当前位置:文档之家 › 第11章 物联网信息安全标准-《物联网安全导论》

第11章 物联网信息安全标准-《物联网安全导论》

  • 格式:ppt
  • 大小:1.12 MB
  • 文档页数:36

下载文档原格式

  / 36

合集下载

物联网安全导论重点

物联网安全导论重点

第一章1.1物联网的安全特征:1,感知网络的信息采集、传输与信息安全问题。

2,核心网络的传输与信息安全问题。

3,物联网业务的安全问题。

1.2物联网从功能上说具备哪几个特征?1,全面感知能力,可以利用RFID、传感器、二维条形码等获取被控/被测物体的信息。

2,数据信息的可靠传递,可以通过各种电信网络与互联网的融合,将物体的信息实时准确的传递出去。

3,可以智能处理,利用现代控制技术提供智能计算方法,对大量数据和信息进行分析和处理,对物体实施智能化的控制。

4,可以根据各个行业,各种业务的具体特点形成各种单独的业务应用,或者整个行业及系统的建成应用解决方案。

1.3物联网结构应划分为几个层次?1,感知识别层 2,网络构建层 3,管理服务层4,综合应用层1.4概要说明物联网安全的逻辑层次物联网网络体系结构主要考虑3个逻辑层,即底层是用来采集的感知识别层,中间层数据传输的网络构建层,顶层则是包括管理服务层和综合应用层的应用中间层1.5物联网面对的特殊安全为问题有哪些?1,物联网机器和感知识别层节点的本地安全问题。

2,感知网络的传输与信息安全问题。

3,核心网络的传输与信息安全问题。

4,物联网业务的安全问题信息安全:是指信息网络的硬件、软件及其系统中的数据受到保护,不易受到偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠的运行,信息服务不中断。

针对这些安全架构,需要发展相关的密码技术,包括访问控制、匿名签名、匿名认证、密文验证(包括同态加密)、门限密码、叛逆追踪、数字水印和指纹技术。

物联网的信息安全问题将不仅仅是技术问题,还会涉及许多非技术因素。

下述几个方面的因素很难通过技术手段来实现:(1)教育:让用户意识到信息安全的重要性和如何正确使用物联网服务以减少机密信息的泄露机会;(2)管理:严谨的科学管理方法将使信息安全隐患降低到最小,特别应注意信息安全管理;(3)信息安全管理:找到信息系统安全方面最薄弱环节并进行加强,以提高系统的整体安全程度,包括资源管理、物理安全管理和人力安全管理;(4)口令管理:许多系统的安全隐患来自账户口令的管理;物联网结构与层次①感知识别层:涉及各种类型的传感器、RFID标签、手持移动设备、GPS终端、视频摄像设备等;重点考虑数据隐私的保护;②网络构建层:涉及互联网、无线传感器网络、近距离无线通信、3G/4G通信网络、网络中间件等;重点考虑网络传输安;③管理服务层:涉及海量数据处理、非结构化数据管理、云计算、网络计算、高性能计算、语义网等;重点考虑信息安全;④综合应用层:涉及数据挖掘、数据分析、数据融合、决策支持等。

物联网安全技术框架《物联网安全导论》课件

物联网安全技术框架《物联网安全导论》课件

物联网安全技术框架《物联网安全导论》
28
2.1 常用信息安全技术简介
2.1.5 数字签名 • 数字签名是指通过一个单向函数对传送的报文进
行处理得到的,是一个用以认证报文来源并核实 报文是否发生变化的一个字母数字串。
• 数字签名的作用就是了为了鉴别文件或书信真伪, 签名起到认证、生效的作用。
• 数字签名主要的功能是:保证信息传输的完整性、 发送者的身份认证、防止交易中的抵赖发生。
物联网安全技术框架《物联网安全导论》
26
2.1 常用信息安全技术简介
2. 电子签证机关CA(Certificate Authority) • 所谓CA(Certificate Authority:证书发行机
构),是采用PKI(Public Key Infrastructure: 公开密钥体系)公开密钥技术,专门提供网络身 份认证服务,负责签发和管理数字证书,且具有 权威性和公正性的第三方信任机构,它的作用就 像颁发证件的部门,如护照办理机构。
物联网安全技术框架《物联网安全导论》
5
2.1 常用信息安全技术简介
2.1.2 访问控制和口令 1. 访问控制 • 按用户身份及其所归属的某预设的定义组限制用
户对某些信息项的访问,或限制对某些控制功能 的使用。 • 访问控制通常用于系统管理员控制用户对服务器、 目录、文件等网络资源的访问。
物联网安全技术框架《物联网安全导论》
物联网安全技术框架《物联网安全导 论》
学习任务
本章主要涉及:
1 常用信息安全技术简介 2 物联网安全技术架构
4
物联网安全技术框架《物联网安全导论》
2
2.1 常用信息安全技术简介
• 现代经常涉及的信息安全技术主要有数据加密、 身份认证、访问控制和口令、数字证书、电子签 证机关(CA)、数字签名等常用信息安全技术。

物联网导论-7-物联网信息安全图文

物联网导论-7-物联网信息安全图文
伪造和篡改数据威胁是指攻击者通过伪造或篡改数据,以达到欺骗或干扰物联网系统的 目的。
详细描述
攻击者可以通过截获、篡改或伪造数据流,来干扰物联网设备的正常运行和决策。例如, 攻击者可以篡改传感器数据,导致系统做出错误的决策或操作;或者伪造身份认证信息, 获得对物联网设备的非法访问权限。这种威胁对物联网系统的可靠性和安全性构成了严
恶意代码威胁
总结词
恶意代码威胁是指通过在物联网设备上植入病毒、蠕虫等恶意程序,对设备进行 控制和破坏。
详细描述
攻击者可以通过漏洞利用、社交工程等方式在物联网设备上植入恶意代码,从而 控制设备、窃取数据、破坏系统等。这种威胁对物联网设备的正常运行和数据安 全构成了严重威胁。
伪造和篡改数据威胁
总结词
明确保障关键信息基础设施安全。
《个人信息保护法》
02
规范个人信息处理活动,保护个人信息权益,促进个人信息合
理利用。
《数据安全法》
03
保障国家数据安全,促进数据开发利用,保护个人、组织的合
法权益。
企业物联网信息安全规范
HIPAA
美国医疗领域的信息安全法规, 要求医疗提供商采取必要的安全
措施来保护患者数据。
关键点
保护隐私和敏感信息、避免信息泄 露
THANKS
感谢观看
01
关键点
强化设备安全、制定安全策略、员工 培训
03
案例描述
该企业利用物联网技术实现货物追踪和监控, 通过数据加密和访问控制等手段保障数据安 全。
05
02
案例描述
该企业通过部署物联网安全设备、制定严格 的安全政策和培训员工,有效保护了企业的 物联网设备和数据安全。
04
案例名称

《物联网安全导论》(第2版)PPT课件第11章 物物联网安全市场需求和发展趋势-《物联网安全导论》

《物联网安全导论》(第2版)PPT课件第11章 物物联网安全市场需求和发展趋势-《物联网安全导论》

11.1 物联网安全事件盘点
10. 智能家居设备存在漏洞,吸尘器秒变监视器 • 今年11月,Check Point研究人员表示LG智能家
居设备存在漏洞,黑客可以利用该漏洞完全控制 一个用户账户,然后远程劫持LG Smart ThinQ家 用电器,包括冰箱,干衣机,洗碗机,微波炉以 及吸尘机器人。
• 研究人员演示了黑客通过控制安装在设备内的集 成摄像头将LG Hom-Bot变成一个间谍。
11.1 物联网安全事件盘点
7. 超1700对台IoT设备Telnet密码列表遭泄露 • 八月,安全研究人员 Ankit Anubhav 在 Twitter
上分享了一则消息,声称超 1700 台 IoT 设备的 有效 Telnet 密码列表遭泄露,这些密码可以被黑 客用来扩大僵尸网络进行 DDoS 攻击的动力来源。 • 这份列表中包含了33138 个IP地址、设备名称和 telnet密码,列表中大部分的用户名密码组合都 是”admin:admin”或者”root:root”等。
③智能家居物联网: • 涉及到个人家庭隐私安全。这一块的安全投入,
比较少。但是大的家电企业相对来说会多一点。 这也是安全厂商的机会。
11.2.1物联网业务形态对安全的需求
3 物联网设备的高危漏洞和安全隐患 惠普安全研究院调查的10个最流行的物联网智
能设备后发现几乎所有设备都存在高危漏洞,主 要有五大安全隐患,一些关键数据如下: • 80%的IOT设备存在隐私泄露或滥用风险; • 80%的IOT设备允许使用弱密码; • 70%的IOT设备与互联网或局域网的通讯没有加密; • 60%的IOT设备的web 界面存在安全漏洞; • 60%的IOT设备下载软件更新时没有使用加密;
11.1 物联网安全事件盘点

《物联网导论》第11章-物联网应用案例-智能电网

《物联网导论》第11章-物联网应用案例-智能电网

, 需要建设坚强的输电网,并强调各级电网协调发展。关于智能电网性能的描述,三方基

点相近,建设经济、环保、安全、高效的新型电网,是中美以欧特发高压展电智网能为电骨网干的网共架同、追各级求电。
网协调
中国国
为支撑,具有信息化、自动化、互动化
家电网
发特展的征坚,强包网含架电为力基系础统,的以发通电信、信输息电平、台变
物联网应用案例- 智能电网
01 智能电网概述
传统能源日渐短缺和环境污染问题日益严重是 人类社会持续发展所面临的最大挑战。
各种低碳技术的大规模应用主要集中在可再生 能源发电和终端用户方面,使传统电网的发电 侧和用户侧特性发生了重大改变,并给输、配 电网的发展和安全运行带来了新的挑战。
在这样的发展背景下,智能电网的概念应运而 生,并在全球范围内得到广泛认同,成为世界 电力工业的共同发展趋势。
通用信息模型和基于物联网的通信框架
FSGIM
Data elements Data type
Data associations Semantic checks Data optionality
Information model
Application layer
Transport layer
Network layer
为了在工业设备中实施FSGIM,需要设计骨干和无线网络的协议。
通用信息模型和基于物联网的通信框架
物理层和数据链路层 工业以太网技术已被广泛部署并促进了工厂控制和企业网络的融合,因此使用工业以太网技术。 工业以太网的示例包括PROFINET,EtherCAT,以太网Powerlink,RAPIEnet和EPA。能源决策者可 以通过访问制造应用程序级别的关键性能指标和数据分析来得到实时信息,且可以实时监控和调整 工业过程,以提高生产灵活性。 由于使用IEEE 802.15.4标准的无线电收发器无处不在,且许多最近开发的工业无线电栈是基于 IEEE 802.15.4的,如ISA100.11a,WirelessHART和WIA-PA。因此对于现场网络,使用无线电技术 IEEE 802.15.4标准。 网络层 对于工厂控制而言,透明的端到端通信,大型寻址空间,自动寻址方法,更高效的路由协议,增 强的移动功能以及自主网络形成和配置,具有强大的吸引力。而IP网络处于IPv4向IPv6的过渡阶段, 因此工厂控制网络将迁移到IPv6,并且企业内部网和Internet将相互集成。 除了IPv6过渡和不同网络的集成之外,支持IP的无线现场网络的出现是另一个重要趋势。与现有 的有线解决方案相比,使用基于IP的无线技术为工业能源管理提供了新的可能性和优势。这些技术 可以更轻松地访问与流程本身和流程中使用设备的更多的相关信息。 轻量级IP堆栈和基于IPv6的通信协议使得在无线现场网络中实现IP通信成为可能。6LoWPAN是 IPv6 和 IEEE 802.15.4 之 间 的 适 配 器 层 。 它 用 于 低 功 耗 和 有 损 网 络 ( Low-power and Lossy Networks ,LLNs),其中用于互连节点的链路是IEEE 802.15.4链路。6LoWPAN甚至可以应用于非常 小的设备,包括具有有限处理能力的低功率设备,允许它们参与物联网。在这项工作中,能源管理 器,负载和发电系统位于工业设备中,并通过无线或有线网络连接。

物联网安全导论课后习题答案

物联网安全导论课后习题答案

第一章1.物联网安全涉及的范围有哪些?1). 物与物的交互行为2). 用户的控制行为3). 人与物的隐私4). 数据的更新、传输和转换2.简述物联网的安全特征。

感知信息要经过采集、汇聚、融合、传输、决策与控制等过程,体现出其要面对3个安全问题。

1). 感知网络的信息采集、传输与信息安全问题2). 核心网络的传输与信息安全问题3). 物联网业务的安全问题3.物联网从功能上来说具备哪几个特征?1). 全面感知能力2). 数据信息的可靠传递3). 智能处理4). 可以根据实际情况建成应用解决方案4.按照科学及严谨的表述,物联网结构应分为几层?①感知识别层、②网络构建层、③管理服务层、④综合应用层5.概要说明物联网安全的逻辑层次。

底层是用来信息采集的感知识别层中间层是数据传输的网络构建层顶层则是包括管理服务层和综合应用层的应用/中间件层6.物联网面对的特殊安全问题有哪些?1). 物联网机器/感知节点的本地安全问题2). 感知网络的传输与信息安全问题3). 核心网络的传输与信息安全问题4). 物联网业务的安全问题7.简述物联网中的业务认证机制。

根据业务由谁来提供和业务的安全敏感程度来设计,=8.物联网中的加密机制是什么?网络层加密机制是逐跳加密,业务层加密机制则是端到端的,两者紧密结合9.概要说明物联网安全技术分类。

①应用环境安全技术、②网络环境安全技术、③信息安全防御关键技术、④信息安全基础核心技术10.感知识别层可能遇到的安全挑战包括哪几种情况?①网关节点被敌手控制—安全性全部丢失;②普通节点被敌手控制(敌手掌握节点密钥);③普通节点被敌手捕获(但由于没有得到节点密钥,而没有被控制);④节点(普通节点或网关节点)受来自于网络的DOS攻击;⑤接入到物联网的超大量节点的标识、识别、认证和控制问题。

11.物联网网络构建层将会遇到哪些安全挑战?①拒绝服务攻击(DOS)攻击、分布式拒绝服务攻击(DDOS)攻击;②假冒攻击、中间人攻击等;③跨异构网络的网络攻击12.简要说明管理服务层的安全机制。

课程教学大纲-物联网安全导论(第2版)-李联宁-清华大学出版社

“物联网安全导论”课程教学大纲课程名称:物联网安全导论英文名称:Introduction to the security of Internet of things课程编码:课程学时:48 学分:3适用对象:物联网工程专业和网络工程专业本科学生先修课程:物联网技术基础使用教材:李联宁主编,《物联网安全导论》,清华大学出版社,2013.4主要参考书:[1]李联宁主编,《物联网技术基础教程》(第2版),清华大学出版社,2016.1一、课程介绍从网络结构上看,物联网就是通过Internet将众多信息传感设备与应用系统连接起来并在广域网范围内对物品身份进行识别的分布式系统。

物联网的定义是:通过射频识别(RFID)装置、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网相连接,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。

当每个而不是每种物品能够被唯一标识后,利用识别、通信和计算等技术,在互联网基础上,构建的连接各种物品的网络,就是人们常说的物联网。

随着物联网技术的飞速发展,物联网在中国受到了全社会极大的关注。

与其他传统网络相比,物联网感知节点大都部署在无人监控的场景中,具有能力脆弱、资源受限等特点,这使得物联网安全问题比较突出,并且当国家重要基础行业和社会关键服务领域(如电力、金融、交通、医疗等)重要社会功能的实现即将依赖于物联网应用时,物联网安全问题已经上升到国家层面。

本课程试图将物联网安全技术领域做较全面详细介绍的基础上,给出实际工程案例及行业解决方案,达到技术全面、案例教学及工程实用的目的。

二、教学基本要求1.本课程主要讲述物联网安全技术的基本概念和基本原理,使学生了解物联网安全技术基础的主要内容2.培养学生物联网安全的逻辑思维能力以及分析问题和解决问题的能力。

三、课程内容本课程主要分为5个部分,分别按物联网安全的技术架构分层次详细讲述涉及物联网安全的各类相关技术:第一部分物联网安全概述,简单介绍物联网信息安全的基本概念和主要技术,包括第1章物联网安全需求分析,第2章物联网安全技术架构,第3章密码与身份认证技术;第二部分物联网感知层安全,介绍涉及物联网感知层安全的理论与技术,包括第4章RFID系统安全与隐私,第5章 WSN无线传感器网络安全;第三部分物联网网络层安全,介绍涉及物联网网络层安全的理论与技术,包括第6章无线通信网络安全,第7章互联网网络安全,第8章中间件与云计算安全;第四部分物联网应用层安全,介绍涉及物联网应用层安全的理论与技术,包括第9章信息隐藏技术原理,第10章位置信息与隐私保护;第五部分物联网安全市场需求和安全体系规划设计,简单介绍物联网安全市场需求和安全体系规划,包括第11章物联网安全市场需求和发展趋势,第12章安全体系结构规划与设计。

物联网安全标准

物联网安全标准随着物联网技术的快速发展,物联网设备已经渗透到我们生活的方方面面,从智能家居到智慧城市,从工业生产到医疗保健,物联网正逐渐改变着我们的生活和工作方式。

然而,随之而来的是对物联网安全的担忧。

因为物联网设备的联网性质,一旦遭受攻击就可能引发严重的后果,因此建立物联网安全标准显得尤为重要。

首先,物联网安全标准应包括设备安全标准和数据安全标准。

在设备安全标准方面,需要规定设备的防护措施,包括但不限于身份认证、访问控制、固件更新、加密通信等,以确保设备在生产、运行和维护过程中不易受到攻击。

同时,数据安全标准则需要规定数据的采集、传输、存储和处理等环节的安全要求,包括加密传输、安全存储、数据备份等,以保障数据不被泄露、篡改或丢失。

其次,物联网安全标准还应考虑网络安全标准。

物联网设备通常需要通过网络进行数据交换和远程控制,因此网络安全至关重要。

网络安全标准应包括网络架构安全、通信安全、边缘安全等方面的规定,以保障物联网设备在联网过程中不易受到网络攻击和恶意访问。

此外,物联网安全标准还需考虑生态安全标准。

随着物联网设备的大规模部署,设备之间的互联互通将形成庞大的物联网生态系统,因此需要建立生态安全标准,规范不同设备之间的交互和通信,以防止恶意设备对整个生态系统造成破坏。

最后,物联网安全标准的制定需要充分考虑国际化和标准化的需求。

由于物联网设备的跨国性质,物联网安全标准应与国际标准接轨,以便设备在全球范围内通用。

同时,标准化的制定有利于推动行业发展,提高设备的互操作性和安全性。

总之,物联网安全标准的制定对于保障物联网设备和数据的安全至关重要。

在制定物联网安全标准的过程中,需要充分考虑设备安全、数据安全、网络安全和生态安全等方面的需求,并与国际标准接轨,以推动物联网行业的健康发展。

希望随着物联网安全标准的逐步完善,物联网技术能够更好地为人类社会的发展和进步提供支持。

《物联网信息安全》教学大纲

《物联网信息安全》教学大纲《物联网信息安全》教学大纲1. 课程介绍1.1 课程背景1.2 课程目标1.3 授课方式2. 物联网概述2.1 物联网定义与特点2.2 物联网架构2.3 物联网应用领域3. 物联网信息安全基础3.1 信息安全概述3.2 密码学基础3.3 认证与授权3.4 访问控制3.5 安全策略与模型4. 物联网安全威胁与风险4.1 物联网安全威胁概述4.2 物理层威胁与攻击4.3 通信层威胁与攻击4.4 应用层威胁与攻击4.5 安全风险评估与管理5. 物联网安全保护技术5.1 网络安全技术5.1.1 防火墙与入侵检测 5.1.2 安全路由与安全网关 5.1.3 VPN与加密通信5.2 身份认证与访问控制技术 5.2.1 双因素认证5.2.2 访问控制列表5.2.3 角色管理与权限控制5.3 数据安全与隐私保护技术 5.3.1 数据加密与解密5.3.2 数据备份与恢复5.3.3 隐私保护与匿名化5.4 应用层安全保护技术5.4.1 应用程序漏洞挖掘与修复 5.4.2 安全编码与代码审计5.4.3 安全测试与评估6. 物联网安全管理与政策6.1 安全管理体系结构6.2 物联网安全政策与法规6.3 安全事件响应与处置7. 物联网安全案例分析与实践7.1 物联网安全漏洞案例分析7.2 物联网安全实验与实践7.3 物联网安全项目实施与管理附件:1. 课程参考资料2. 物联网安全案例分析报告范例法律名词及注释:1. 《网络安全法》:中华人民共和国网络安全领域的法律法规,主要用于规范网络安全行为,保护网络安全和个人隐私。

2. 《个人信息保护法》:中华人民共和国个人信息保护领域的法律法规,主要用于保护个人信息的收集、使用和存储安全,保障个人隐私权益。

3. 《计算机病毒防治条例》:中华人民共和国计算机病毒防治领域的法律法规,主要用于规范计算机病毒防治行为,保护计算机系统安全。

第11章物联网信息安全标准-《物联网安全导论》.


11.2 中国信息安全标准
11.2.1 我国信息安全标准化的现状
• 目前,我国按照国务院授权,在国家质量监督检
验检疫总局管理下,由国家标准化管理委员会统
一管理全国标准化工作,下设有255个专业技术 委员会。
• 中国标准化工作实行统一管理与分工负责相结合
的管理体制,分工管理本行政区域内、本部门、 本行业的标准化工作。
11.1 国际信息技术标准化组织
(3)国际电信联盟(ITU)
• 成立于1865年5月17日,所属的SG17组主要负
责研究通信系统安全标准。
• SG17组主要研究的内容包括:通信安全项目、
安全架构和框架、计算安全、安全管理、用于安 全的生物测定、安全通信服务。
• 此外SG16和下一代网络核心组也在通信安全、
(SC 27)的前身是数据加密分技术委员会(SC20), 主要从事信息技术安全的一般方法和技术的标准 化工作。
11.1 国际信息技术标准化组织
• 而ISO/TC68负责与银行业务应用范围内有关信
息安全标准的制定,它主要制定行业应用标准,
在组织上和标准之间与SC27有着密切的联系。 ISO/IEC JTC1负责制定的标准主要是开放系统 互连、密钥管理、数字签名、安全评估等方面的 内容。
第11章 物联网信息安全标准
学习任务
本章主要涉及:
1 2 3 4
国际信息技术标准化组织 中国信息安全标准 中国国家物联网标准组织 信息安全管理体系
Click to add title in here
5
11.1 国际信息技术标准化组织
• 网络与信息安全标准化工作是国家信息安全保障
体系建设的重要组成。
11.1 国际信息技术标准化组织
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

11.3 中国国家物联网标准组织
11.3.2 传感器网络标准工作组
• 2009年9月11日,传感器网络标准工作组成立大
会暨“感知中国”高峰论坛在北京举行。
• 传感器网络标准工作组是由国家标准化管理委员
会批准筹建,全国信息技术标准化技术委员会批 准成立并领导,从事传感器网络(简称传感网) 标准化工作的全国性技术组织。
• 网络与信息安全标准研究与制定为国家主管部门
管理信息 安全设备提供了有效的技术依据,这对
于保证安全设备的正常运行,并在此基础上保证 我国国民经济和社会管理等领域中网络信息系统 的运行安全和信息安全具有非常重要的意义。
11.1 国际信息技术标准化组织
11.1.1 国际信息安全标准化组织
• 国际上信息安全标准化工作兴起于20世纪70年代
11.1 国际信息技术标准化组织
11.1.2 国际信息安全管理体系
国际上比较有影响的信息安全标准体系主要有:
ห้องสมุดไป่ตู้1. ISO/IEC的国际标准13335、17799、27001系列
• SO/IEC JTC1 SC27/WG1(国际标准化组织/国际
电工委员会信息技术委员会 安全技术分委员会/ 第一工作组)是制定和修订ISMS标准的国际组织。
11.1 国际信息技术标准化组织
• 在ISO/IEC JTC1 SC 27所发布的标准和技术报告
中,目前最主要的标准是ISO/IEC 13335、
ISO/IEC 17799等。
• ISO/IEC将采用27000系列号码作为编号方案,将
原先所有的信息安全管理标准进行综合,并进行 进一步的开发,形成一整套包括ISMS要求、风险 管理、度量和测量以及实施指南等在内的信息安 全管理体系。
信息安全标准化组织。
11.2 中国信息安全标准
11.2.2 国内安全标准组织机构
• 国内的安全标准组织主要有信息技术安全标准化 技术委员会(CITS)以及中国通信标准化协会 (CCSA)下辖的网络与信息安全技术工作委员会。 1. 信息技术安全标准化技术委员会
• 信息技术安全标准化技术委员会(CITS)成立于 1984年,在国家标准化管理委员会和信息产业部 的共同领导下负责全国信息技术领域以及与 ISO/IEC JTC1相对应的标准化工作。
11.2.4 我国在信息安全管理标准方面采取的措施
• 我国政府主管部门以及各行各业已经认识到了信
息安全的重要性。政府部门开始出台一系列相关
策略,直接牵引、推进信息安全的应用和发展。
• 由政府主导的各大信息系统工程和信息化程度要 求非常高的相关行业,也开始出台对信息安全技术 产品的应用标准和规范。
11.3 中国国家物联网标准组织
11.4 信息安全管理体系
信息安全管理体系标准主要内容
11.4 信息安全管理体系
11.4.4 信息安全管理体系认证
11.2 中国信息安全标准
• 成立于1984年的全国信息技术安全标准化技术委
员会(CITS),在国家标准化管理委员会和信息产
业部的共同领导下负责全国信息技术领域以及与 ISO/IEC JTC1相对应的标准化工作,目前下设 24个分技术委员会和特别工作组,是目前国内最 大的标准化技术委员会。
• 它是一个具有广泛代表性、权威性和军民结合的
(SC 27)的前身是数据加密分技术委员会(SC20), 主要从事信息技术安全的一般方法和技术的标准 化工作。
11.1 国际信息技术标准化组织
• 而ISO/TC68负责与银行业务应用范围内有关信
息安全标准的制定,它主要制定行业应用标准,
在组织上和标准之间与SC27有着密切的联系。 ISO/IEC JTC1负责制定的标准主要是开放系统 互连、密钥管理、数字签名、安全评估等方面的 内容。
11.3 中国国家物联网标准组织
10.3.4 中国物联网标准联合工作组
• 2010年6月8日,在国家标准化管理委员会、工 业和信息化部等相关部委的共同领导和直接指导 下,由全国工业过程测量和控制标准化技术委员 会、全国智能建筑及居住区数字化标准化技术委 员会、全国智能运输系统标准化技术委员会等19 家现有标准化组织联合倡导并发起成立物联网标 准联合工作组。
11.2 中国信息安全标准
11.2.1 我国信息安全标准化的现状
• 目前,我国按照国务院授权,在国家质量监督检
验检疫总局管理下,由国家标准化管理委员会统
一管理全国标准化工作,下设有255个专业技术 委员会。
• 中国标准化工作实行统一管理与分工负责相结合
的管理体制,分工管理本行政区域内、本部门、 本行业的标准化工作。
• 所以,对信息加以保护,防范信息的损坏和泄露, 已成为当前组织迫切需要解决的问题。
11.4 信息安全管理体系
11.4.2信息安全管理体系标准发展历史
• 目前,ISO/IEC27001:2005――信息安全管理体 系标准已经成为世界上应用最广泛与典型的信息 安全管理标准。ISO/IEC27001是由英国标准 BS7799转换而成的。
11.1 国际信息技术标准化组织
3.美国国家标准和技术委员会(NIST)的特别出 版物系列 • 2002年,美国通过了一部联邦信息安全管理法案 (FISMA)。根据它,美国国家标准和技术委员会 (NIST)负责为美国政府和商业机构提供信息安全 管理相关的标准规范。 • 因此,NIST的一系列FIPS标准和NIST 特别出版 物800系列(NIST SP 800系列)成为了指导美国信 息安全管理建设的主要标准和参考资料。
11.1 国际信息技术标准化组织
2. 英国标准协会(BSI)的7799系列
• 信息安全管理体系(Information Security Management System,简称ISMS)的概念最初 来源于英国标准学会制定的BS7799标准, 并伴随 着其作为国际标准的发布和普及而被广泛地接受。
• 同美国NIST相对应,英国标准协会(BSI)是英国 负责信息安全管理标准的机构。在信息安全管理 和相关领域,BSI做了大量的工作,其成果已得 到国际社会的广泛认可。
11.1 国际信息技术标准化组织
• ISO和IEC是世界范围的标准化组织,它由各个
国家和地区的成员组成,各国的相关标准化组织 都是其成员,他们通过各技术委员会,参与相关 标准的制定。
• 为了更好的协作和共同规范信息技术领域,ISO
和国际电工委员会(ITU)成立了联合技术委员会, 即ISO/IEC JTC1,负责信息技术领域的标准化 工作。其中的子委员会27专门负责IT安全技术领 域的标准化工作。
11.1 国际信息技术标准化组织
(3)国际电信联盟(ITU)
• 成立于1865年5月17日,所属的SG17组主要负
责研究通信系统安全标准。
• SG17组主要研究的内容包括:通信安全项目、
安全架构和框架、计算安全、安全管理、用于安 全的生物测定、安全通信服务。
• 此外SG16和下一代网络核心组也在通信安全、
11.2 中国信息安全标准
2.中国通信标准化协会 • 中国通信标准化协会(CCSA)成立于2002年12月 18日。CCSA下设了有线网络信息安全、无线网 络信息安全、安全管理和安全基础设施4个工作 组负责研究: • 有线网络中电话网、互联网、传输网、接入网等 在内所有电信网络相关的安全标准; • 无线网络中接入、核心网、业务等相关的安全标 准以及安全管理工作组; • 安全基础设施工作组中网管安全以及安全基础设 施相关的标准。
第11章 物联网信息安全标准
学习任务
本章主要涉及:
1 2 3 4
国际信息技术标准化组织 中国信息安全标准 中国国家物联网标准组织 信息安全管理体系
Click to add title in here
5
11.1 国际信息技术标准化组织
• 网络与信息安全标准化工作是国家信息安全保障
体系建设的重要组成。
11.3 中国国家物联网标准组织
传感器网络标准工作组的组成
11.3 中国国家物联网标准组织
11.3.3 泛在网技术工作委员会
• 2010年2月2日, 中国通信标准化协会(CCSA) 泛在网技术工作委员会(TC10)成立大会暨第 一次全会在北京召开。 • TC10的成立,标志着CCSA今后泛在网技术与标 准化的研究将更加专业化、系统化、深入化,必 将进一步促进电信运营商在泛在网领域进行积极 的探索和有益的实践,不断优化设备制造商的技 术研发方案,推动泛在网产业健康快速发展。
11.2 中国信息安全标准
11.2.3 信息安全标准体系研究特点
①基于信息内容的过虑和管制技术将越来越受关注;
②防范和治理垃圾信息成为网络安全研究重要内容;
③网络与信息安全研究重点将逐渐从设备层面向网络
层面转移; ④业务安全越来越成为运营商研究重点; ⑤认证技术将研究和梳理,生物鉴别成为重要内容;
H323网络安全、下一代网络安全等标准方面进 行了研究。
11.1 国际信息技术标准化组织
(4)Internet工程任务组(IETF)
• 创立于1986年,其主要任务是负责互联网相关技
术规范的研发和制定。
• IETF制定标准的具体工作由各个工作组承担,工
作组分成8个领域,涉及Internet路由、传输、应 用领域等等,包含在RFC系列之中的IKE和 IPsec,还有电子邮件,网络认证和密码标准, 此外,也包括了 TLS标准和其它的安全协议标准。
中期,80年代有了较快的发展,90年代引起了世
界各国的普遍关注。
• 目前世界上有近300个国际和区域性组织制定标 准或技术规则,与信息安全标准化有关的组织主 要有以下4个:
11.1 国际信息技术标准化组织
(1)国际标准化组织(ISO)
• 于1947年2月23日正式开始工作,信息技术标准