日前，工信部發(fā)布了《公開征求對<物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南>（征求意見稿）的意見》，具體內(nèi)容如下：

按照《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)的有關(guān)規(guī)定，為進一步加強物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化工作頂層設(shè)計，我們組織制定了《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南（征求意見稿）》（見附件1）及《編制說明》（見附件2）。   

為進一步聽取社會各界意見，現(xiàn)予以公示，公示截止日期2021年2月14日。如有意見或建議，請在公示期間填寫《公示意見反饋信息表》（見附件3）并反饋至工業(yè)和信息化部科技司，電子郵件發(fā)送至KJBZ@miit.gov.cn（郵件主題標(biāo)明：物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南公示反饋）。  

地址：北京市西長安街13號工業(yè)和信息化部科技司        

郵編：100804        

聯(lián)系電話：010-68205241        

公示時間：2021年1月15日－2021年2月14日 

附件：

1.《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南（征求意見稿）》.wps（點擊可下載）

2.《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南（征求意見稿）》編制說明.wps（點擊可下載）

3.公示意見反饋信息表.doc（點擊可下載）                           

工業(yè)和信息化部科技司

2021年1月15日

物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系
建設(shè)指南
（征求意見稿）

物聯(lián)網(wǎng)是新一代信息技術(shù)的高度集成和綜合運用，是新型基礎(chǔ)設(shè)施建設(shè)的重要組成部分。與傳統(tǒng)互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)“無縫連接、全面感知、智能處理、虛實交織”的特點突出，行業(yè)安全需求多樣。隨著5G網(wǎng)絡(luò)覆蓋日益完善，物聯(lián)網(wǎng)產(chǎn)品應(yīng)用日益豐富，行業(yè)滲透日益加深，物聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)環(huán)節(jié)的一些安全風(fēng)險將更為突出，加快構(gòu)建物聯(lián)網(wǎng)基礎(chǔ)安全保障體系，保障物聯(lián)網(wǎng)安全健康發(fā)展尤為重要。

“安全發(fā)展，標(biāo)準(zhǔn)先行”。標(biāo)準(zhǔn)化工作是保障物聯(lián)網(wǎng)安全發(fā)展的重要基礎(chǔ)。按照《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律規(guī)定，工業(yè)和信息化部組織制定了《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南》（以下簡稱《建設(shè)指南》），加強物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)頂層設(shè)計和方向引領(lǐng)，推動構(gòu)建系統(tǒng)、科學(xué)、規(guī)范的物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系，指導(dǎo)物聯(lián)網(wǎng)安全工作的有序開展，支撐經(jīng)濟社會數(shù)字化轉(zhuǎn)型和高質(zhì)量發(fā)展。

（一）總體思路

以習(xí)近平新時代中國特色社會主義思想為指導(dǎo)，堅持總體國家安全觀，以筑牢物聯(lián)網(wǎng)基礎(chǔ)安全、防范公共網(wǎng)絡(luò)安全風(fēng)險為目標(biāo)，著力構(gòu)建物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系，指導(dǎo)標(biāo)準(zhǔn)統(tǒng)籌規(guī)劃，系統(tǒng)推進標(biāo)準(zhǔn)研制，促進標(biāo)準(zhǔn)落地實施，做好與國家標(biāo)準(zhǔn)、國際標(biāo)準(zhǔn)以及相關(guān)領(lǐng)域行業(yè)標(biāo)準(zhǔn)的有效銜接，加強國際交流合作，保障物聯(lián)網(wǎng)安全發(fā)展。

（二）基本原則

基礎(chǔ)支撐，統(tǒng)籌規(guī)劃。結(jié)合物聯(lián)網(wǎng)行業(yè)的發(fā)展現(xiàn)狀及特點，發(fā)揮行業(yè)主管部門在頂層設(shè)計、組織協(xié)調(diào)和政策制定等方面的重要作用，形成政府引導(dǎo)、市場主導(dǎo)、社會參與的行業(yè)標(biāo)準(zhǔn)建設(shè)體系，促進物聯(lián)網(wǎng)產(chǎn)業(yè)安全發(fā)展。

急用先行，注重實效。從物聯(lián)網(wǎng)基礎(chǔ)安全的重點難點工作出發(fā)，聚焦物聯(lián)網(wǎng)基礎(chǔ)設(shè)施和重點行業(yè)應(yīng)用領(lǐng)域，加快基礎(chǔ)共性、關(guān)鍵技術(shù)、基礎(chǔ)通用協(xié)議類標(biāo)準(zhǔn)的研究制定，并在此基礎(chǔ)上，結(jié)合重點行業(yè)應(yīng)用的安全風(fēng)險，協(xié)同推進重點標(biāo)準(zhǔn)的研究制定。

廣泛參與，加強落實。在標(biāo)準(zhǔn)制定過程中加強與設(shè)備廠商、電信企業(yè)、安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、科研單位、高校等產(chǎn)業(yè)界和學(xué)術(shù)界各方充分溝通，凝聚共識，統(tǒng)籌運用行業(yè)資源，發(fā)揮頭部企業(yè)在產(chǎn)品研發(fā)、示范引領(lǐng)等方面的作用，加強重點標(biāo)準(zhǔn)在行業(yè)中貫徹應(yīng)用。

（三）建設(shè)目標(biāo)

到2022年，初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系，研制重點行業(yè)標(biāo)準(zhǔn)10項以上，明確物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺等關(guān)鍵基礎(chǔ)環(huán)節(jié)安全要求，滿足物聯(lián)網(wǎng)基礎(chǔ)安全保障需要，促進物聯(lián)網(wǎng)基礎(chǔ)安全能力提升。

到2025年，推進形成完善的物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系，研制行業(yè)標(biāo)準(zhǔn)30項以上，提升標(biāo)準(zhǔn)對細(xì)分行業(yè)及領(lǐng)域的覆蓋程度，提高跨行業(yè)物聯(lián)網(wǎng)應(yīng)用安全水平，保障消費者安全使用。

（一）標(biāo)準(zhǔn)體系框架

物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)主要是指物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺等關(guān)鍵基礎(chǔ)環(huán)節(jié)的安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系包括總體安全要求、終端安全、網(wǎng)關(guān)安全、平臺安全、安全管理五大類標(biāo)準(zhǔn)。物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系框架如圖1所示。

圖1物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系框架

（二）重點標(biāo)準(zhǔn)化領(lǐng)域及方向

1.總體安全要求

總體安全要求是物聯(lián)網(wǎng)基礎(chǔ)安全的基礎(chǔ)性、指導(dǎo)性和通用性標(biāo)準(zhǔn)，包括物聯(lián)網(wǎng)基礎(chǔ)安全術(shù)語定義、架構(gòu)模型、安全場景、安全集成、安全分級及應(yīng)用等方面標(biāo)準(zhǔn)?？傮w安全要求子體系如圖2所示。

圖2總體安全要求子體系

（1）物聯(lián)網(wǎng)基礎(chǔ)安全術(shù)語定義：主要規(guī)范物聯(lián)網(wǎng)基礎(chǔ)安全的概念和關(guān)鍵術(shù)語，包括技術(shù)、規(guī)范、應(yīng)用領(lǐng)域的相關(guān)術(shù)語，實現(xiàn)統(tǒng)一標(biāo)準(zhǔn)體系內(nèi)的語義理解。

（2）物聯(lián)網(wǎng)基礎(chǔ)安全架構(gòu)模型：主要提出物聯(lián)網(wǎng)基礎(chǔ)安全體系框架以及各部分參考模型，以明確和界定云、管、端各層面功能、關(guān)系、角色、邊界、責(zé)任等內(nèi)容。

（3）物聯(lián)網(wǎng)基礎(chǔ)安全場景：明確物聯(lián)網(wǎng)基礎(chǔ)安全體系的主要安全場景，對不同類型的場景中的安全需求進行示例和規(guī)范的標(biāo)準(zhǔn)。

（4）物聯(lián)網(wǎng)基礎(chǔ)安全集成：在物聯(lián)網(wǎng)系統(tǒng)規(guī)劃、集成、實施等過程中，保障系統(tǒng)各層級對象安全性和可靠性的相關(guān)標(biāo)準(zhǔn)。

（5）物聯(lián)網(wǎng)基礎(chǔ)安全分級及應(yīng)用：明確物聯(lián)網(wǎng)基礎(chǔ)安全分級分類的基本原則、維度、方法、示例、建議場景等要求，為實施分級分類安全管理提供基礎(chǔ)支撐。

（6）物聯(lián)網(wǎng)基礎(chǔ)安全協(xié)議：針對物聯(lián)網(wǎng)平臺、網(wǎng)關(guān)、終端之間及其他組網(wǎng)模式的通信需求，規(guī)范通信協(xié)議和接口規(guī)范等安全要求，包括有線協(xié)議安全、無線協(xié)議安全等標(biāo)準(zhǔn)。

2.終端安全標(biāo)準(zhǔn)

終端安全標(biāo)準(zhǔn)是物聯(lián)網(wǎng)基礎(chǔ)安全體系中感知層面的標(biāo)準(zhǔn)，包括卡安全、模組安全、通信芯片安全、終端設(shè)備通用安全、行業(yè)終端安全、終端測試評估等標(biāo)準(zhǔn)。終端安全標(biāo)準(zhǔn)子體系如圖3所示。

圖3終端安全標(biāo)準(zhǔn)子體系

（1）卡安全：細(xì)化落實相關(guān)法律法規(guī)和政策文件對物聯(lián)網(wǎng)卡安全管理的要求，規(guī)范物聯(lián)網(wǎng)卡銷售、登記、使用管理等具體流程以及技術(shù)要求。包括物聯(lián)網(wǎng)卡安全分類管理規(guī)范、物聯(lián)網(wǎng)卡技術(shù)手段建設(shè)標(biāo)準(zhǔn)等。

（2）模組安全：規(guī)范物聯(lián)網(wǎng)終端通信模組安全要求，細(xì)化不同通信協(xié)議、網(wǎng)絡(luò)制式的通信模組在接入認(rèn)證、數(shù)據(jù)交互、數(shù)據(jù)傳輸、抗電磁干擾等方面的安全要求，包括蜂窩通信模組和其他類型通信模組安全標(biāo)準(zhǔn)。

（3）通信芯片安全：規(guī)范通信芯片的基礎(chǔ)安全要求，包括通信加密算法、秘鑰管理、加解密能力、簽名驗簽、數(shù)據(jù)存儲等。

（4）終端設(shè)備通用安全：規(guī)范物聯(lián)網(wǎng)終端基線安全要求，包括物聯(lián)網(wǎng)終端硬件安全、操作系統(tǒng)安全、軟件安全、接入認(rèn)證、數(shù)據(jù)安全、協(xié)議安全、隱私保護、接口互通、證書規(guī)范、固件升級等通用安全標(biāo)準(zhǔn)。

（5）行業(yè)終端安全：主要包括與各垂直行業(yè)密切相關(guān)的、具有特定功能的物聯(lián)網(wǎng)終端安全要求，如智能門鎖、監(jiān)控設(shè)備等特定行業(yè)終端的特有安全要求。

（6）終端測試評估：主要用于規(guī)范物聯(lián)網(wǎng)終端軟硬件安全評估及測試方法，包括物聯(lián)網(wǎng)卡安全測試、硬件安全測試、操作系統(tǒng)安全測試、軟件安全測試、接入認(rèn)證安全測試、數(shù)據(jù)安全測試、通信協(xié)議安全測試等標(biāo)準(zhǔn)。

3.網(wǎng)關(guān)安全標(biāo)準(zhǔn)

網(wǎng)關(guān)安全標(biāo)準(zhǔn)包括物聯(lián)網(wǎng)網(wǎng)關(guān)設(shè)備安全、網(wǎng)關(guān)數(shù)據(jù)交換與處理安全、網(wǎng)關(guān)通信與接口安全、網(wǎng)關(guān)物理環(huán)境安全、網(wǎng)關(guān)組件安全、網(wǎng)關(guān)測試評估等內(nèi)容。網(wǎng)關(guān)安全標(biāo)準(zhǔn)子體系如圖4所示。

圖4網(wǎng)關(guān)安全標(biāo)準(zhǔn)子體系

（1）網(wǎng)關(guān)設(shè)備安全：規(guī)范網(wǎng)關(guān)設(shè)備系統(tǒng)級的功能架構(gòu)、安全協(xié)議、安全防護能力等方面技術(shù)要求，主要包括網(wǎng)關(guān)設(shè)備安全架構(gòu)、安全功能、安全性能、安全協(xié)議等標(biāo)準(zhǔn)。

（2）網(wǎng)關(guān)數(shù)據(jù)交換與處理安全：規(guī)范網(wǎng)關(guān)在傳輸、處理網(wǎng)絡(luò)感知數(shù)據(jù)、業(yè)務(wù)管理平臺數(shù)據(jù)過程中數(shù)據(jù)安全傳輸、安全處理和安全存儲等方面技術(shù)要求，主要包括數(shù)據(jù)安全模型、安全計算、處理算法、數(shù)據(jù)存儲、數(shù)據(jù)溯源等標(biāo)準(zhǔn)。

（3）網(wǎng)關(guān)通信與接口安全：規(guī)范網(wǎng)關(guān)與其他設(shè)備互聯(lián)時通信接口和管理接口的安全通信協(xié)議、黑白名單、鑒權(quán)認(rèn)證等方面技術(shù)要求，主要包括網(wǎng)關(guān)南向、北向接口安全規(guī)程、安全協(xié)議流程、端口防護等標(biāo)準(zhǔn)。

（4）網(wǎng)關(guān)物理環(huán)境安全：規(guī)范網(wǎng)關(guān)貯存、運輸和使用環(huán)境條件下電磁輻射、防電磁干擾、抗硬力破壞、溫濕鹽霧環(huán)境適應(yīng)能力等方面技術(shù)要求，提高網(wǎng)關(guān)產(chǎn)品環(huán)境適應(yīng)性能力，主要包括網(wǎng)關(guān)設(shè)備電磁兼容、機械環(huán)境適應(yīng)性、氣候環(huán)境適應(yīng)性等標(biāo)準(zhǔn)。

（5）網(wǎng)關(guān)組件安全：規(guī)范網(wǎng)關(guān)功能服務(wù)、數(shù)據(jù)采集、數(shù)據(jù)傳輸處理等軟硬件組件的安全設(shè)計、功能等方面技術(shù)要求，主要包括網(wǎng)關(guān)設(shè)備組件安全架構(gòu)、開源組件安全、應(yīng)用啟動安全等標(biāo)準(zhǔn)。

（6）網(wǎng)關(guān)測試評估：規(guī)范網(wǎng)關(guān)設(shè)備安全、組件安全、接口安全、管理維護安全、數(shù)據(jù)傳輸處理安全、環(huán)境安全等方面的評估測試方法和分級分類評估方法，主要包括設(shè)備安全測試、組件安全測試、接口安全測試、安全管理維護測試、數(shù)據(jù)傳輸處理安全測試、環(huán)境適應(yīng)性測試、分級分類評估測試等標(biāo)準(zhǔn)。

4.平臺安全標(biāo)準(zhǔn)

物聯(lián)網(wǎng)平臺包括不限于設(shè)備管理平臺、連接管理平臺、應(yīng)用使能平臺、業(yè)務(wù)分析平臺、態(tài)勢感知平臺等。物聯(lián)網(wǎng)平臺安全標(biāo)準(zhǔn)包括平臺通用安全、平臺業(yè)務(wù)系統(tǒng)安全、平臺交互安全、平臺測試評估等。平臺安全標(biāo)準(zhǔn)子體系如圖5所示。

圖5平臺安全標(biāo)準(zhǔn)子體系

（1）平臺通用安全：規(guī)范各類物聯(lián)網(wǎng)平臺通用數(shù)據(jù)安全、通信安全、身份鑒別、安全監(jiān)測、物理安全、安全可信等方面安全要求，包括通用安全框架、平臺可信計算等標(biāo)準(zhǔn)。

（2）平臺業(yè)務(wù)系統(tǒng)安全：規(guī)范基于物聯(lián)網(wǎng)平臺開發(fā)的行業(yè)業(yè)務(wù)系統(tǒng)自身和對外的訪問控制、防代碼逆向、安全審計、篡改和注入防范等方面安全要求，包括業(yè)務(wù)系統(tǒng)基礎(chǔ)安全、跨系統(tǒng)訪問以及業(yè)務(wù)系統(tǒng)與用戶交互等標(biāo)準(zhǔn)。

（3）平臺交互安全：規(guī)范不同物聯(lián)網(wǎng)平臺之間、平臺與上層業(yè)務(wù)系統(tǒng)、平臺與下層設(shè)備（主要是接入平臺的網(wǎng)關(guān)和終端）之間的數(shù)據(jù)交互、加密傳輸、交互接口配置和審計等方面的安全要求，包括不同物聯(lián)網(wǎng)平臺之間交互、平臺與南向和北向之間交互的安全標(biāo)準(zhǔn)。

（4）平臺測試評估：規(guī)范物聯(lián)網(wǎng)平臺的通用安全、業(yè)務(wù)系統(tǒng)安全、平臺內(nèi)部和平臺之間交互安全、安全管理等方面的評估測試方法和分級分類評估方法，包括物聯(lián)網(wǎng)平臺通用安全測試、業(yè)務(wù)系統(tǒng)安全測試、交互安全測試和安全管理測試等標(biāo)準(zhǔn)。

5.安全管理標(biāo)準(zhǔn)

安全管理標(biāo)準(zhǔn)主要用于指導(dǎo)行業(yè)落實通用安全管理要求，包括安全信息協(xié)同、管理與維護安全、證書管理等。安全管理子體系如圖6所示。

圖6安全管理子體系

（1）安全信息協(xié)同：針對物聯(lián)網(wǎng)協(xié)議類型眾多，明確物聯(lián)網(wǎng)基礎(chǔ)安全相關(guān)數(shù)據(jù)互聯(lián)互通標(biāo)準(zhǔn)，實現(xiàn)跨協(xié)議安全互聯(lián)互通，包括接口規(guī)范、測試方法等標(biāo)準(zhǔn)。

（2）管理與維護安全：規(guī)范不同物聯(lián)網(wǎng)場景下終端、網(wǎng)關(guān)、平臺的運維管理等方面安全要求，支撐物聯(lián)網(wǎng)業(yè)務(wù)的安全運行及有效監(jiān)測，包括制度建設(shè)、安全組織、人員管理、運行安全、資產(chǎn)管理、配置管理、應(yīng)急響應(yīng)、災(zāi)備恢復(fù)等標(biāo)準(zhǔn)。

（3）證書管理：規(guī)范不同類型的物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺的認(rèn)證管理，用于不同類型設(shè)備的安全認(rèn)證互通互認(rèn)，包括證書生成、證書管理、證書更換等標(biāo)準(zhǔn)。

一是加快標(biāo)準(zhǔn)研制。在工業(yè)和信息化部的指導(dǎo)下，按照《建設(shè)指南》明確的標(biāo)準(zhǔn)研制路徑，有序推進行業(yè)標(biāo)準(zhǔn)研制工作，注重物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)化工作與行業(yè)發(fā)展實際結(jié)合，盡快制定發(fā)布一批產(chǎn)業(yè)急需、貼近應(yīng)用的標(biāo)準(zhǔn)。

二是實施動態(tài)更新。緊盯物聯(lián)網(wǎng)新技術(shù)、新應(yīng)用的發(fā)展趨勢，加強標(biāo)準(zhǔn)體系的科學(xué)規(guī)劃和動態(tài)更新，做好與產(chǎn)業(yè)各方的工作協(xié)同，在物聯(lián)網(wǎng)安全發(fā)展水平的不同階段，補充完善適應(yīng)產(chǎn)業(yè)發(fā)展的安全標(biāo)準(zhǔn)。

三是深化標(biāo)準(zhǔn)應(yīng)用。充分發(fā)揮地方主管部門、行業(yè)協(xié)會的作用，通過培訓(xùn)、論壇、研討等方式，加大標(biāo)準(zhǔn)普及推廣力度，強化標(biāo)準(zhǔn)應(yīng)用落地，積極推進重點行業(yè)領(lǐng)域安全標(biāo)準(zhǔn)的試點示范，快速提升物聯(lián)網(wǎng)安全整體水平。

四是加大交流合作。組織做好物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)跨行業(yè)交流以及國際合作，積極參與物聯(lián)網(wǎng)安全國際標(biāo)準(zhǔn)制定，促進行業(yè)標(biāo)準(zhǔn)向國家標(biāo)準(zhǔn)、國際標(biāo)準(zhǔn)轉(zhuǎn)換。

附件：物聯(lián)網(wǎng)基礎(chǔ)安全相關(guān)標(biāo)準(zhǔn)項目明細(xì)表