GB/T 38660-2020
基本信息
标准号: GB/T 38660-2020
中文名称:物联网标识体系 Ecode标识系统安全机制
标准类别:国家标准(GB)
英文名称:Identification system for internet of things—Security mechanism for Ecode identification system
标准状态:现行
发布日期:2020-03-31
实施日期:2020-10-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:1968356
标准分类号
标准ICS号:信息技术、办公机械设备>>35.040字符集和信息编码
中标分类号:综合>>基础标准>>A24分类编码
关联标准
出版信息
出版社:中国标准出版社
页数:12页
标准价格:29.0
出版日期:2020-03-01
相关单位信息
起草人:罗秋科、韩树文、陆月明、左金鑫、李颖、郭子裕、郭哲明、李雨蓉、房艳、王佩、杜景荣、曹志伟、智慧、徐立峰、李健华、张铎、王东滨、曹若菡、李瑾、王子一
起草单位:中国物品编码中心、北京邮电大学、内蒙古自治区标准化院、中国民航信息网络股份有限公司、北京东方捷码科技开发中心、深圳市标准技术研究院、北京交通大学
归口单位:全国物品编码标准化技术委员会(SAC/TC 287)
提出单位:全国物品编码标准化技术委员会(SAC/TC 287)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本标准规定了物联网标识体系中Ecode标识系统的一般要求、编码数据安全、鉴别与授权、访问控制、交互安全、安全评估和管理要求。
本标准适用于物联网标识体系中Ecode标识系统建设和应用中的信息安全保障。
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T38660—2020
物联网标识体系
Ecode标识系统安全机制
Identification system for internet of things-Security mechanismforEcodeidentification system2020-03-31发布
国家市场监督管理总局
国家标准化管理委员会
2020-10-01实施
搬/38660—2020
规范性引用文件
术语和定义
缩略语
口系统人
Ecode标识
Ecode编码数据
Ecode标识索统桌
Ecode标识系统访问控
与授权要求
Ecode标识系统交巨安全第
i0 Ecode标识系统安全议
11 Ecode标识系统管理要
参考文献
本标准按照GB/T1.1—2009给出的规则起草。本标准由全国物品编码标准化技术委员会(SAC/TC287)提出并归口。搬/辙386602020
本标准起草单位:中国物品编码中心、北京邮电大学、内蒙古自治区标准化院、中国民航信息网络股份有限公司、北京东方捷码科技开发中心、深圳市标准技术研究院、北京交通大学。本标准主要起草人:罗秋科、韩树文、陆月明、左金鑫、李颖、郭子裕、郭哲明、李雨蓉、房艳、王佩、杜景荣、曹志伟、智慧、徐立峰、李健华、张铎、王东滨、曹若菌、李瑾、王子一。1范围
物联网标识体系
卷发狂执豺标识系统安全机制
搬/38660—2020
本标准规定了物联网标温体系中 Ecode标识系统的一般要求、编码数据安全、鉴别与授权、访问控制、交互婴室、安全碎活粘管缝妻本标准适用于物联网标识体系中Ecode标识系统建设和应用中的信息安全保障2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2887计算机场地通用规范
信息技术开放系统互连网络层安全协议GB/T17963
GB/T22239
GB/T25064
GB/T31866
3术语和定义
信息安全技术网络安全等级保护基本要求信息安全技术公钥基础设施电子签名格式规范物联网标识体系物品编码Ecode
GB/T31866界定的以及下列术语和定义适用于本文件。3.1
搓发独达标总系统安全机制
制,莫发独洁据据态材发抗撬状猜昊狱狗狂环特葡手保障Ede积素统要圣的妻聚巢答。汉大术
4缩略语
下列缩略语适用于本文件。
MD主码(MasterDatacode)
编码体系标识(NumberSystem IdentiferNSI
版本(Version))
5卷发狂执财标识系统安全一般要求5.1物理安全
Ecode标识系统物理安全应符合以下要求:Ecode标识系统建设,运营和使角过程虫,机房、数据中心的建设应符合,GB/I 2887 的要求没品
服务器写网络设备应按照妥全需求配置,并通过国蒙认可的第兰芳机构的安全测评或认证,搬搁/辙38660—2020
应在数据中心或机房建设完善的电子监控和报警系统,保证 24 h人工值守 Ecode标识系统数据中心
应在Ecode标识系统数据中心边界部署访问控制设备,安装防火墙、入侵检测系统等网络安全AT
防护设备,启用访问控制功能,根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查;
e) 应对 Ecode标识系统数据中心的通信流量进行安全风险监控,对异常访问进行告警。5.2系统软件安全
系统软件(包括操作系统、数据库等)应通过国家认可的第三方机构的安全测评或认证5.3灾备中心
中心选址宜选在地质条件良好的地点。灾备中心应为异地容灾,与主用中心Ecode标识系统灾备中
识系统实备中心
不宜处于同一地震带内。
5.4安全审计
安全审计应包括自动响应、数据产生、审计分析、查阅、事件选择、事件存储等功能,审计的日志内容应包括安全事件的时间、类型、主体身份、结果等。6特发狂执豺编码数据安全要求
6.1发狂执财编码数据存储
Ecode,编码数据存储安全应符合以下要求:存道Ecode编码数基的介质应稳定可靠,不应受外界环境物理条件的明显影响a)
不应采用移动式介质存储或转移编码数据
对前除过,Ecode,编码数据的介质应进行技术处理,使删除的数据不可恢复,应对存储介质出入库过程进行授权管理,并保留相应记录。d
6.2卷发狂执财编码数据传输
应保障 Ecode 编码数据在传输过程中的抗干扰性、私密性、完整性和正确性,具体要求如下:应采取必要的技术和管理手段防止 Ecode编码数据传输过程中受到于扰a
应采取必要的技术和管理手段保障Ecode 编码数据在传输过程中的私密性。Ecode 标识系统网络传输应具备防窃听能力,宜采用HTTPS等安全协议,安装数字证书,传输协议安全保护机制应符合GB/T17963的要求。应对传输层进行不少于128位加密传输安全保护机制使用的算法应符合国家密码管理部门的相关规定。应采取必要的技术和管理手段保障Ecode编码数据在传输过程中的完整性和正确性。EcodeC
标只编码结构备VNSMB缩线,真体瑞码规测应特答GB弄 31866的要录,应保证 MD编码的完整性和原有校验机制的可用性。6.3发狂执标识系统备份与恢复
Ecode标识系统备份与恢复应符合以下要求:a)需根据Ecode 编码信息的重要程度和信息导入的频率设定备份的频率,宜采用实时备份的方b
式并按照5.3的要求建立系统灾备中心;啊/辙38660—2020
应建立异常事件紧急处理流程,以应对,Ecode 标识系统中设备失效、操作失误等造成的故障舞备送维操律贯贫费谈复留份数据信意:应定期检查和测试备份介质及信息,保持其可用性和完整性,具有在规定的时间内恢复系统数金的能
d)应合理确定业务信息及其他需要永久保存的归档信息的保存期6.4卷发狂执材标识系统数据库
Ecode标识系统数据库应符合以下要求:a)_应在Ecode标识系统中设置存取控制措施,可采取层次、分区、表格等多种方式控制用户对数据库的存取权限
b)可通过实体安全、备份和恢复等多种技术手段来保护数据库的完整性价究
c),应建立和保存白志记录,宣建立双副本白志,分别存储于磁盘等介质上以便于必要时的数据恢套
d))应建立 Ecode数据库的定期转制度,并根据Ecode 编码数据交易量的大小决定转频度,宜采用实时转贮策略。
6.5卷发狂执材标识系统敏感信息保护应采取必要的技术及管理手段保护Ecode标识系统敏感信息。具体要求如下:a)应在Ecode标识系统内对身份证、营业执照等敏感信息进行存储和计算,不应在本地存储b)、严密跟踪监控敏感信息存储介质的使用和传递过程,防止丢失和信息泄漏;广来绎舒肥得影压据履务密留更果得称替对疑进行黄和传都,正在 Ecode标识系统he免费标准下载网bzxz
d)应提供统一的介质销毁工具,包括但不限于物理摧毁、消磁设备等工具,实现各类介质的有效销毁。
6.6卷发狂执材编码校验
Ecode编码校验应符合以下要求:编乳结史,输码方法应完整,准确。应悉用必要的校验机制;a).Ecode.
马解析系统应建立ECode 编码对比验证机制将解析出的\V、NSIMD等信息与数据b)Ecode编码
库中原始码学进行对比验证,确保编码的准确性写一新收
7发狂执材标识系统身份鉴别与授权要求7.1卷发狂执财标识系统身份鉴别管理Ecode标识系统身份鉴别应符合以下管理要求需建设专角登泉控制模块对登录用户进行身份标识与鉴别设处理方案,可采取结束会话二限制非法登录次次数、自动退出等策略
应支持通户会参和数学证书两种登录认证方式并接GR、25064要求设计数字证书;应真有食好的可扩展怪,可支持动态口零、全物识别等其他认证芳式。3
搁/辙38660—2020
7.2发狂执标识系统授权管理
Ecode标识系统授权管理应符合以下要求:可支持用户分级授权管理
b)可支持基于角色杖限和亚务权限的两种直接授权模型8卷发狂执才标识系统访问控制要求标识系统中存在机构平台、企业、个人三种基本用户类型,应根据用户分类设置访问控制参Ecode标识系统中存
数,实现用户对权限内资源的访问,机构平台用户,是指某一行业或领域的综合性用户,在获得 Ecode编码后,具有向企业用户下发编a
码的权力;企业用户,是指任何合法的生产企业、集成商、解决方案提供商等;个人用户,是指普通互联网用户
个人用户可查询验证Ecode 编码,企业用户可注册申请、查询验证、回传Ecode 编码,机构平台用户可注册申请、查询验证、向企业用户下发 Ecode 编码。9卷发狂执财标识系统交互安全要求应保障信息在交互过程中的一致性、完整性和不可抵赖性,具有防欺骗、重放、仿冒等攻击的机制,并保证通信双方数据的私密性。10发狂执材标识系统安全评估要求Ecode标识系统安全评估应符合以下要求;应建立Ecode标识素统的安全评估机制a
要至评估机制险能够
够分析Ecode标识系统的安全风险,选择合理的安全功能组件,建立 EcodeE
标识素统的要案整
应建立Ecode标识系统评估方法模型库,可采用适当的模型和方法进行评估,包括但不限于形式花检测、专象逆活等法
金轮乱时应的评估方法:应制定 Ecode 标识系统信息安全保护及依据code标识系统的安金辅
评信规范,指等code识素统的弃发、建设、应用应确保Ecode标识系统的保护等级符GBF-22238的要
钢床,包要
定、安全保护轮廊的形式化、安全上杯
这生生
全功能组件的分解等评估流程。安室首棕包括“Ecode标识系统的机密性、奇鉴别、可控性、可用性拍
四类。
11Ecode标识系统管理要求
11.1注册审批机制
安全目标的确定
(机密、可鉴别、可控、可用性)安全保护轮廊的形式化
安全功能组件的分解
数瑞保护策略
标识与鉴别
安全管理
图1Ecode标识系统安全评估参考模型利
GB/T386602020
Ecode标识系统应增加注册审批机制,用户在网上申请编码时,应提交相应资料,用于管理机构内部审批流程。
11.2安全管理
日常安全管理
Ecode标识系统中日常安全管理应符合以下要求:a)建立日常管理活动中的安全管理制度;b)指定或授权专门的人员负责安全管理制度的制定、考核;c)将安全管理制度以纸质文件、电子文件等多种形式发布到相关人员手中。11.2.2软件维护管理
Ecode标识系统中软件维护管理应符合以下要求:a)存储软件产品源文件到磁盘等介质上,并编写详细目录,以便长期保存;b)将重要软件复制两份,一份作为主拷贝存档,一份作为备份:c)对Ecode标识系统相关软件的修改保证不降低系统的安全性。11.3人员管理
Ecode标识系统应建立必要的人员录用、考核、安全教育培训和外部人员访问管理制度,保证系统硬件、软件和数据不因偶然和恶意的原因遭到更改、泄漏和破坏。/辙38660—2020
参考文献
GB/T20984—2007信息安全技术信息安全风险评估规范GB/T30269.807—2018信息技术传感器网络第807部分:测试:网络传输安全GB/T31072—2014科技平台统一身份认证物联网标识体系 Ecode 的注册与管理GB/T35422
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T38660—2020
物联网标识体系
Ecode标识系统安全机制
Identification system for internet of things-Security mechanismforEcodeidentification system2020-03-31发布
国家市场监督管理总局
国家标准化管理委员会
2020-10-01实施
搬/38660—2020
规范性引用文件
术语和定义
缩略语
口系统人
Ecode标识
Ecode编码数据
Ecode标识索统桌
Ecode标识系统访问控
与授权要求
Ecode标识系统交巨安全第
i0 Ecode标识系统安全议
11 Ecode标识系统管理要
参考文献
本标准按照GB/T1.1—2009给出的规则起草。本标准由全国物品编码标准化技术委员会(SAC/TC287)提出并归口。搬/辙386602020
本标准起草单位:中国物品编码中心、北京邮电大学、内蒙古自治区标准化院、中国民航信息网络股份有限公司、北京东方捷码科技开发中心、深圳市标准技术研究院、北京交通大学。本标准主要起草人:罗秋科、韩树文、陆月明、左金鑫、李颖、郭子裕、郭哲明、李雨蓉、房艳、王佩、杜景荣、曹志伟、智慧、徐立峰、李健华、张铎、王东滨、曹若菌、李瑾、王子一。1范围
物联网标识体系
卷发狂执豺标识系统安全机制
搬/38660—2020
本标准规定了物联网标温体系中 Ecode标识系统的一般要求、编码数据安全、鉴别与授权、访问控制、交互婴室、安全碎活粘管缝妻本标准适用于物联网标识体系中Ecode标识系统建设和应用中的信息安全保障2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2887计算机场地通用规范
信息技术开放系统互连网络层安全协议GB/T17963
GB/T22239
GB/T25064
GB/T31866
3术语和定义
信息安全技术网络安全等级保护基本要求信息安全技术公钥基础设施电子签名格式规范物联网标识体系物品编码Ecode
GB/T31866界定的以及下列术语和定义适用于本文件。3.1
搓发独达标总系统安全机制
制,莫发独洁据据态材发抗撬状猜昊狱狗狂环特葡手保障Ede积素统要圣的妻聚巢答。汉大术
4缩略语
下列缩略语适用于本文件。
MD主码(MasterDatacode)
编码体系标识(NumberSystem IdentiferNSI
版本(Version))
5卷发狂执财标识系统安全一般要求5.1物理安全
Ecode标识系统物理安全应符合以下要求:Ecode标识系统建设,运营和使角过程虫,机房、数据中心的建设应符合,GB/I 2887 的要求没品
服务器写网络设备应按照妥全需求配置,并通过国蒙认可的第兰芳机构的安全测评或认证,搬搁/辙38660—2020
应在数据中心或机房建设完善的电子监控和报警系统,保证 24 h人工值守 Ecode标识系统数据中心
应在Ecode标识系统数据中心边界部署访问控制设备,安装防火墙、入侵检测系统等网络安全AT
防护设备,启用访问控制功能,根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查;
e) 应对 Ecode标识系统数据中心的通信流量进行安全风险监控,对异常访问进行告警。5.2系统软件安全
系统软件(包括操作系统、数据库等)应通过国家认可的第三方机构的安全测评或认证5.3灾备中心
中心选址宜选在地质条件良好的地点。灾备中心应为异地容灾,与主用中心Ecode标识系统灾备中
识系统实备中心
不宜处于同一地震带内。
5.4安全审计
安全审计应包括自动响应、数据产生、审计分析、查阅、事件选择、事件存储等功能,审计的日志内容应包括安全事件的时间、类型、主体身份、结果等。6特发狂执豺编码数据安全要求
6.1发狂执财编码数据存储
Ecode,编码数据存储安全应符合以下要求:存道Ecode编码数基的介质应稳定可靠,不应受外界环境物理条件的明显影响a)
不应采用移动式介质存储或转移编码数据
对前除过,Ecode,编码数据的介质应进行技术处理,使删除的数据不可恢复,应对存储介质出入库过程进行授权管理,并保留相应记录。d
6.2卷发狂执财编码数据传输
应保障 Ecode 编码数据在传输过程中的抗干扰性、私密性、完整性和正确性,具体要求如下:应采取必要的技术和管理手段防止 Ecode编码数据传输过程中受到于扰a
应采取必要的技术和管理手段保障Ecode 编码数据在传输过程中的私密性。Ecode 标识系统网络传输应具备防窃听能力,宜采用HTTPS等安全协议,安装数字证书,传输协议安全保护机制应符合GB/T17963的要求。应对传输层进行不少于128位加密传输安全保护机制使用的算法应符合国家密码管理部门的相关规定。应采取必要的技术和管理手段保障Ecode编码数据在传输过程中的完整性和正确性。EcodeC
标只编码结构备VNSMB缩线,真体瑞码规测应特答GB弄 31866的要录,应保证 MD编码的完整性和原有校验机制的可用性。6.3发狂执标识系统备份与恢复
Ecode标识系统备份与恢复应符合以下要求:a)需根据Ecode 编码信息的重要程度和信息导入的频率设定备份的频率,宜采用实时备份的方b
式并按照5.3的要求建立系统灾备中心;啊/辙38660—2020
应建立异常事件紧急处理流程,以应对,Ecode 标识系统中设备失效、操作失误等造成的故障舞备送维操律贯贫费谈复留份数据信意:应定期检查和测试备份介质及信息,保持其可用性和完整性,具有在规定的时间内恢复系统数金的能
d)应合理确定业务信息及其他需要永久保存的归档信息的保存期6.4卷发狂执材标识系统数据库
Ecode标识系统数据库应符合以下要求:a)_应在Ecode标识系统中设置存取控制措施,可采取层次、分区、表格等多种方式控制用户对数据库的存取权限
b)可通过实体安全、备份和恢复等多种技术手段来保护数据库的完整性价究
c),应建立和保存白志记录,宣建立双副本白志,分别存储于磁盘等介质上以便于必要时的数据恢套
d))应建立 Ecode数据库的定期转制度,并根据Ecode 编码数据交易量的大小决定转频度,宜采用实时转贮策略。
6.5卷发狂执材标识系统敏感信息保护应采取必要的技术及管理手段保护Ecode标识系统敏感信息。具体要求如下:a)应在Ecode标识系统内对身份证、营业执照等敏感信息进行存储和计算,不应在本地存储b)、严密跟踪监控敏感信息存储介质的使用和传递过程,防止丢失和信息泄漏;广来绎舒肥得影压据履务密留更果得称替对疑进行黄和传都,正在 Ecode标识系统he免费标准下载网bzxz
d)应提供统一的介质销毁工具,包括但不限于物理摧毁、消磁设备等工具,实现各类介质的有效销毁。
6.6卷发狂执材编码校验
Ecode编码校验应符合以下要求:编乳结史,输码方法应完整,准确。应悉用必要的校验机制;a).Ecode.
马解析系统应建立ECode 编码对比验证机制将解析出的\V、NSIMD等信息与数据b)Ecode编码
库中原始码学进行对比验证,确保编码的准确性写一新收
7发狂执材标识系统身份鉴别与授权要求7.1卷发狂执财标识系统身份鉴别管理Ecode标识系统身份鉴别应符合以下管理要求需建设专角登泉控制模块对登录用户进行身份标识与鉴别设处理方案,可采取结束会话二限制非法登录次次数、自动退出等策略
应支持通户会参和数学证书两种登录认证方式并接GR、25064要求设计数字证书;应真有食好的可扩展怪,可支持动态口零、全物识别等其他认证芳式。3
搁/辙38660—2020
7.2发狂执标识系统授权管理
Ecode标识系统授权管理应符合以下要求:可支持用户分级授权管理
b)可支持基于角色杖限和亚务权限的两种直接授权模型8卷发狂执才标识系统访问控制要求标识系统中存在机构平台、企业、个人三种基本用户类型,应根据用户分类设置访问控制参Ecode标识系统中存
数,实现用户对权限内资源的访问,机构平台用户,是指某一行业或领域的综合性用户,在获得 Ecode编码后,具有向企业用户下发编a
码的权力;企业用户,是指任何合法的生产企业、集成商、解决方案提供商等;个人用户,是指普通互联网用户
个人用户可查询验证Ecode 编码,企业用户可注册申请、查询验证、回传Ecode 编码,机构平台用户可注册申请、查询验证、向企业用户下发 Ecode 编码。9卷发狂执财标识系统交互安全要求应保障信息在交互过程中的一致性、完整性和不可抵赖性,具有防欺骗、重放、仿冒等攻击的机制,并保证通信双方数据的私密性。10发狂执材标识系统安全评估要求Ecode标识系统安全评估应符合以下要求;应建立Ecode标识素统的安全评估机制a
要至评估机制险能够
够分析Ecode标识系统的安全风险,选择合理的安全功能组件,建立 EcodeE
标识素统的要案整
应建立Ecode标识系统评估方法模型库,可采用适当的模型和方法进行评估,包括但不限于形式花检测、专象逆活等法
金轮乱时应的评估方法:应制定 Ecode 标识系统信息安全保护及依据code标识系统的安金辅
评信规范,指等code识素统的弃发、建设、应用应确保Ecode标识系统的保护等级符GBF-22238的要
钢床,包要
定、安全保护轮廊的形式化、安全上杯
这生生
全功能组件的分解等评估流程。安室首棕包括“Ecode标识系统的机密性、奇鉴别、可控性、可用性拍
四类。
11Ecode标识系统管理要求
11.1注册审批机制
安全目标的确定
(机密、可鉴别、可控、可用性)安全保护轮廊的形式化
安全功能组件的分解
数瑞保护策略
标识与鉴别
安全管理
图1Ecode标识系统安全评估参考模型利
GB/T386602020
Ecode标识系统应增加注册审批机制,用户在网上申请编码时,应提交相应资料,用于管理机构内部审批流程。
11.2安全管理
日常安全管理
Ecode标识系统中日常安全管理应符合以下要求:a)建立日常管理活动中的安全管理制度;b)指定或授权专门的人员负责安全管理制度的制定、考核;c)将安全管理制度以纸质文件、电子文件等多种形式发布到相关人员手中。11.2.2软件维护管理
Ecode标识系统中软件维护管理应符合以下要求:a)存储软件产品源文件到磁盘等介质上,并编写详细目录,以便长期保存;b)将重要软件复制两份,一份作为主拷贝存档,一份作为备份:c)对Ecode标识系统相关软件的修改保证不降低系统的安全性。11.3人员管理
Ecode标识系统应建立必要的人员录用、考核、安全教育培训和外部人员访问管理制度,保证系统硬件、软件和数据不因偶然和恶意的原因遭到更改、泄漏和破坏。/辙38660—2020
参考文献
GB/T20984—2007信息安全技术信息安全风险评估规范GB/T30269.807—2018信息技术传感器网络第807部分:测试:网络传输安全GB/T31072—2014科技平台统一身份认证物联网标识体系 Ecode 的注册与管理GB/T35422
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。