1 范圍

      本標準規(guī)定了應用在物聯(lián)網(wǎng)信息系統(tǒng)中感知層網(wǎng)關(guān)的安全技術(shù)要求，主要包括安全技術(shù)要求級別劃分及其物理安全、安全功能和安全保障等要求。

      本標準適用于物聯(lián)網(wǎng)信息系統(tǒng)中感知層網(wǎng)關(guān)的設計、開發(fā)與測試。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GA/T 681-2007 信息安全技術(shù) 網(wǎng)關(guān)安全技術(shù)要求

3 術(shù)語和定義

      GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

      物聯(lián)網(wǎng) internet of things

      通過感知終端，按照約定協(xié)議，連接物、人、系統(tǒng)和信息資源，實現(xiàn)對物理和虛擬世界的信息進行處理并做出反應的智能服務系統(tǒng)。

      ［GB/T 33745-2017，定義2.1.1］

3.2

      感知層網(wǎng)關(guān) gateway in sensing layer

      實現(xiàn)感知網(wǎng)絡與通信網(wǎng)絡、不同類型感知網(wǎng)絡之間的協(xié)議轉(zhuǎn)換和互聯(lián)，部署于物聯(lián)網(wǎng)感知層的網(wǎng)絡連接設備。

3.3

      感知終端 sensor terminal

      能對物進行信息采集和/或執(zhí)行操作，可以連接一個或多個感知網(wǎng)絡的設備。

4 縮略語

      下列縮略語適用于本文件。

      ACL：訪問控制列表（Access Control List）

5 概述

5.1 感知層網(wǎng)關(guān)描述

      感知層網(wǎng)關(guān)是物聯(lián)網(wǎng)信息系統(tǒng)的重要組成部分，參見附錄A。在物聯(lián)網(wǎng)信息系統(tǒng)中，感知層網(wǎng)關(guān)運行于感知網(wǎng)絡的邊緣，是連接傳統(tǒng)信息網(wǎng)絡（有線網(wǎng)、移動網(wǎng)等）和感知網(wǎng)絡的橋梁，支持一種或多種有線/無線短距離通信協(xié)議（藍牙、 Vi-Fi等）與廣域網(wǎng)通信協(xié)議之間的數(shù)據(jù)編碼和轉(zhuǎn)換功能，如圖1所示。感知層網(wǎng)關(guān)通常由軟件、硬件兩部分構(gòu)成，所具備的功能與部署環(huán)境有較強的相關(guān)性，在戶外部署時，易受物理環(huán)境包括溫度、濕度、供電、電磁、人為破壞等因素的影響。

圖1 物聯(lián)網(wǎng)感知層網(wǎng)關(guān)

5.2 安全威脅

      感知層網(wǎng)關(guān)可能面臨安全威脅主要包括：

      a）攻擊者可以竊取或者截獲感知層網(wǎng)關(guān)數(shù)據(jù)，可以收集來自于感知終端的源地址、目的地址、數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸時間和協(xié)議類型等；

      b）攻擊者偽造感知終端，對感知層網(wǎng)關(guān)發(fā)起拒絕服務攻擊和重放攻擊；

      c）未授權(quán)的用戶偽裝成已授權(quán)的用戶試圖訪問網(wǎng)絡資源；

      d）用戶超越所授予的權(quán)限而訪問和修改數(shù)據(jù)；

      e）存在被盜竊、人為損壞，導致的設備組件的完整性缺失；

      f）供電不足導致設備無法正常運轉(zhuǎn)；

      g）部署環(huán)境選擇不當，如高溫、潮濕、靜電、雷擊等惡劣環(huán)境，會對設備安全構(gòu)成威脅。

5.3 級別劃分

      安全技術(shù)要求分為基礎級和增強級兩個等級。其中基礎級符合GA/T 681-2007網(wǎng)關(guān)安全保護等

級劃分第二級要求，增強級符合GA/T 681-2007網(wǎng)關(guān)安全保護等級劃分第三級要求。

      在GB/T 22240-2008規(guī)定的三級以下物聯(lián)網(wǎng)信息系統(tǒng)中，感知層網(wǎng)關(guān)應滿足基礎級要求；在GB/T 22240-2008規(guī)定的三級和三級以上物聯(lián)網(wǎng)信息系統(tǒng)中，感知層網(wǎng)關(guān)應滿足增強級要求。

      相對于基礎級安全技術(shù)要求，增強級安全技術(shù)要求新增內(nèi)容用黑體字表示。

6 基礎級安全技術(shù)要求

6.1 物理安全要求

      感知層網(wǎng)關(guān)在物理安全方面，應滿足如下要求：

      a）具備基本的防火、防靜電的措施；

      b）具備基本的防潮、防水的措施；

      c）主要部件應進行固定，并設置明顯的不易除去的標記。

6.2 安全功能要求

6.2.1 感知終端接入認證

      感知層網(wǎng)關(guān)應能夠?qū)尤氲母兄K端進行認證，應滿足如下要求：

      a）保證對感知終端標識在感知層網(wǎng)關(guān)生命周期內(nèi)的惟一性。

      b）能夠?qū)Ω兄K端進行鑒別，至少支持如下機制之一：

      1）基于網(wǎng)絡標識的鑒別；

      2）基于MAC地址的鑒別；

      3）基于通信協(xié)議的鑒別；

      4）基于通信端口的鑒別；

      5）基于口令鑒別。

      c）保證密鑰存儲和交換安全。

6.2.2 網(wǎng)絡訪問控制

      感知層網(wǎng)關(guān)能夠控制接入設備的網(wǎng)絡訪問，應滿足如下要求：

      a）支持訪問控制表（ACL）等訪問控制策略，防止資源被非法訪問和非法使用；

      b）控制相同網(wǎng)絡內(nèi)部的相互訪問；

      c）控制不同網(wǎng)絡之間的跨網(wǎng)訪問。

6.2.3 數(shù)據(jù)保護

6.2.3.1 數(shù)據(jù)存儲保護

      感知層網(wǎng)關(guān)應滿足如下數(shù)據(jù)存儲保護要求：

      a）對感知層網(wǎng)關(guān)中存儲的重要數(shù)據(jù)進行保護，避免非授權(quán)的訪問；

      b）具備對感知層網(wǎng)關(guān)存儲數(shù)據(jù)的完整性檢測機制，實現(xiàn)鑒別信息、協(xié)議轉(zhuǎn)換規(guī)則、審計記錄等重要數(shù)據(jù)的完整性檢測。

6.2.3.2 數(shù)據(jù)傳輸保護

      感知層網(wǎng)關(guān)應滿足如下數(shù)據(jù)傳輸保護要求：

      a）保護感知層網(wǎng)關(guān)數(shù)據(jù)在傳輸過程中不被泄露，采用密碼技術(shù)對重要數(shù)據(jù)（指令控制數(shù)據(jù)、業(yè)務數(shù)據(jù)）實施機密性保護，確保數(shù)據(jù)傳輸?shù)谋Ｃ苄裕?/p>

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。