1 范围

      本标准规定了物联网（工控终端除外）数据传输安全分级及其基本级和增强级安全技术要求等。

      本标准适用于相关方对物联网数据传输安全的规划、建设、运行、管理等。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 33474-2016 物联网 参考体系结构

3 术语和定义

      下列术语和定义适用于本文件。

3.1

      物联网 Internet of things

      通过感知设备，按照约定协议，连接物、人、系统和信息资源，实现对物理和虚拟世界的信息进行处理并作出反应的智能服务系统。

      ［GB/T 33745-2017，定义2.1.1］

3.2

      传感器 transducer/sensor

      能感受被测量并按照一定的规律转换成可用输出信号的器件或装置，通常由敏感元件和转换元件组成。

      ［GB/T 7665-2005，定义3.1.1］

3.3

      感知设备 sensing device

      能够获取对象信息的设备，并提供接入网络的能力。

      ［GB/T 33745-2017，定义2.1.9］

      注：具备较高计算能力的感知设备还能对物或环境进行信息采集和/或执行操作。

3.4

      传输安全 transmission security

      保护网络中所传输信息的完整性、保密性、可用性及用户定制等特性。

3.5

      通信参考体系结构接口 communication reference architecture interface

      从物联网实体间互联互通的角度，描述物联网域间及域内实体之间网络通信关系的接口。

      注：根据物联网不同应用场景，通信可以采用无线或有线通信等接口方式。

3.6

      通用网络接口 network communication interface

      从物联网实体间互联互通的角度，描述物联网用户域、资源交换域、服务提供域、运维管控域等域间及域内实体之间网络通信关系的接口。

3.7

      感知网域接口 internal communication interface

      从物联网实体间互联互通的角度，描述物联网感知控制域内实体之间网络通信关系的接口。

3.8

      感知网络接口 sensor communication interface

      从物联网实体间互联互通的角度，描述物联网感知控制域与目标对象域之间网络通信关系的接口。

3.9

      隐私 privacy

      个人所具有的控制或影响与之相关信息的权限，涉及由谁收集和存储、由谁披露。

      [GB/T 25069-2010，定义2.1.63]

      注：本标准中隐私多指与公共利益、群体利益无关，个人信息等个人生活领域内的不为他人知悉、禁止他人干涉和侵入的私事。

3.10

      敏感信息 sensitive information

      一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

      [GB/T 35273-2035273-2017，定义3.2］

3.11

      信任 trust

      两个元素之间的一种关系：元素x信任元素y，当且仅当x确信y相对于一组活动，元素y将以良好定义的方式实施，且不违反安全策略。

      [GB/T 2525069-2010，定义2.1．

4 缩略语

      下列缩略语适用于本文件。

      CRAI：通信参考体系结构接口（Communication Reference Architecture Interface）

      IPSec：互联网安全协议（Internet Protocol Security Protocol）

      SSH：安全外壳协议（Secure Shell Protocol）

      TLS：传输层安全协议（Transport Layer Security Protocol）

5 物联网数据传输安全概述

5.1 物联网数据传输安全

      本标准参考GB/T 37044-2018物联网安全参考模型，给出了数据传输安全技术要求。凡涉及采用密码技术解决机密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。

      物联网安全参考模型从物联网系统参考安全区、系统生存周期、基本安全防护措施三个维度共同描述物联网安全保护方法。参考安全区是从物联网系统的逻辑空间维度出发，生存周期则是从物联网系统存续时间维度出发，基本安全防护措施是从相应配合的安全措施维度出发，共同在整体架构和全生命

      周期层面上为物联网系统提供了一套可参考的安全模型。物联网数据传输指在物联网获取信息及传输信息中使用到的数据传输技术集合，其传输安全涉及基本安全防护措施维度中的网络安全部分，物联网系统功能域维度的全部域间及域内数据传输，以及系统生命周期维度的全过程。

5.2 安全防护范围

      本标准提出的物联网安全防护范围主要是指在从设备采集数据开始到应用场景过程中，所使用的数据传输技术的集合，其用于向物联网数据传输提供安全保障以及安全性支持。本标准采用GB/T 33474-2016提出的物联网六域参考模型界定物联网数据传输安全防护范围。除了六域参考模型之外，业界常采用三层模型技术架构，物联网六域参考模型与三层模型的简单对应关系可参见附录A。

      物联网数据传输安全防护范围具体包括：物联网系统功能域内、域间数据传输通信接口的安全保障以及安全性支持，作用于系统全生命周期（规划设计、开发建设、运维管理、废弃退出）。依照GB/T 33474-2016中定义的通信参考体系结构接口（CRAI-01-CRAI-24），将其分为通用网络接口、感知网域接口、感知网络接口三类。图1给出了物联网数据传输通信接口的具体位置，表1给出了物联网数据传输接口及其分类。

      通用网络接口数据传输安全保障应满足通用网络安全要求，也可采纳本标准网络安全要求。

      感知网域接口数据传输安全保障宜采纳本标准网络安全要求。

      感知网络接口数据传输安全保障应满足本标准网络安全要求。

图1 物联网数据传输接口位置及其分类

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37025-2018 信息安全技术 物联网数据传输安全技术要求》