物联网安全检查评估办法

物联网安全检查评估办法第一章总则第一条为加强物联网系统安全防护能力，规范物联网安全检查与评估工作，及时发现并消除安全隐患，保障物联网设备及数据的机密性、完整性和可用性，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及关键信息基础设施安全保护相关条例，制定本办法。第二条本办法适用于本单位及所属分支机构所有建设、运营、管理的物联网系统及相关设施。包括但不限于感知层设备（传感器、RFID标签、智能摄像头等）、网络传输设备（网关、路由器、DTU等）、平台层系统（物联网管理平台、云服务平台）以及应用层业务系统。第三条物联网安全检查评估工作坚持“安全第一、预防为主、综合治理”的方针，遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。通过常态化自查与专项评估相结合的方式，确保物联网系统全生命周期安全可控。第四条检查评估工作主要目标是：识别物联网架构中的脆弱性，验证安全防护措施的有效性，评估数据传输与存储的安全性，核查设备接入与身份认证机制的可靠性，以及评估供应链安全风险。第二章组织管理与职责第五条成立物联网安全领导小组，负责统筹全局物联网安全检查评估工作，审定年度检查计划，批准评估报告，决策重大安全风险处置方案。第六条信息安全管理部门作为牵头执行部门，具体职责包括：（一）制定和完善物联网安全检查评估制度及标准规范；（二）编制年度安全检查评估计划并组织实施；（三）协调第三方安全服务机构开展深度评估或渗透测试；（四）汇总检查结果，编制评估报告，跟踪整改情况；（五）建立物联网安全检查评估档案库。第七条物联网业务部门作为系统使用和运营主体，职责包括：（一）配合开展安全检查评估，提供必要的系统资料、网络拓扑、接口文档及测试环境；（二）负责本部门物联网系统的日常安全自查；（三）落实检查发现问题的整改工作，及时反馈整改结果；（四）在系统上线或变更前，向安全管理部门提交安全评估申请。第八条采购与供应链管理部门负责配合核查物联网设备供应商的安全资质、硬件组件来源及固件安全维护承诺，确保设备供应链环节的可追溯性。第三章检查范围与分类第九条检查范围覆盖物联网系统的全生命周期及全技术栈，具体包括：（一）感知层：各类传感器、智能终端、RFID读写器、边缘计算网关等物理设备及其嵌入式操作系统；（二）网络层：无线通信模块（Wi-Fi、蓝牙、Zigbee、LoRa、NB-IoT、5G模组等）、有线网络接入设备、工业控制协议等；（三）平台层：设备管理平台、连接管理平台、数据处理中间件、API接口网关等；（四）应用层：基于物联网数据开发的业务应用、移动端APP、Web管理后台等；（五）数据层：采集数据、传输数据、存储数据及用户隐私信息。第十条根据检查性质和触发条件，将检查评估分为以下四类：（一）新建系统上线前安全评估：物联网系统建设完成后，正式上线运行前必须进行的强制性安全评估；（二）定期例行安全检查：每半年至少开展一次全面的安全自查和风险评估；（三）专项安全检查：针对重大节假日、重保活动、或发生重大网络安全事件后开展的专项排查；（四）系统变更安全评估：在物联网系统发生重大架构调整、核心设备更换、固件升级或新增接入设备数量超过一定规模时进行的评估。第四章感知层设备安全检查内容第十一条硬件物理安全检查。重点评估设备部署环境的物理防护能力，检查设备是否存在易被物理拆卸、破坏或篡改的风险。对于户外部署的设备，需检查外壳防拆机锁、防破坏报警机制是否有效。对于关键节点设备，需核查是否具备防电磁泄露、防电磁干扰能力。第十二条固件与嵌入式系统安全检查。（一）固件完整性：检查设备固件是否具备数字签名验证机制，防止固件被篡改或植入恶意代码；（二）固件更新机制：评估固件升级过程是否加密传输，是否支持断点续传和回滚功能，防止升级过程被劫持或因升级失败导致设备变砖；（三）调试接口检查：核查设备是否关闭了JTAG、UART、USB等物理调试接口，或对接口进行了严格的物理封堵和密码保护；（四）默认配置安全：严禁设备出厂时保留默认账号、默认密码或默认的硬编码密钥。检查中需扫描是否存在通用默认凭据。第十三条感知节点身份认证检查。评估每个感知设备是否具备唯一身份标识（如IMEI、MAC地址、设备证书等）。检查设备接入网络时是否采用双向身份认证机制，确保只有经过授权的合法设备才能接入网关或平台，防止非法节点伪装接入。第十四条边缘计算节点安全检查。对于具备边缘计算能力的网关或边缘服务器，需检查其操作系统基线配置（如密码复杂度、登录失败处理策略、最小服务原则），核查是否存在未授权的高危端口开放，以及是否安装了防病毒软件或入侵检测系统。第五章网络传输层安全检查内容第十五条通信协议安全性检查。（一）加密传输验证：检查设备与平台、设备与网关之间的通信是否采用加密通道（如TLS/DTLS、SSH、VPN等）。严禁在公网传输中使用明文协议（如HTTP、Telnet、FTP）；（二）协议版本检查：评估使用的SSL/TLS版本是否支持1.2及以上，禁用不安全的SSLv2/v3及TLS1.0。检查加密套件配置，禁用弱加密算法（如RC4、DES、3DES、MD5）；（三）物联网专用协议检查：针对MQTT、CoAP等协议，检查是否配置了强密码认证或Token认证，MQTT协议需验证ClientId、Username、Password的复杂度及唯一性。第十六条无线网络安全检查。（一）无线接入防护：检查Wi-Fi网络是否隐藏SSID或采用Enterprise级认证（802.1X），禁用WEP/WPA等弱加密方式，强制使用WPA2-AES或WPA3；（二）射频信号安全：评估无线信号覆盖范围是否合理，是否存在信号泄露风险。对于关键无线链路，需检查是否具备跳频扩频或抗干扰能力；（三）蓝牙安全：检查蓝牙设备是否使用最新版本协议，是否强制开启配对验证，并限制配对超时时间，防止“蓝牙钓鱼”攻击。第十七条网络边界防护检查。核查物联网区域与办公网、生产网、互联网之间的边界隔离措施。评估防火墙策略是否遵循“最小化原则”，检查是否存在非必要的跨区域访问策略。对于工业物联网环境，需重点检查工业防火墙、网闸（隔离装置）的配置有效性。第六章平台与应用层安全检查内容第十八条平台架构与组件安全。评估物联网平台采用的技术架构安全性，检查底层操作系统、数据库、中间件（如Kafka、Redis、Nginx）的版本是否存在已知的高危漏洞（CVE）。核查组件配置是否剔除了演示页面、示例脚本和不必要的测试接口。第十九条API接口安全检查。（一）身份鉴别：检查所有API接口是否实施了有效的身份认证机制，如OAuth2.0、JWT、APIKey等；（二）访问控制：评估API接口的权限校验逻辑，防止越权访问（IDOR）。确保普通用户无法访问管理员接口，跨租户数据隔离严格；（三）输入验证：检查接口参数是否进行了严格的类型、长度、格式校验，防止SQL注入、命令注入、XSS等攻击；（四）速率限制：评估API是否具备防刷机制，防止恶意高频调用导致服务拒绝。第二十条应用软件安全检查。对物联网业务APP及Web后台进行漏洞扫描和渗透测试。重点检查反序列化漏洞、逻辑漏洞（如绕过支付、绕过审批）、文件上传漏洞以及敏感信息泄露。检查移动APP是否进行了代码混淆，防止被逆向分析获取密钥。第二十一条鉴权与会话管理。检查用户登录模块的密码复杂度策略、验证码机制（防爆破）、多因素认证（MFA）开启情况。评估会话超时时间设置是否合理，会话标识（SessionID/Token）是否随机且不可预测，注销登录后是否彻底销毁服务端会话。第七章数据安全与隐私保护检查第二十二条数据采集安全。评估传感器采集数据的精度与频率，检查是否存在过度采集与业务无关的个人信息。对于涉及生物特征（人脸、指纹、声纹）的采集设备，需核查是否获得用户明确授权，并符合相关国家标准。第二十三条数据存储安全。（一）存储加密：检查敏感数据（如用户身份信息、位置轨迹、控制指令）在数据库中是否采用加密存储，密钥管理是否符合规范；（二）备份安全：评估数据备份策略，检查备份数据是否加密，备份介质是否异地存放，以及是否定期验证备份数据的可恢复性；（三）剩余信息保护：检查存储介质在废弃、重分配或维修时，其中的敏感数据是否被彻底擦除。第二十四条数据处理与共享安全。评估数据在平台流转过程中的脱敏、去标识化处理情况。检查与第三方系统共享数据时，是否签署了数据保密协议，并采用了安全的数据传输通道。严禁未经审批直接向第三方提供原始物联网数据。第二十五条数据生命周期管理。核查是否建立了数据分类分级制度，对核心数据、重要数据、一般数据实施差异化保护。评估数据的保留期限是否符合业务需求和法律法规要求，超期数据是否及时销毁。第八章供应链安全检查第二十六条供应商资质审查。检查物联网设备供应商、软件开发商的安全背景，评估其是否具备ISO27001等安全认证资质。对于进口设备，需核查是否通过了网络安全审查。第二十七条硬件组件安全。评估设备中使用的芯片、模组等关键硬件组件的来源渠道，防范硬件木马、后门芯片植入风险。要求供应商提供硬件物料清单（BOM）及安全测试报告。第二十八条软件及开源组件检查。对设备固件及平台软件中引用的开源组件进行SBOM（软件物料清单）分析，扫描是否存在已知的高危漏洞、许可证合规风险或恶意代码。检查供应商是否提供持续的安全补丁支持。第九章检查评估方法与流程第二十九条检查评估方法主要包括：（一）文档审查：查阅安全管理制度、设计方案、网络拓扑图、运维记录、审计日志等文档资料；（二）人员访谈：与系统管理员、运维人员、业务负责人进行访谈，了解安全措施的落实情况及实际操作流程；（三）漏洞扫描：使用专业漏扫工具对物联网平台、Web应用、网络设备进行自动化扫描；（四）渗透测试：模拟黑客攻击手段，对关键系统进行人工渗透测试，验证漏洞的可利用性；（五）配置核查：使用基线扫描工具或人工核查方式，检查操作系统、数据库、网络设备的配置合规性；（六）固件分析：对物联网设备固件进行逆向分析，提取文件系统，查找硬编码密钥、后门账户等安全隐患。第三十条检查评估工作流程如下：（一）准备阶段：制定检查方案，确定检查范围、对象、工具及人员分工，下发检查通知，收集相关资料；（二）实施阶段：召开启动会，按照检查内容逐项开展技术检测与管理核查，详细记录发现的问题与证据；（三）分析阶段：对收集到的数据进行汇总分析，识别风险点，判定风险等级，形成初步检查结果；（四）报告阶段：编写《物联网安全检查评估报告》，提出整改建议，组织专家评审；（五）整改阶段：向被检查部门下发整改通知书，明确整改责任人和期限；（六）复核阶段：整改期限届满后，对整改情况进行复查，确保问题闭环解决。第十章风险评估与定级第三十一条依据安全隐患对物联网系统可能造成的危害程度，将风险划分为四个等级：高危、中危、低危、提示。第三十二条风险定级标准如下表所示：风险等级定义描述判定参考指标高危严重威胁系统安全，可导致数据大规模泄露、系统被完全控制、核心业务中断，或造成严重的社会影响。存在远程代码执行（RCE）漏洞、SQL注入可获取数据库权限、明文传输核心数据、存在硬编码管理员密码、未授权访问导致敏感数据泄露。中危对系统安全产生较大影响，可能导致部分数据泄露、系统功能受限或局部服务中断。存在存储型XSS、越权访问、弱加密算法使用、关键组件存在已知CVE漏洞、未启用双因素认证、日志审计功能缺失。低危对系统安全有一定影响，攻击难度较高或影响范围有限。存在反射型XSS、版本信息泄露、错误信息回显、配置不当但利用难度大、目录列举。提示潜在的安全隐患，或不符合最佳安全实践，建议优化。缺少安全响应头、未设置HttpOnly属性、Session超时时间过长、文档中包含敏感测试账号。第三十三条在评估报告中，必须对每个发现的问题进行风险定级，并计算整体系统的安全风险评分。对于高危和中危漏洞，必须给出详细的复现步骤、截图或PoC（概念验证）代码。第十一章问题整改与闭环管理第三十四条整改责任主体为物联网业务部门及系统运维团队。对于发现的安全问题，应在收到整改通知书后规定时限内完成整改。第三十五条整改时限要求：（一）高危漏洞：必须在3个工作日内完成临时加固措施（如阻断访问、关闭端口），7个工作日内完成彻底修复；（二）中危漏洞：必须在10个工作日内完成修复；（三）低危漏洞及提示项：必须在30个工作日内完成修复或优化。第三十六条对于因技术架构等客观原因无法在限期内整改的，整改责任部门必须提交书面延期申请，说明原因及临时防护措施，经信息安全管理部门审核批准后方可延期。延期时间原则上不超过3个月。第三十七条建立问题整改台账，实行“销号”管理。整改完成后，责任部门需提交整改报告（含修复截图、测试记录），由安全管理部门进行复核验证。确认修复无误后，在台账中销号；若复核不通过，则退回重新整改。第三十八条对于多次整改不到位或重复出现的历史遗留问题，信息安全管理部门应上报物联网安全领导小组，并纳入该部门的年度绩效考核。第十二章监督与责任追究第三十九条信息安全管理部门定期通报各部门物联网安全检查评估结果及整改情况。对于检查评估工作组织不力、配合不积极的部门，在全公司范围内进行通报批评。第四十条建立物联网安全奖惩机制。对在安全检查评估中发现重大安全隐患并及时上报、避免重大损失的个人或团队给予表彰和奖励。对违反本办法规定，导致发生物联网安全事件的，依据相关规定追究责任部门负责人及相关责任人的行政责任；构成犯罪的，依法移送司法机关追