CCSL80DB50重慶市市場監(jiān)督管理局發(fā)布IDB50/T1175—2021前言 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 25系統(tǒng)架構(gòu) 25.1概述 25.2感控安全區(qū) 25.3網(wǎng)絡安全區(qū) 35.4運維安全區(qū) 35.5應用安全區(qū) 36信息分級保護 47信息管理角色與職責 48平臺數(shù)據(jù)生存周期安全要求 48.1信息安全總體要求 48.2標簽產(chǎn)品安全要求 5 4數(shù)據(jù)傳輸安全要求5 5數(shù)據(jù)處理存儲安全要求68.6數(shù)據(jù)交換使用安全要求 78.7數(shù)據(jù)清理銷毀安全要求 7DB50/T1175—2021本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由重慶市經(jīng)濟和信息化委員會提出并歸口。本文件起草單位：重慶市城投金卡信息產(chǎn)業(yè)（集團）股份有限公司、中國電子技術(shù)標準化研究院、重慶市公安局、重慶市公安局交通管理局。本文件主要起草人：張鵬、彭濱鴻、王文峰、趙明、宋鴻、陳占鋒、許汝峰、王思翔、張偉、劉立國、胡芮嘉、易佳、廖汝秋、劉玉印、李春雨、鐘添翼、徐龍、徐立松、魏麗麗、楊民、辜繼東、余躍、耿力、張璋、劉倩穎。DB50/T1175—20211智慧交通物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全通用要求本文件規(guī)定了智慧交通物聯(lián)網(wǎng)數(shù)據(jù)服務平臺的信息安全要求，包括系統(tǒng)架構(gòu)、信息分級保護、信息管理員角色與職責和平臺數(shù)據(jù)生存周期安全要求等。本文件適用于基于智慧交通的物聯(lián)網(wǎng)數(shù)據(jù)服務平臺，可為類似組織定制信息安全要求標準提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T22239-2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求GB/T25069信息安全技術(shù)術(shù)語GB/T33745物聯(lián)網(wǎng)術(shù)語DB50/T526-2013機動車射頻識別標簽產(chǎn)品規(guī)范DB50/T534-2013機動車射頻識別RFID系統(tǒng)安全技術(shù)要求3術(shù)語和定義GB/T25069和GB/T33745界定的以及下列術(shù)語和定義適用于本文件。3.1安全域securitydomain在信息系統(tǒng)中，單一安全策略下運行的實體的匯集。例如，由單一或一組認證機構(gòu)采用同一安全策略創(chuàng)建的各公鑰證書的匯集。[來源：GB/T25069，2.2.1.17]3.2數(shù)據(jù)生存周期datalifecycle將原始數(shù)據(jù)轉(zhuǎn)化為可用于行動的知識的一組過程。[來源：GB/T33745，2.1.2]3.3數(shù)據(jù)分類dataclassificationDB50/T1175—20212把具有某種共同屬性或特征的數(shù)據(jù)歸并在一起，通過其類別的屬性或特征來對數(shù)據(jù)進行區(qū)別。3.4定向推送directionalpush通過對用戶數(shù)據(jù)的分析，向特定對象主動發(fā)送相關信息。4縮略語下列縮略語適用于本文件。RFID：射頻識別技術(shù)（RadioFrequencyIdentification）5系統(tǒng)架構(gòu)5.1概述物聯(lián)網(wǎng)數(shù)據(jù)服務平臺的信息安全要求系統(tǒng)架構(gòu)如圖1所示。圖1物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全系統(tǒng)架構(gòu)5.2感控安全區(qū)感控安全區(qū)包括目標對象域和感知控制域，主要滿足感知對象、控制對象及相應感知控制系統(tǒng)的信息安全需求。a)目標對象域：物聯(lián)網(wǎng)數(shù)據(jù)服務平臺管理者期望的信息對象，包括但不限于：1）感知對象：物聯(lián)網(wǎng)數(shù)據(jù)服務平臺管理者期望獲取數(shù)據(jù)的對象；DB50/T1175—20212）控制對象：物聯(lián)網(wǎng)數(shù)據(jù)服務平臺管理者期望執(zhí)行操控的對象。b)感知控制域：通過不同的感知和執(zhí)行功能單元實現(xiàn)對關聯(lián)對象的數(shù)據(jù)采集和控制操作，各功能單元可獨立工作，也可通過相互協(xié)作，共同實現(xiàn)對物聯(lián)網(wǎng)數(shù)據(jù)服務平臺的感知和操作控制，功能單元包括但不限于：1）傳感器網(wǎng)絡系統(tǒng)：通過與對象關聯(lián)綁定的傳感結(jié)點采集對象數(shù)據(jù)，或通過執(zhí)行器對對象執(zhí)行操作控制；2）標簽識別系統(tǒng)：通過讀寫設備對附加在對象上的RFID等標簽進行識別和數(shù)據(jù)讀寫，以采集或修改對象相關的數(shù)據(jù)；3）視頻圖像數(shù)據(jù)采集系統(tǒng)：通過視頻、圖像等設備采集對象的視頻圖像等非結(jié)構(gòu)化數(shù)據(jù)；4）智能化設備接口系統(tǒng)：具有通信、數(shù)據(jù)處理、協(xié)議轉(zhuǎn)換等功能，且提供與對象的通信接口，其對象包括電源開關、空調(diào)、大型儀器儀表等智能或數(shù)字設備。5.3網(wǎng)絡安全區(qū)網(wǎng)絡安全區(qū)包括資源交換域和服務提供域，主要保障數(shù)據(jù)匯集和預處理的真實性及有效性、網(wǎng)絡傳輸?shù)臋C密性及可靠性、數(shù)據(jù)交換共享的隱私性及可認證性。a)資源交換域：實現(xiàn)物聯(lián)網(wǎng)系統(tǒng)與外部系統(tǒng)間信息的共享與交換，包括但不限于：1）信息資源交換系統(tǒng)：為滿足特定用戶服務需求，需獲取其他外部系統(tǒng)必要信息資源，或為其他外部系統(tǒng)提供信息資源前提下，實現(xiàn)系統(tǒng)間的信息資源交換和共享的系統(tǒng)；2）市場資源交換系統(tǒng)：為支撐有效提供物聯(lián)網(wǎng)應用服務，實現(xiàn)物聯(lián)網(wǎng)相關信息流、服務流和資金流的交換的系統(tǒng)。b)服務提供域：根據(jù)用戶域需求對外提供服務，包括但不限于：1）基礎服務系統(tǒng)：為業(yè)務服務系統(tǒng)提供物聯(lián)網(wǎng)基礎支撐服務的系統(tǒng)，包括數(shù)據(jù)接入、數(shù)據(jù)處理、數(shù)據(jù)融合、數(shù)據(jù)存儲等；2）業(yè)務服務系統(tǒng)：面向某類特定用戶需求，提供物聯(lián)網(wǎng)業(yè)務服務的系統(tǒng)，包括數(shù)據(jù)統(tǒng)計、數(shù)據(jù)查詢、分析對比、告警預警、操作控制、協(xié)調(diào)聯(lián)動等。5.4運維安全區(qū)運維安全區(qū)包括運維管控域，主要需要滿足運維管控域的信息安全需求，除了滿足基本運行維護所必要的安全管理保障外，需要符合相關法律法規(guī)監(jiān)管所要求的安全保障功能。運維管控域：管理和保障物聯(lián)網(wǎng)中設備和系統(tǒng)可靠、安全運行，并保障物聯(lián)網(wǎng)應用系統(tǒng)合法合規(guī)，包括但不限于：——運維管理系統(tǒng)：實現(xiàn)包括系統(tǒng)接入管理、系統(tǒng)安全認證管理、系統(tǒng)運行管理、系統(tǒng)維護管理等功能；——網(wǎng)絡安全監(jiān)管系統(tǒng)：實現(xiàn)包括相關法律法規(guī)查詢、監(jiān)督、執(zhí)行等功能。5.5應用安全區(qū)應用安全區(qū)包括用戶域，主要需要滿足用戶域的信息安全需求，負責滿足系統(tǒng)用戶的身份鑒別、訪問權(quán)限控制以及配合必要的運維管理等方面的安全要求，同時需要具備一定的主動防攻擊能力，充分保障系統(tǒng)的可靠性。用戶域是支撐用戶接入物聯(lián)網(wǎng)，使用物聯(lián)網(wǎng)服務的接口系統(tǒng)，從物聯(lián)網(wǎng)用戶總體類別來分，可包括政府用戶系統(tǒng)、企業(yè)用戶系統(tǒng)、公眾用戶系統(tǒng)等。本文件依托物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全系統(tǒng)架構(gòu)，重點針對數(shù)據(jù)在平臺流轉(zhuǎn)過程中的安全問題提出安全要求。DB50/T1175—202146信息分級保護為保護物聯(lián)網(wǎng)數(shù)據(jù)服務平臺運行過程中所涉及的信息的安全，根據(jù)信息的重要及敏感程度對其進行分級，可分為一般信息、重要信息和機要信息，三類信息的管控要求如表1所示。a）一般信息：信息系統(tǒng)受到破壞后，會對城市交通管理和社會治理造成一般影響；b）重要信息：信息系統(tǒng)受到破壞后，會對城市交通管理和社會治理造成嚴重損害；c）機要信息：信息系統(tǒng)受到破壞后，會對城市交通管理和社會治理造成特別嚴重損害。表1數(shù)據(jù)分級管控要求可在內(nèi)部自由傳輸和使用，在傳輸和使用中不得7信息管理角色與職責物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全管理的角色包括但不限于：a)物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全決策者物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全決策者負責信息安全戰(zhàn)略管理及各環(huán)節(jié)的安全管理決策，按平臺信息安全戰(zhàn)略對信息進行監(jiān)督管理；b)物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全管理者物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全管理者是平臺信息安全戰(zhàn)略的執(zhí)行者，負責對平臺運行過程中各環(huán)節(jié)數(shù)據(jù)的監(jiān)督、指導、審核及實施；對下屬子單位信息應用、信息安全體系建設、平臺程序開發(fā)的監(jiān)督、指導和審核。一般根據(jù)管理者接觸和管理信息的不同進行權(quán)限劃分。c)物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全維護者物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全維護者負責平臺數(shù)據(jù)安全運行過程中信息的日常維護與管理，主要人員包括但不限于：——數(shù)據(jù)庫維護者：具有數(shù)據(jù)維護權(quán)限，無數(shù)據(jù)應用權(quán)限，負責管理和優(yōu)化數(shù)據(jù)庫，保障數(shù)據(jù)庫正常、高效運行；——系統(tǒng)維護者：負責數(shù)據(jù)相應系統(tǒng)的維護，保障數(shù)據(jù)相應系統(tǒng)的正常運行；——網(wǎng)絡維護者：負責數(shù)據(jù)系統(tǒng)相關網(wǎng)絡的運行維護工作，保障數(shù)據(jù)相應系統(tǒng)的網(wǎng)絡正常；——程序、平臺等維護者：負責數(shù)據(jù)相應程序、平臺的運行維護，優(yōu)化平臺運行，解決平臺問題，對平臺數(shù)據(jù)分析結(jié)果進行質(zhì)量管控，及時解決發(fā)現(xiàn)的問題。8平臺數(shù)據(jù)生存周期安全要求8.1信息安全總體要求物聯(lián)網(wǎng)數(shù)據(jù)服務平臺的信息安全包括標簽產(chǎn)品的設計、生產(chǎn)、檢驗和驗收，數(shù)據(jù)采集，數(shù)據(jù)傳輸，數(shù)據(jù)處理存儲，數(shù)據(jù)交換使用，數(shù)據(jù)清理銷毀。整個過程應符合DB50/T534-2013的規(guī)定，制定平臺管理體系，嚴格分權(quán)管理，確保整個平臺在運行過程中的安全。DB50/T1175—2021建立物聯(lián)網(wǎng)數(shù)據(jù)服務平臺信息安全管理機制，管理機制應從軟、硬件、管理等方面保障平臺從項目立項、安全驗收到運行使用整個過程的安全。8.2標簽產(chǎn)品安全要求標簽產(chǎn)品的設計、生產(chǎn)、檢驗和驗收應符合DB50/T526-2013的規(guī)定。8.3數(shù)據(jù)采集安全要求物聯(lián)網(wǎng)數(shù)據(jù)服務平臺采集的數(shù)據(jù)包括用戶信息數(shù)據(jù)和業(yè)務基礎數(shù)據(jù)。用戶信息數(shù)據(jù)主要通過客戶端APP、微信公眾號等方式采集，內(nèi)容包括用戶的姓名、公民身份號碼、電話號碼等信息。業(yè)務基礎數(shù)據(jù)主要通過RFID、視頻抓拍設備等方式采集，內(nèi)容包括車輛信息數(shù)據(jù)、停車場數(shù)據(jù)、非現(xiàn)金支付數(shù)據(jù)等數(shù)據(jù)。a)基礎數(shù)據(jù)采集安全要求：1）建立數(shù)據(jù)采集審批機制，確定采集的內(nèi)容、范圍等數(shù)據(jù)；2）對采集的數(shù)據(jù)進行完整性和一致性校驗；3）采集時對數(shù)據(jù)采集環(huán)境、采集設施和采集技術(shù)進行安全管控；4）明確數(shù)據(jù)安全責任人，并提供資源保障其獨立履行數(shù)據(jù)安全職責；建立備案機制，備案內(nèi)容包括采集使用規(guī)則、目的、規(guī)模、方式、范圍、類型、期限等，不包括數(shù)據(jù)內(nèi)容本身。b）用戶數(shù)據(jù)采集安全要求：1)建立數(shù)據(jù)采集審批機制，確定采集的內(nèi)容、范圍等數(shù)據(jù)；2)制定并公開數(shù)據(jù)采集使用規(guī)則，待用戶明確同意后進行數(shù)據(jù)采集。數(shù)據(jù)采集使用規(guī)則應說明采集使用數(shù)據(jù)的目的、種類、數(shù)量、頻度、方式、范圍，法律、行政法規(guī)規(guī)定的相關依據(jù)等數(shù)據(jù)；3)非公安機關強制要求，收集14周歲以下未成年人個人信息應征得監(jiān)護人同意；其他途徑獲得的個人信息或企業(yè)信息，與直接收集負有同等保護責任和義務；不得以默認授權(quán)、功能捆綁等形式，強迫、誤導信息主體同意數(shù)據(jù)采集；4)明確數(shù)據(jù)安全責任人，并提供資源保障其獨立履行數(shù)據(jù)安全職責；建立備案機制，備案內(nèi)容包括采集使用規(guī)則、目的、規(guī)模、方式、范圍、類型、期限等，不包括數(shù)據(jù)內(nèi)容本身；5)收集的用戶信息的類型應與實現(xiàn)的業(yè)務功能有直接關聯(lián)；6)自動采集用戶信息的頻率應為實現(xiàn)業(yè)務功能所必需的最低頻率。c）業(yè)務數(shù)據(jù)采集安全要求：1)建立數(shù)據(jù)采集審批機制，確定采集點數(shù)量、位置等數(shù)據(jù)；2)采集設備應裝載密鑰卡，且與設備一一對應，防止電子牌信息泄漏或非法采集；3)采集點應受控，嚴格按照國家及地方相關法律法規(guī)要求進行數(shù)據(jù)采集；4)采集數(shù)據(jù)應按照數(shù)據(jù)分類分級策略進行分類分級標識，對不同類別和級別的采集數(shù)據(jù)實施相應的安全管理策略和保障措施；5)明確數(shù)據(jù)安全責任人，并提供資源保障其獨立履行數(shù)據(jù)安全職責；建立備案機制，備案內(nèi)容包括采集使用規(guī)則、目的、規(guī)模、方式、范圍、類型、期限等，不包括數(shù)據(jù)內(nèi)容本身。8.4數(shù)據(jù)傳輸安全要求物聯(lián)網(wǎng)數(shù)據(jù)服務平臺在運行過程中的數(shù)據(jù)傳輸包括網(wǎng)絡傳輸和媒體傳輸。a)網(wǎng)絡傳輸過程中應符合：1）制定并實施網(wǎng)絡傳輸安全策略和規(guī)程；2）在構(gòu)建傳輸通道前對通信雙方身份進行鑒別；DB50/T1175—202163）采用專網(wǎng)加密傳輸，非內(nèi)部指定人員無法進入采集網(wǎng)絡；4）前端采集設備應通過后臺采集中間件與后臺連接；5）支持斷點續(xù)傳，以防網(wǎng)絡中斷，導致全量數(shù)據(jù)重傳占用網(wǎng)絡資源；6）能夠?qū)λ邮盏臍v史數(shù)據(jù)或超出時限的數(shù)據(jù)進行識別，在數(shù)據(jù)存在可接受的誤差時，建立容錯機制保障系統(tǒng)正常運行；7）傳輸時支持對重要及以上級別信息的完整性校驗，具有通信延時和中斷處理功能，并在檢測到完整性錯誤時采取必要的恢復措施；8）外接應用訪問時，應有嚴格的安全管理規(guī)定，外接可分為：l禁止外接指部分重要信息和機要信息，如涉及車主或駕駛員個人隱私的信息，該類信息外接可能導致隱私泄漏；l專網(wǎng)外接指具有一定管理和決策支撐作用的統(tǒng)計信息、路網(wǎng)信息等，可通過與應用單位專網(wǎng)直連的方式外接；l互聯(lián)網(wǎng)外接指一般信息，如只針對特定企業(yè)或政府部門的管理信息，即使信息泄漏也無法使用。9）制定外接安全要求，針對所有外接系統(tǒng)的對方應用單位提出管理、軟硬件設備設施要求，杜絕系統(tǒng)外接因?qū)Ψ絾挝话踩韬龆鴮ζ脚_造成安全影響；10）不可信區(qū)域的數(shù)據(jù)，應在數(shù)據(jù)接收的邊界進行過濾和防病毒處理，在接收端主機或設備上進行來源確認的驗證；11）傳輸系統(tǒng)應對安全失效事件進行日志記錄和審計，日志內(nèi)容應至少包含日期/時間、事件類型、事件主體、事件描述，成功/失敗的數(shù)據(jù)。b）媒體傳輸過程中應符合：1）建立物聯(lián)網(wǎng)數(shù)據(jù)服務存儲媒體訪問和使用安全策略和管理規(guī)范；2）不得使用未經(jīng)認證的U盤，外來計算機不得接入內(nèi)部網(wǎng)絡，防止病毒木馬傳播；3）存儲媒體在使用過程中應符合GB/T20269-2006中5.4.2.3的要求。8.5數(shù)據(jù)處理存儲安全要求物聯(lián)網(wǎng)數(shù)據(jù)服務平臺存儲的數(shù)據(jù)包括原始數(shù)據(jù)和處理數(shù)據(jù)，在處理備份過程中應符合：a)制定數(shù)據(jù)存儲安全規(guī)則，包括但不限于：1）數(shù)據(jù)存儲設備運行維護操作規(guī)則；2）數(shù)據(jù)存儲系統(tǒng)安全管理規(guī)則；3）數(shù)據(jù)復制、備份與恢復的操作規(guī)則及定期檢查或更新工作程序；4）數(shù)據(jù)歸檔存儲制度及相應的安全審計與恢復制度；5）數(shù)據(jù)存儲時效性管理規(guī)則。b)建立開放可伸縮的數(shù)據(jù)存儲架構(gòu)，以滿足數(shù)據(jù)量持續(xù)增長、數(shù)據(jù)分類分級存儲等需求；c)建立具備跨地域容錯、容災能力的數(shù)據(jù)存儲架構(gòu)；d)數(shù)據(jù)邏輯存儲多租戶隔離，分層分級保護，并授權(quán)管理；e)采用中間件/安全加密技術(shù)/安全設備實施實現(xiàn)數(shù)據(jù)資源的保護；f)數(shù)據(jù)訪問審計的存儲保護和管控；g)數(shù)據(jù)存儲完整性、多副本一致性檢測與恢復；h)提供有效的硬盤保護形式，保證即使硬盤被竊取，非法用戶也無法從硬盤中獲取有效的用戶數(shù)據(jù)；i)在安全等級可接受的環(huán)境中再次使用媒體之前應清除媒體上已有的內(nèi)部存儲、緩存或其他可用的數(shù)據(jù)，以防對先前數(shù)據(jù)的訪問；DB50/T1175—20217g)對存儲媒體進行標記，明確媒體存儲的數(shù)據(jù)對象，并對媒體訪問和使用行為進行記錄和審計。8.6數(shù)據(jù)交換使用安全要求數(shù)據(jù)在交換使用過程中應符合：a)構(gòu)建數(shù)據(jù)脫敏規(guī)范，數(shù)據(jù)使用正當性的內(nèi)部責任制度，數(shù)據(jù)溯源策略和管理制度以及不同類型、級別數(shù)據(jù)的加密規(guī)則和保存期限；b)建立分布式處理節(jié)點間可信連接策略和規(guī)范，采用節(jié)點認證等機制確保節(jié)點接入的真實性；c)建立分布式處理節(jié)點和用戶安全屬性的周期性確認機制，確保預定義分布式安全策略一致性；d)建立分布式處理過程中數(shù)據(jù)文件鑒別和訪問用戶身份認證的策略和規(guī)范，確保分布式處理數(shù)據(jù)文件的可訪問性；e)定向推送信息應以明顯方式標明“定推”字樣，為用戶提供停止接收定向推送信息的功能。f)合成宣傳資料，應以明顯方式標明“合成”字樣，不得以謀取利益或損害他人利益為目的自動合成信息；g)社交網(wǎng)絡轉(zhuǎn)發(fā)的信息，應自動標注信息制作者