物流、智能停车、智能烟感、智能抄表、智能制造、智慧交通等行业应用，改变了人们的生活方式，带来极大的便利性，同时也为企业创造了新的业务和商业模式，赋能各行各业。以智能物流为例，通过物联网技术实现对货物的检测和运输车辆的跟踪，实现了物流运输、仓储、配送等各个环节的全面感知和分析，提升了物流行业的运输效率和智能化水平。各国政府也在积极部署推进物联网应用的发展。 2015 年，美国政府宣布投入 1.6 亿美元推动智慧城市计划，将物联网应用试验平台的建设作为首要任务。欧盟成立了横跨欧盟及产业界的物联网创新联盟（ AIOTI），投入 5000 万欧元，通过咨询委员会和推进委员会统领新的 “ 四横七纵 ” 体系架构，将包括物联网欧洲研究集群（ IERC）、地平线 2020 在内的 11 个工作组纳入旗下，统筹原本散落在不同部门和组织的能力资源，协同推进欧盟物联网整体跨越式创新发展。 2.3 我国形成完整的物联网产业链，规划智慧城市建设目前我国已经初步形成了覆盖芯片和元器件、设备、软件、系统集成、网络运营、物联网服务在内的较为完整的产业链，形成了长三角、珠三角、环渤海和中西部四大物联网产业聚集发展区，在无锡、重庆、杭州建立了三个国家级物联网产业示范基地。我国有一半以上的城市正在进行 “ 智慧城市 ” 规划，其主要应用项目依次为公共安全、交通、医疗、社区、环保、地下管网监测、水务、教育等，这些应用均以自动感知为基础、数据采集为手段、智能控制为核心、精细管理和服务提升为目的，实现了物联网技术的综合集成应用。 5 三、物联网安全威胁与挑战随着物联网与个人生活及各行各业的深度融合，物联网呈现出与传统网络不同的特性。首先，终端连接数量非常巨大，且终端形态多样，有各类摄像头、传感器等；在通信层面，终端的接入方式多样化，包括 2/3/4/5G、 WiFi、蓝牙、 Zigbee、 LoRa、 NB-IoT 等多种无线接入技术；此外，物联网的业务种类繁多，根据具体业务的不同，短信、数据、语音等不同功能进行组合以满足物联网业务需求。新特性带来新挑战，物联网面临复杂的安全风险与挑战。 3.1 传统行业参与多，安全基础较薄弱大量传统行业，包括交通、医疗、家居、物流、工农业和安防等，借助物联网技术达成产业升级。这些传统行业的 ICT 系统起步较晚，安全保障能力较难应对物联网安全风险挑战。具体来说，安全风险主要集中在平台侧。物联网业务系统和平台使用的基础环境及组件包括虚拟机、云平台、数据库、各类中间件、 web 应用等，由于软件本身设计或业务处理流程存在漏洞，存在认证绕过、非授权访问、篡改数据、远程控制、服务中断等安全风险。 3.2 终端能力差异大，安全防护有短板大部分物联网终端设备的计算资源较低，使得很多适用于通用计算设备的安全防护功能无法实现，抗攻击能力较差。其次，物联网终端物理位置分散，很多设备均处在户外，无人值守，难于统一管理，容易遭受物理攻击，导致设备非法移动、人为破坏、感知节点丢失甚至无法工作，此外，由于物联网终端数量大、部署分散，升级成本高，用户升级意愿低等因素，导致众多物联网终端长期 “ 带病 ” 运行，易被恶意控制。 3.3 连接规模海量化，攻击影响易放大物联网终端规模巨大，且以集群的方式存在，攻击者容易通过暴力破解、发送恶意数据包、利用已知漏洞等方式控制物联网终端，构建僵尸网络，发动 DDoS 拒绝服务攻击，导致网络拥塞、瘫痪、服务中断，且由于终端数量庞大，这种攻击造成的危害被急剧放大。 6 3.4 业务场景多样化，安全管理有死角随着物联网与各行业的深度融合，物联网业务种类多，业务场景和逻辑更加复杂多样，存在业务滥用、防护不足等安全风险。物联网重要业务与普通业务在平台、网络方面未实现分级安全防护，业务防护能力不足，易导致业务系统被攻击。此外，在消费者物联网等领域，物联网终端如智能家居设备、智能穿戴设备等贴近终端销售者和用户，易出现机卡分离，易发生物联网卡被滥用于发送垃圾短信、违规获利等，催生黑色产业链。 3.5 产业合作链条长，安全责任难厘清物联网业务涉及到的合作伙伴多，合作链条长，涉及到用户、设备制造商、网络运营商、服务提供者等多个利益方，一旦出现安全问题，安全责任界面难以划分。例如，若厂家生产的设备存在安全隐患，则直接影响网络及业务平台的安全，同时联网终端大部分属于广大用户，由用户管理，安全管理要求难以要求用户落实，一旦发生安全事件，存在终端用户、运营商、平台厂商责任不清的风险。 3.6 数据采集范围广，安全保护难度大物联网采集了大量的个人及行业数据，基于大数据、云计算、 AI 等技术深挖数据的价值，为个人和行业提供了更高效便捷的服务。数据在物联网时代成为了一项重要的资产。然而，采集的数据不可避免地会包含敏感数据如个人隐私、生产数据、位置信息等，而敏感数据在收集、传输、存储、处理的各个阶段均有被泄露的安全风险。