1 范圍

      本標(biāo)準(zhǔn)規(guī)定了應(yīng)用在物聯(lián)網(wǎng)信息系統(tǒng)中感知層網(wǎng)關(guān)的安全技術(shù)要求，主要包括安全技術(shù)要求級(jí)別劃分及其物理安全、安全功能和安全保障等要求。

      本標(biāo)準(zhǔn)適用于物聯(lián)網(wǎng)信息系統(tǒng)中感知層網(wǎng)關(guān)的設(shè)計(jì)、開發(fā)與測(cè)試。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GA/T 681-2007 信息安全技術(shù) 網(wǎng)關(guān)安全技術(shù)要求

3 術(shù)語(yǔ)和定義

      GB/T 25069-2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      物聯(lián)網(wǎng) internet of things

      通過感知終端，按照約定協(xié)議，連接物、人、系統(tǒng)和信息資源，實(shí)現(xiàn)對(duì)物理和虛擬世界的信息進(jìn)行處理并做出反應(yīng)的智能服務(wù)系統(tǒng)。

      ［GB/T 33745-2017，定義2.1.1］

3.2

      感知層網(wǎng)關(guān) gateway in sensing layer

      實(shí)現(xiàn)感知網(wǎng)絡(luò)與通信網(wǎng)絡(luò)、不同類型感知網(wǎng)絡(luò)之間的協(xié)議轉(zhuǎn)換和互聯(lián)，部署于物聯(lián)網(wǎng)感知層的網(wǎng)絡(luò)連接設(shè)備。

3.3

      感知終端 sensor terminal

      能對(duì)物進(jìn)行信息采集和/或執(zhí)行操作，可以連接一個(gè)或多個(gè)感知網(wǎng)絡(luò)的設(shè)備。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      ACL：訪問控制列表（Access Control List）

5 概述

5.1 感知層網(wǎng)關(guān)描述

      感知層網(wǎng)關(guān)是物聯(lián)網(wǎng)信息系統(tǒng)的重要組成部分，參見附錄A。在物聯(lián)網(wǎng)信息系統(tǒng)中，感知層網(wǎng)關(guān)運(yùn)行于感知網(wǎng)絡(luò)的邊緣，是連接傳統(tǒng)信息網(wǎng)絡(luò)（有線網(wǎng)、移動(dòng)網(wǎng)等）和感知網(wǎng)絡(luò)的橋梁，支持一種或多種有線/無線短距離通信協(xié)議（藍(lán)牙、 Vi-Fi等）與廣域網(wǎng)通信協(xié)議之間的數(shù)據(jù)編碼和轉(zhuǎn)換功能，如圖1所示。感知層網(wǎng)關(guān)通常由軟件、硬件兩部分構(gòu)成，所具備的功能與部署環(huán)境有較強(qiáng)的相關(guān)性，在戶外部署時(shí)，易受物理環(huán)境包括溫度、濕度、供電、電磁、人為破壞等因素的影響。

圖1 物聯(lián)網(wǎng)感知層網(wǎng)關(guān)

5.2 安全威脅

      感知層網(wǎng)關(guān)可能面臨安全威脅主要包括：

      a）攻擊者可以竊取或者截獲感知層網(wǎng)關(guān)數(shù)據(jù)，可以收集來自于感知終端的源地址、目的地址、數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸時(shí)間和協(xié)議類型等；

      b）攻擊者偽造感知終端，對(duì)感知層網(wǎng)關(guān)發(fā)起拒絕服務(wù)攻擊和重放攻擊；

      c）未授權(quán)的用戶偽裝成已授權(quán)的用戶試圖訪問網(wǎng)絡(luò)資源；

      d）用戶超越所授予的權(quán)限而訪問和修改數(shù)據(jù)；

      e）存在被盜竊、人為損壞，導(dǎo)致的設(shè)備組件的完整性缺失；

      f）供電不足導(dǎo)致設(shè)備無法正常運(yùn)轉(zhuǎn)；

      g）部署環(huán)境選擇不當(dāng)，如高溫、潮濕、靜電、雷擊等惡劣環(huán)境，會(huì)對(duì)設(shè)備安全構(gòu)成威脅。

5.3 級(jí)別劃分

      安全技術(shù)要求分為基礎(chǔ)級(jí)和增強(qiáng)級(jí)兩個(gè)等級(jí)。其中基礎(chǔ)級(jí)符合GA/T 681-2007網(wǎng)關(guān)安全保護(hù)等

級(jí)劃分第二級(jí)要求，增強(qiáng)級(jí)符合GA/T 681-2007網(wǎng)關(guān)安全保護(hù)等級(jí)劃分第三級(jí)要求。

      在GB/T 22240-2008規(guī)定的三級(jí)以下物聯(lián)網(wǎng)信息系統(tǒng)中，感知層網(wǎng)關(guān)應(yīng)滿足基礎(chǔ)級(jí)要求；在GB/T 22240-2008規(guī)定的三級(jí)和三級(jí)以上物聯(lián)網(wǎng)信息系統(tǒng)中，感知層網(wǎng)關(guān)應(yīng)滿足增強(qiáng)級(jí)要求。

      相對(duì)于基礎(chǔ)級(jí)安全技術(shù)要求，增強(qiáng)級(jí)安全技術(shù)要求新增內(nèi)容用黑體字表示。

6 基礎(chǔ)級(jí)安全技術(shù)要求

6.1 物理安全要求

      感知層網(wǎng)關(guān)在物理安全方面，應(yīng)滿足如下要求：

      a）具備基本的防火、防靜電的措施；

      b）具備基本的防潮、防水的措施；

      c）主要部件應(yīng)進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記。

6.2 安全功能要求

6.2.1 感知終端接入認(rèn)證

      感知層網(wǎng)關(guān)應(yīng)能夠?qū)尤氲母兄K端進(jìn)行認(rèn)證，應(yīng)滿足如下要求：

      a）保證對(duì)感知終端標(biāo)識(shí)在感知層網(wǎng)關(guān)生命周期內(nèi)的惟一性。

      b）能夠?qū)Ω兄K端進(jìn)行鑒別，至少支持如下機(jī)制之一：

      1）基于網(wǎng)絡(luò)標(biāo)識(shí)的鑒別；

      2）基于MAC地址的鑒別；

      3）基于通信協(xié)議的鑒別；

      4）基于通信端口的鑒別；

      5）基于口令鑒別。

      c）保證密鑰存儲(chǔ)和交換安全。

6.2.2 網(wǎng)絡(luò)訪問控制

      感知層網(wǎng)關(guān)能夠控制接入設(shè)備的網(wǎng)絡(luò)訪問，應(yīng)滿足如下要求：

      a）支持訪問控制表（ACL）等訪問控制策略，防止資源被非法訪問和非法使用；

      b）控制相同網(wǎng)絡(luò)內(nèi)部的相互訪問；

      c）控制不同網(wǎng)絡(luò)之間的跨網(wǎng)訪問。

6.2.3 數(shù)據(jù)保護(hù)

6.2.3.1 數(shù)據(jù)存儲(chǔ)保護(hù)

      感知層網(wǎng)關(guān)應(yīng)滿足如下數(shù)據(jù)存儲(chǔ)保護(hù)要求：

      a）對(duì)感知層網(wǎng)關(guān)中存儲(chǔ)的重要數(shù)據(jù)進(jìn)行保護(hù)，避免非授權(quán)的訪問；

      b）具備對(duì)感知層網(wǎng)關(guān)存儲(chǔ)數(shù)據(jù)的完整性檢測(cè)機(jī)制，實(shí)現(xiàn)鑒別信息、協(xié)議轉(zhuǎn)換規(guī)則、審計(jì)記錄等重要數(shù)據(jù)的完整性檢測(cè)。

6.2.3.2 數(shù)據(jù)傳輸保護(hù)

      感知層網(wǎng)關(guān)應(yīng)滿足如下數(shù)據(jù)傳輸保護(hù)要求：

      a）保護(hù)感知層網(wǎng)關(guān)數(shù)據(jù)在傳輸過程中不被泄露，采用密碼技術(shù)對(duì)重要數(shù)據(jù)（指令控制數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)）實(shí)施機(jī)密性保護(hù)，確保數(shù)據(jù)傳輸?shù)谋Ｃ苄裕?/p>

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。