ICS35.040CCSL80

團 體 標(biāo) 準(zhǔn)T/ZJAF11—2021視頻圖像物聯(lián)終端設(shè)備安全技術(shù)要求SecuritytechnicalrequirementsofIoTterminaldeviceforvideoandimage2021-12-15發(fā)布 2022-03-01實施浙江省安全技術(shù)防范行業(yè)協(xié)會發(fā)布T/ZJAFT/ZJAF11—2021II目 次前言 II112范引文件 13語定和略語 13.1術(shù)和義 13.2縮語 14備全護述 2安防架構(gòu) 2硬平安全 2系平安全 2應(yīng)軟安全 2通安全 35備類 36全求 3硬平安全 3系平安全 3應(yīng)軟安全 4通安全 57同型備全求 6參考獻 8T/ZJAFT/ZJAF11—2021IIII前 言GB/T1袁福貴、林勉嵩、黃海飛、李歡麗。T/ZJAFT/ZJAF11—2021PAGEPAGE8視頻圖像物聯(lián)終端設(shè)備安全技術(shù)要求范圍本文件適用于視頻圖像物聯(lián)終端設(shè)備的設(shè)計、開發(fā)、測試和應(yīng)用。（GB/T11457—2006信息技術(shù)軟件工程術(shù)語GB/T25069—2010信息安全技術(shù)術(shù)語GB/T28925信息技術(shù)射頻識別2.45GHz空中接口協(xié)議GB/T29768信息技術(shù)射頻識別800/900MHz空中接口協(xié)議GB/T33745—2017物聯(lián)網(wǎng)術(shù)語GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T35318—2017公安物聯(lián)網(wǎng)感知終端安全防護技術(shù)要求GB/T37044—2018信息安全技術(shù)物聯(lián)網(wǎng)安全參考模型及通用要求ITU-TX.509信息技術(shù)開放系統(tǒng)互連目錄：公開秘鑰和屬性證書框架（Informationtechnology—OpenSystemsInterconnection—TheDirectory：Public-keyandattributecertificateframeworks）GB/T11457—2006、GB/T25069—2010、GB/T33745—20173.1.1頻像聯(lián)端備 IoTterminaldeviceforvideoandimage物聯(lián)網(wǎng)中具有視頻圖像數(shù)據(jù)采集、存儲、處理等部分或全部能力的終端設(shè)備?？s略語下列縮略語適用于本文件。AES：高級加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard）CCMP：計數(shù)器模式密碼塊鏈消息完整碼協(xié)議（CounterCBC-MACProtocol）IoT：物聯(lián)網(wǎng)（InternetofThing）MQTT：消息隊列遙測傳輸（MessageQueuingTelemetryTransport）OTA：空中下載技術(shù)（Over-The-AirTechnology）OTP（OneTimeProgrammable）PIN（PersonalIdentifyNumber）SSP（securitysupportprovider）TEE（TrustedExecutionEnvironment）TLS（TransportLayerSecurity）TPM（TrustedPlatformModule）WPA:Wi-Fi（Wi-FiProtectedAccess）應(yīng)用軟件安全身份認(rèn)證權(quán)限控制安全審計數(shù)據(jù)保護應(yīng)用軟件安全身份認(rèn)證權(quán)限控制安全審計數(shù)據(jù)保護密碼算法物理安全安全芯片通用安全設(shè)備間交互物理安全安全芯片通用安全設(shè)備間交互藍牙通信WiFi通信其他通信系統(tǒng)平臺安全引導(dǎo)程序初始設(shè)置操作系統(tǒng)軟件升級內(nèi)核程序 圖1 視頻像聯(lián)端備全防架圖硬件平臺安全主要包括物理安全防護和安全芯片應(yīng)用。系統(tǒng)平臺安全主要包括引導(dǎo)程序、初始設(shè)置、操作系統(tǒng)、軟件升級、內(nèi)核程序的安全防護。應(yīng)用軟件安全主要包括身份認(rèn)證、權(quán)限控制、安全審計、數(shù)據(jù)保護、密碼算法的安全防護。通信安全主要包括通用安全、設(shè)備間交互、藍牙通信、WiFi通信及其他通信的安全防護。視頻圖像物聯(lián)終端設(shè)備根據(jù)其安全防護能力不同分為基礎(chǔ)型、增強型和全面型。設(shè)備分類見表1。表1 設(shè)備類設(shè)備分類分類說明適用范圍基礎(chǔ)型具備軟件安全的基本防護能力，不涉及或極少涉及物理安全的防護。不涉及個人敏感信息，物理攻擊的影響較小，且自身的安全問題不會影響系統(tǒng)中其他節(jié)點的安全防護的視頻圖像物聯(lián)終端設(shè)備。增強型在軟件安全的基礎(chǔ)防護能力上，進一步提升軟件安全防護能力，并具備一定的硬件安全防護能力。涉及個人敏感信息，自身的安全問題可能會影響系統(tǒng)周邊節(jié)點的安全防護的視頻圖像物聯(lián)終端設(shè)備。全面型在現(xiàn)有安全技術(shù)基礎(chǔ)能力下，對軟件、硬件進行全面安全加固，具備軟件、硬件全面安全防護的能力。涉及個人高敏感的信息數(shù)據(jù)，或者設(shè)備的安全問題可能致使系統(tǒng)出現(xiàn)非常嚴(yán)重的安全事故的視頻圖像物聯(lián)終端設(shè)備。注1：視頻圖像物聯(lián)終端設(shè)備的安全防護能力要求根據(jù)特殊情景可作出適當(dāng)?shù)恼{(diào)整。注2：個人敏感信息判定見GB/T35273-2020中的附錄B。6.2.2.1 GB/T35318—20177.1.2.1OTAOTA出廠設(shè)置應(yīng)僅啟用基本網(wǎng)絡(luò)服務(wù)功能。IoT6.4.1.1 GB/T37044—20185.4.2.2TLSITU-TX.509MQTTPINJustWork，SSP6注：“JustWork”模式指不需要用戶參與，設(shè)備發(fā)起連接即可配對目標(biāo)設(shè)備。WiFiWiFiWPA2WPAAES（CCMPWiFiWPSGB/T29768和GB/T28935視頻圖像物聯(lián)終端設(shè)備根據(jù)不同安全防護能力應(yīng)符合表2規(guī)定的安全要求。表2 視頻像聯(lián)備全求安全要求基礎(chǔ)型增強型全面型硬件平臺物理安全6.1.1.1—●●6.1.1.2——●6.1.1.3——●6.1.1.4——●安全芯片6.1.2.1——●6.1.2.2——●6.1.2.3——●6.1.2.4——●系統(tǒng)平臺引導(dǎo)程序6.2.1.1—●●6.2.1.2●●●6.2.1.3——●6.2.1.4—●●6.2.1.5——●系統(tǒng)平臺操作系統(tǒng)6.2.2.1——●6.2.2.2●●●6.2.2.3—●●6.2.2.4—●●6.2.2.5——●6.2.2.6—●●6.2.2.7——●軟件升級6.2.3.1●●●6.2.3.2——●6.2.3.3—●●6.2.3.4●●●6.2.3.5——●6.2.3.6——●內(nèi)核程序6.2.4.1—●●6.2.4.2●●●初始設(shè)置6.2.5●●●表2 視頻像聯(lián)備全類要（）安全要求基礎(chǔ)型增強型全面型應(yīng)用軟件身份認(rèn)證6.3.1.1●●●6.3.1.2●●●6.3.1.3●●●6.3.1.4●●●6.3.1.5●●●權(quán)限控制6.3.2.1●●●6.3.2.2●●●6.3.2.3—●●安全審計6.3.3.1●●●6.3.3.2●●●6.3.3.3—●●數(shù)據(jù)保護6.3.4.1●●●6.3.4.2●●●6.3.4.3—●●應(yīng)用軟件密碼算法6.3.5.1●●●6.3.5.2●●●6.3.5.3—●●6.3.5.4——●通信通用安全6.4.1.1—●●6.4.1.2●●●6.4.1.3●●●6.4.1.4—●●6.4.1.5●●●設(shè)備間交互6.4.2.1●●●6.4.2.2●●●6.4.2.3●●●藍牙6.4.3.1●●●6.4.3.2●●●6.4.3.3●●●6.4.3.4●●●6.4.3.5●●●WiFi6.4.4.1●●●6.4.4.2●●●6.4.4.3●●●6.4.4.4●●●其他通信6.4.5●●●注：“●”代表強制要求項，“—”代表可選項。參 考 文 獻[1]GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則[2]G