日前，工信部發布了《公開征求對<物聯網基礎安全標準體系建設指南>（征求意見稿）的意見》，具體內容如下：

按照《中華人民共和國網絡安全法》等法律法規的有關規定，為進一步加強物聯網安全標準化工作頂層設計，我們組織制定了《物聯網基礎安全標準體系建設指南（征求意見稿）》（見附件1）及《編制說明》（見附件2）。

為進一步聽取社會各界意見，現予以公示，公示截止日期2021年2月14日。如有意見或建議，請在公示期間填寫《公示意見反饋信息表》（見附件3）并反饋至工業和信息化部科技司，電子郵件發送至KJBZ@miit.gov.cn（郵件主題標明：物聯網基礎安全標準體系建設指南公示反饋）。

地址：北京市西長安街13號工業和信息化部科技司

郵編：100804

聯系電話：010-68205241

公示時間：2021年1月15日－2021年2月14日

附件：

1.《物聯網基礎安全標準體系建設指南（征求意見稿）》

2.《物聯網基礎安全標準體系建設指南（征求意見稿）》編制說明

3.公示意見反饋信息表

工業和信息化部科技司

2021年1月15日

物聯網基礎安全標準體系
建設指南
（征求意見稿）

前言

物聯網是新一代信息技術的高度集成和綜合運用，是新型基礎設施建設的重要組成部分。與傳統互聯網相比，物聯網“無縫連接、全面感知、智能處理、虛實交織”的特點突出，行業安全需求多樣。隨著5G網絡覆蓋日益完善，物聯網產品應用日益豐富，行業滲透日益加深，物聯網關鍵基礎環節的一些安全風險將更為突出，加快構建物聯網基礎安全保障體系，保障物聯網安全健康發展尤為重要。

“安全發展，標準先行”。標準化工作是保障物聯網安全發展的重要基礎。按照《中華人民共和國網絡安全法》等相關法律規定，工業和信息化部組織制定了《物聯網基礎安全標準體系建設指南》（以下簡稱《建設指南》），加強物聯網安全標準頂層設計和方向引領，推動構建系統、科學、規范的物聯網基礎安全標準體系，指導物聯網安全工作的有序開展，支撐經濟社會數字化轉型和高質量發展。

一、建設思路及目標

（一）總體思路

以習近平新時代中國特色社會主義思想為指導，堅持總體國家安全觀，以筑牢物聯網基礎安全、防范公共網絡安全風險為目標，著力構建物聯網基礎安全標準體系，指導標準統籌規劃，系統推進標準研制，促進標準落地實施，做好與國家標準、國際標準以及相關領域行業標準的有效銜接，加強國際交流合作，保障物聯網安全發展。

（二）基本原則

基礎支撐，統籌規劃。結合物聯網行業的發展現狀及特點，發揮行業主管部門在頂層設計、組織協調和政策制定等方面的重要作用，形成政府引導、市場主導、社會參與的行業標準建設體系，促進物聯網產業安全發展。

急用先行，注重實效。從物聯網基礎安全的重點難點工作出發，聚焦物聯網基礎設施和重點行業應用領域，加快基礎共性、關鍵技術、基礎通用協議類標準的研究制定，并在此基礎上，結合重點行業應用的安全風險，協同推進重點標準的研究制定。

廣泛參與，加強落實。在標準制定過程中加強與設備廠商、電信企業、安全企業、互聯網企業、科研單位、高校等產業界和學術界各方充分溝通，凝聚共識，統籌運用行業資源，發揮頭部企業在產品研發、示范引領等方面的作用，加強重點標準在行業中貫徹應用。

（三）建設目標

到2022年，初步建立物聯網基礎安全標準體系，研制重點行業標準10項以上，明確物聯網終端、網關、平臺等關鍵基礎環節安全要求，滿足物聯網基礎安全保障需要，促進物聯網基礎安全能力提升。

到2025年，推進形成完善的物聯網基礎安全標準體系，研制行業標準30項以上，提升標準對細分行業及領域的覆蓋程度，提高跨行業物聯網應用安全水平，保障消費者安全使用。

二、建設內容

（一）標準體系框架

物聯網基礎安全標準主要是指物聯網終端、網關、平臺等關鍵基礎環節的安全標準。物聯網基礎安全標準體系包括總體安全要求、終端安全、網關安全、平臺安全、安全管理五大類標準。物聯網基礎安全標準體系框架如圖1所示。

圖1物聯網基礎安全標準體系框架

（二）重點標準化領域及方向

1.總體安全要求

總體安全要求是物聯網基礎安全的基礎性、指導性和通用性標準，包括物聯網基礎安全術語定義、架構模型、安全場景、安全集成、安全分級及應用等方面標準。總體安全要求子體系如圖2所示。

圖2總體安全要求子體系

（1）物聯網基礎安全術語定義：主要規范物聯網基礎安全的概念和關鍵術語，包括技術、規范、應用領域的相關術語，實現統一標準體系內的語義理解。

（2）物聯網基礎安全架構模型：主要提出物聯網基礎安全體系框架以及各部分參考模型，以明確和界定云、管、端各層面功能、關系、角色、邊界、責任等內容。

（3）物聯網基礎安全場景：明確物聯網基礎安全體系的主要安全場景，對不同類型的場景中的安全需求進行示例和規范的標準。

（4）物聯網基礎安全集成：在物聯網系統規劃、集成、實施等過程中，保障系統各層級對象安全性和可靠性的相關標準。

（5）物聯網基礎安全分級及應用：明確物聯網基礎安全分級分類的基本原則、維度、方法、示例、建議場景等要求，為實施分級分類安全管理提供基礎支撐。

（6）物聯網基礎安全協議：針對物聯網平臺、網關、終端之間及其他組網模式的通信需求，規范通信協議和接口規范等安全要求，包括有線協議安全、無線協議安全等標準。

2.終端安全標準

終端安全標準是物聯網基礎安全體系中感知層面的標準，包括卡安全、模組安全、通信芯片安全、終端設備通用安全、行業終端安全、終端測試評估等標準。終端安全標準子體系如圖3所示。

圖3終端安全標準子體系

（1）卡安全：細化落實相關法律法規和政策文件對物聯網卡安全管理的要求，規范物聯網卡銷售、登記、使用管理等具體流程以及技術要求。包括物聯網卡安全分類管理規范、物聯網卡技術手段建設標準等。

（2）模組安全：規范物聯網終端通信模組安全要求，細化不同通信協議、網絡制式的通信模組在接入認證、數據交互、數據傳輸、抗電磁干擾等方面的安全要求，包括蜂窩通信模組和其他類型通信模組安全標準。

（3）通信芯片安全：規范通信芯片的基礎安全要求，包括通信加密算法、秘鑰管理、加解密能力、簽名驗簽、數據存儲等。

（4）終端設備通用安全：規范物聯網終端基線安全要求，包括物聯網終端硬件安全、操作系統安全、軟件安全、接入認證、數據安全、協議安全、隱私保護、接口互通、證書規范、固件升級等通用安全標準。

（5）行業終端安全：主要包括與各垂直行業密切相關的、具有特定功能的物聯網終端安全要求，如智能門鎖、監控設備等特定行業終端的特有安全要求。

（6）終端測試評估：主要用于規范物聯網終端軟硬件安全評估及測試方法，包括物聯網卡安全測試、硬件安全測試、操作系統安全測試、軟件安全測試、接入認證安全測試、數據安全測試、通信協議安全測試等標準。

3.網關安全標準

網關安全標準包括物聯網網關設備安全、網關數據交換與處理安全、網關通信與接口安全、網關物理環境安全、網關組件安全、網關測試評估等內容。網關安全標準子體系如圖4所示。

圖4網關安全標準子體系

（1）網關設備安全：規范網關設備系統級的功能架構、安全協議、安全防護能力等方面技術要求，主要包括網關設備安全架構、安全功能、安全性能、安全協議等標準。

（2）網關數據交換與處理安全：規范網關在傳輸、處理網絡感知數據、業務管理平臺數據過程中數據安全傳輸、安全處理和安全存儲等方面技術要求，主要包括數據安全模型、安全計算、處理算法、數據存儲、數據溯源等標準。

（3）網關通信與接口安全：規范網關與其他設備互聯時通信接口和管理接口的安全通信協議、黑白名單、鑒權認證等方面技術要求，主要包括網關南向、北向接口安全規程、安全協議流程、端口防護等標準。

（4）網關物理環境安全：規范網關貯存、運輸和使用環境條件下電磁輻射、防電磁干擾、抗硬力破壞、溫濕鹽霧環境適應能力等方面技術要求，提高網關產品環境適應性能力，主要包括網關設備電磁兼容、機械環境適應性、氣候環境適應性等標準。

（5）網關組件安全：規范網關功能服務、數據采集、數據傳輸處理等軟硬件組件的安全設計、功能等方面技術要求，主要包括網關設備組件安全架構、開源組件安全、應用啟動安全等標準。

（6）網關測試評估：規范網關設備安全、組件安全、接口安全、管理維護安全、數據傳輸處理安全、環境安全等方面的評估測試方法和分級分類評估方法，主要包括設備安全測試、組件安全測試、接口安全測試、安全管理維護測試、數據傳輸處理安全測試、環境適應性測試、分級分類評估測試等標準。

4.平臺安全標準

物聯網平臺包括不限于設備管理平臺、連接管理平臺、應用使能平臺、業務分析平臺、態勢感知平臺等。物聯網平臺安全標準包括平臺通用安全、平臺業務系統安全、平臺交互安全、平臺測試評估等。平臺安全標準子體系如圖5所示。

圖5平臺安全標準子體系

（1）平臺通用安全：規范各類物聯網平臺通用數據安全、通信安全、身份鑒別、安全監測、物理安全、安全可信等方面安全要求，包括通用安全框架、平臺可信計算等標準。

（2）平臺業務系統安全：規范基于物聯網平臺開發的行業業務系統自身和對外的訪問控制、防代碼逆向、安全審計、篡改和注入防范等方面安全要求，包括業務系統基礎安全、跨系統訪問以及業務系統與用戶交互等標準。

（3）平臺交互安全：規范不同物聯網平臺之間、平臺與上層業務系統、平臺與下層設備（主要是接入平臺的網關和終端）之間的數據交互、加密傳輸、交互接口配置和審計等方面的安全要求，包括不同物聯網平臺之間交互、平臺與南向和北向之間交互的安全標準。

（4）平臺測試評估：規范物聯網平臺的通用安全、業務系統安全、平臺內部和平臺之間交互安全、安全管理等方面的評估測試方法和分級分類評估方法，包括物聯網平臺通用安全測試、業務系統安全測試、交互安全測試和安全管理測試等標準。

5.安全管理標準

安全管理標準主要用于指導行業落實通用安全管理要求，包括安全信息協同、管理與維護安全、證書管理等。安全管理子體系如圖6所示。

圖6安全管理子體系

（1）安全信息協同：針對物聯網協議類型眾多，明確物聯網基礎安全相關數據互聯互通標準，實現跨協議安全互聯互通，包括接口規范、測試方法等標準。

（2）管理與維護安全：規范不同物聯網場景下終端、網關、平臺的運維管理等方面安全要求，支撐物聯網業務的安全運行及有效監測，包括制度建設、安全組織、人員管理、運行安全、資產管理、配置管理、應急響應、災備恢復等標準。

（3）證書管理：規范不同類型的物聯網終端、網關、平臺的認證管理，用于不同類型設備的安全認證互通互認，包括證書生成、證書管理、證書更換等標準。

三、組織實施

一是加快標準研制。在工業和信息化部的指導下，按照《建設指南》明確的標準研制路徑，有序推進行業標準研制工作，注重物聯網基礎安全標準化工作與行業發展實際結合，盡快制定發布一批產業急需、貼近應用的標準。

二是實施動態更新。緊盯物聯網新技術、新應用的發展趨勢，加強標準體系的科學規劃和動態更新，做好與產業各方的工作協同，在物聯網安全發展水平的不同階段，補充完善適應產業發展的安全標準。

三是深化標準應用。充分發揮地方主管部門、行業協會的作用，通過培訓、論壇、研討等方式，加大標準普及推廣力度，強化標準應用落地，積極推進重點行業領域安全標準的試點示范，快速提升物聯網安全整體水平。

四是加大交流合作。組織做好物聯網基礎安全標準跨行業交流以及國際合作，積極參與物聯網安全國際標準制定，促進行業標準向國家標準、國際標準轉換。

原文標題：工信部：《物聯網基礎安全標準體系建設指南》（征求意見稿）公開征求意見

文章出處：【微信公眾號：浙江省物聯網產業協會】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq