物联网专网感知层设备接入控制与监测系统技术要求.docxVIP

1

物联网专网感知层设备接入控制与监测系统技术要求

1范围

本文件规定了物联网专网感知层设备接入控制与监测系统的设计原则、构成、技术要求、安装部署和文件提供。

本文件适用于以旁路方式部署的物联网专网感知层设备接入控制与监测系统，指导此类系统选型、部署、运行和维护。

注：在不引起混淆的情况下，本文件中的“物联网专网感知层设备接入控制与监测系统”简称为“系统”。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语GB/T33745—2017物联网术语

GB/T37093物联网感知层接入通信网的安全要求

3术语和定义

GB/T25069、GB/T33745—2017、GB/T37093界定的以及下列术语和定义适用于本文件。

3.1

物联网InternetofThings

基于互联网、传统电信网等的信息承载体，通过信息传感设备按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现对物品的智能化识别、定位、跟踪、监控和管理的一种网络。

3.2

物联网专网IoTprivatenetwork

具体行业或企业为特定应用搭建的专用物联网络，实时采集其需要监控、连接、互动的物体或过程，实现对业务或生产过程的智能化感知、识别和管理。具体行业或企业特定应用如：电力行业的电力采集网络、公安行业的视频监控网络。

3.3

物联网应用IoTapplication

物联网在具体场景中的使用实例，向用户提供物联网服务的集合。[来源：GB/T33745—2017，2.1.6]

2

3.4

感知层设备SensinglayerDevices

具备信息采集、传输、分析与处理功能的，以及具备执行指令和联网功能的电子设备。

4缩略语

下列缩略语适用于本文件。

HTTPS：安全的超文本传输协议（HypertextTransferProtocolSecure）IoT：物联网（InternetofThings）

IP:互联网协议（InternetProtocol）

JSON：对象标记语言（(JavaScriptObjectNotation）MAC：媒体访问控制（MedicaAccessControl）

XML：可扩展标记语言（ExtensibleMarkupLanguage）

5设计原则

5.1系统应以实际情况和现实问题为基础，遵照国家及地方相关的标准、政策、法律法规和规章，执行相应的安全标准和参照行业的最佳实践。

5.2系统应以“可信”为基础，从终端到网络边界、从边界到行为、从行为到业务应用，确保可信设备才能入网、可信业务应用才能使用、可信网络流量才可通行。

5.3系统应遵循最优最简原则、易用原则，以用户体验为基准，在保持客户原有网络结构，以及不对网络产生任何影响的原则下构建系统。

5.4系统应针对专网内感知层设备进行资产梳理、状态监测、安全防护和行为监测，从感知层设备到网络边界、从网络边界到网络行为、从网络行为到业务应用，建立以感知层设备为核心，贯穿感知层、网络层、应用层、数据层形成立体监控和纵深防御体系，充分保障终端安全、应用安全、数据安全、系

统与网络安全和操作合规。

5.5系统以旁路方式为物联网专网感知层构建安全防护体系，具备为安全管理者和决策者展示安全运行态势的能力。

5.6系统设计时，应根据安全功能的强弱将安全技术要求分为基本级和增强级两个等级。

5.7系统设计时，应符合GB/T22239—2019中第二级安全要求、第三级安全要求中的安全通用要求和物联网安全扩展要求。

6系统构成

6.1概述

系统由探测处置引擎、采集处理引擎两类物理设备组成，探测处置引擎用于发现和识别感知层设备，并将设备信息上报至采集处理引擎；采集处理引擎部署采集处理组件、大数据分析平台和安全应用平台，用于采集网络流量，构建行为模型，并进行网络行为分析。应用示例参见资料性附录A。

3

6.2组件构成

系统组件主要包括探测、采集组件、大数据分析平台和安全应用平台，可以根据网络流量大小、网络可达性以及管理颗粒度等因素，选择集中式部署或分布式部署，并且可以根据业务流量的增长情况，灵活拆分、快速迁移。系统组件架构见图1。

安全

应用平台

大数据分析平台

安全态势展示

异常行

异常行为监测

设备发现识别

设备准入控制

终端设备画像

设备状态监测

应用发