物联网安全标准和测评实践.pdf

物联网安全标准和测评实践是当前信息安全领域一个热门议题，它涉及到将传统互联网技术与各类感知设备相连接，形成广泛互联的智能设备网络。物联网系统的安全问题随着其应用范围的扩大而日益突出，因此，对物联网安全标准的建立和完善，以及相应测评实践的探索，对于确保物联网系统的安全稳定运行至关重要。 物联网（Internet of Things, IoT）是一个由感知节点、网络传输层和处理应用层构成的系统。感知节点设备负责采集信息，执行操作，并能联网传输数据。感知节点设备的类型丰富多样，例如RFID标签、读写器和智能处理应用等。网络传输层包括电信网、互联网和专用网等，而处理应用层则关注数据存储和计算服务。 物联网设备特别是感知层设备，面临诸多安全挑战。资源受限的感知节点设备成本低廉，但往往缺乏足够的计算能力、存储容量和通信带宽，这些都限制了传统信息系统信息安全要求的实现。感知节点设备的工作环境千差万别，从防震、防潮到防火，再到电磁防护，这些设备需要在各种环境中稳定工作，同时保证安全。 感知层的现状表现为资源受限、通信多样化、可移动性、不稳定性以及无人监管等特征。由于这些设备通常位于无人职守的区域，因此更容易遭受攻击。此外，不同行业对信息安全的需求存在差异，例如食品溯源需要设备和位置信息的认证，智能家居和农业需要控制指令的完整性保护，城市安防需要监控数据的机密性保护，智慧医疗需要用户身份的隐私性保护等。 为了应对这些挑战，物联网安全技术需要采用轻量级密码算法和协议，这些算法和协议在复杂度和密文大小方面都有所优化。当前现行有效标准包括GB/T36951-2018《信息安全技术物联网感知终端应用安全技术要求》、GB/T37024-2018《信息安全技术物联网感知层网关安全技术要求》等，这些标准为物联网安全提供了明确的技术指导和实施规则。 在物联网安全测评实践方面，目前广泛采用的网络安全等级保护2.0标准，如GB/T25070《信息安全技术网络安全等级保护安全设计技术要求》、GB/T22239《信息安全技术网络安全等级保护基本要求》和GB/T28448《信息安全技术网络安全等级保护测评要求》等，涵盖了安全物理环境、安全区域边界、安全计算环境和安全运维管理等方面，提出了4个层面、8个控制点、20个测评项的安全要求。 为了提供测评实践指导，标准解读中还特别关注了安全物理环境的测评单元，包括感知节点设备的物理防护措施、感知节点设备的安全、感知节点管理、入侵防范、网关节点设备的安全等多个方面。面对物联网设备的防入侵攻击问题，标准提供了一系列测评要求和技术实现途径。 物联网安全是一个复杂的系统工程，它不仅需要安全标准的指导，还需要在实践中不断探索和完善测评方法。对物联网安全标准和测评实践的深入研究，有助于全面理解和有效应对物联网系统可能面临的各种安全威胁。