第11章 物联网信息安全标准-《物联网安全导论》

1、第第11章章 物联网信息安全标准物联网信息安全标准 学习任务学习任务国际信息技术标准化组织国际信息技术标准化组织 中国信息安全标准中国信息安全标准 中国国家物联网标准组织中国国家物联网标准组织 Click to add title in here 123本章主要涉及：本章主要涉及：4信息安全管理体系信息安全管理体系 511.1 国际信息技术标准化组织国际信息技术标准化组织 网络与信息安全标准化工作是国家信息安全保障网络与信息安全标准化工作是国家信息安全保障体系建设的重要组成。体系建设的重要组成。网络与信息安全标准研究与制定为国家主管部门网络与信息安全标准研究与制定为国家主管部门管理信息管理信息

2、 安全设备提供了有效的技术依据，这对安全设备提供了有效的技术依据，这对于保证安全设备的正常运行，并在此基础上保证于保证安全设备的正常运行，并在此基础上保证我国国民经济和社会管理等领域中网络信息系统我国国民经济和社会管理等领域中网络信息系统的运行安全和信息安全具有非常重要的意义。的运行安全和信息安全具有非常重要的意义。11.1 国际信息技术标准化组织国际信息技术标准化组织 11.1.1 国际信息安全标准化组织国际信息安全标准化组织 国际上信息安全标准化工作兴起于国际上信息安全标准化工作兴起于20世纪世纪70年代年代中期，中期，80年代有了较快的发展，年代有了较快的发展，90年代引起了世年代引起了

3、世界各国的普遍关注。界各国的普遍关注。 目前世界上有近目前世界上有近300个国际和区域性组织制定标个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主准或技术规则，与信息安全标准化有关的组织主要有以下要有以下4个：个：11.1 国际信息技术标准化组织国际信息技术标准化组织 （1）国际标准化组织）国际标准化组织(ISO)于于1947年年2月月23日正式开始工作，信息技术标准日正式开始工作，信息技术标准化委员会化委员会 (ISO/IEC JTC1)所属安全技术分委员所属安全技术分委员会会(SC 27)的前身是数据加密分技术委员会的前身是数据加密分技术委员会(SC20)，主要从事信息技

4、术安全的一般方法和技，主要从事信息技术安全的一般方法和技术的标准化工作。术的标准化工作。11.1 国际信息技术标准化组织国际信息技术标准化组织 而而ISO/TC68负责与银行业务应用范围内有关信负责与银行业务应用范围内有关信息安全标准的制定，它主要制定行业应用标准，息安全标准的制定，它主要制定行业应用标准，在组织上和标准之间与在组织上和标准之间与SC27有着密切的联系。有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的互连、密钥管理、数字签名、安全评估等方面的内容。内容。11.1 国际信息技术标准化组织国际

5、信息技术标准化组织 （2）国际电工委员会）国际电工委员会(IEC)正式成立于正式成立于1906年年10月，是世界上成立最早的月，是世界上成立最早的专门的国际标准化机构。在信息安全标准化方面，专门的国际标准化机构。在信息安全标准化方面，除了与除了与ISO联合成立了联合成立了JTC1属的分委员会外，它属的分委员会外，它还在电信、电子系统、信息技术和电磁兼容等方还在电信、电子系统、信息技术和电磁兼容等方面成立了技术委员会，并为信息技术设备安全面成立了技术委员会，并为信息技术设备安全(IEC 60950)等制定相关国际标准。等制定相关国际标准。11.1 国际信息技术标准化组织国际信息技术标准化组织 （

6、3）国际电信联盟）国际电信联盟(ITU)成立于成立于1865年年5月月17日，所属的日，所属的SG17组主要负组主要负责研究通信系统安全标准。责研究通信系统安全标准。SG17组主要研究的内容包括：通信安全项目、组主要研究的内容包括：通信安全项目、安全架构和框架、计算安全、安全管理、用于安安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。全的生物测定、安全通信服务。此外此外SG16和下一代网络核心组也在通信安全、和下一代网络核心组也在通信安全、H323网络安全、下一代网络安全等标准方面进网络安全、下一代网络安全等标准方面进行了研究。行了研究。11.1 国际信息技术标准化组织国

7、际信息技术标准化组织 （4）Internet工程任务组工程任务组(IETF)创立于创立于1986年，其主要任务是负责互联网相关技年，其主要任务是负责互联网相关技术规范的研发和制定。术规范的研发和制定。IETF制定标准的具体工作由各个工作组承担，工制定标准的具体工作由各个工作组承担，工作组分成作组分成8个领域，涉及个领域，涉及Internet路由、传输、应路由、传输、应用领域等等，包含在用领域等等，包含在RFC系列之中的系列之中的IKE和和IPsec，还有电子邮件，网络认证和密码标准，还有电子邮件，网络认证和密码标准，此外，也包括了此外，也包括了 TLS标准和其它的安全协议标准。标准和其它的安全

8、协议标准。11.1 国际信息技术标准化组织国际信息技术标准化组织 11.1.2 国际信息安全管理体系国际信息安全管理体系 国际上比较有影响的信息安全标准体系主要有：国际上比较有影响的信息安全标准体系主要有：1. ISO/IEC的国际标准的国际标准13335、17799、27001系列系列 SO/IEC JTC1 SC27/WG1(国际标准化组织国际标准化组织/国际国际电工委员会信息技术委员会电工委员会信息技术委员会 安全技术分委员会安全技术分委员会/第一工作组第一工作组)是制定和修订是制定和修订ISMS标准的国际组织。标准的国际组织。11.1 国际信息技术标准化组织国际信息技术标准化组织 IS

9、O和和IEC是世界范围的标准化组织，它由各个是世界范围的标准化组织，它由各个国家和地区的成员组成，各国的相关标准化组织国家和地区的成员组成，各国的相关标准化组织都是其成员，他们通过各技术委员会，参与相关都是其成员，他们通过各技术委员会，参与相关标准的制定。标准的制定。为了更好的协作和共同规范信息技术领域，为了更好的协作和共同规范信息技术领域，ISO和国际电工委员会和国际电工委员会(ITU)成立了联合技术委员会，成立了联合技术委员会，即即ISO/IEC JTC1，负责信息技术领域的标准化，负责信息技术领域的标准化工作。其中的子委员会工作。其中的子委员会27专门负责专门负责IT安全技术领安全技术领

10、域的标准化工作。域的标准化工作。11.1 国际信息技术标准化组织国际信息技术标准化组织 在在ISO/IEC JTC1 SC 27所发布的标准和技术报告所发布的标准和技术报告中，目前最主要的标准是中，目前最主要的标准是ISO/IEC 13335、ISO/IEC 17799等。等。ISO/IEC将采用将采用27000系列号码作为编号方案，将系列号码作为编号方案，将原先所有的信息安全管理标准进行综合，并进行原先所有的信息安全管理标准进行综合，并进行进一步的开发，形成一整套包括进一步的开发，形成一整套包括ISMS要求、风险要求、风险管理、度量和测量以及实施指南等在内的信息安管理、度量和测量以及实施指南

11、等在内的信息安全管理体系。全管理体系。11.1 国际信息技术标准化组织国际信息技术标准化组织 2. 英国标准协会（英国标准协会（BSI）的）的7799系列系列 信息安全管理体系（信息安全管理体系（Information Security Management System,简称简称ISMS）的概念最初）的概念最初来源于英国标准学会制定的来源于英国标准学会制定的BS7799标准标准, 并伴随并伴随着其作为国际标准的发布和普及而被广泛地接受。着其作为国际标准的发布和普及而被广泛地接受。 同美国同美国NIST相对应，英国标准协会相对应，英国标准协会(BSI)是英国是英国负责信息安全管理标准的机构。在

12、信息安全管理负责信息安全管理标准的机构。在信息安全管理和相关领域，和相关领域，BSI做了大量的工作，其成果已得做了大量的工作，其成果已得到国际社会的广泛认可。到国际社会的广泛认可。 11.1 国际信息技术标准化组织国际信息技术标准化组织 3.美国国家标准和技术委员会（美国国家标准和技术委员会（NIST）的特别出）的特别出版物系列版物系列 2002年，美国通过了一部联邦信息安全管理法案年，美国通过了一部联邦信息安全管理法案(FISMA)。根据它，美国国家标准和技术委员会。根据它，美国国家标准和技术委员会(NIST)负责为美国政府和商业机构提供信息安全负责为美国政府和商业机构提供信息安全管理相关的

13、标准规范。管理相关的标准规范。 因此，因此，NIST的一系列的一系列FIPS标准和标准和NIST 特别出版特别出版物物800系列系列(NIST SP 800系列系列)成为了指导美国信成为了指导美国信息安全管理建设的主要标准和参考资料。息安全管理建设的主要标准和参考资料。11.2 中国信息安全标准中国信息安全标准11.2.1 我国信息安全标准化的现状我国信息安全标准化的现状目前，我国按照国务院授权，在国家质量监督检目前，我国按照国务院授权，在国家质量监督检验检疫总局管理下，由国家标准化管理委员会统验检疫总局管理下，由国家标准化管理委员会统一管理全国标准化工作，下设有一管理全国标准化工作，下设有2

14、55个专业技术个专业技术委员会。委员会。中国标准化工作实行统一管理与分工负责相结合中国标准化工作实行统一管理与分工负责相结合的管理体制，分工管理本行政区域内、本部门、的管理体制，分工管理本行政区域内、本部门、本行业的标准化工作。本行业的标准化工作。11.2 中国信息安全标准中国信息安全标准成立于成立于1984年的全国信息技术安全标准化技术委年的全国信息技术安全标准化技术委员会员会(CITS)，在国家标准化管理委员会和信息产，在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与业部的共同领导下负责全国信息技术领域以及与 ISO/IEC JTC1相对应的标准化工作，目前下设相对

15、应的标准化工作，目前下设24个分技术委员会和特别工作组，是目前国内最个分技术委员会和特别工作组，是目前国内最大的标准化技术委员会。大的标准化技术委员会。它是一个具有广泛代表性、权威性和军民结合的它是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织。信息安全标准化组织。11.2 中国信息安全标准中国信息安全标准11.2.2 国内安全标准组织机构国内安全标准组织机构 国内的安全标准组织主要有信息技术安全标准化国内的安全标准组织主要有信息技术安全标准化技术委员会技术委员会(CITS)以及中国通信标准化协会以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会。下辖的网络与信息安

16、全技术工作委员会。1. 信息技术安全标准化技术委员会信息技术安全标准化技术委员会 信息技术安全标准化技术委员会信息技术安全标准化技术委员会(CITS)成立于成立于1984年，在国家标准化管理委员会和信息产业部年，在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作。相对应的标准化工作。 11.2 中国信息安全标准中国信息安全标准2.中国通信标准化协会中国通信标准化协会 中国通信标准化协会中国通信标准化协会(CCSA)成立于成立于2002年年12月月18日。日。CCSA下设了有线网络信息安全、无线

17、网下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施络信息安全、安全管理和安全基础设施4个工作个工作组负责研究组负责研究: 有线网络中电话网、互联网、传输网、接入网等有线网络中电话网、互联网、传输网、接入网等在内所有电信网络相关的安全标准在内所有电信网络相关的安全标准; 无线网络中接入、核心网、业务等相关的安全标无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作组准以及安全管理工作组; 安全基础设施工作组中网管安全以及安全基础设安全基础设施工作组中网管安全以及安全基础设施相关的标准。施相关的标准。11.2 中国信息安全标准中国信息安全标准11.2.3 信息安全标准体系研

18、究特点信息安全标准体系研究特点基于信息内容的过虑和管制技术将越来越受关注；基于信息内容的过虑和管制技术将越来越受关注；防范和治理垃圾信息成为网络安全研究重要内容；防范和治理垃圾信息成为网络安全研究重要内容；网络与信息安全研究重点将逐渐从设备层面向网络网络与信息安全研究重点将逐渐从设备层面向网络层面转移；层面转移；业务安全越来越成为运营商研究重点；业务安全越来越成为运营商研究重点；认证技术将研究和梳理，生物鉴别成为重要内容；认证技术将研究和梳理，生物鉴别成为重要内容；11.2 中国信息安全标准中国信息安全标准网络建设将重视信任体系的建设；网络建设将重视信任体系的建设；互联网安全将进一步研究，其成

19、果将适用于下一互联网安全将进一步研究，其成果将适用于下一代网以及代网以及3G核心网；核心网；网络上信息安全将划分责权，网络侧负责部分私网络上信息安全将划分责权，网络侧负责部分私密性密性(隔离隔离)和完整性，机密性和不可否认性由端和完整性，机密性和不可否认性由端到端保障；到端保障；安全管理中的安全风险评估将成为安全研究重要安全管理中的安全风险评估将成为安全研究重要内容。内容。11.2 中国信息安全标准中国信息安全标准11.2.4 我国在信息安全管理标准方面采取的措施我国在信息安全管理标准方面采取的措施 我国政府主管部门以及各行各业已经认识到了信我国政府主管部门以及各行各业已经认识到了信息安全的重

20、要性。政府部门开始出台一系列相关息安全的重要性。政府部门开始出台一系列相关策略策略,直接牵引、推进信息安全的应用和发展。直接牵引、推进信息安全的应用和发展。 由政府主导的各大信息系统工程和信息化程度要由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业求非常高的相关行业,也开始出台对信息安全技术也开始出台对信息安全技术产品的应用标准和规范。产品的应用标准和规范。 11.3 中国国家物联网标准组织中国国家物联网标准组织物联网标准的划分应该是分层次的，物联网标准的划分应该是分层次的， 如传感器的、如传感器的、应用的、传输的等，或者细化为芯片、电路、通应用的、传输的等，或者细化为芯片、电路、

21、通信接口、路由等层次，而目前我国在做的主要是信接口、路由等层次，而目前我国在做的主要是在传感器上的标准，是传感网络路由层面的专利。在传感器上的标准，是传感网络路由层面的专利。目前，我国物联网技术的研发水平已位于世界前目前，我国物联网技术的研发水平已位于世界前列，列， 与德国、美国、日本等国一起，成为国际标与德国、美国、日本等国一起，成为国际标准制定的主要国家，逐步成为全球物联网产业链准制定的主要国家，逐步成为全球物联网产业链中重要的一环。中重要的一环。 11.3 中国国家物联网标准组织中国国家物联网标准组织11.3.1 电子标签国家标准工作组电子标签国家标准工作组2005年年12月月2日，日，

22、 电子标签标准工作组在北京正电子标签标准工作组在北京正式宣布成立。该工作组的任务是联合社会各方面式宣布成立。该工作组的任务是联合社会各方面力量，开展电子标签标准体系的研究，并以企业力量，开展电子标签标准体系的研究，并以企业为主体进行标准的预先研究和制为主体进行标准的预先研究和制/修订工作。修订工作。 11.3 中国国家物联网标准组织中国国家物联网标准组织电子标签标准工作组的电子标签标准工作组的组织结构组织结构 11.3 中国国家物联网标准组织中国国家物联网标准组织11.3.2 传感器网络标准工作组传感器网络标准工作组 2009年年9月月11日，传感器网络标准工作组成立大日，传感器网络标准工作组

23、成立大会暨会暨“感知中国感知中国”高峰论坛在北京举行。高峰论坛在北京举行。 传感器网络标准工作组是由国家标准化管理委员传感器网络标准工作组是由国家标准化管理委员会批准筹建，全国信息技术标准化技术委员会批会批准筹建，全国信息技术标准化技术委员会批准成立并领导，从事传感器网络（简称传感网）准成立并领导，从事传感器网络（简称传感网）标准化工作的全国性技术组织。标准化工作的全国性技术组织。11.3 中国国家物联网标准组织中国国家物联网标准组织传感器网络标准工作组的组成传感器网络标准工作组的组成 11.3 中国国家物联网标准组织中国国家物联网标准组织11.3.3 泛在网技术工作委员会泛在网技术工作委员会

24、 2010年年2月月2日，日， 中国通信标准化协会（中国通信标准化协会（CCSA）泛在网技术工作委员会（泛在网技术工作委员会（TC10）成立大会暨第）成立大会暨第一次全会在北京召开。一次全会在北京召开。 TC10的成立，标志着的成立，标志着CCSA今后泛在网技术与标今后泛在网技术与标准化的研究将更加专业化、系统化、深入化，必准化的研究将更加专业化、系统化、深入化，必将进一步促进电信运营商在泛在网领域进行积极将进一步促进电信运营商在泛在网领域进行积极的探索和有益的实践，不断优化设备制造商的技的探索和有益的实践，不断优化设备制造商的技术研发方案，推动泛在网产业健康快速发展。术研发方案，推动泛在网产

25、业健康快速发展。11.3 中国国家物联网标准组织中国国家物联网标准组织10.3.4 中国物联网标准联合工作组中国物联网标准联合工作组 2010年年6月月8日，在国家标准化管理委员会、工日，在国家标准化管理委员会、工业和信息化部等相关部委的共同领导和直接指导业和信息化部等相关部委的共同领导和直接指导下，由全国工业过程测量和控制标准化技术委员下，由全国工业过程测量和控制标准化技术委员会、全国智能建筑及居住区数字化标准化技术委会、全国智能建筑及居住区数字化标准化技术委员会、全国智能运输系统标准化技术委员会等员会、全国智能运输系统标准化技术委员会等19家现有标准化组织联合倡导并发起成立物联网标家现有标

26、准化组织联合倡导并发起成立物联网标准联合工作组。准联合工作组。11.4 信息安全管理体系信息安全管理体系11.4.1 信息安全管理简介信息安全管理简介 如今，遍布全球的互联网使得组织机构不仅内在如今，遍布全球的互联网使得组织机构不仅内在依赖依赖IT系统，还不可避免地与外部的系统，还不可避免地与外部的IT系统建立系统建立了错综复杂的联系，但系统瘫痪、黑客入侵、病了错综复杂的联系，但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生，这些给组织的经营资料的泄露等事情时有发生，这些给组织的经营管理、生存甚至国家安全都带来

27、严重的影响。管理、生存甚至国家安全都带来严重的影响。 所以，对信息加以保护，防范信息的损坏和泄露，所以，对信息加以保护，防范信息的损坏和泄露，已成为当前组织迫切需要解决的问题。已成为当前组织迫切需要解决的问题。11.4 信息安全管理体系信息安全管理体系11.4.2信息安全管理体系标准发展历史信息安全管理体系标准发展历史 目前，目前，ISO/IEC27001:2005信息安全管理体信息安全管理体系标准已经成为世界上应用最广泛与典型的信息系标准已经成为世界上应用最广泛与典型的信息安全管理标准。安全管理标准。ISO/IEC27001是由英国标准是由英国标准BS7799转换而成的。转换而成的。 依据依

28、据ISO/IEC27001：2005建立信息安全管理体建立信息安全管理体系并获得认证正成为世界潮流。系并获得认证正成为世界潮流。 标准包括标准包括11大管理要项、大管理要项、39个控制目标和个控制目标和133项项控制措施，为组织提供全方位的信息安全保障。控制措施，为组织提供全方位的信息安全保障。11.4 信息安全管理体系信息安全管理体系11.4.3信息安全管理体系标准主要内容信息安全管理体系标准主要内容 信息安全管理体系标准主要内容有：信息安全管理体系标准主要内容有： 1.安全方针安全方针 2.安全组织安全组织 3.资产分类与管理资产分类与管理 4.人力资源安全人力资源安全 5.物理和环境安全物理和环境安全 6.通信与操作管理通信与操作管理