GB∕T 36951-2018 信息安全技术 物联网感知终端应用安全技术要求

物联网信息系统中感知终端应用的安全技术要求分为基本要求和增强要求两类。感知终端应用的 安全至少应满足基本要求；处理敏感数据的感知终端，或一且遭到破坏将对人身安全、环境安全带来严 重影响的感知终端，或GB/T22240一2008规定的三级以上物联网信息系统中的感知终端，感知终端应 用的安全应满足增强要求。 注：相对于基本要求，增强要求新增内容用黑体字表示

GB/T369512018

选用感知终端产品时，感知终端产品： a）应取得质量认证证书； b） 应满足GB/T4208一2017确定的外壳防护等级（IP代码）要求； 应通过依据GB/T17799.1—2017、GB/T17799.2—2003或有关的专用产品/产品类电磁兼容 抗扰度标准进行的电磁兼容抗扰度试验，且性能满足需求

物联网信息系统中进行感知终端选址时林业标准，感知终端： a）应在防盗窃防破坏、防水防潮、防极端温度等方面满足部署的要求； b）应在信号防干扰、防屏蔽、防阻挡等方面满足部署环境的要求。

感知终端的供电应稳定可靠

感知终端的供电应稳定可靠

5.1.4防盗窃和防破坏

感知终端： a）应避免部署在不受控的非安全场所中； b）宜采用防盗窃和防破坏的措施。

5.2.1网络接入认证

在接入网络时，感知终端： a）应在接入网络中具有唯一网络身份标识； b) 应能向接入网络证明其网络身份，至少支持如下身份鉴别机制之一： 1）基于网络身份标识的鉴别； 2） 基于MAC地址的鉴别； 3） 基于通信协议的鉴别； 4） 基于通信端口的鉴别； 5） 基于对称密码机制的鉴别； 6） 基于非对称密码机制的鉴别。 c) 应能进行鉴别失败处理； d) 在采用插卡方式进行网络身份鉴别时，应采取措施防止卡片被拔除或替持 e) 应保证密钥存储和交换安全

5.2.2网络访问控制

感知终端： a）应禁用业务需求以外的通信端口：

感知终端： a）应禁用业务需求以外的通信端口

应设置网络访问控制策略.限制对感知终端的网

感知终端应按国家规定使用无线电频段和辐射强

感知终端应按国家规定使用无线电频段和辐射强

感知终端： a）应具有并启用通信完整性校验机制，实现数据传输的完整性保护； b）应具有通信延时和中断的处理机制

对于具有操作系统的感知终端： a）感知终端的操作系统用户应有唯一标识； 应对感知终端的操作系统用户进行身份鉴别。使用用户名和口令鉴别时，口令应由字母、数字 及特殊字符组成，且长度不小于8位

本项要求包括： a）具有操作系统的感知终端应能控制操作系统用户的访问权限； b）对于具有操作系统的感知终端，操作系统用户应仅被授予完成任务所需的最小权限； 感知终端应能控制数据的本地或远程访问； d）感知终端应提供安全措施控制对其远程配置

具有操作系统的感知终端： a）应能为操作系统事件生成审计记录，审计记录应包括日期、时间、操作用户、操作类型等信息 b）应能由安全审计员开启和关闭操作系统的审计功能； c）应能提供操作系统的审计记录查阅功能。

感知终端应能自检出已定义的设备故障并进行告警，确保设备未受故障影响部分的功能正常。

具有操作系统的感知终端： a）应仅安装经授权的软件； b）应按照策略进行软件补丁更新和升级，且保证所更新的数据是来源合法的和完整的； c）应安装满足业务安全功能需求的软件并正确配置及使用

感知终端在传输其采集到的数据时，应对数据新鲜性做出标识。

在满足5.1.1的基础上： 物联网中使用的感知终端产品应经过第三方检测机构的信息安全检测

应满足5.1.2的要求

应满足5.1.2的要求

GB/T369512018

在满足5.1.3的基础上： a）关键感知终端应具有备用电力供应，至少满足在规定的供电时长内保持感知终端正常运行 b）应提供技术和管理手段监测感知终端的供电情况，并能在电力不足时及时报警

在满足5.1.3的基础上： a）关键感知终端应具有备用电力供应，至少满足在规定的供电时长内保持感知终端正常运行 b）应提供技术和管理手段监测感知终端的供电情况，并能在电力不足时及时报警

6.1.4防盗窃和防破坏

在满足5.1.4的基础上： a）户外部署的重要感知终端宜设置在视频监控范围内； b）户外部署的关键感知终端应具有定位装置

6.1.5防雷和防静电

重要感知终端应采取必要的避雷和防

6.2.1网络接入认证

在满足5.2.1a)c)d)e)的基础上： 感知终端与其接入网络间应进行双向认证，双方至少支持如下身份鉴别机制之一 a）基于对称密码机制的鉴别； b）基于非对称密码机制的鉴别

6.2.2网络访问控制

应满足5.2.2的要求

应满足5.3.1的要求

应满足5.3.2的要求

要业务数据等感信息的时应进行加密保护。加密算法应 国家密码相关规定

在满足5.4.1的基础上

具有执行能力的感知终端应能鉴别下达执行指令

在满足5.4.2的基础上

在满足5.4.2的基础上：

系统访问控制范围应覆盖所有主体、客体以及它价

在满足5.4.3的基础上

在满足5.4.4的基础上： a 具有操作系统的感知终端应能在操作系统崩溃时重启； b 具有执行能力的感知终端应具有本地手动控制功能，并且手动控制功能优先级高于自动控制 功能

6.4.5恶意代码防范

具有操作系统的感知终端应有恶意代码防范能

作系统的感知终端应具有恶意代码防范能力

系统的感知终端软件补丁更新和升级前应经过安

6.4.7物理接口安全

本项要求包括： a）应禁用感知终端闲置的外部设备接口； b）应禁用感知终端的外接存储设备自启动功能

在满足5.5.1的基础上： 感知终端应支持通过穴余部署方式采集重要数据

在满足5.5.1的基础上： 感知终端应支持通过余部署方式采集重要数据

GB/T369512018

在满足5.5.2的基础上： 感知终端应对存储的鉴别信息、隐私数据和重要业务数据等进行完整性检测，并在检测到完整性 时采取必要的恢复措施

在满足5.5.2的基础上： 感知终端应对存储的鉴别信息、隐私数据和重要业务数据等进行完整性检测，并在检测到完整性错 误时采取必要的恢复措施

感知终端应对鉴别信息、隐私数据和重要业务数据等敏感信息采用密码算法进行存储和传输加密 保护。加密算法应符合国家密码相关规定

物联网信息系统通常由感知层、网络层和应用层组成。物联网信息系统示例见图A.1。感知层的 感知终端采集数据，通过网络传给业务应用系统化工标准，业务应用系统对数据处理后再通过网络传给感知终 端，或对感知终端下达操作指令

图A.1物联网信息系统示例

感知终端是物联网信息系统的重要组成部分，感知终端应用安全贯穿物联网信息系统设计、建 维和废止各个环节。在设计阶段，感知终端应进行合理选型，选择满足安全功能要求的感知终端 在建设阶段，应保证感知终端安装、部署和配置安全；在运维阶段，应保证感知终端安全使用和维 废弃阶段，应安全处理感知终端中存储的数据

感知终端通常集成或外接有一个或多个传感器、执行器、定位设备、音视频采集播放终端、条码扫描 器或RFID读写器、智能化设备等信息采集和/或指令执行功能模块，并集成有中央处理功能模块和网 络通信功能模块。 感知终端通过网络通信模块接人物联网中，按照约定协议，连接物、人、系统和信息资源，使得彼此 相互通信。

验货标准A.3感知终端主要分类

GB/T369512018

感知终端按照是否安装有操作系统，可以分为具有操作系统的感知终端和不具有操作系统的感知 整端。具有操作系统的感知终端，如一些RFID读写器、摄像头、具有读卡功能的智能手机等，通常具有 较强的安全功能，但也为攻击者提供了较多的攻击途径；不具有操作系统的感知终端集成有采集和/或 指令执行功能模块、中央处理功能模块和网络通信功能模块，这类感知终端通常安全功能有限，但为攻 击者提供的攻击途径也有限