ICS 33. 040.50 CCS M 42 YD 中华人民共和国通信行业标准 YD/T XXXXXXXX 物联网基础安全网关管理平台安全分级分 类管理评估方法 IoT basic security - Assessment methods for gateway management platform security grading and classification management （报批稿） XXXX - XX - XX 发布 XXXX-XX-XX实施 发布 中华人民共和国工业和信息化部 YD/T XXXX—XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是“物联网基础安全”系列标准之一，该系列标准的名称和结构预计如下： 物联网基础安全基于公用电信网的宽带客户智能网关安全分级分类管理技术要求； 物联网基础安全基于公用电信网的宽带客户智能网关安全分级分类管理评估方法； 物联网基础安全网关管理平台安全分级分类管理技术要求； 物联网基础安全网关管理平台安全分级分类管理评估方法 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国联合网络通信集团有限公司，中国信息通信研究院，华为技术有限公司，中国 信息通信科技集团有限公司。 本文件主要起草人：王彬、肖甜、陈洁、胡永锋、吴国燕。 YD/T XXXX—XXXX 物联网基础安全网关管理平台安全分级分类管理评估方法 1范围 本文件适用于基于公用电信网的各类物联网网关管理平台系统的安全评估。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T28448-2019信息安全技术网络安全等级保护测评要求 YD/TXXXXX-XXXX物联网基础安全网关管理平台安全分级分类管理技术要求 3术语和定义 本文件没有需要界定的术语和定义。 4缩略语 下列缩略语适用于本文件： AES：高级加密标准(Advanced Encryption Standard) BSS:业务支撑系统(Business Supporting System) CGI：公共网关接口（CommonGatewayInterface） CNVD：国家信息安全漏洞共享平台（China National VulnerabilityDatabase) CSRF:跨站请求伪造(Cross-site Request Forgery) CVE:通用漏洞披露(CommonVulnerabilitiesandExposures) DDoS:分布式拒绝服务攻击(Distributed Denialof Service) HTTPS：超文本传输安全协议（HTTPoverSSL) IPsec:因特网协议安全协议(Internet Protocol Security) OsS：运营支撑系统（Operation SupportingSystem) SQL：结构化查询语言（StructuredQueryLanguage) SSL：安全套接字层(Secure Sockets Layer) SSH安全外壳协议（Secure ShellProtocol) TLS:传输层安全(Transport Layer Security) URL:统一资源定位系统(Uniform ResourceLocator) XSS:跨站脚本(Cross-site Scripting) 5分级评估方法概述