CS A 云安全联盟标准 CSA GCR XXXX—XXXX m o c . 5 物联网安全规范 b u h t i g IoT Security Specification （征求意见稿） 2022 - XX - XX 发布 云安全联盟大中华区 发布 1 目 次 前 言 .................................................................................................................................................................. III 1 范围 .....................................................................................................................................................................1 2 规范性引用文件 .................................................................................................................................................1 3 术语、定义和缩略语 ........................................................................................................................................ 1 4 物联网安全技术框架 ........................................................................................................................................ 2 5 物联网安全要求 .................................................................................................................................................3 5.1 物理安全 ...................................................................................................................................................... 3 m o c . 5 5.2 设备安全要求 .............................................................................................................................................. 6 5.3 网络安全要求 ............................................................................................................................................ 11 5.4 通信安全要求 ............................................................................................................................................ 18 5.5 应用安全要求 ............................................................................................................................................ 20 b u 5.6 数据安全要求 ............................................................................................................................................ 22 5.7 身份和访问管理安全要求 ........................................................................................................................23 h t i g 5.8 资产管理要求 ............................................................................................................................................ 27 5.9 操作可用性管理要求 ................................................................................................................................28 5.10 配置管理要求 .......................................................................................................................................... 29 5.11 监控和日志要求 ......................................................................................................................................30 5.12 漏洞管理要求 .......................................................................................................................................... 30 5.13 事件管理要求 .......................................................................................................................................... 32 5.14 安全开发要求 .......................................................................................................................................... 32 5.15 安全治理要求 .......................................................................................................................................... 33 附 录 A .................................................................................................................................................................35 II 前 言 本文件按照 GB/T 1.1-2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由云安全联盟大中华区归口。 本文件主要起草单位：华为技术有限公司、北京智慧云测设备技术有限公司、福州物联网开放实验 室有限公司、阿里云计算有限公司、北京安数云信息技术有限公司、北京方研矩行科技有限公司、北京 江南天安科技有限公司、北京蔷薇灵动科技有限公司、北京天融信网络安全技术有限公司、北京芯盾时 代科技有限公司、广州赛宝认证中心服务有限公司、杭州安恒信息技术股份有限公司、杭州迪普科技股 份有限公司、杭州宇链科技有限公司、江苏易安联网络技术有限公司、上海市数字证书认证中心有限公 司、上海物盾信息科技有限公司、新华三技术有限公司、浙江大华技术股份有限公司、中数通信息有限 公司、北京中宇万通科技股份有限公司、上海吉大正元信息技术有限公司、上海安几科技有限公司、深 圳万物安全科技有限公司、北森云计算有限公司。 本文件主要起草人：余晓光、安涛、张天辰、姚博龙、杨洪起、陈冠直、刘苏、熊瑛、张志宇、张 韩、刘克松、孙绵、季文东、杨晴、蒋晓、周学庆、赵仰梅、胡志军、张宇、张俊江、滕海明、秦益飞、 田稼泉、郑大义、李澄宇、杨炳年、许亚萍、范博、许涛、詹特伦、张浩、于振伟、夏永涛、郭鹏程、 姚凯。 m o c . 5 h t i g b u III 1 范围 本文件给出了物联网系统应该具备的安全相关的技术或能力要求,规定了物联网安全对象及各相关 方的安全责任。 本文件提供各应用工业物联网领域的设备厂商或甲方构建安全的物联网系统的指导，也可为各组织 制定自身的物联网安全标准提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注明日期的引用文 件，仅该日期对应的版本适用于本文件；不注明日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 7665—2005 传感器通用术语 GB/T 25069—