1 范围

      本标准规定了物联网标识体系中Ecode标识系统的一般要求、编码数据安全、鉴别与授权、访问控制、交互安全、安全评估和管理要求。

      本标准适用于物联网标识体系中Ecode标识系统建设和应用中的信息安全保障。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 2887 计算机场地通用规范

      GB/T 17963 信息技术 开放系统互连 网络层安全协议

      GB/T 22239 信息安全技术 网络安全等级保护基本要求

      GB/T 25064 信息安全技术 公钥基础设施 电子签名格式规范

      GB/T 31866 物联网标识体系 物品编码 Ecode

3 术语和定义

      GB/T 31866界定的以及下列术语和定义适用于本文件。

3.1

      Ecode 标识系统安全机制 security mechanism for Ecode identification system 

      用于保障Ecode标识系统安全的要求集合。

4 缩略语

      下列缩略语适用于本文件。

      MD 主码（Master Data code）

      NSI 编码体系标识（Number System Identifier）

      V 版本（Version）

5 Ecode标识系统安全一般要求

5.1 物理安全

      Ecode标识系统物理安全应符合以下要求：

      a）Ecode标识系统建设、运营和使用过程中，机房、数据中心的建设应符合GB/T 2887的要求；

      b）服务器与网络设备应按照安全需求配置，并通过国家认可的第三方机构的安全测评或认证；

      c) 应在数据中心或机房建设完善的电子监控和报警系统，保证24h人工值守Ecode标识系统数据中心；

      d) 应在Ecode标识系统数据中心边界部署访问控制设备，安装防火墙、入侵检测系统等网络安全防护设备，启用访问控制功能，根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查；

      e）应对Ecode标识系统数据中心的通信流量进行安全风险监控，对异常访问进行告警。

5.2 系统软件安全

      系统软件（包括操作系统、数据库等）应通过国家认可的第三方机构的安全测评或认证。

5.3 灾备中心

      Ecode 标识系统灾备中心选址宜选在地质条件良好的地点。灾备中心应为异地容灾，与主用中心不宜处于同一地震带内。

5.4 安全审计

      安全审计应包括自动响应、数据产生、审计分析、查阅、事件选择、事件存储等功能，审计的日志内容应包括安全事件的时间、类型、主体身份、结果等。

6 Ecode编码数据安全要求

6.1 Ecode 编码数据存储

      Ecode编码数据存储安全应符合以下要求：

      a）存储Ecode编码数据的介质应稳定可靠，不应受外界环境物理条件的明显影响；

      b）不应采用移动式介质存储或转移 Ecode编码数据；

      c）对删除过Ecode编码数据的介质应进行技术处理，使删除的数据不可恢复；

      d）应对存储介质出入库过程进行授权管理，并保留相应记录。

6.2 Ecode 编码数据传输

      应保障 Ecode编码数据在传输过程中的抗干扰性、私密性、完整性和正确性，具体要求如下：

      a）应采取必要的技术和管理手段防止Ecode编码数据传输过程中受到干扰。

      b）应采取必要的技术和管理手段保障Ecode编码数据在传输过程中的私密性。Ecode标识系统网络传输应具备防窃听能力，宜采用HTTPS等安全协议，安装数字证书，传输协议安全保护机制应符合GB/T17963的要求。应对传输层进行不少于128位加密，传输安全保护机制使用的算法应符合国家密码管理部门的相关规定。

      c) 应采取必要的技术和管理手段保障Ecode编码数据在传输过程中的完整性和正确性。Ecode标识编码结构由V＋NSI＋MD组成，具体编码规则应符合GB/T 31866的要求，应保证 MD编码的完整性和原有校验机制的可用性。

6.3 Ecode 标识系统备份与恢复

      Ecode 标识系统备份与恢复应符合以下要求：

      a）需根据Ecode编码信息的重要程度和信息导入的频率设定备份的频率，宜采用实时备份的方

式并按照5.3的要求建立系统灾备中心；

      b) 应建立异常事件紧急处理流程，以应对 Ecode标识系统中设备失效、操作失误等造成的故障，并由运维操作员负责恢复备份数据信息；

      c) 应定期检查和测试备份介质及信息，保持其可用性和完整性，具有在规定的时间内恢复系统数据的能力；

      d）应合理确定业务信息及其他需要永久保存的归档信息的保存期。

6.4 Ecode 标识系统数据库

      Ecode标识系统数据库应符合以下要求：

      a）应在Ecode标识系统中设置存取控制措施，可采取层次、分区、表格等多种方式控制用户对数据库的存取权限；

      b）可通过实体安全、备份和恢复等多种技术手段来保护数据库的完整性；

      c) 应建立和保存日志记录，宜建立双副本日志，分别存储于磁盘等介质上以便于必要时的数据恢复；

      d) 应建立 Ecode数据库的定期转贮制度，并根据Ecode编码数据交易量的大小决定转贮频度，宜采用实时转贮策略。

6.5 Ecode 标识系统敏感信息保护

      应采取必要的技术及管理手段保护Ecode标识系统敏感信息。具体要求如下：

      a）应在Ecode标识系统内对身份证、营业执照等敏感信息进行存储和计算，不应在本地存储数据；

      b）严密跟踪监控敏感信息存储介质的使用和传递过程，防止丢失和信息泄漏；

      c) 未经许可，不得超出数据服务范围，不得私自对数据进行变更和传输，禁止在Ecode标识系统中明文展示敏感信息；

      d) 应提供统一的介质销毁工具，包括但不限于物理摧毁、消磁设备等工具，实现各类介质的有效销毁。

6.6 Ecode 编码校验

      Ecode编码校验应符合以下要求：

      a）Ecode编码结构中，MD编码方法应完整、准确，应采用必要的校验机制；

      b）Ecode编码解析系统应建立Ecode编码对比验证机制，将解析出的V、NSI、MD等信息与数据库中原始码字进行对比验证，确保编码的准确性与一致性。

7 Ecode标识系统身份鉴别与授权要求

7.1 Ecode 标识系统身份鉴别管理

      Ecode标识系统身份鉴别应符合以下管理要求：

      a）需建设专用登录控制模块对登录用户进行身份标识与鉴别；

      b）应提供登录失败处理方案，可采取结束会话、限制非法登录次数、自动退出等策略；

      c）应支持用户名/口令和数字证书两种登录认证方式，并按GB/T 25064要求设计数字证书；

      d）应具有良好的可扩展性，可支持动态口令、生物识别等其他认证方式。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 38660-2020 物联网标识体系 Ecode标识系统安全机制》