《社会公共安全领域 智能联网安全认证实施要求》编制说明

附件4认证认可行业标准草案编制说明1.基本信息1.1 标准草案名称中文社会公共安全领域 智能联网产品网络安全认证实施要求英文The field of social and public security-Intelligent Networking Products for Network security Certification Implementation Requirements1.2 与国际标准和国外先进标准一致性程度情况等同采用修改采用非等效采用未采用标准编号英文名称中文名称1.3 任务来源批准立项的文件名称和文件号认监委关于下达2018年第二批认证认可行业标准制（修）定计划项目的通知（国认监20184号）计划编号2018RB0291.4制（修）订制定 修订（被修订标准名称及编号： ）1.5 起止时间2019年1月1日-2020 年6月30日1.6 标准起草单位公安部第三研究所、国家市场监管局认证认可技术研究中心1.7 起草组成员刘继顺、吴改云、李海鹏、鲍逸明、王茂华、陆曙蓉、吴海文、韩峰、杨元原、陆臻、张艳、张智强、胡津铭1.8标准体系表内编号无编号1.9调整情况未调整2.背景情况2.1 目的、意义（工作开展背景及要求）随着社会公共安全产品智能化、网络化进程的加快，涉及网络安全的问题日益凸显，社会公共安全产品的网络安全能力严重影响社会公共安全系统、社会公共安全网络甚至国家、社会的安全。针对重要社会公共安全系统的攻击已经发生：2015年2月，江苏省公安厅发布特急通知，称海康威视生产的监控设备存在严重安全隐患，部分设备已经被境外IP地址控制。2016年10月，黑客利用Mirai物联网僵尸病毒控制了大量监控摄像头、路由器、智能电视等设备，发起了规模巨大的DDoS攻击，导致美国东部地区互联网长时间瘫痪。2017年6月，国家信息安全漏洞共享平台（CNVD）发布安全公告，称国内知名厂商海康威视和大华股份多款网络摄像机产品存在身份认证绕过、配置文件密码泄露等高危漏洞。社会公共安全设备之所以会产生网络安全问题，主要是网络化与智能化导致原存在于IT系统中的安全问题侵润到了社会公共安全系统中。同时，由于社会公共安全行业原有的产品、人员、管理制度对网络安全问题的忽视，加剧了这一问题的严重程度。多起国内外网络遭受攻击的案例向业界发出了警示，社会公共安全类智能联网产品网络安全已经成为国家安全的重要组成部分，已经引起了国际国内的高度重视。目前，社会公共安全类智能联网产品认证领域的实施规范尚属空白，国内外相关领域的研究正在进行。 本标准就是针对目前智能联网产品所存在的安全隐患，根据社会公共安全类智能联网产品的应用特点和功能需求，从认证基本要求、网络安全保障能力工厂检查技术要求、型式试验技术要求、安全等级划分等方面研究智能联网产品的认证实施要求，形成相应的认证检测技术规范。本标准可以给认证机构、检测机构、开发制造厂商进行指导，研发出更贴近市场需要、具备比较完善的安全能力的智能联网产品。同时，通过对产品的分级，来区分产品的安全功能强度，也能为用户采购产品时提供参考。2.2 与国内外相关标准、文献的关系本标准的主要术语和定义主要来源于 GB/T27000、GB/T27065、GB/T 5271.82001、GB/T 25069-2010 和GB/T 18336.1-2015等标准所界定的术语和定义，部分的认证术语来源于CNCA-00C-005强制性产品认证实施规则 工厂质量保证能力要求及 CNCA-00C-006强制性产品认证实施规则 工厂检查通用要求，并在本标准重新进行了界定；主要的认证流程来源于 GB/T27067-2013，按照职能联网产品的特点进行了节选和修正；本标准涉及的检测和网络安全的缩略语、安全术语、网络安全保障能力工厂检查技术要求、型式试验技术要求、安全等级划分等要求主要来源于 GB/T18336.1-2015、 GB/T18336.2-2015、 GB/T18336.3-2015系列标准。另外本标准的编制还参考了 GB/T27005合格评定 管理体系的使用 原则和要求、RB/T 119-2015 能源管理体系 机械制造企业认证要求、ISCCC-IR-027-2014 网络摄像机产品安全技术要求、ISCCC-IR-028-2014电子防盗锁产品安全技术要求、 ISCCC-IR-023-2014 RFID读写器产品安全技术要求、ISCCC-IR-024-2014 射频标签产品安全技术要求、ISCCC-IR-026-2014射频遥控器产品安全技术要求、ISCCC-IR-025-2014条码阅读器产品安全技术要求等标准的编制原理、标准架构、产品技术要求等各方面的要求；另外由于本标准隶属于“支撑“一带一路”贸易便利化的认证认可关键技术研究与应用（二期）”，为了了解国际国际行情、配合课题的完成，本标准的编制还参考了IEC 62443-3-3Industrial communication networks Network and system security Part 3-3: System security requirements and security levels 、GOST R 51558-2014俄罗斯联邦电视安防系统和设备的国家标准 系统和设备的分类、一般性技术要求、检测方法综上所述，在本次标准编制中参考和引用的标准中未见专门指导职能联网产品认证的相关标准和规范，也未见与本标准类似的标准。本项目与现有认证认可标准不存在等同、等效关系，国内外尚无此类相关标准。3.编制过程3.1 分工情况公安部第三研究所负责标准总体策划，并负责标准框架构建和技术内容编写和完善，负责标准起草、修改、标准征求意见的汇总和处理、形成送审稿及送审报批稿。国家市场监管总局认证认可技术研究中心（原国家认证认可监督管理委员会认证认可技术研究所）负责提供相应的认证技术支持和认证实践支持，并提出起草意见。3.2起草阶段1、2018年7-9月，相关文献检索和收集；2、2018年10月，开展标准编制可行性研讨，并协调开展标准立项工作；3、2018年11月，进一步完成相关标准及技术文件的收集、整理和翻译工作，讨论本标准制定对课题的意义，并就形成的文献综述进行系统分析；4、2018年12月，完成标准立项申报工作；5、2019年1-3月，相关认证检测实施状况国内外现状调研；6、2019年4-5月，完成标准整体设计，形成标准草案；7、2019年6月，开展标准集中研讨会，进一步明确了系列标准的总体思路，及各相关标准的准确定位；建议各单位按专家意见进行修改完善；8、2019年7月-8月，完成标准修改稿；9、2019年9月，组织召开第二次标准研讨会，对标准的技术内容结合系统构建进行深入研讨，提出进一步完善意见建议；10、2019年9-10月，根据第二次研讨会提出的意见建议，进行修改完善；11、2019年10月，标准专家研讨会。3.3征求意见阶段1、2019年11月-12月，完成网上公开征求意见。2、2019年11月-12月，定向征求意见。3、2020年1-2月，形成标准送审稿，并组织专家研讨。4、2020年3月，完成标准送审稿预评审会议。5、2020年4月，按照预评审专家意见逐条梳理，形成标准送审稿。3.4标准审查阶段4.主要技术内容的确定一、 主要技术特点1. 规定了适用范围规定了社会公共安全领域智能联网产品网络安全认证实施要求的术语和定义、基本概念认证基本要求、网络安全保障能力工厂检查技术要求、型式试验技术要求、安全等级划分等。本标准适用于从事社会公共安全领域智能联网产品第三方测评机构对该类产品的检测与认证的实施要求，对于本标准提出的认证和检测的关键指标在产品设计、研发、生产、验收等环节可以参照使用。2、对9个有关术语和定义、4个缩略语进行了解释。3内容特色提出了针对智能联网产品的网络安全保障能力工厂检查技术要求、型式试验技术要求。4. 提出了适合认证等级要求的安全等级划分二、主要技术内容1范围2规范性引用文件3术语和定义4缩略语5总则6网络安全保障能力工厂检查技术要求6.1配置管理6.2 交付程序6.3 开发安全6.4 质量保证能力7型式试验技术要求7.1安全技术要求7.2安全保障要求8等级划分要求5.验证情况（适用于方法类标准）5.1 验证单位情况验证单位验证人员验证时间公安部第三研究所认证中心2017年9月至2019年9月无年 月 日无年 月 日无年 月 日5.2 验证过程编制了：CSPSH-ZY04-001：2017社会公共安全领域自愿性认证实施规则智能联网产品(网络安全)，并完成认证实际5.3 验证数据分析目前已5家认证企业完成该类认证，公安部第三研究所共颁发该类证书12张，在两年的认证实际中，本认证机构积累了的各类（包含：视频监控产品、大型UPS数据交换产品、小型Ibox产品、智能井盖产品）网络安全产品认证受理、网络安全检测和工厂检查经验，为本标准提供了很好的认证实践依据。5.4 验证评价自愿认证的开展很好的诠释了本标准的认证理论，本标准的认证技术和检测方法是符合实际要求的。5.5 其他应说明的情况无6.附加说明（可选项）6.1宣贯标准的建议无6.2修订和废除现行有关标准的建议无6.3重大分歧意见的处理经过和依据无6.4其他需要说明的情况无6.5参考文献1 GB/T27005 合格评定 管理体系的使用 原则和要求2 RB/T 119-2015 能源管理体系 机械制造企业认证要求3ISCCC-IR-027-2014 网络摄像机产品安全技术要求4ISCCC-IR-028-2014 电子防盗锁产品安全技术要求5ISCCC-IR-023-2014 RFID读写器产品安全技术要求6ISCCC-IR-024-2014 射频标签产品安全技术要求7ISCCC-IR-026-2014 射频遥控器产品安全技术要求 8ISCCC-IR-025-2014 条码阅读器产品安全技术要求9IEC 62443-3-3 Industrial communication networks Network and system security Part 3-3: System security requirements and security levels10GOST R 51558-2014俄罗斯联邦电视安防系统和设备的国家