網絡安全標準對物聯網系統安全保障作用淺析

王慶升 尹秀蘭 胡彬 車長明/文

物聯網目的是要實現“萬物互聯”，將實體設備接入虛擬的信息世界，實現信息數據的融合和處理，因此安全的物聯網才能抵御各種錯綜復雜的安全問題和風險。2021年有關部門發布了《國家物聯網新型基礎設施建設三年行動計劃（2021-2023年）》。標準作為公認的為產品、技術及產業發展提供規范和要求的技術成果，在網絡安全保障工作中同樣發揮著重要作用。網絡安全標準是對《網絡安全法》《數據安全法》《個人信息保護法》等法律法規要求具體化和法律要求落地的具體支撐，對于產品、行業、產業具有重要的引領、規范、保障作用。《行動計劃》同時提出，到2023 年底，要“構建一套健全完善的物聯網標準和安全保障體系”。在我國物聯網技術提升、產業發展、對外交流等方面，網絡安全標準化將發揮重要保障和支撐作用。

物聯網安全標準化工作進展

物聯網發展離不開標準，特別是信息技術產業規模的不斷擴大，物聯網技術飛速發展，應用領域已擴展到各行各業，成為重要的網絡資源。物聯網安全標準化作為促進產業發展、保障行業應用安全可控的重要手段，其積極作用已逐步成為行業共識。因此，國內外標準組織紛紛開展物聯網安全標準化工作。ISO/IEC 信息技術委員會（JTC1）下多個分技術委員會，諸如（安全技術分委員會）SC27、（物聯網及相關技術分委員會）SC41，以及（國際電信聯盟電信標準化組織）ITU-T、（歐洲電信標準化協會）ETSI，持續開展物聯網安全標準化工作，制定、發布了大量物聯網相關標準，標準內容主要聚焦于安全體系框架、網絡安全、隱私保護、設備安全內容。ISO/IEC JTC1/SC27 2018 年發布了ISO/IEC 30141：2018《物聯網 參考體系架構》及ISO/IEC 29192《信息安全 輕量密碼學》等標準。2022 年ISO/IEC 正式發布了ISO/IEC 27400:2022《網絡安全物聯網安全和隱私指南》，對物聯網相關風險、原則以及安全和隱私控制提供了指南，將隱私控制和個人信息保護要求擴展到物聯網領域中。ITU-T發布了ITU-T X.1361《基于網關模型的物聯網安全框架》和ITU-T X.1362《物聯網環境的簡單加密規程》等標準。另外，國外一些產業聯盟也積極開展物聯網安全標準化工作，5G 汽車聯盟（5GAA）、工業互聯網聯盟（IIC）、全球移動通信系統協會（GSMA）也在各自業務領域中開展物聯網安全標準化研究。

我國在物聯網發展歷程中，持續關注物聯網安全保障及能力建設，并作為物聯網發展規劃的重要內容。尤其是工業互聯網、車聯網、智能家居等產業快速發展，加快研制應用物聯網安全基礎標準和關鍵技術標準需求愈發迫切。截至2022年7月，全國信息安全標準化技術委員會（TC260）已發布308項信息安全國家標準，其中，部分通用的安全標準如風險預警、風險處理、漏洞管理、密碼算法、密鑰管理、PKI、通信協議（IPSec、SSL 等）、安全評估、等級保護相關的安全標準同樣適用于廣義的物聯網安全。

除通用的安全標準以外，在物聯網安全領域，我國已發布了部分物聯網安全參考模型、物聯網感知層網關安全、物聯網數據傳輸安全、物聯網感知終端應用安全要求等方面的國家標準，并已開始在工業互聯網、車聯網、智能家居等領域開展安全標準的研究工作。

中國通信標準化協會也在相關物聯網安全標準化領域開展大量研究，發布了YD/T 3339、YDB 171 等多個物聯網安全標準。2019 年10 月，全國信息安全標準化技術委員會通信安全標準工作組在組織行業進行物聯網安全技術標準化工作基礎上，發布了《物聯網安全標準化白皮書（2019 版）》，給出了物聯網安全標準體系框架，如圖1 所示。其中，TC260各類標準進展見表1（見下頁）。

表1

圖1 物聯網安全標準體系框架

結合上述物聯網安全標準進展，從目前產業發展來看，我國現有物聯網安全標準還未能滿足物聯網全方位安全保障的需求，物聯網基礎安全標準體系需進一步建立和完善，需要重點推進基礎通用、關鍵技術、試驗方法技術研究和標準制定工作，支撐物聯網產業發展。2021年9月，工信部印發了《物聯網基礎安全標準體系建設指南（2021版）》，進一步發揮標準對物聯網基礎安全的規范和保障作用，提出了到2025年要提升標準在細分行業及領域的覆蓋程度，提高跨行業物聯網應用安全水平的要求。

網絡安全標準在物聯網系統中的保障作用

現階段，在物聯網基礎安全標準體系逐步建立完善過程中，在物聯網系統規劃、建設、運行時，除物聯網安全標準外，充分利用現行的國家標準、行業標準中部分通用的安全標準，應用網絡安全等級化保護、信息安全管理體系、個人信息保護等成熟的國家標準，指導物聯網系統，特別是網絡安全等級化保護范圍內的物聯網系統的規劃設計、建設實施、運行管理、系統終止等環節的安全保障，提高物聯網安全管理及個人信息保護水平，同樣具有重要作用。

在GB/T 37044-2018《信息安全技術物聯網安全參考模型及通用要求》中定義了物聯網安全參考模型，如圖2 所示。該模型包括物聯網系統參考安全分區、系統生存周期、基本安全防護措施三個維度。各維度的不同階段或不同層面的劃分，可適用部分上述三個領域安全標準的相關要求。

圖2 物聯網安全參考模型

網絡安全等級保護系列標準

《中華人民共和國網絡安全法》中明確我國實行網絡安全等級保護制度，網絡運營者應當按照網絡安全等級保護制度的要求履行安全保護義務。我國網絡安全等級保護系列標準得到不斷完善，等級保護2.0 已將物聯網納入保護范圍。網絡安全等級保護工作的開展所依據的標準主要有GB/T 25058-2019《信息系統安全等級保護實施指南》、GB/T 22240-2020《網絡安全等級保護定級指南》GB/T 22239-2019《網絡安全等級保護基本要求》GB/T 28448-2019《網絡安全等級保護測評要求》等。納入國家網絡安全等級保護范圍的物聯網系統，應按照等級保護相關標準要求進行等保定級、備案工作，系統應在滿足安全通用要求的基礎上，滿足對應級別的物聯網安全擴展要求。對物聯網等級保護定級時，應將感知、網絡傳輸和處理應用等特征要素作為一個整體對象定級，各要素不應單獨定級。GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》給出了從一至五級的等級化物聯網安全擴展要求，包括安全物理環境、安全區域邊界、安全計算環境、安全運維管理四個方面，重點針對物聯網系統末端的感知節點物理環境保護、感知節點及網關節點設備安全、數據重放及數據融合、以及感知節點的巡檢、維護等方面提出了安全要求。在物聯網系統建設過程中，在感知節點部署地點選擇、附屬設施配置、訪問控制策略、數據處理及運行管理制度的制定等方面均可按照標準中技術和管理要求進行設計和落實。

信息安全管理體系標準

ISO27000 系列標準作為國際通行的信息安全管理要求被各國廣泛采用，我國將ISO27001 標準等同采用，發布了GB/T 22080-2016《信息技術安全技術信息安全管理體系要求》國家標準，并作為我國信息安全管理體系認證審核的依據，為政府部門、企事業單位提高信息安全管理水平提供了有力支撐。信息安全管理體系標準中的各條款及要求，通用于各種業務類型、規模的組織，物聯網系統的開發、運營、維護等各類組織同樣適用本標準。信息安全管理體系與其他管理體系相同，通過PDCA 循環不斷提升管理水平，對信息安全風險管理進行管控，將風險控制在組織可接受范圍內。基于風險管理方法保障物聯網安全，是對物聯網安全等級化保護方式的有益補充。該標準對組織日常管理中與信息安全相關要求，諸如內外部環境、領導作用、角色及權責、資源支撐、人員意識及能力提出了要求，標準中提供了規范性附錄，定義了信息安全管理的14 個控制域、35 個控制目標以及114 項控制措施，涵蓋了信息安全組織、資產管理、訪問控制等方面，分別可對物聯網安全的策略規則、誰來做、保護對象、事前管理、事后管理等方面的管理提供指引，如圖3所示。

圖3 信息安全管理體系控制措施架構

以標準附錄“A.11 物理和環境安全”為例，在物聯網系統建設及運維過程中，結合物聯網系統開展風險評估，對不可接受的物理和環境風險，加強感知設備及重要網關節點的安置和保護、部署不間斷電源、空調等支持性設施、針對各類安全風險采取相應安全保護手段，避免感知層設備保密性、完整性及可用性受到損害，提高業務連續性。在系統日常運維過程中，強化對系統巡檢、分析、報告等方面的管理要求，明確管理責任，編制節點、設備的巡檢、分析及報告模板，及時對結果進行記錄和報告。通過管理手段的系統化、規范化、文件化保障物聯網系統的安全。

個人信息安全規范標準

隨著大眾個人信息保護意識不斷提高，《中華人民共和國個人信息保護法》正式頒布實施，個人信息保護相關國家標準也及時跟進，發布實施了GB/T 35273 -2020《信息安全技術個人信息安全規范》國家標準，為不同性質的組織提高個人信息保護能力提供了有力保障。目前，工信部、中央網信辦等多部委聯合開展的“App違法違規收集使用個人信息專項治理”行動持續開展，并取得豐碩成果，有效整治了個人信息收集及使用過程中的違規亂象。專項行動除按照相關法律法規相關要求開展治理外，也將GB/T 35273《信息安全技術個人信息安全規范》作為重要支撐性技術要求。隨著物聯網應用領域的不斷擴展，物聯網所涉及個人信息數據量也急劇增加，個人信息保護的問題逐步顯現出來。在物聯網各類感知節點使用過程中，對于個人信息收集的安全性保障，以及物聯網運營者對于個人信息收集范圍的界定及用途，個人信息的存儲、使用、加工、傳輸、提供、公開、刪除等過程，在符合相關法律法規要求的同時，應按照GB/T 35273《信息安全技術個人信息安全規范》要求進行規范。特別是具有APP 端的物聯網系統，涉及個人信息收集的應按照合法、正當、必要的原則，滿足標準中關于個人信息收集的合法性、最小必要、自主選擇、授權同意等要求，制定符合標準要求的隱私政策，明確告知用戶個人信息的收集范圍、用途等內容，保障個人信息主體正當權利，建立個人信息安全事件處置流程和要求，制定涵蓋個人信息數據聲明周期的管理制度，保障個人信息安全。

標準是現代社會技術和成果的總結和歸納，是推動產業發展的重要抓手，也是經濟社會高質量發展的有力支撐。網絡安全標準作為支撐法律法規，是提供技術支持和方向引導的重要成果，在物聯網安全保障過程中，具有重要作用。在物聯網安全標準尚未制定或完善的情況下，利用傳統網絡中安全保障的最佳實踐及標準要求提升物聯網安全管理和技術水平，保障物聯網系統安全，不失為解決物聯網安全問題的有效方法。