| 国家标准编号 | 国家标准名称 | 实施日期 |
| GB/T 37044-2018 | 信息安全技术 物联网安全参考模型及通用要求 | 2019/7/1 |
本标准给出了物联网安全参考模型,包括物联网安全对象及各对象的安全责任,并规定了物联网系统的安全通用要求。本标准适用于各应用领域物联网系统的规划设计、开发建设、运维管理、废弃退出等整个生存周期,也可为各组织定制自身的物联网安全标准提供基线参考。
http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=BBE3572A88B87C3D92AF6DE2C424E0BB
Standard Interpretation 标准解读:
一、背景情况
自2009年“物联网”概念被提出,距今已有近10年时间,物联网技术的应用已经取得了长足的发展。从温度湿度感应器、烟雾感应器、交通和治安监控探头、物料电子标签等工业级产品,到智能家电、婴儿监视器、心脏起搏器、可穿戴设备等消费类产品,可以说我们的生产、生活都已经被物联网技术深度渗透。
近年来,物联网在中国的应用也已经得到了飞跃式的发展,但同时也遇到突出的一些问题,最显著的莫过于安全问题日益严重。物联网作为国家基础设施,所面临的网络环境越来越复杂,敏感信息泄漏、非法用户入侵、恶意软件攻击等安全事件屡见不鲜。复杂网络环境中存在的安全风险和安全威胁使物联网系统面临着严峻的挑战,减少安全隐患、建立安全防护、感知安全态势是物联网系统正常运转基本要求。建立物联网安全参考模型,是认清安全隐患、设计安全对策和把握安全态势的需要,并在此基础上明确基本安全防护要求已迫在眉睫。
二、目的意义
为促进我国物联网技术健康发展,提高物联网系统安全保障水平,国家标准委启动了《信息安全技术 物联网安全参考模型及通用要求》国家标准的制定工作。通过深入研究国内外物联网安全相关政策和标准,广泛调研国内软件、硬件和服务等不同类型物联网相关企业的实践经验,在多轮意见反馈及企业试用验证后形成该标准进行发布。
《物联网安全参考模型及通用要求》以物联网“六域模型”为基础,定义了由物联网系统参考安全分区、系统生存周期、基本安全防护措施三个维度共同描述组成的物联网安全参考模型,并从物理安全、网络安全、系统安全、应用安全、运维安全、安全管理六个方面给出了基本防护措施,并结合安全分区和生存周期提出了通用要求。适用于各应用领域物联网系统的规划设计、开发建设、运维管理、废弃退出等整个生存周期,也可为各组织定制自身的物联网安全标准提供基线参考。
三、主要内容
物联网安全参考模型由物联网系统参考安全分区、系统生存周期、基本安全防护措施三个维度共同描述组成。参考安全分区是从物联网系统的逻辑空间维度出发,生存周期则是从物联网系统存续时间维度出发,配合相应的基本安全防护措施,在整体架构和全生命周期层面上为物联网系统提供了一套可参考的安全模型,各类相应的安全标准均可以在此模型基础上进行再开发。
本标准基于物联网参考体系结构给出了四个物联网系统参考安全分区:感控安全区、网络安全区、应用安全区和运维安全区。同时参考GB/T 22032-2008《系统工程 系统生存周期过程》,将物联网系统的一个完整生存周期大致可以分为四个阶段:规划设计、开发建设、运维管理、废弃退出,每一个阶段均有不同的任务目标和相应信息安全防护需求。物联网基本安全防护措施则是从实际实施的角度描述物联网系统安全因素,也是在参考互联网安全防护措施的同时,加入针对物联网特性的相应措施,可归纳为物理安全、网络安全、系统安全、应用安全、运维安全和安全管理六个方面。在此内容基础上,本标准最后给出了物联网系统各个安全分区在各生存周期内应该满足的基本安全防护要求,可具体指导物联网系统降低安全风险,提高自身安全保障能力。
(来源:国家标准委新闻发布会解读材料)