标准规范下载简介
GB/T 41781-2022 物联网 面向Web开放服务的系统 安全要求.pdfICS35.110 CCSL79
GB/T 41781—2022
范围…… 规范性引用文件 术语和定义·… 缩略语. 概述· 交互主体安全 6.1物理安全 6.2软件安全 6.3静态数据安全 交互过程安全 7.1接人安全 7.2通信安全 7.3动态数据安全 参考文献.
华阳二江寺拱桥加固工程施工组织设计本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。 本文件起草单位:中国电子科技集团公司信息科学研究院、中国电子技术标准化研究院、国家计算 机网络应急技术处理协调中心、江苏赛西科技发展有限公司、杭州海康威视数字技术股份有限公司、 北京信息科技大学、中电科技(北京)有限公司、深圳赛西信息技术有限公司、豪尔赛科技集团股份有限 公司、上海集成通信设备有限公司、公安部第三研究所、中国科学技术大学、北京东方通科技股份有限公 司、无锡物联网产业研究院、无锡物联网创新中心有限公司、浙江互灵科技有限公司、中国科学院上海高 等研究院、成都振芯科技股份有限公司、富士康工业互联网股份有限公司、北京东土科技股份有限公司、 金卡智能集团股份有限公司、深圳市腾讯计算机系统有限公司、北京电信规划设计院有限公司。 本文件主要起草人:王凡、李孟良、杨宏、邹昕、卓兰、郭雄、陈*华、王晓春、张健、张弛、孙亮、雷根、 刘姝、贾彦鹤、付根利、孙旭、刘继顺、苗付友、熊焰、张春林、王乐菲、董接莲、杨志伟、王振明、马旭凌、 王晖、陈雁、杨文是、张学琴、程远、周羽波、李资、李家京、吴明娟、陈小春。
GB/T 417812022
物联网面向Web开放服务的系统 安全要求
件规定了面向Web开放服务的物联网系统中交互主体和交互过程的安全要求,包括物理安 安全、静态数据安全、接人安全、通信安全及动态数据安全。 件适用于面向Web开放服务的物联网系统设计、开发和维护。
GB/T 41781—2022
面向Web开放服务的物联网系统参考架构见GB/T40778.1一2021的第5章,其交互主体包括 FFD、RFD、边缘网关、Web服务器和Web客户端,交互过程包括终端与网关交互、终端与Web服务器 交互、网关与Web服务器交互、Web服务器与Web客户端交互。面向Web开放服务的物联网系统安 全包括交互主体安全和交互过程安全。交互主体安全包括物理安全、软件安全和静态数据安全;交互过 程安全包括接人安全、通信安全和动态数据安全。 根据GB/T22239一2019规定的等级保护对象和安全保护等级,将面向Web开放服务的物联网系 统安全要求分为基本要求和增强要求两类。基本要求是面向Web开放服务的物联网系统均需满足的 安全要求;增强要求是在基本要求基础上的补充,对应GB/个22239一2019规定的三级及以上的面向 Web开放服务的物联网系统。
物理安全的增强要求包括: 交互主体更换的存储部件应永久性地销毁; 保存敏感数据的存储媒体不应存放在开放环境中; c) 部署在GB/T22239一2019第5章规定的三级及以上安全级别机房的网关、Web服务器应 物理隔离; d)应配备适量的终端,在发生事故时进行替换。
物理安全的增强要求包括: a 交互主体更换的存储部件应永久性地销毁; 保存敏感数据的存储媒体不应存放在开放环境中; c) 部署在GB/T22239一2019第5章规定的三级及以上安全级别机房的网关、Web服务器应做 物理隔离; d)应配备适量的终端,在发生事故时进行替换。
软件安全的增强要求包括: a)可基于可信根对交互主体的固件、引导程序、操作系统内核、应用程序等进行可信验证; b) 应支持审计工具对日志文档进行验证; c)Web服务器应具备检测漏洞能力,漏洞类型包括但不限于: ·SQL注人漏洞,含基于Get(从指定的资源请求数据)、Post(向指定的资源提交要被处理的 数据)方式提交的应包括字符、数字和搜索等的注人漏洞; ·Cookie(Web服务器存储在客户端本地的一个小型文件)注人漏洞,含基于Cookie方式提 交的应包括字符、数字和搜索等的注人漏洞; ·XSS漏洞,含基于Get、Post方式的跨站攻击漏洞; ·CSRF漏洞; ●目录遍历漏洞; ·信息泄露漏洞,含路径泄露、备份文件、源代码泄露、目录浏览等信息泄露漏洞; ? )文件包含漏洞,含远程、本地方式的文件包含漏洞,
静态数据安全的基本要求包括: a) 终端静态数据采集、存储、处理或生成应符合GB/T36951一2018中5.5的要求; b> 2 终端交互涉及的网关静态数据应符合GB/T37024—2018中6.2.3.1的要求; C) 终端交互涉及的Web服务器静态数据应符合GB/T20270—2006中5.7.1、5.7.3和5.8.1 要求。
静态数据安全的基本要求包括: 终端静态数据采集、存储、处理或生成应符合GB/T36951一2018中5.5的要求; b) 终端交互涉及的网关静态数据应符合GB/T37024—2018中6.2.3.1的要求; ? 终端交互涉及的Web服务器静态数据应符合GB/T20270—2006中5.7.1、5.7.3和5.8.1 要求。
静态数据安全的增强要求包括: a) 终端静态数据采集、存储、处理或生成应符合GB/T36951—2018中6.5的要求; b) 终端交互涉及的网关静态数据应符合GB/T37024一2018中7.2.3的要求; c Web服务器静态数据应定期形成安全态势分析报告。
静态数据安全的增强要求包括: a) 终端静态数据采集、存储、处理或生成应符合GB/T36951—2018中6.5的要求; b) 终端交互涉及的网关静态数据应符合GB/T37024一2018中7.2.3的要求; c Web服务器静态数据应定期形成安全态势分析报告。
7.1.1.1终端与网关交互
终端与网关交互安全基本要求包括: a) 终端接人网关时应具备唯一标识; b) 网关在交互前应对终端鉴别; c 网关可支持终端联动配对。
7.1.1.2终端与Web服务器交互
终端与Web服务器交互安全基本要求包括: a) 终端接人Web服务器时应具备唯一标识; b) Web服务器应对终端鉴别; C Web服务器可对终端访问控制。
7.1.1.3网关与Web服务器交互
网关与Web服务器交互安全基本要求包括: a Web服务器应与网关进行双向身份鉴别: b) Web服务器应对网关进行访问控制。
7.1.1.4Web服务器与Web客户端交互
Web服务器与Web客户端交互安全基本要求包括: a)Web服务器应与Web客户端进行双向身份鉴别 b)Web服务器应对Web客户端进行访问控制
7.1.2.1终端与网关交互
网关应支持配置安全策略。
7.1.2.2终端与Web服务器交互
终端与Web服务器交互安全增强要求包括: a) Web服务器应与终端进行双向身份鉴别; b) Web服务器应对终端进行访向控制。
绿地普利中心钢结构施工组织设计终端与Web服务器交互安全增强要求包括: a Web服务器应与终端进行双向身份鉴别; b) Web服务器应对终端进行访问控制。
7.1.2.3网关与Web服务器交互
7.1.2.4*Web服务器与Web客户端交互
Web客户端应支持配置新安全策略。
通信安全基本要求包括: a) 2 通信信道安全应符合GB/T37093一2018中7.1的要求; 2 应根据物联网系统所定的安全等级和交互内容重要程度,采用密码算法及其组合加密通信 协议。
水利施工方案通信信道安全应符合GB/T37093一2018中7.2的要求。