物聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)物聯(lián)網(wǎng)安全導(dǎo)論

1、第11章 物聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn) 第1頁(yè)學(xué)習(xí)任務(wù)國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 中國(guó)信息安全標(biāo)準(zhǔn) 中國(guó)國(guó)家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織 Click to add title in here 123本章主要包括：4信息安全管理體系 5第2頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化工作是國(guó)家信息安全保障體系建設(shè)主要組成。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)研究與制訂為國(guó)家主管部門管理信息 安全設(shè)備提供了有效技術(shù)依據(jù)，這對(duì)于確保安全設(shè)備正常運(yùn)行，并在此基礎(chǔ)上確保我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)管理等領(lǐng)域中網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行安全和信息安全含有非常主要意義。第3頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 11.1.1 國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際上信息安全標(biāo)

2、準(zhǔn)化工作興起于20世紀(jì)70年代中期，80年代有了較快發(fā)展，90年代引發(fā)了世界各國(guó)普遍關(guān)注。當(dāng)前世界上有近300個(gè)國(guó)際和區(qū)域性組織制訂標(biāo)準(zhǔn)或技術(shù)規(guī)則，與信息安全標(biāo)準(zhǔn)化相關(guān)組織主要有以下4個(gè)：第4頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 （1）國(guó)際標(biāo)準(zhǔn)化組織(ISO)于1947年2月23日正式開始工作，信息技術(shù)標(biāo)準(zhǔn)化委員會(huì) (ISO/IEC JTC1)所屬安全技術(shù)分委員會(huì)(SC 27)前身是數(shù)據(jù)加密分技術(shù)委員會(huì)(SC20)，主要從事信息技術(shù)安全普通方法和技術(shù)標(biāo)準(zhǔn)化工作。第5頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 而ISO/TC68負(fù)責(zé)與銀行業(yè)務(wù)應(yīng)用范圍內(nèi)相關(guān)信息安全標(biāo)準(zhǔn)制訂，它主要制訂行業(yè)應(yīng)用標(biāo)準(zhǔn)，在組織上

3、和標(biāo)準(zhǔn)之間與SC27有著親密聯(lián)絡(luò)。ISO/IEC JTC1負(fù)責(zé)制訂標(biāo)準(zhǔn)主要是開放系統(tǒng)互連、密鑰管理、數(shù)字署名、安全評(píng)定等方面內(nèi)容。第6頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 （2）國(guó)際電工委員會(huì)(IEC)正式成立于1910月，是世界上成立最早專門國(guó)際標(biāo)準(zhǔn)化機(jī)構(gòu)。在信息安全標(biāo)準(zhǔn)化方面，除了與ISO聯(lián)合成立了JTC1屬分委員會(huì)外，它還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立了技術(shù)委員會(huì)，并為信息技術(shù)設(shè)備安全(IEC 60950)等制訂相關(guān)國(guó)際標(biāo)準(zhǔn)。第7頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 （3）國(guó)際電信聯(lián)盟(ITU)成立于1865年5月17日，所屬SG17組主要負(fù)責(zé)研究通信系統(tǒng)安全標(biāo)準(zhǔn)。SG17組

4、主要研究?jī)?nèi)容包含：通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全生物測(cè)定、安全通信服務(wù)。另外SG16和下一代網(wǎng)絡(luò)關(guān)鍵組也在通信安全、H323網(wǎng)絡(luò)安全、下一代網(wǎng)絡(luò)安全等標(biāo)準(zhǔn)方面進(jìn)行了研究。第8頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 （4）Internet工程任務(wù)組(IETF)創(chuàng)建于1986年，其主要任務(wù)是負(fù)責(zé)互聯(lián)網(wǎng)相關(guān)技術(shù)規(guī)范研發(fā)和制訂。IETF制訂標(biāo)準(zhǔn)詳細(xì)工作由各個(gè)工作組負(fù)擔(dān)，工作組分成8個(gè)領(lǐng)域，包括Internet路由、傳輸、應(yīng)用領(lǐng)域等等，包含在RFC系列之中IKE和IPsec，還有電子郵件，網(wǎng)絡(luò)認(rèn)證和密碼標(biāo)準(zhǔn)，另外，也包含了 TLS標(biāo)準(zhǔn)和其它安全協(xié)議標(biāo)準(zhǔn)。第9頁(yè)11.1 國(guó)際信息技

5、術(shù)標(biāo)準(zhǔn)化組織 11.1.2 國(guó)際信息安全管理體系 國(guó)際上比較有影響信息安全標(biāo)準(zhǔn)體系主要有：1. ISO/IEC國(guó)際標(biāo)準(zhǔn)13335、17799、27001系列SO/IEC JTC1 SC27/WG1(國(guó)際標(biāo)準(zhǔn)化組織/國(guó)際電工委員會(huì)信息技術(shù)委員會(huì) 安全技術(shù)分委員會(huì)/第一工作組)是制訂和修訂ISMS標(biāo)準(zhǔn)國(guó)際組織。第10頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 ISO和IEC是世界范圍標(biāo)準(zhǔn)化組織，它由各個(gè)國(guó)家和地域組員組成，各國(guó)相關(guān)標(biāo)準(zhǔn)化組織都是其組員，他們經(jīng)過(guò)各技術(shù)委員會(huì)，參加相關(guān)標(biāo)準(zhǔn)制訂。為了更加好協(xié)作和共同規(guī)范信息技術(shù)領(lǐng)域，ISO和國(guó)際電工委員會(huì)(ITU)成立了聯(lián)合技術(shù)委員會(huì)，即ISO/IEC JTC

6、1，負(fù)責(zé)信息技術(shù)領(lǐng)域標(biāo)準(zhǔn)化工作。其中子委員會(huì)27專門負(fù)責(zé)IT安全技術(shù)領(lǐng)域標(biāo)準(zhǔn)化工作。第11頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 在ISO/IEC JTC1 SC 27所公布標(biāo)準(zhǔn)和技術(shù)匯報(bào)中，當(dāng)前最主要標(biāo)準(zhǔn)是ISO/IEC 13335、ISO/IEC 17799等。ISO/IEC將采取27000系列號(hào)碼作為編號(hào)方案，將原先全部信息安全管理標(biāo)準(zhǔn)進(jìn)行綜合，并進(jìn)行深入開發(fā)，形成一整套包含ISMS要求、風(fēng)險(xiǎn)管理、度量和測(cè)量以及實(shí)施指南等在內(nèi)信息安全管理體系。第12頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 2. 英國(guó)家標(biāo)準(zhǔn)準(zhǔn)協(xié)會(huì)（BSI）7799系列信息安全管理體系（Information Security Ma

7、nagement System,簡(jiǎn)稱ISMS）概念最初起源于英國(guó)家標(biāo)準(zhǔn)準(zhǔn)學(xué)會(huì)制訂BS7799標(biāo)準(zhǔn), 并伴伴隨其作為國(guó)際標(biāo)準(zhǔn)公布和普及而被廣泛地接收。同美國(guó)NIST相對(duì)應(yīng)，英國(guó)家標(biāo)準(zhǔn)準(zhǔn)協(xié)會(huì)(BSI)是英國(guó)負(fù)責(zé)信息安全管理標(biāo)準(zhǔn)機(jī)構(gòu)。在信息安全管理和相關(guān)領(lǐng)域，BSI做了大量工作，其結(jié)果已得到國(guó)際社會(huì)廣泛認(rèn)可。 第13頁(yè)11.1 國(guó)際信息技術(shù)標(biāo)準(zhǔn)化組織 3.美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)委員會(huì)（NIST）尤其出版物系列，美國(guó)經(jīng)過(guò)了一部聯(lián)邦信息安全管理法案(FISMA)。依據(jù)它，美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)委員會(huì)(NIST)負(fù)責(zé)為美國(guó)政府和商業(yè)機(jī)構(gòu)提供信息安全管理相關(guān)標(biāo)準(zhǔn)規(guī)范。所以，NIST一系列FIPS標(biāo)準(zhǔn)和NIST 尤其

8、出版物800系列(NIST SP 800系列)成為了指導(dǎo)美國(guó)信息安全管理建設(shè)主要標(biāo)準(zhǔn)和參考資料。第14頁(yè)11.2 中國(guó)信息安全標(biāo)準(zhǔn)11.2.1 我國(guó)信息安全標(biāo)準(zhǔn)化現(xiàn)實(shí)狀況當(dāng)前，我國(guó)按照國(guó)務(wù)院授權(quán)，在國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局管理下，由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)統(tǒng)一管理全國(guó)家標(biāo)準(zhǔn)準(zhǔn)化工作，下設(shè)有255個(gè)專業(yè)技術(shù)委員會(huì)。中國(guó)家標(biāo)準(zhǔn)準(zhǔn)化工作實(shí)施統(tǒng)一管理與分工負(fù)責(zé)相結(jié)合管理體制，分工管理本行政區(qū)域內(nèi)、本部門、本行業(yè)標(biāo)準(zhǔn)化工作。第15頁(yè)11.2 中國(guó)信息安全標(biāo)準(zhǔn)成立于1984年全國(guó)信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)，在國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)和信息產(chǎn)業(yè)部共同領(lǐng)導(dǎo)下負(fù)責(zé)全國(guó)信息技術(shù)領(lǐng)域以及與 ISO/IEC J

9、TC1相對(duì)應(yīng)標(biāo)準(zhǔn)化工作，當(dāng)前下設(shè)24個(gè)分技術(shù)委員會(huì)和尤其工作組，是當(dāng)前國(guó)內(nèi)最大標(biāo)準(zhǔn)化技術(shù)委員會(huì)。它是一個(gè)含有廣泛代表性、權(quán)威性和軍民結(jié)合信息安全標(biāo)準(zhǔn)化組織。第16頁(yè)11.2 中國(guó)信息安全標(biāo)準(zhǔn)11.2.2 國(guó)內(nèi)安全標(biāo)準(zhǔn)組織機(jī)構(gòu)國(guó)內(nèi)安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)以及中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)下轄網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)。1. 信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)成立于1984年，在國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)和信息產(chǎn)業(yè)部共同領(lǐng)導(dǎo)下負(fù)責(zé)全國(guó)信息技術(shù)領(lǐng)域以及與ISO/IEC JTC1相對(duì)應(yīng)標(biāo)準(zhǔn)化工作。 第17頁(yè)11.2 中國(guó)信息安全標(biāo)準(zhǔn)2.中

10、國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)成立于12月18日。CCSA下設(shè)了有線網(wǎng)絡(luò)信息安全、無(wú)線網(wǎng)絡(luò)信息安全、安全管理和安全基礎(chǔ)設(shè)施4個(gè)工作組負(fù)責(zé)研究:有線網(wǎng)絡(luò)中電話網(wǎng)、互聯(lián)網(wǎng)、傳輸網(wǎng)、接入網(wǎng)等在內(nèi)全部電信網(wǎng)絡(luò)相關(guān)安全標(biāo)準(zhǔn);無(wú)線網(wǎng)絡(luò)中接入、關(guān)鍵網(wǎng)、業(yè)務(wù)等相關(guān)安全標(biāo)準(zhǔn)以及安全管理工作組;安全基礎(chǔ)設(shè)施工作組中網(wǎng)管安全以及安全基礎(chǔ)設(shè)施相關(guān)標(biāo)準(zhǔn)。第18頁(yè)11.2 中國(guó)信息安全標(biāo)準(zhǔn)11.2.3 信息安全標(biāo)準(zhǔn)體系研究特點(diǎn)基于信息內(nèi)容過(guò)慮和管制技術(shù)將越來(lái)越受關(guān)注；防范和治理垃圾信息成為網(wǎng)絡(luò)安全研究主要內(nèi)容；網(wǎng)絡(luò)與信息安全研究重點(diǎn)將逐步從設(shè)備層面向網(wǎng)絡(luò)層面轉(zhuǎn)移；業(yè)務(wù)安全越來(lái)越成為運(yùn)行商研究重點(diǎn)；認(rèn)證技術(shù)

11、將研究和梳理，生物判別成為主要內(nèi)容；第19頁(yè)11.2 中國(guó)信息安全標(biāo)準(zhǔn)網(wǎng)絡(luò)建設(shè)將重視信任體系建設(shè)；互聯(lián)網(wǎng)安全將深入研究，其結(jié)果將適合用于下一代網(wǎng)以及3G關(guān)鍵網(wǎng)；網(wǎng)絡(luò)上信息安全將劃分責(zé)權(quán)，網(wǎng)絡(luò)側(cè)負(fù)責(zé)部分私密性(隔離)和完整性，機(jī)密性和不可否定性由端到端保障；安全管理中安全風(fēng)險(xiǎn)評(píng)定將成為安全研究主要內(nèi)容。第20頁(yè)11.2 中國(guó)信息安全標(biāo)準(zhǔn)11.2.4 我國(guó)在信息安全管理標(biāo)準(zhǔn)方面采取辦法 我國(guó)政府主管部門以及各行各業(yè)已經(jīng)認(rèn)識(shí)到了信息安全主要性。政府部門開始出臺(tái)一系列相關(guān)策略,直接牽引、推進(jìn)信息安全應(yīng)用和發(fā)展。由政府主導(dǎo)各大信息系統(tǒng)工程和信息化程度要求非常高相關(guān)行業(yè),也開始出臺(tái)對(duì)信息安全技術(shù)產(chǎn)品應(yīng)用標(biāo)

12、準(zhǔn)和規(guī)范。 第21頁(yè)11.3 中國(guó)國(guó)家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織物聯(lián)網(wǎng)標(biāo)準(zhǔn)劃分應(yīng)該是分層次， 如傳感器、應(yīng)用、傳輸?shù)?，或者?xì)化為芯片、電路、通信接口、路由等層次，而當(dāng)前我國(guó)在做主要是在傳感器上標(biāo)準(zhǔn)，是傳感網(wǎng)絡(luò)路由層面專利。當(dāng)前，我國(guó)物聯(lián)網(wǎng)技術(shù)研發(fā)水平已位于世界前列， 與德國(guó)、美國(guó)、日本等國(guó)一起，成為國(guó)際標(biāo)準(zhǔn)制訂主要國(guó)家，逐步成為全球物聯(lián)網(wǎng)產(chǎn)業(yè)鏈中主要一環(huán)。 第22頁(yè)11.3 中國(guó)國(guó)家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織11.3.1 電子標(biāo)簽國(guó)家標(biāo)準(zhǔn)工作組12月2日， 電子標(biāo)簽標(biāo)準(zhǔn)工作組在北京正式宣告成立。該工作組任務(wù)是聯(lián)合社會(huì)各方面力量，開展電子標(biāo)簽標(biāo)準(zhǔn)體系研究，并以企業(yè)為主體進(jìn)行標(biāo)準(zhǔn)預(yù)先研究和制/修訂工作。 第23頁(yè)11.3

13、 中國(guó)國(guó)家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織電子標(biāo)簽標(biāo)準(zhǔn)工作組組織結(jié)構(gòu) 第24頁(yè)11.3 中國(guó)國(guó)家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織11.3.2 傳感器網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組9月11日，傳感器網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組成立大會(huì)暨“感知中國(guó)”高峰論壇在北京舉行。傳感器網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組是由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)同意籌建，全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)同意成立并領(lǐng)導(dǎo)，從事傳感器網(wǎng)絡(luò)（簡(jiǎn)稱傳感網(wǎng)）標(biāo)準(zhǔn)化工作全國(guó)性技術(shù)組織。第25頁(yè)11.3 中國(guó)國(guó)家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織傳感器網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組組成 第26頁(yè)11.3 中國(guó)國(guó)家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織11.3.3 泛在網(wǎng)技術(shù)工作委員會(huì)2月2日， 中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）泛在網(wǎng)技術(shù)工作委員會(huì)（TC10）成立大會(huì)暨第一次全會(huì)在北京召開。T

14、C10成立，標(biāo)志著CCSA今后泛在網(wǎng)技術(shù)與標(biāo)準(zhǔn)化研究將愈加專業(yè)化、系統(tǒng)化、深入化，必將深入促進(jìn)電信運(yùn)行商在泛在網(wǎng)領(lǐng)域進(jìn)行主動(dòng)探索和有益實(shí)踐，不停優(yōu)化設(shè)備制造商技術(shù)研發(fā)方案，推進(jìn)泛在網(wǎng)產(chǎn)業(yè)健康快速發(fā)展。第27頁(yè)11.3 中國(guó)國(guó)家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織10.3.4 中國(guó)物聯(lián)網(wǎng)標(biāo)準(zhǔn)聯(lián)合工作組6月8日，在國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)、工業(yè)和信息化部等相關(guān)部委共同領(lǐng)導(dǎo)和直接指導(dǎo)下，由全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)、全國(guó)智能建筑及居住區(qū)數(shù)字化標(biāo)準(zhǔn)化技術(shù)委員會(huì)、全國(guó)智能運(yùn)輸系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會(huì)等19家現(xiàn)有標(biāo)準(zhǔn)化組織聯(lián)合提倡并發(fā)起成立物聯(lián)網(wǎng)標(biāo)準(zhǔn)聯(lián)合工作組。第28頁(yè)11.4 信息安全管理體系11.4.1 信息安全管理介

15、紹如今，遍布全球互聯(lián)網(wǎng)使得組織機(jī)構(gòu)不但內(nèi)在依賴IT系統(tǒng)，還不可防止地與外部IT系統(tǒng)建立了錯(cuò)綜復(fù)雜聯(lián)絡(luò)，但系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁(yè)改寫、客戶資料流失及企業(yè)內(nèi)部資料泄露等事情時(shí)有發(fā)生，這些給組織經(jīng)營(yíng)管理、生存甚至國(guó)家安全都帶來(lái)嚴(yán)重影響。所以，對(duì)信息加以保護(hù)，防范信息損壞和泄露，已成為當(dāng)前組織迫切需要處理問(wèn)題。第29頁(yè)11.4 信息安全管理體系11.4.2信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史當(dāng)前，ISO/IEC27001:信息安全管理體系標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與經(jīng)典信息安全管理標(biāo)準(zhǔn)。ISO/IEC27001是由英國(guó)家標(biāo)準(zhǔn)準(zhǔn)BS7799轉(zhuǎn)換而成。依據(jù)ISO/IEC27001：建立信息安全管理體

16、系并取得認(rèn)證正成為世界時(shí)尚。標(biāo)準(zhǔn)包含11大管理要項(xiàng)、39個(gè)控制目標(biāo)和133項(xiàng)控制辦法，為組織提供全方位信息安全保障。第30頁(yè)11.4 信息安全管理體系11.4.3信息安全管理體系標(biāo)準(zhǔn)主要內(nèi)容 信息安全管理體系標(biāo)準(zhǔn)主要內(nèi)容有： 1.安全方針 2.安全組織 3.資產(chǎn)分類與管理 4.人力資源安全 5.物理和環(huán)境安全 6.通信與操作管理 7.訪問(wèn)控制 8.系統(tǒng)獲取、開發(fā)和維護(hù) 9.信息安全事件管理 10.業(yè)務(wù)連續(xù)性管理 11.符合性第31頁(yè)11.4 信息安全管理體系信息安全管理體系標(biāo)準(zhǔn)主要內(nèi)容 第32頁(yè)11.4 信息安全管理體系11.4.4 信息安全管理體系認(rèn)證BS7799-2 從1998年頒布后，在全世界范圍內(nèi)得到廣泛認(rèn)可。當(dāng)前已經(jīng)有40多個(gè)國(guó)家和地域開展信息安全管理體系認(rèn)證。依據(jù)信息安全管理體系國(guó)際使用者協(xié)會(huì)（ISMS International User Group）最新統(tǒng)計(jì)，到底，全球經(jīng)過(guò)信息安全管理體系BS 7799-2認(rèn)證組織已經(jīng)超出家。第33頁(yè)11.4 信息安