ICS33.050CCSM30團(tuán)體標(biāo)準(zhǔn)T/TAF101.2-2021冷鏈物流可信溯源服務(wù)技術(shù)要求第2部分：設(shè)備安全Trustedandtraceableservicetechnicalrequirementforthecoldchainlogistics—Part2:Devicesecurity2021-12-13發(fā)布2021-12-13實(shí)施T/TAF101.2-2021目次前言................................................................................II引言...............................................................................III1范圍...............................................................................12規(guī)范性引用文件.....................................................................13術(shù)語和定義.........................................................................14縮略語.............................................................................15安全架構(gòu)...........................................................................26通用安全技術(shù)要求...................................................................26.1硬件安全要求...................................................................26.2軟件安全要求...................................................................36.3通信安全要求...................................................................46.4升級安全要求...................................................................46.5數(shù)據(jù)安全要求...................................................................46.6鑒權(quán)與安全防護(hù).................................................................57多功能設(shè)備增強(qiáng)安全技術(shù)要求.........................................................57.1硬件安全要求...................................................................57.2軟件安全要求...................................................................57.3通信安全要求...................................................................67.4升級安全要求...................................................................67.5數(shù)據(jù)安全要求...................................................................77.6鑒權(quán)與安全防護(hù).................................................................7參考文獻(xiàn).............................................................................8IT/TAF101.2-2021前言本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。IIT/TAF101.2-2021引言冷鏈物流涉及眾多類型的設(shè)備，例如儲存（冷庫、冷藏箱、保溫箱、低溫冰柜或其他低溫儲存箱體等）、運(yùn)輸（如冷藏車、保溫車、冷藏集裝箱、冷藏船、冷藏火車/專列、附帶冷藏箱/保溫箱的運(yùn)輸設(shè)備等）、裝卸以及溫度記錄儀或其他專門的設(shè)備，而伴隨著物聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，冷鏈物流中也存在眾多獨(dú)立或附屬的物聯(lián)網(wǎng)智能終端，通過設(shè)備內(nèi)的操作系統(tǒng)、應(yīng)用以及大量的第三方庫，以提供冷鏈物流過程中相應(yīng)的數(shù)據(jù)采集、傳輸?shù)饶芰?。冷鏈物流中各類設(shè)備在設(shè)計(jì)、性能等方面上已有相關(guān)的標(biāo)準(zhǔn)規(guī)范（如GB/T28577），與此同時(shí)，隨著物聯(lián)網(wǎng)智能終端的廣泛應(yīng)用，此類設(shè)備在使用過程中的安全問題也引起越來越多的關(guān)注。然而，現(xiàn)有的一些物聯(lián)網(wǎng)智能終端中硬件設(shè)計(jì)可能未考慮安全性，軟件系統(tǒng)也通常是由不同的人員開發(fā)完成，因此設(shè)備的安全性往往并不能夠得到保障。另一方面，隨著各類產(chǎn)品迭代加速以及業(yè)務(wù)的拓展，物聯(lián)網(wǎng)智能終端承擔(dān)的功能越來越豐富，設(shè)備的版本也越來越多，而在不斷的迭代過程中，容易產(chǎn)生典型的安全問題，這為冷鏈物流過程中對設(shè)備的管理、數(shù)據(jù)的溯源都會帶來或多或少的障礙。本文件主要針對冷鏈物流中物聯(lián)網(wǎng)智能終端的硬件、軟件、數(shù)據(jù)、通信等方面，制定通用的設(shè)備安全技術(shù)要求。從而實(shí)現(xiàn)各個(gè)物聯(lián)網(wǎng)智能終端在其生命周期內(nèi)具備必要的安全性，防止其成為冷鏈物流過程中的薄弱環(huán)節(jié)，提高冷鏈物流過程的安全性。IIIT/TAF101.2-2021冷鏈物流可信溯源服務(wù)技術(shù)要求第2部分：設(shè)備安全1范圍本文件針對冷鏈物流中物聯(lián)網(wǎng)智能終端，規(guī)定了其需要滿足的通用設(shè)備安全技術(shù)要求，包括硬件安全要求、軟件安全要求、通信安全要求、升級安全要求、數(shù)據(jù)安全要求、鑒權(quán)與安全防護(hù)。本文適用于參與冷鏈物流全流程各環(huán)節(jié)的物聯(lián)網(wǎng)智能終端設(shè)備，個(gè)別條款不適用于特殊設(shè)備，其他類似設(shè)備也可參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T38626-2020信息安全技術(shù)智能聯(lián)網(wǎng)設(shè)備口令保護(hù)指南T/TAF023-2018T/TAF079-2021移動(dòng)智能終端應(yīng)用軟件安全與質(zhì)量要求移動(dòng)智能終端及應(yīng)用軟件生物特征識別安全規(guī)范T/TAF101.1-2021冷鏈物流可信溯源服務(wù)技術(shù)要求第1部分：總則3術(shù)語和定義T/TAF101.1-2021界定的以及下列術(shù)語和定義適用于本文件。3.1物聯(lián)網(wǎng)InternetofThings物聯(lián)網(wǎng)（簡稱IoT），通過感知設(shè)備，按照約定協(xié)議，連接物、人、系統(tǒng)和信息資源，實(shí)現(xiàn)對物理和虛擬世界的信息進(jìn)行處理并做出反應(yīng)的智能服務(wù)系統(tǒng)。[來源：GB/T33745-2017，2.1.1]3.2單功能設(shè)備singlefunctiondevice單功能設(shè)備是基于輕量級嵌入式系統(tǒng)（如RTOS）或無操作系統(tǒng)，無法安裝應(yīng)用軟件，功能較為單一的物聯(lián)網(wǎng)智能終端設(shè)備，例如條碼掃描設(shè)備、智能溫感識別設(shè)備等。3.3多功能設(shè)備multi-functiondevice多功能設(shè)備是基于復(fù)雜操作系統(tǒng)（如安卓），能夠提供API接口，并能夠安裝、加載、運(yùn)行應(yīng)用軟件，為用戶提供多種功能的物聯(lián)網(wǎng)智能終端設(shè)備，例如手持安卓終端。4縮略語1T/TAF101.2-2021下列縮略語適用于本文件。API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）CNNVD：中國國家信息安全漏洞庫（ChinaNationalVulnerabilityDatabaseofInformationSecurity）CNVD：國家信息安全漏洞共享平臺（ChinaNationalVulnerabilityDatabase）RTOS：實(shí)時(shí)操作系統(tǒng)（RealTimeOperatingSystem）TLS：傳輸層安全（TransportLayerSecurity）TLCP：傳輸層密碼協(xié)議（TransportLayerCryptographyProtocol）5安全架構(gòu)冷鏈物流中使用的物聯(lián)網(wǎng)智能終端,根據(jù)其實(shí)現(xiàn)方式以及對外提供的功能，可以劃分為兩種類型：a)b)基于輕量級嵌入式系統(tǒng)或無操作系統(tǒng)，無法安裝應(yīng)用軟件，功能較為單一的單功能設(shè)備；基于復(fù)雜操作系統(tǒng),能夠安裝、加載、運(yùn)行應(yīng)用軟件，為用戶提供多種功能的多功能設(shè)備。兩類設(shè)備均由硬件+軟件的方式構(gòu)成，其安全屬性具有共性，整體的安全架構(gòu)基本相同，如圖1所示，主要包含6個(gè)部分：最底層是硬件安全，其上為軟件安全、升級安全、通信安全，數(shù)據(jù)安全、鑒權(quán)與安全防護(hù)則同時(shí)涉及這4個(gè)層面。鑒權(quán)與安全防護(hù)升級安全通信安全軟件安全數(shù)據(jù)安全硬件安全圖1物聯(lián)網(wǎng)智能終端設(shè)備安全框架其中：a)硬件安全：保證設(shè)備內(nèi)處理器、存儲和接口的安全，在芯片級對設(shè)備進(jìn)行保護(hù)，防止芯片內(nèi)的程序、數(shù)據(jù)被非法訪問、篡改。b)軟件安全：保障固件、操作系統(tǒng)以及應(yīng)用安全，對系統(tǒng)、應(yīng)用進(jìn)行安全配置，保護(hù)設(shè)備業(yè)務(wù)、權(quán)限。c)d)e)f)通信安全：保障設(shè)備數(shù)據(jù)傳輸過程的安全性。升級安全：在升級更新時(shí)加強(qiáng)保護(hù)，防止因升級過程降低安全性。數(shù)據(jù)安全：保障數(shù)據(jù)在采集、傳輸、存儲、處理過程中的安全性。鑒權(quán)與安全防護(hù)：通過恰當(dāng)?shù)陌踩渲?，防范越?quán)行為，遏制潛在的攻擊。物聯(lián)網(wǎng)智能終端設(shè)備的安全要求分為兩部分，第6章規(guī)定了兩類設(shè)備均需滿足的通用安全技術(shù)要求，第7章規(guī)定了多功能設(shè)備在通用要求基礎(chǔ)上仍需滿足的擴(kuò)展安全技術(shù)要求。6通用安全技術(shù)要求硬件安全要求硬件接口安全設(shè)備的硬件接口應(yīng)符合以下要求。a)應(yīng)遵循最小化原則，保證在出廠后顯式調(diào)試接口等非必需的物理接口已被禁用。2T/TAF101.2-2021b)c)應(yīng)去除隱式調(diào)試接口或去除隱式接口的部分器件、添加接口驗(yàn)證。當(dāng)設(shè)備具備控制臺接口時(shí)，必須為接口添加安全訪問控制措施，防止未授權(quán)訪問。注：可使用口令或其他方式進(jìn)行訪問控制。6.1.2物理安全宜去除設(shè)備電路板中芯片、接口、管腳的標(biāo)記。6.2軟件安全要求6.2.1系統(tǒng)安全要求安全啟動(dòng)宜在固件啟動(dòng)時(shí)，提供安全啟動(dòng)機(jī)制，確保只加載執(zhí)行可信的固件。權(quán)限配置系統(tǒng)中的權(quán)限配置應(yīng)符合以下要求。a)b)c)應(yīng)開啟地址隨機(jī)化、堆棧不可執(zhí)行等安全配置，應(yīng)為關(guān)鍵區(qū)域設(shè)置正確的權(quán)限。應(yīng)對關(guān)鍵系統(tǒng)API提供訪問控制機(jī)制，防止非授權(quán)的API調(diào)用。不應(yīng)將用戶名、口令等敏感信息明文存儲在固件中。服務(wù)配置系統(tǒng)中的服務(wù)配置應(yīng)符合以下要求。a)應(yīng)遵循最小化原則，移除非必需的服務(wù)，例如遠(yuǎn)程調(diào)試；對必須保留的服務(wù)，必須添加安全訪問控制措施，防止未授權(quán)用戶使用服務(wù)，并在使用完成后立即關(guān)閉。對外開放的服務(wù)，不應(yīng)以最高權(quán)限（如root權(quán)限）運(yùn)行。不應(yīng)存在后門、隱藏接口/服務(wù)。b)c)d)e)應(yīng)具備修改服務(wù)默認(rèn)配置的功能。對于能夠遠(yuǎn)程訪問的服務(wù)，所有操作行為均應(yīng)通過認(rèn)證，并通過日志記錄操作過程。漏洞管理系統(tǒng)中不應(yīng)存在CNVD、CNNVD等權(quán)威漏洞平臺，公開發(fā)布6個(gè)月以上的高危及以上安全漏洞。6.2.2第三方組件安全要求系統(tǒng)中使用的第三方組件應(yīng)符合以下要求。a)b)c)應(yīng)使用主流、安全的第三方組件，從可靠的來源獲取第三方組件，并在保證穩(wěn)定的情況下盡可能采用最新版本。應(yīng)及時(shí)更新第三方組件的版本，應(yīng)特別關(guān)注包含安全問題修復(fù)的版本，并及時(shí)將第三方組件更新至無已知安全問題的版本。不應(yīng)使用存在已知重大安全問題的第三方組件版本，不應(yīng)使用不再正常維護(hù)更新、無法及時(shí)修復(fù)安全問題的第三方組件。6.2.3日志安全要求日志功能應(yīng)符合以下要求。3T/TAF101.2-2021a)設(shè)備本身或其關(guān)聯(lián)設(shè)備應(yīng)具備記錄用戶操作，異常關(guān)機(jī)、重啟、數(shù)據(jù)損壞等異常狀態(tài)，以及其他關(guān)鍵事件的功能，記錄的內(nèi)容至少包括時(shí)間、對象、描述、結(jié)果以及其他與安全審計(jì)相關(guān)的信息。b)c)d)e)f)應(yīng)采取必要的措施保護(hù)日志記錄過程，防止出現(xiàn)非預(yù)期的中斷。應(yīng)在存儲時(shí)保證日志記錄完整性。不應(yīng)在日志中記錄敏感信息。應(yīng)具備對空間不足、存儲錯(cuò)誤等異常情況的處理措施。應(yīng)支持日志上傳至云端進(jìn)行管理，并保證日志傳輸時(shí)的機(jī)密性、完整性，云端日志記錄的存儲時(shí)間應(yīng)滿足安全溯源要求（至少6個(gè)月）。g)日志記錄應(yīng)進(jìn)行訪問控制，保護(hù)日志不被非法訪問、篡改，并應(yīng)僅允許管理員執(zhí)行日志的刪除操作。6.3通信安全要求設(shè)備的通信過程應(yīng)符合以下要求。a)b)c)d)應(yīng)選擇支持加密傳輸?shù)劝踩珨U(kuò)展功能的通信協(xié)議，并且啟用協(xié)議的安全功能。如果使用的通信方式存在國家標(biāo)準(zhǔn)，宜與國家標(biāo)準(zhǔn)保持一致。應(yīng)安全實(shí)現(xiàn)通信協(xié)議，預(yù)防因編程語言的固有缺陷而可能造成的安全問題。當(dāng)傳輸敏感數(shù)據(jù)時(shí)，應(yīng)使用安全的通信協(xié)議加密傳輸，宜使用TLCP1.1、TLS1.2或更高的版本，并避免明文數(shù)據(jù)、加密數(shù)據(jù)混合傳輸。e)f)g)應(yīng)具備加密機(jī)制，保證通信過程中敏感數(shù)據(jù)的機(jī)密性。應(yīng)具備完整性校驗(yàn)機(jī)制，保證通信過程中數(shù)據(jù)的完整性。加密算法宜使用ECC、SM4、AES128或更高強(qiáng)度的算法，并應(yīng)做好密鑰保護(hù)工作；使用AES算法時(shí)應(yīng)選擇安全的工作模式，不應(yīng)使用ECB、CBC等不安全的模式。完整性校驗(yàn)算法宜使用SM3、SHA-256、SHA-384或更高強(qiáng)度的算法。應(yīng)具備異常數(shù)據(jù)處理能力，防止出現(xiàn)非預(yù)期的異常情況，并避免錯(cuò)誤提示信息被攻擊者利用。h)i)j)宜在通信前進(jìn)行雙向身份認(rèn)證,并采取必要的保護(hù)措施，防止相關(guān)身份認(rèn)證信息被截獲、仿冒、重用。6.4升級安全要求設(shè)備應(yīng)支持升級更新，并符合以下要求。a)除用戶或管理者主動(dòng)將升級過程設(shè)置為不提示的自動(dòng)升級外，升級之前應(yīng)有提示，不應(yīng)強(qiáng)制更新。b)c)d)通過網(wǎng)絡(luò)傳輸升級包時(shí)應(yīng)采用安全的通信協(xié)議，宜使用TLCP1.1、TLS1.2或更高的版本。傳輸升級包時(shí)宜采用雙向身份認(rèn)證。宜對升級包進(jìn)行加密，宜使用SM4、AES128或更高強(qiáng)度的算法，使用AES算法時(shí)選擇安全的工作模式，不應(yīng)使用ECB、CBC等不安全的模式。e)f)g)升級時(shí)，應(yīng)對升級包的完整性進(jìn)行校驗(yàn)，防止升級包被篡改。升級時(shí)，應(yīng)對升級包的版本進(jìn)行校驗(yàn)，防止降級更新。系統(tǒng)升級失敗時(shí)，應(yīng)保持原系統(tǒng)的可用性，并且安全屬性與升級前一致。6.5數(shù)據(jù)安全要求設(shè)備中數(shù)據(jù)的處理應(yīng)符合以下要求。4T/TAF101.2-2021a)b)個(gè)人信息的處理應(yīng)遵守GB/T35273-2020（所有部分）中規(guī)定的要求。應(yīng)采取必要的保護(hù)措施，保證數(shù)據(jù)在傳輸、存儲時(shí)的機(jī)密性、完整性，且相關(guān)的密鑰不應(yīng)硬編碼在代碼中。c)應(yīng)避免存儲用戶個(gè)人的敏感數(shù)據(jù)，必須存儲時(shí)應(yīng)加密存儲，且加密算法應(yīng)符合國家法律法規(guī)的規(guī)定，并實(shí)現(xiàn)訪問控制，防止非授權(quán)的訪問、篡改。d)e)f)應(yīng)避免將敏感數(shù)據(jù)輸出至日志系統(tǒng)。應(yīng)以最小化原則設(shè)置敏感數(shù)據(jù)訪問權(quán)限，僅限特定用戶/應(yīng)用訪問。應(yīng)使用密鑰、身份憑證等鑒權(quán)認(rèn)證機(jī)制保護(hù)數(shù)據(jù)，嚴(yán)格校驗(yàn)訪問者是否具有數(shù)據(jù)的訪問權(quán)限，禁止非授權(quán)訪問、非法使用，防止出現(xiàn)數(shù)據(jù)泄露。g)h)應(yīng)在敏感數(shù)據(jù)的存儲空間被釋放或重新分配前進(jìn)行完全清除，防止可能的數(shù)據(jù)泄露。應(yīng)采取必要的措施，保證數(shù)據(jù)被銷毀時(shí)，能夠清除所有副本，并利用技術(shù)手段避免原始數(shù)據(jù)被恢復(fù)。6.6鑒權(quán)與安全防護(hù)設(shè)備中的鑒權(quán)與安全防護(hù)措施應(yīng)符合以下要求。a)b)c)d)e)存在默認(rèn)賬戶時(shí)，應(yīng)支持修改默認(rèn)賬戶的口令。應(yīng)刪除無用的賬戶和訪問控制規(guī)則。應(yīng)以最小化原則進(jìn)行權(quán)限配置。對于訪問權(quán)限有要求的接口、數(shù)據(jù)等，應(yīng)具備訪問控制機(jī)制。密鑰、身份憑證等認(rèn)證信息應(yīng)具有時(shí)效性并限定作用域，認(rèn)證信息超時(shí)或超出作用域后應(yīng)重新分配。f)g)當(dāng)使用口令機(jī)制時(shí)，應(yīng)遵守GB/T38626-2020中第7章規(guī)定的要求。不應(yīng)存在后門、隱藏接口、惡意代碼。7多功能設(shè)備增強(qiáng)安全技術(shù)要求硬件安全要求芯片安全設(shè)備中使用的芯片應(yīng)符合以下要求。a)b)設(shè)備應(yīng)具備不可改寫的安全存儲區(qū)域，用于存儲校驗(yàn)密鑰等信息。設(shè)備應(yīng)具備必要的固件保護(hù)措施，包括但不限于加密、簽名、寫保護(hù)等，防范固件被提取、篡改。c)d)設(shè)備宜具備物理保護(hù)能力，防止攻擊者通過去除封裝等物理接觸方式，獲取芯片內(nèi)部存儲的數(shù)據(jù)。若設(shè)備需要對生物特征識別信息等敏感數(shù)據(jù)進(jìn)行操作，應(yīng)具備安全芯片或可信執(zhí)行環(huán)境。7.1.2物理安全設(shè)備宜具備對自身狀態(tài)的檢測能力，在出現(xiàn)暴力移除、拆卸、替換等情況時(shí)，提供必要的告警機(jī)制。7.2軟件安全要求7.2.1系統(tǒng)安全要求5T/TAF101.2-20安全啟動(dòng)應(yīng)在固件啟動(dòng)時(shí)，提供安全啟動(dòng)機(jī)制，確保只加載執(zhí)行可信的固件，并符合以下要求。a)b)應(yīng)從不可篡改的區(qū)域開始執(zhí)行安全啟動(dòng)，并在啟動(dòng)過程中校驗(yàn)密鑰的完整性、真實(shí)性。應(yīng)在安全啟動(dòng)過程中校驗(yàn)鏡像的完整性、真實(shí)性；當(dāng)存在多級啟動(dòng)時(shí)，每個(gè)鏡像啟動(dòng)前均應(yīng)進(jìn)行校驗(yàn)。c)安全啟動(dòng)過程中應(yīng)校驗(yàn)鏡像的版本，不應(yīng)啟動(dòng)比設(shè)備存儲的版本號低的鏡像；鏡像的版本號信息應(yīng)儲存在不可直接訪問、具備防篡改能力的區(qū)域。安全啟動(dòng)過程中應(yīng)禁用調(diào)試。d)e)安全啟動(dòng)過程中任意步驟校驗(yàn)不通過或出現(xiàn)其他失敗情況，應(yīng)退出啟動(dòng)過程，并清除RAM中的數(shù)據(jù)。權(quán)限配置系統(tǒng)中的權(quán)限配置應(yīng)符合以下要求。a)b)c)d)應(yīng)遵循最小化原則，為不同的用戶、應(yīng)用分配權(quán)限，禁止越權(quán)操作。應(yīng)開啟SELinux或其他強(qiáng)制訪問控制策略等安全配置。應(yīng)采取適當(dāng)?shù)脑L問控制措施對不同用戶、應(yīng)用的數(shù)據(jù)進(jìn)行隔離，防止非授權(quán)訪問。應(yīng)禁止root用戶非授權(quán)登錄，默認(rèn)禁止任何進(jìn)程或應(yīng)用獲取系統(tǒng)的超級用戶權(quán)限，防范可能的提權(quán)攻擊。e)f)不應(yīng)存在隱藏賬號。應(yīng)提供登錄失敗處理，限制非法登錄次數(shù)。7.2.2應(yīng)用安全要求應(yīng)用安全應(yīng)符合T/TAF023-2018中第4章規(guī)定的要求，并符合以下要求。a)b)c)d)e)f)g)h)i)應(yīng)開啟地址隨機(jī)化、堆棧不