信息安全技术网络安全等级保护安全设计技术要求第4部分：物联网安全要求1 范围本标准依据《网络安全等级保护安全设计技术要求第1部分：安全通用要求》和《网络安全等级保护基本要求第4部分：物联网安全扩展要求》，规范了信息系统等级保护安全设计要求对物联网系统的扩展设计要求，包括第一级至第四级物联网系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。

本标准适用于指导信息系统等级保护物联网系统安全技术方案的设计和实施，也可作为信息安全职能部门对物联网系统进行监督、检查和指导的依据。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 25069-2010 信息安全技术术语GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南GB/T 25070-2010 网络安全等级保护安全设计技术要求第1部分：安全通用要求GB/T 22239.4-XXXX 网络安全等级保护基本要求第4部分：物联网安全扩展要求GB/T XXXX 物联网第2部分：术语GB/T XXXX 物联网第3部分：参考体系结构与通用技术要求3 术语和定义下列术语和定义适用于本标准。

3.1定级系统classified system按照已确定安全保护等级的物联网系统。

定级系统分为第一级、第二级、第三级和第四级物联网系统。

3.2定级系统安全保护环境security environment of classified system由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成的对定级系统进行安全保护的环境。

定级系统安全保护环境包括第一级物联网系统安全保护环境、第二级物联网系统安全保护环境、第三级物联网系统安全保护环境、第四级物联网系统安全保护环境以及定级系统的安全互联。

3.3安全计算环境secure computing environment对定级系统的信息进行存储、处理及实施安全策略的相关部件。

安全计算环境按照保护能力划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境和第四级安全计算环境。

3.4安全区域边界secure area boundary对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。

安全区域边界按照保护能力划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界和第四级安全区域边界。

3.5安全通信网络secure communication network对定级系统安全计算环境和信息安全区域之间进行信息传输及实施安全策略的相关部件。

安全通信网络按照保护能力划分第一级安全通信网络、第二级安全通信网络、第三级安全通信网络和第四级安全通信网络。

3.6安全管理中心security management center对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。

第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心，称为第二级安全管理中心、第三级安全管理中心和第四级安全管理中心。

3.7跨定级系统安全管理中心security management center for cross classified system跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。

3.8定级系统互联classified system interconnection通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。

3.9物联网internet of things（IOT）物联网是将感知节点设备（含RFID）通过互联网等网络连接起来构成的一个应用系统，它融合信息系统和物理世界实体，是虚拟世界与现实世界的结合。

3.10物联网安全security for IOT对物联网机密性、完整性、可用性、私密性的保护，并可能涉及真实性、责任制、不可否认性和可靠性等其他属性。

3.11物联网安全等级保护IOT security of classified protection根据物联网安全的程度进行等级划分，对物联网系统分等级进行保护和管理，对物联网信息安全事件分等级响应和处置。

3.12网关节点设备the sensor layer gateway网关节点设备是一种以将感知节点设备所采集的数据传输到数据处理中心的关键出口，是连接传统信息网络（有线网、移动网等）和传感网的桥梁，其安全设置也区分对感知层的安全设置和对网络传输层的安全设置。

简单的感知层网关只是对感知数据的转发（因电力充足），而智能的感知层网关可以包括对数据进行适当处理、数据融合等业务。

3.13物联网感知层sensor layer of IOT物联网感知层是指能形成物联网应用的集物理信息采集、简单处理、自动控制、短距离传输和汇聚的系统，包括感知设备、感知层网关以及二者之间的短距离通信（通常为无线）。

3.14感知sensing通过感知设备获得对象的信息的过程。

3.15感知设备sensor node也叫感知终端设备（end sensor）、终端感知节点设备（end sensor node），是物联网系统的最终端设备或器件，能够通过有线、无线方式发起或终结通信，采集物理信息和/或接受控制的实体设备。

3.16数据新鲜性data freshness数据新鲜性是防止已经成功接收的历史数据再次被接收处理（通过历史数据列表比对），或超出数据接收时间（时间戳过期）的数据被接收，或超出合法性范围（如计数器无效）的数据被接收。

不满足新鲜性的数据一般不予处理，其目的是用于防止数据重放攻击。

4 物联网系统安全等级保护设计概述依据GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》和GB/T 22239.4-XXXX 《网络安全等级保护基本要求第4部分：物联网安全扩展要求》，结合物联网系统的特点，构建在安全管理中心支持下的安全计算环境、安全区域边界、安全通信网络三重防御体系。

信息系统等级保护物联网安全设计包括各级系统安全保护环境的设计及其安全互联的设计。

各级系统安全保护环境由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成，其中安全计算环境、安全区域边界、安全通信网络是在计算环境、区域边界、通信网络中实施相应的安全策略。

定级系统互联由安全互联部件和跨定级系统安全管理中心组成。

图1 物联网系统安全保护设计框架安全管理中心支持下的物联网系统安全保护设计框架如图1所示，物联网感知层和应用层都由完成计算任务的计算环境和连接网络通信域的区域边界组成。

●安全计算环境包括物联网系统感知层和应用层中对定级系统的信息进行存储、处理及实施安全策略的相关部件，如感知设备、感知层网关、主机及主机应用等。

●安全区域边界包括物联网系统安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件，如感知层和网络层之间的边界、网络层和应用层之间的边界等。

●安全通信网络包括物联网系统安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部件，如网络层的通信网络以及感知层和应用层内部安全计算环境之间的通信网络等。

●安全管理中心包括对定级物联网系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台，包括系统管理、安全管理和审计管理三部分，只有第二级及第二级以上的安全保护环境设计有安全管理中心。

物联网系统根据业务和数据的重要性可以划分不同的安全防护区域，所有系统都必须置于相应的安全区域内，并实施一致的安全策略。

物联网系统安全区域划分如图2所示，该图指出了物联网系统的三层架构和三种主要的安全区域划分方式，以及安全计算环境、安全区域边界、安全通信网络、安全管理中心在物联网系统中的位置。

图2 物联网系统安全区域划分示意图●安全区域A包括应用层安全计算环境、感知层安全计算环境、网络层组成的安全通信网络以及安全区域边界；●安全区域B包括应用层安全计算环境、网络层组成的安全通信网络、安全子域B1以及安全区域边界；●安全区域B1作为安全区域B的子域，包括感知层安全计算环境及其安全边界。

图中每个安全区域由安全区域边界进行防护，安全区域A和安全区域B通过安全通信网络进行通信，安全区域内部的应用层和感知层通过网络层实现物联网数据信息和控制信息的双向传递。

物联网系统的网络层可被视为安全通信网络的逻辑划分，将感知层采集的数据信息向上传输到应用层，并将应用层发出的控制指令信息向下传输到感知层。

5 第一级物联网系统安全保护环境设计5.1 设计目标第一级物联网系统安全保护环境的设计目标是：按照GB/T 22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》对第一级物联网系统的安全保护要求，实现定级系统的自主访问控制，使系统用户对其所属客体具有自我保护的能力。

5.2 设计策略第一级系统安全保护环境的设计策略是：遵循GB/T 22239.4-XXXX《网络安全等级保护基本要求第4部分：物联网安全扩展要求》的4.1中相关要求，以身份鉴别为基础，按照物联网对象进行访问控制。

感知层以身份标识和身份鉴别为基础，提供数据源认证；以区域边界准入控制提供区域边界保护；以数据校验等手段提供数据的完整性保护。

第一级物联网系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网络的设计加以实现。

5.3 设计技术要求第一级安全计算环境应从以下方面进行安全设计：5.3.1 安全计算环境设计技术要求5.3.1.1 身份鉴别a)用户身份鉴别（见GB/T 25070 5.3.1.a)）应支持用户标识和用户鉴别。

在每一个用户注册到系统时，采用用户名和用户标识符标识用户身份；在每次用户登录系统时，采用口令鉴别机制进行用户身份鉴别，并对口令数据进行保护。

b)物联网系统身份鉴别（1）感知设备和感知层网关的身份标识和鉴别，安全管理中心对感知设备和感知层网关进行统一入网标识管理和维护；（2）应采用常规鉴别机制对感知设备发送的数据进行鉴别，确保数据来源于正确的感知设备。

5.3.1.2 自主访问控制（见GB/T 25070 5.3.1.b)）应在安全策略控制范围内，使用户/用户组对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户/用户组。