第11章 物联网信息安全标准-《物联网安全导论》
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 物联网标准的划分应该是分层次的, 如传感器的、
应用的、传输的等,或者细化为芯片、电路、通 信接口、路由等层次,而目前我国在做的主要是 在传感器上的标准,是传感网络路由层面的专利。
• 目前,我国物联网技术的研发水平已位于世界前
列, 与德国、美国、日本等国一起,成为国际标 准制定的主要国家,逐步成为全球物联网产业链 中重要的一环。
第11章 物联网信息安全标准
学习任务
本章主要涉及:
1 2 3 4
国际信息技术标准化组织 中国信息安全标准 中国国家物联网标准组织 信息安全管理体系
Click to add title in here
5
11.1 国际信息技术标准化组织
• 网络与信息安全标准化工作是国家信息安全保障
体系建设的重要组成。
11.2 中国信息安全标准
2.中国通信标准化协会 • 中国通信标准化协会(CCSA)成立于2002年12月 18日。CCSA下设了有线网络信息安全、无线网 络信息安全、安全管理和安全基础设施4个工作 组负责研究: • 有线网络中电话网、互联网、传输网、接入网等 在内所有电信网络相关的安全标准; • 无线网络中接入、核心网、业务等相关的安全标 准以及安全管理工作组; • 安全基础设施工作组中网管安全以及安全基础设 施相关的标准。
H323网络安全、下一代网络安全等标准方面进 行了研究。
11.1 国际信息技术标准化组织
(4)Internet工程任务组(IETF)
• 创立于1986年,其主要任务是负责互联网相关技
术规范的研发和制定。
• IETF制定标准的具体工作由各个工作组承担,工
作组分成8个领域,涉及Internet路由、传输、应 用领域等等,包含在RFC系列之中的IKE和 IPsec,还有电子邮件,网络认证和密码标准, 此外,也包括了 TLS标准和其它的安全协议标准。
11.1 国际信息技术标准化组织
(2)国际电工委员会(IEC)
• 正式成立于1906年10月,是世界上成立最早的
专门的国际标准化机构。在信息安全标准化方面,
除了与ISO联合成立了JTC1属的分委员会外,它
还在电信、电子系统、信息技术和电磁兼容等方 面成立了技术委员会,并为信息技术设备安全 (IEC 60950)等制定相关国际标准。
中期,80年代有了较快的发展,90年代引起了世
界各国的普遍关注。
• 目前世界上有近300个国际和区域性组织制定标 准或技术规则,与信息安全标准化有关的组织主 要有以下4个:
11.1 国际信息技术标准化组织
(1)国际标准化组织(ISO)
• 于1947年2月23日正式开始工作,信息技术标准
化委员会 (ISO/IEC JTC1)所属安全技术分委员会
11.1 国际信息技术标准化组织
11.1.2 国际信息安全管理体系
国际上比较有影响的信息安全标准体系主要有:
1. ISO/IEC的国际标准13335、17799、27001系列
• SO/IEC JTC1 SC27/WG1(国际标准化组织/国际
电工委员会信息技术委员会 安全技术分委员会/ 第一工作组)是制定和修订ISMS标准的国际组织。
11.4 信息安全管理体系
信息安全管理体系标准主要内容
11.4 信息安全管理体系
11.4.4 信息安全管理体系认证
11.1 国际信息技术标准化组织
(3)国际电信联盟(ITU)
• 成立于1865年5月17日,所属的SG17组主要负
责研究通信系统安全标准。
• SG17组主要研究的内容包括:通信安全项目、
安全架构和框架、计算安全、安全管理、用于安 全的生物测定、安全通信服务。
• 此外SG16和下一代网络核心组也在通信安全、
11.1 国际信息技术标准化组织
2. 英国标准协会(BSI)的7799系列
• 信息安全管理体系(Information Security Management System,简称ISMS)的概念最初 来源于英国标准学会制定的BS7799标准, 并伴随 着其作为国际标准的发布和普及而被广泛地接受。
• 同美国NIST相对应,英国标准协会(BSI)是英国 负责信息安全管理标准的机构。在信息安全管理 和相关领域,BSI做了大量的工作,其成果已得 到国际社会的广泛认可。
11.2 中国信息安全标准
11.2.3 信息安全标准体系研究特点
①基于信息内容的过虑和管制技术将越来越受关注;
②防范和治理垃圾信息成为网络安全研究重要内容;
③网络与信息安全研究重点将逐渐从设备层面向网络
层面转移; ④业务安全越来越成为运营商研究重点; ⑤认证技术将研究和梳理,生物鉴别成为重要内容;
11.4 信息安全管理体系
11.4.1 信息安全管理简介 • 如今,遍布全球的互联网使得组织机构不仅内在 依赖IT系统,还不可避免地与外部的IT系统建立 了错综复杂的联系,但系统瘫痪、黑客入侵、病 毒感染、网页改写、客户资料的流失及公司内部 资料的泄露等事情时有发生,这些给组织的经营 管理、生存甚至国家安全都带来严重的影响。
11.2 中国信息安全标准
• 成立于1984年的全国信息技术安全标准化技术委
员会(CITS),在国家标准化管理委员会和信息产
业部的共同领导下负责全国信息技术领域以及与 ISO/IEC JTC1相对应的标准化工作,目前下设 24个分技术委员会和特别工作组,是目前国内最 大的标准化技术委员会。
• 它是一个具有广泛代表性、权威性和军民结合的
• 网络与信息安全标准研究与制定为国家主管部门
管理信息 安全设备提供了有效的技术依据,这对
于保证安全设备的正常运行,并在此基础上保证 我国国民经济和社会管理等领域中网络信息系统 的运行安全和信息安全具有非常重要的意义。
11.1 国际信息技术标准化组织
11.1.1 国际信息安全标准化组织
• 国际上信息安全标准化工作兴起于20世纪70年代
• 所以,对信息加以保护,防范信息的损坏和泄露, 已成为当前组织迫切需要解决的问题。
பைடு நூலகம்
11.4 信息安全管理体系
11.4.2信息安全管理体系标准发展历史
• 目前,ISO/IEC27001:2005――信息安全管理体 系标准已经成为世界上应用最广泛与典型的信息 安全管理标准。ISO/IEC27001是由英国标准 BS7799转换而成的。
• 依据ISO/IEC27001:2005建立信息安全管理体 系并获得认证正成为世界潮流。 • 标准包括11大管理要项、39个控制目标和133项 控制措施,为组织提供全方位的信息安全保障。
11.4 信息安全管理体系
11.4.3信息安全管理体系标准主要内容 信息安全管理体系标准主要内容有: 1.安全方针 2.安全组织 3.资产分类与管理 4.人力资源安全 5.物理和环境安全 6.通信与操作管理 7.访问控制 8.系统的获取、开发和维护 9.信息安全事件管理 10.业务持续性管理 11.符合性
11.3 中国国家物联网标准组织
11.3.2 传感器网络标准工作组
• 2009年9月11日,传感器网络标准工作组成立大
会暨“感知中国”高峰论坛在北京举行。
• 传感器网络标准工作组是由国家标准化管理委员
会批准筹建,全国信息技术标准化技术委员会批 准成立并领导,从事传感器网络(简称传感网) 标准化工作的全国性技术组织。
11.3 中国国家物联网标准组织
10.3.4 中国物联网标准联合工作组
• 2010年6月8日,在国家标准化管理委员会、工 业和信息化部等相关部委的共同领导和直接指导 下,由全国工业过程测量和控制标准化技术委员 会、全国智能建筑及居住区数字化标准化技术委 员会、全国智能运输系统标准化技术委员会等19 家现有标准化组织联合倡导并发起成立物联网标 准联合工作组。
11.1 国际信息技术标准化组织
• ISO和IEC是世界范围的标准化组织,它由各个
国家和地区的成员组成,各国的相关标准化组织 都是其成员,他们通过各技术委员会,参与相关 标准的制定。
• 为了更好的协作和共同规范信息技术领域,ISO
和国际电工委员会(ITU)成立了联合技术委员会, 即ISO/IEC JTC1,负责信息技术领域的标准化 工作。其中的子委员会27专门负责IT安全技术领 域的标准化工作。
11.2 中国信息安全标准
11.2.1 我国信息安全标准化的现状
• 目前,我国按照国务院授权,在国家质量监督检
验检疫总局管理下,由国家标准化管理委员会统
一管理全国标准化工作,下设有255个专业技术 委员会。
• 中国标准化工作实行统一管理与分工负责相结合
的管理体制,分工管理本行政区域内、本部门、 本行业的标准化工作。
11.3 中国国家物联网标准组织
11.3.1 电子标签国家标准工作组
• 2005年12月2日, 电子标签标准工作组在北京正
式宣布成立。该工作组的任务是联合社会各方面 力量,开展电子标签标准体系的研究,并以企业 为主体进行标准的预先研究和制/修订工作。
11.3 中国国家物联网标准组织
电子标签标准工作组的 组织结构
11.1 国际信息技术标准化组织
• 在ISO/IEC JTC1 SC 27所发布的标准和技术报告
中,目前最主要的标准是ISO/IEC 13335、
ISO/IEC 17799等。
• ISO/IEC将采用27000系列号码作为编号方案,将
原先所有的信息安全管理标准进行综合,并进行 进一步的开发,形成一整套包括ISMS要求、风险 管理、度量和测量以及实施指南等在内的信息安 全管理体系。
(SC 27)的前身是数据加密分技术委员会(SC20), 主要从事信息技术安全的一般方法和技术的标准 化工作。
11.1 国际信息技术标准化组织
• 而ISO/TC68负责与银行业务应用范围内有关信
息安全标准的制定,它主要制定行业应用标准,
在组织上和标准之间与SC27有着密切的联系。 ISO/IEC JTC1负责制定的标准主要是开放系统 互连、密钥管理、数字签名、安全评估等方面的 内容。
11.2 中国信息安全标准
⑥网络建设将重视信任体系的建设; ⑦互联网安全将进一步研究,其成果将适用于下一
代网以及3G核心网;
⑧网络上信息安全将划分责权,网络侧负责部分私
密性(隔离)和完整性,机密性和不可否认性由端
到端保障; ⑨安全管理中的安全风险评估将成为安全研究重要 内容。
11.2 中国信息安全标准
11.3 中国国家物联网标准组织
传感器网络标准工作组的组成
11.3 中国国家物联网标准组织
11.3.3 泛在网技术工作委员会
• 2010年2月2日, 中国通信标准化协会(CCSA) 泛在网技术工作委员会(TC10)成立大会暨第 一次全会在北京召开。 • TC10的成立,标志着CCSA今后泛在网技术与标 准化的研究将更加专业化、系统化、深入化,必 将进一步促进电信运营商在泛在网领域进行积极 的探索和有益的实践,不断优化设备制造商的技 术研发方案,推动泛在网产业健康快速发展。
信息安全标准化组织。
11.2 中国信息安全标准
11.2.2 国内安全标准组织机构
• 国内的安全标准组织主要有信息技术安全标准化 技术委员会(CITS)以及中国通信标准化协会 (CCSA)下辖的网络与信息安全技术工作委员会。 1. 信息技术安全标准化技术委员会
• 信息技术安全标准化技术委员会(CITS)成立于 1984年,在国家标准化管理委员会和信息产业部 的共同领导下负责全国信息技术领域以及与 ISO/IEC JTC1相对应的标准化工作。
11.2.4 我国在信息安全管理标准方面采取的措施
• 我国政府主管部门以及各行各业已经认识到了信
息安全的重要性。政府部门开始出台一系列相关
策略,直接牵引、推进信息安全的应用和发展。
• 由政府主导的各大信息系统工程和信息化程度要 求非常高的相关行业,也开始出台对信息安全技术 产品的应用标准和规范。
11.3 中国国家物联网标准组织
11.1 国际信息技术标准化组织
3.美国国家标准和技术委员会(NIST)的特别出 版物系列 • 2002年,美国通过了一部联邦信息安全管理法案 (FISMA)。根据它,美国国家标准和技术委员会 (NIST)负责为美国政府和商业机构提供信息安全 管理相关的标准规范。 • 因此,NIST的一系列FIPS标准和NIST 特别出版 物800系列(NIST SP 800系列)成为了指导美国信 息安全管理建设的主要标准和参考资料。
应用的、传输的等,或者细化为芯片、电路、通 信接口、路由等层次,而目前我国在做的主要是 在传感器上的标准,是传感网络路由层面的专利。
• 目前,我国物联网技术的研发水平已位于世界前
列, 与德国、美国、日本等国一起,成为国际标 准制定的主要国家,逐步成为全球物联网产业链 中重要的一环。
第11章 物联网信息安全标准
学习任务
本章主要涉及:
1 2 3 4
国际信息技术标准化组织 中国信息安全标准 中国国家物联网标准组织 信息安全管理体系
Click to add title in here
5
11.1 国际信息技术标准化组织
• 网络与信息安全标准化工作是国家信息安全保障
体系建设的重要组成。
11.2 中国信息安全标准
2.中国通信标准化协会 • 中国通信标准化协会(CCSA)成立于2002年12月 18日。CCSA下设了有线网络信息安全、无线网 络信息安全、安全管理和安全基础设施4个工作 组负责研究: • 有线网络中电话网、互联网、传输网、接入网等 在内所有电信网络相关的安全标准; • 无线网络中接入、核心网、业务等相关的安全标 准以及安全管理工作组; • 安全基础设施工作组中网管安全以及安全基础设 施相关的标准。
H323网络安全、下一代网络安全等标准方面进 行了研究。
11.1 国际信息技术标准化组织
(4)Internet工程任务组(IETF)
• 创立于1986年,其主要任务是负责互联网相关技
术规范的研发和制定。
• IETF制定标准的具体工作由各个工作组承担,工
作组分成8个领域,涉及Internet路由、传输、应 用领域等等,包含在RFC系列之中的IKE和 IPsec,还有电子邮件,网络认证和密码标准, 此外,也包括了 TLS标准和其它的安全协议标准。
11.1 国际信息技术标准化组织
(2)国际电工委员会(IEC)
• 正式成立于1906年10月,是世界上成立最早的
专门的国际标准化机构。在信息安全标准化方面,
除了与ISO联合成立了JTC1属的分委员会外,它
还在电信、电子系统、信息技术和电磁兼容等方 面成立了技术委员会,并为信息技术设备安全 (IEC 60950)等制定相关国际标准。
中期,80年代有了较快的发展,90年代引起了世
界各国的普遍关注。
• 目前世界上有近300个国际和区域性组织制定标 准或技术规则,与信息安全标准化有关的组织主 要有以下4个:
11.1 国际信息技术标准化组织
(1)国际标准化组织(ISO)
• 于1947年2月23日正式开始工作,信息技术标准
化委员会 (ISO/IEC JTC1)所属安全技术分委员会
11.1 国际信息技术标准化组织
11.1.2 国际信息安全管理体系
国际上比较有影响的信息安全标准体系主要有:
1. ISO/IEC的国际标准13335、17799、27001系列
• SO/IEC JTC1 SC27/WG1(国际标准化组织/国际
电工委员会信息技术委员会 安全技术分委员会/ 第一工作组)是制定和修订ISMS标准的国际组织。
11.4 信息安全管理体系
信息安全管理体系标准主要内容
11.4 信息安全管理体系
11.4.4 信息安全管理体系认证
11.1 国际信息技术标准化组织
(3)国际电信联盟(ITU)
• 成立于1865年5月17日,所属的SG17组主要负
责研究通信系统安全标准。
• SG17组主要研究的内容包括:通信安全项目、
安全架构和框架、计算安全、安全管理、用于安 全的生物测定、安全通信服务。
• 此外SG16和下一代网络核心组也在通信安全、
11.1 国际信息技术标准化组织
2. 英国标准协会(BSI)的7799系列
• 信息安全管理体系(Information Security Management System,简称ISMS)的概念最初 来源于英国标准学会制定的BS7799标准, 并伴随 着其作为国际标准的发布和普及而被广泛地接受。
• 同美国NIST相对应,英国标准协会(BSI)是英国 负责信息安全管理标准的机构。在信息安全管理 和相关领域,BSI做了大量的工作,其成果已得 到国际社会的广泛认可。
11.2 中国信息安全标准
11.2.3 信息安全标准体系研究特点
①基于信息内容的过虑和管制技术将越来越受关注;
②防范和治理垃圾信息成为网络安全研究重要内容;
③网络与信息安全研究重点将逐渐从设备层面向网络
层面转移; ④业务安全越来越成为运营商研究重点; ⑤认证技术将研究和梳理,生物鉴别成为重要内容;
11.4 信息安全管理体系
11.4.1 信息安全管理简介 • 如今,遍布全球的互联网使得组织机构不仅内在 依赖IT系统,还不可避免地与外部的IT系统建立 了错综复杂的联系,但系统瘫痪、黑客入侵、病 毒感染、网页改写、客户资料的流失及公司内部 资料的泄露等事情时有发生,这些给组织的经营 管理、生存甚至国家安全都带来严重的影响。
11.2 中国信息安全标准
• 成立于1984年的全国信息技术安全标准化技术委
员会(CITS),在国家标准化管理委员会和信息产
业部的共同领导下负责全国信息技术领域以及与 ISO/IEC JTC1相对应的标准化工作,目前下设 24个分技术委员会和特别工作组,是目前国内最 大的标准化技术委员会。
• 它是一个具有广泛代表性、权威性和军民结合的
• 网络与信息安全标准研究与制定为国家主管部门
管理信息 安全设备提供了有效的技术依据,这对
于保证安全设备的正常运行,并在此基础上保证 我国国民经济和社会管理等领域中网络信息系统 的运行安全和信息安全具有非常重要的意义。
11.1 国际信息技术标准化组织
11.1.1 国际信息安全标准化组织
• 国际上信息安全标准化工作兴起于20世纪70年代
• 所以,对信息加以保护,防范信息的损坏和泄露, 已成为当前组织迫切需要解决的问题。
பைடு நூலகம்
11.4 信息安全管理体系
11.4.2信息安全管理体系标准发展历史
• 目前,ISO/IEC27001:2005――信息安全管理体 系标准已经成为世界上应用最广泛与典型的信息 安全管理标准。ISO/IEC27001是由英国标准 BS7799转换而成的。
• 依据ISO/IEC27001:2005建立信息安全管理体 系并获得认证正成为世界潮流。 • 标准包括11大管理要项、39个控制目标和133项 控制措施,为组织提供全方位的信息安全保障。
11.4 信息安全管理体系
11.4.3信息安全管理体系标准主要内容 信息安全管理体系标准主要内容有: 1.安全方针 2.安全组织 3.资产分类与管理 4.人力资源安全 5.物理和环境安全 6.通信与操作管理 7.访问控制 8.系统的获取、开发和维护 9.信息安全事件管理 10.业务持续性管理 11.符合性
11.3 中国国家物联网标准组织
11.3.2 传感器网络标准工作组
• 2009年9月11日,传感器网络标准工作组成立大
会暨“感知中国”高峰论坛在北京举行。
• 传感器网络标准工作组是由国家标准化管理委员
会批准筹建,全国信息技术标准化技术委员会批 准成立并领导,从事传感器网络(简称传感网) 标准化工作的全国性技术组织。
11.3 中国国家物联网标准组织
10.3.4 中国物联网标准联合工作组
• 2010年6月8日,在国家标准化管理委员会、工 业和信息化部等相关部委的共同领导和直接指导 下,由全国工业过程测量和控制标准化技术委员 会、全国智能建筑及居住区数字化标准化技术委 员会、全国智能运输系统标准化技术委员会等19 家现有标准化组织联合倡导并发起成立物联网标 准联合工作组。
11.1 国际信息技术标准化组织
• ISO和IEC是世界范围的标准化组织,它由各个
国家和地区的成员组成,各国的相关标准化组织 都是其成员,他们通过各技术委员会,参与相关 标准的制定。
• 为了更好的协作和共同规范信息技术领域,ISO
和国际电工委员会(ITU)成立了联合技术委员会, 即ISO/IEC JTC1,负责信息技术领域的标准化 工作。其中的子委员会27专门负责IT安全技术领 域的标准化工作。
11.2 中国信息安全标准
11.2.1 我国信息安全标准化的现状
• 目前,我国按照国务院授权,在国家质量监督检
验检疫总局管理下,由国家标准化管理委员会统
一管理全国标准化工作,下设有255个专业技术 委员会。
• 中国标准化工作实行统一管理与分工负责相结合
的管理体制,分工管理本行政区域内、本部门、 本行业的标准化工作。
11.3 中国国家物联网标准组织
11.3.1 电子标签国家标准工作组
• 2005年12月2日, 电子标签标准工作组在北京正
式宣布成立。该工作组的任务是联合社会各方面 力量,开展电子标签标准体系的研究,并以企业 为主体进行标准的预先研究和制/修订工作。
11.3 中国国家物联网标准组织
电子标签标准工作组的 组织结构
11.1 国际信息技术标准化组织
• 在ISO/IEC JTC1 SC 27所发布的标准和技术报告
中,目前最主要的标准是ISO/IEC 13335、
ISO/IEC 17799等。
• ISO/IEC将采用27000系列号码作为编号方案,将
原先所有的信息安全管理标准进行综合,并进行 进一步的开发,形成一整套包括ISMS要求、风险 管理、度量和测量以及实施指南等在内的信息安 全管理体系。
(SC 27)的前身是数据加密分技术委员会(SC20), 主要从事信息技术安全的一般方法和技术的标准 化工作。
11.1 国际信息技术标准化组织
• 而ISO/TC68负责与银行业务应用范围内有关信
息安全标准的制定,它主要制定行业应用标准,
在组织上和标准之间与SC27有着密切的联系。 ISO/IEC JTC1负责制定的标准主要是开放系统 互连、密钥管理、数字签名、安全评估等方面的 内容。
11.2 中国信息安全标准
⑥网络建设将重视信任体系的建设; ⑦互联网安全将进一步研究,其成果将适用于下一
代网以及3G核心网;
⑧网络上信息安全将划分责权,网络侧负责部分私
密性(隔离)和完整性,机密性和不可否认性由端
到端保障; ⑨安全管理中的安全风险评估将成为安全研究重要 内容。
11.2 中国信息安全标准
11.3 中国国家物联网标准组织
传感器网络标准工作组的组成
11.3 中国国家物联网标准组织
11.3.3 泛在网技术工作委员会
• 2010年2月2日, 中国通信标准化协会(CCSA) 泛在网技术工作委员会(TC10)成立大会暨第 一次全会在北京召开。 • TC10的成立,标志着CCSA今后泛在网技术与标 准化的研究将更加专业化、系统化、深入化,必 将进一步促进电信运营商在泛在网领域进行积极 的探索和有益的实践,不断优化设备制造商的技 术研发方案,推动泛在网产业健康快速发展。
信息安全标准化组织。
11.2 中国信息安全标准
11.2.2 国内安全标准组织机构
• 国内的安全标准组织主要有信息技术安全标准化 技术委员会(CITS)以及中国通信标准化协会 (CCSA)下辖的网络与信息安全技术工作委员会。 1. 信息技术安全标准化技术委员会
• 信息技术安全标准化技术委员会(CITS)成立于 1984年,在国家标准化管理委员会和信息产业部 的共同领导下负责全国信息技术领域以及与 ISO/IEC JTC1相对应的标准化工作。
11.2.4 我国在信息安全管理标准方面采取的措施
• 我国政府主管部门以及各行各业已经认识到了信
息安全的重要性。政府部门开始出台一系列相关
策略,直接牵引、推进信息安全的应用和发展。
• 由政府主导的各大信息系统工程和信息化程度要 求非常高的相关行业,也开始出台对信息安全技术 产品的应用标准和规范。
11.3 中国国家物联网标准组织
11.1 国际信息技术标准化组织
3.美国国家标准和技术委员会(NIST)的特别出 版物系列 • 2002年,美国通过了一部联邦信息安全管理法案 (FISMA)。根据它,美国国家标准和技术委员会 (NIST)负责为美国政府和商业机构提供信息安全 管理相关的标准规范。 • 因此,NIST的一系列FIPS标准和NIST 特别出版 物800系列(NIST SP 800系列)成为了指导美国信 息安全管理建设的主要标准和参考资料。