日前，工信部發(fā)布了《公開征求對<物聯(lián)網(wǎng)基礎安全標準體系建設指南>（征求意見稿）的意見》，具體內容如下：

按照《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)的有關規(guī)定，為進一步加強物聯(lián)網(wǎng)安全標準化工作頂層設計，我們組織制定了《物聯(lián)網(wǎng)基礎安全標準體系建設指南（征求意見稿）》（見附件1）及《編制說明》（見附件2）。   

為進一步聽取社會各界意見，現(xiàn)予以公示，公示截止日期2021年2月14日。如有意見或建議，請在公示期間填寫《公示意見反饋信息表》（見附件3）并反饋至工業(yè)和信息化部科技司，電子郵件發(fā)送至KJBZ@miit.gov.cn（郵件主題標明：物聯(lián)網(wǎng)基礎安全標準體系建設指南公示反饋）。  

地址：北京市西長安街13號工業(yè)和信息化部科技司        

郵編：100804        

聯(lián)系電話：010-68205241        

公示時間：2021年1月15日－2021年2月14日 

附件：

1.《物聯(lián)網(wǎng)基礎安全標準體系建設指南（征求意見稿）》.wps（點擊可下載）

2.《物聯(lián)網(wǎng)基礎安全標準體系建設指南（征求意見稿）》編制說明.wps（點擊可下載）

3.公示意見反饋信息表.doc（點擊可下載）                           

工業(yè)和信息化部科技司

2021年1月15日

物聯(lián)網(wǎng)基礎安全標準體系
建設指南
（征求意見稿）

物聯(lián)網(wǎng)是新一代信息技術的高度集成和綜合運用，是新型基礎設施建設的重要組成部分。與傳統(tǒng)互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)“無縫連接、全面感知、智能處理、虛實交織”的特點突出，行業(yè)安全需求多樣。隨著5G網(wǎng)絡覆蓋日益完善，物聯(lián)網(wǎng)產(chǎn)品應用日益豐富，行業(yè)滲透日益加深，物聯(lián)網(wǎng)關鍵基礎環(huán)節(jié)的一些安全風險將更為突出，加快構建物聯(lián)網(wǎng)基礎安全保障體系，保障物聯(lián)網(wǎng)安全健康發(fā)展尤為重要。

“安全發(fā)展，標準先行”。標準化工作是保障物聯(lián)網(wǎng)安全發(fā)展的重要基礎。按照《中華人民共和國網(wǎng)絡安全法》等相關法律規(guī)定，工業(yè)和信息化部組織制定了《物聯(lián)網(wǎng)基礎安全標準體系建設指南》（以下簡稱《建設指南》），加強物聯(lián)網(wǎng)安全標準頂層設計和方向引領，推動構建系統(tǒng)、科學、規(guī)范的物聯(lián)網(wǎng)基礎安全標準體系，指導物聯(lián)網(wǎng)安全工作的有序開展，支撐經(jīng)濟社會數(shù)字化轉型和高質量發(fā)展。

（一）總體思路

以習近平新時代中國特色社會主義思想為指導，堅持總體國家安全觀，以筑牢物聯(lián)網(wǎng)基礎安全、防范公共網(wǎng)絡安全風險為目標，著力構建物聯(lián)網(wǎng)基礎安全標準體系，指導標準統(tǒng)籌規(guī)劃，系統(tǒng)推進標準研制，促進標準落地實施，做好與國家標準、國際標準以及相關領域行業(yè)標準的有效銜接，加強國際交流合作，保障物聯(lián)網(wǎng)安全發(fā)展。

（二）基本原則

基礎支撐，統(tǒng)籌規(guī)劃。結合物聯(lián)網(wǎng)行業(yè)的發(fā)展現(xiàn)狀及特點，發(fā)揮行業(yè)主管部門在頂層設計、組織協(xié)調和政策制定等方面的重要作用，形成政府引導、市場主導、社會參與的行業(yè)標準建設體系，促進物聯(lián)網(wǎng)產(chǎn)業(yè)安全發(fā)展。

急用先行，注重實效。從物聯(lián)網(wǎng)基礎安全的重點難點工作出發(fā)，聚焦物聯(lián)網(wǎng)基礎設施和重點行業(yè)應用領域，加快基礎共性、關鍵技術、基礎通用協(xié)議類標準的研究制定，并在此基礎上，結合重點行業(yè)應用的安全風險，協(xié)同推進重點標準的研究制定。

廣泛參與，加強落實。在標準制定過程中加強與設備廠商、電信企業(yè)、安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、科研單位、高校等產(chǎn)業(yè)界和學術界各方充分溝通，凝聚共識，統(tǒng)籌運用行業(yè)資源，發(fā)揮頭部企業(yè)在產(chǎn)品研發(fā)、示范引領等方面的作用，加強重點標準在行業(yè)中貫徹應用。

（三）建設目標

到2022年，初步建立物聯(lián)網(wǎng)基礎安全標準體系，研制重點行業(yè)標準10項以上，明確物聯(lián)網(wǎng)終端、網(wǎng)關、平臺等關鍵基礎環(huán)節(jié)安全要求，滿足物聯(lián)網(wǎng)基礎安全保障需要，促進物聯(lián)網(wǎng)基礎安全能力提升。

到2025年，推進形成完善的物聯(lián)網(wǎng)基礎安全標準體系，研制行業(yè)標準30項以上，提升標準對細分行業(yè)及領域的覆蓋程度，提高跨行業(yè)物聯(lián)網(wǎng)應用安全水平，保障消費者安全使用。

（一）標準體系框架

物聯(lián)網(wǎng)基礎安全標準主要是指物聯(lián)網(wǎng)終端、網(wǎng)關、平臺等關鍵基礎環(huán)節(jié)的安全標準。物聯(lián)網(wǎng)基礎安全標準體系包括總體安全要求、終端安全、網(wǎng)關安全、平臺安全、安全管理五大類標準。物聯(lián)網(wǎng)基礎安全標準體系框架如圖1所示。

圖1物聯(lián)網(wǎng)基礎安全標準體系框架

（二）重點標準化領域及方向

1.總體安全要求

總體安全要求是物聯(lián)網(wǎng)基礎安全的基礎性、指導性和通用性標準，包括物聯(lián)網(wǎng)基礎安全術語定義、架構模型、安全場景、安全集成、安全分級及應用等方面標準?？傮w安全要求子體系如圖2所示。

圖2總體安全要求子體系

（1）物聯(lián)網(wǎng)基礎安全術語定義：主要規(guī)范物聯(lián)網(wǎng)基礎安全的概念和關鍵術語，包括技術、規(guī)范、應用領域的相關術語，實現(xiàn)統(tǒng)一標準體系內的語義理解。

（2）物聯(lián)網(wǎng)基礎安全架構模型：主要提出物聯(lián)網(wǎng)基礎安全體系框架以及各部分參考模型，以明確和界定云、管、端各層面功能、關系、角色、邊界、責任等內容。

（3）物聯(lián)網(wǎng)基礎安全場景：明確物聯(lián)網(wǎng)基礎安全體系的主要安全場景，對不同類型的場景中的安全需求進行示例和規(guī)范的標準。

（4）物聯(lián)網(wǎng)基礎安全集成：在物聯(lián)網(wǎng)系統(tǒng)規(guī)劃、集成、實施等過程中，保障系統(tǒng)各層級對象安全性和可靠性的相關標準。

（5）物聯(lián)網(wǎng)基礎安全分級及應用：明確物聯(lián)網(wǎng)基礎安全分級分類的基本原則、維度、方法、示例、建議場景等要求，為實施分級分類安全管理提供基礎支撐。

（6）物聯(lián)網(wǎng)基礎安全協(xié)議：針對物聯(lián)網(wǎng)平臺、網(wǎng)關、終端之間及其他組網(wǎng)模式的通信需求，規(guī)范通信協(xié)議和接口規(guī)范等安全要求，包括有線協(xié)議安全、無線協(xié)議安全等標準。

2.終端安全標準

終端安全標準是物聯(lián)網(wǎng)基礎安全體系中感知層面的標準，包括卡安全、模組安全、通信芯片安全、終端設備通用安全、行業(yè)終端安全、終端測試評估等標準。終端安全標準子體系如圖3所示。

圖3終端安全標準子體系

（1）卡安全：細化落實相關法律法規(guī)和政策文件對物聯(lián)網(wǎng)卡安全管理的要求，規(guī)范物聯(lián)網(wǎng)卡銷售、登記、使用管理等具體流程以及技術要求。包括物聯(lián)網(wǎng)卡安全分類管理規(guī)范、物聯(lián)網(wǎng)卡技術手段建設標準等。

（2）模組安全：規(guī)范物聯(lián)網(wǎng)終端通信模組安全要求，細化不同通信協(xié)議、網(wǎng)絡制式的通信模組在接入認證、數(shù)據(jù)交互、數(shù)據(jù)傳輸、抗電磁干擾等方面的安全要求，包括蜂窩通信模組和其他類型通信模組安全標準。

（3）通信芯片安全：規(guī)范通信芯片的基礎安全要求，包括通信加密算法、秘鑰管理、加解密能力、簽名驗簽、數(shù)據(jù)存儲等。

（4）終端設備通用安全：規(guī)范物聯(lián)網(wǎng)終端基線安全要求，包括物聯(lián)網(wǎng)終端硬件安全、操作系統(tǒng)安全、軟件安全、接入認證、數(shù)據(jù)安全、協(xié)議安全、隱私保護、接口互通、證書規(guī)范、固件升級等通用安全標準。

（5）行業(yè)終端安全：主要包括與各垂直行業(yè)密切相關的、具有特定功能的物聯(lián)網(wǎng)終端安全要求，如智能門鎖、監(jiān)控設備等特定行業(yè)終端的特有安全要求。

（6）終端測試評估：主要用于規(guī)范物聯(lián)網(wǎng)終端軟硬件安全評估及測試方法，包括物聯(lián)網(wǎng)卡安全測試、硬件安全測試、操作系統(tǒng)安全測試、軟件安全測試、接入認證安全測試、數(shù)據(jù)安全測試、通信協(xié)議安全測試等標準。

3.網(wǎng)關安全標準

網(wǎng)關安全標準包括物聯(lián)網(wǎng)網(wǎng)關設備安全、網(wǎng)關數(shù)據(jù)交換與處理安全、網(wǎng)關通信與接口安全、網(wǎng)關物理環(huán)境安全、網(wǎng)關組件安全、網(wǎng)關測試評估等內容。網(wǎng)關安全標準子體系如圖4所示。

圖4網(wǎng)關安全標準子體系

（1）網(wǎng)關設備安全：規(guī)范網(wǎng)關設備系統(tǒng)級的功能架構、安全協(xié)議、安全防護能力等方面技術要求，主要包括網(wǎng)關設備安全架構、安全功能、安全性能、安全協(xié)議等標準。

（2）網(wǎng)關數(shù)據(jù)交換與處理安全：規(guī)范網(wǎng)關在傳輸、處理網(wǎng)絡感知數(shù)據(jù)、業(yè)務管理平臺數(shù)據(jù)過程中數(shù)據(jù)安全傳輸、安全處理和安全存儲等方面技術要求，主要包括數(shù)據(jù)安全模型、安全計算、處理算法、數(shù)據(jù)存儲、數(shù)據(jù)溯源等標準。

（3）網(wǎng)關通信與接口安全：規(guī)范網(wǎng)關與其他設備互聯(lián)時通信接口和管理接口的安全通信協(xié)議、黑白名單、鑒權認證等方面技術要求，主要包括網(wǎng)關南向、北向接口安全規(guī)程、安全協(xié)議流程、端口防護等標準。

（4）網(wǎng)關物理環(huán)境安全：規(guī)范網(wǎng)關貯存、運輸和使用環(huán)境條件下電磁輻射、防電磁干擾、抗硬力破壞、溫濕鹽霧環(huán)境適應能力等方面技術要求，提高網(wǎng)關產(chǎn)品環(huán)境適應性能力，主要包括網(wǎng)關設備電磁兼容、機械環(huán)境適應性、氣候環(huán)境適應性等標準。

（5）網(wǎng)關組件安全：規(guī)范網(wǎng)關功能服務、數(shù)據(jù)采集、數(shù)據(jù)傳輸處理等軟硬件組件的安全設計、功能等方面技術要求，主要包括網(wǎng)關設備組件安全架構、開源組件安全、應用啟動安全等標準。

（6）網(wǎng)關測試評估：規(guī)范網(wǎng)關設備安全、組件安全、接口安全、管理維護安全、數(shù)據(jù)傳輸處理安全、環(huán)境安全等方面的評估測試方法和分級分類評估方法，主要包括設備安全測試、組件安全測試、接口安全測試、安全管理維護測試、數(shù)據(jù)傳輸處理安全測試、環(huán)境適應性測試、分級分類評估測試等標準。

4.平臺安全標準

物聯(lián)網(wǎng)平臺包括不限于設備管理平臺、連接管理平臺、應用使能平臺、業(yè)務分析平臺、態(tài)勢感知平臺等。物聯(lián)網(wǎng)平臺安全標準包括平臺通用安全、平臺業(yè)務系統(tǒng)安全、平臺交互安全、平臺測試評估等。平臺安全標準子體系如圖5所示。

圖5平臺安全標準子體系

（1）平臺通用安全：規(guī)范各類物聯(lián)網(wǎng)平臺通用數(shù)據(jù)安全、通信安全、身份鑒別、安全監(jiān)測、物理安全、安全可信等方面安全要求，包括通用安全框架、平臺可信計算等標準。

（2）平臺業(yè)務系統(tǒng)安全：規(guī)范基于物聯(lián)網(wǎng)平臺開發(fā)的行業(yè)業(yè)務系統(tǒng)自身和對外的訪問控制、防代碼逆向、安全審計、篡改和注入防范等方面安全要求，包括業(yè)務系統(tǒng)基礎安全、跨系統(tǒng)訪問以及業(yè)務系統(tǒng)與用戶交互等標準。

（3）平臺交互安全：規(guī)范不同物聯(lián)網(wǎng)平臺之間、平臺與上層業(yè)務系統(tǒng)、平臺與下層設備（主要是接入平臺的網(wǎng)關和終端）之間的數(shù)據(jù)交互、加密傳輸、交互接口配置和審計等方面的安全要求，包括不同物聯(lián)網(wǎng)平臺之間交互、平臺與南向和北向之間交互的安全標準。

（4）平臺測試評估：規(guī)范物聯(lián)網(wǎng)平臺的通用安全、業(yè)務系統(tǒng)安全、平臺內部和平臺之間交互安全、安全管理等方面的評估測試方法和分級分類評估方法，包括物聯(lián)網(wǎng)平臺通用安全測試、業(yè)務系統(tǒng)安全測試、交互安全測試和安全管理測試等標準。

5.安全管理標準

安全管理標準主要用于指導行業(yè)落實通用安全管理要求，包括安全信息協(xié)同、管理與維護安全、證書管理等。安全管理子體系如圖6所示。

圖6安全管理子體系

（1）安全信息協(xié)同：針對物聯(lián)網(wǎng)協(xié)議類型眾多，明確物聯(lián)網(wǎng)基礎安全相關數(shù)據(jù)互聯(lián)互通標準，實現(xiàn)跨協(xié)議安全互聯(lián)互通，包括接口規(guī)范、測試方法等標準。

（2）管理與維護安全：規(guī)范不同物聯(lián)網(wǎng)場景下終端、網(wǎng)關、平臺的運維管理等方面安全要求，支撐物聯(lián)網(wǎng)業(yè)務的安全運行及有效監(jiān)測，包括制度建設、安全組織、人員管理、運行安全、資產(chǎn)管理、配置管理、應急響應、災備恢復等標準。

（3）證書管理：規(guī)范不同類型的物聯(lián)網(wǎng)終端、網(wǎng)關、平臺的認證管理，用于不同類型設備的安全認證互通互認，包括證書生成、證書管理、證書更換等標準。

一是加快標準研制。在工業(yè)和信息化部的指導下，按照《建設指南》明確的標準研制路徑，有序推進行業(yè)標準研制工作，注重物聯(lián)網(wǎng)基礎安全標準化工作與行業(yè)發(fā)展實際結合，盡快制定發(fā)布一批產(chǎn)業(yè)急需、貼近應用的標準。

二是實施動態(tài)更新。緊盯物聯(lián)網(wǎng)新技術、新應用的發(fā)展趨勢，加強標準體系的科學規(guī)劃和動態(tài)更新，做好與產(chǎn)業(yè)各方的工作協(xié)同，在物聯(lián)網(wǎng)安全發(fā)展水平的不同階段，補充完善適應產(chǎn)業(yè)發(fā)展的安全標準。

三是深化標準應用。充分發(fā)揮地方主管部門、行業(yè)協(xié)會的作用，通過培訓、論壇、研討等方式，加大標準普及推廣力度，強化標準應用落地，積極推進重點行業(yè)領域安全標準的試點示范，快速提升物聯(lián)網(wǎng)安全整體水平。

四是加大交流合作。組織做好物聯(lián)網(wǎng)基礎安全標準跨行業(yè)交流以及國際合作，積極參與物聯(lián)網(wǎng)安全國際標準制定，促進行業(yè)標準向國家標準、國際標準轉換。

附件：物聯(lián)網(wǎng)基礎安全相關標準項目明細表