T/ZJAF 11-2021
视频图像物联终端设备安全技术要求
Security technical requirements for intelligent terminal equipment of IOT
- 标准号
- T/ZJAF 11-2021
- 发布
- 2021年
- 发布单位
- 中国团体标准
- 当前最新
- T/ZJAF 11-2021
- 适用范围
- 1.设备安全防护概述 1.1安全防护架构 通过对视频图像物联终端设备的硬件平台、系统平台、应用软件和通信4个功能模块进行安全防护,设备安全防护架构 2.硬件平台安全 2.1物理安全 2.1.1出厂设备的调试接口应关闭或设置保护措施。 2.1.2应支持基于硬件的安全启动技术,保护引导程序不被篡改。 2.1.3应支持硬件安全存储防护技术,保护密钥、配置等数据的存储安全。 2.1.4应支持系统的安全配置可被锁定。 3.安全芯片 3.1安全芯片与处理器在总线上的通信应启用加密机制。 3.2安全芯片应使用安全密码算法,宜采用符合国家标准的密码算法。 3.3安全芯片宜提供防止侧信道攻击的防御机制。 3.4安全芯片宜支持设备的身份安全认证。 4.系统平台安全 4.1引导程序 4.2出厂设备的引导程序配置应禁止变更。 4.3应禁止设备从外部存储介质启动系统。 4.4备启动时,应对引导程序进行完整性校验。 4.5设备启动时,应通过引导程序对系统的加载进行完整性校验。 4.6设备启动过程中,引导程序的外部接口应关闭或设置保护措施。 5.操作系统 5.1应满足GB/T 35318—2017中7.1.2.1 的规定。 5.2应不存在已知的安全漏洞。 5.3应具有对恶意病毒入侵的实时监测防护功能。 5.4应支持应用程序加载的完整性校验,禁止被篡改的应用程序加载运行。 5.5应启用内核提供的安全特性。 5.6应启用内存保护机制。 5.7应支持第三方应用程序隔离运行。 6.软件升级 6.1应支持OTA在线升级,升级时应校验OTA服务器的身份真实性。 6.2应支持用户配置自动升级策略。 6.3升级时应采用数字签名技术校验目标程序的完整性。 6.4升级完成后,应保留原有用户配置。 6.5不宜支持降版本更新。 6.6升级失败时,应恢复到升级前的状态。 6.7内核程序 6.8加载内核模块前,应执行签名校验。 6.9非必要的内核模块应默认关闭。 7.初始设置 7.1出厂设置应仅启用基本网络服务功能。 8.应用软件安全 8.1身份认证 8.2设备的每个用户应具备唯一身份标识。 8.3设备在IoT系统中应具备唯一身份标识。 8.4面向用户、设备的身份认证应被强制启用,应采用安全的身份认证机制。 8.5用户、服务及设备的身份认证机制与策略应中心化管理,共用一套框架。 8.6设备应支持密码强度检查,提示引导用户使用复杂安全密码,应禁止密码写入源代码。 9.权限控制 9.1应禁止未经授权的用户访问个人信息和敏感数据。 9.2应以最小化系统权限运行应用服务。 9.3设备的调试能力应仅对特定人员开放访问权限,调试访问行为应被记录。 10.安全审计 10.1应支持用户日志的记录和查询,日志应至少包含操作源、操作用户、操作时间、操作结果。 10.2日志应由系统自动生成,用户不可修改,非管理员用户应禁止删除日志。 10.3本地存储空间有限或安全性不足的设备,应支持网络日志功能。 11.数据保护 11.1个人信息和敏感数据应加密存储。 11.2应支持用户根据权限安全销毁个人信息、身份凭证等用户数据。 11.3内存中敏感数据清除宜使用无意义数据覆盖。 12.密码算法 12.1在非必要的情况下,设备应保持密钥唯一性。 12.2宜使用符合国家标准的密码算法。 12.3应采用操作系统或硬件提供的安全随机源。 12.4密码算法的密钥存储应具备硬件级安全保护能力。 13.通信安全 13.1通用安全 13.1.1通信安全应满足GB/T 37044—2018中5.4.2.2的规定。 13.1.2设备与网络中其他节点通信,应采用具备完整性、机密性和防重放性能力的安全通道保护技术。 13.1.3设备若采用TLS技术,应支持符合ITU-T X.509标准的数字证书,应采用本地存储的证书校验通信对端节点。 13.1.4出厂设备的通信服务程序不应存在已知漏洞。 13.1.5应支持对网络攻击行为的实时监测和预警。 14.设备间交互 14.1跨信任边界的网络传输,应支持敏感数据加密。 14.1共享密钥应采用安全的密钥交换协议,禁止采用出厂预置密钥。 14.2设备应经MQTT代理授权后进行订阅和消息发布,认证机制宜使用证书认证。 15.蓝牙通信 15.1PIN码组成应满足复杂性要求。 15.2蓝牙的配对模式除了“Just Work”外,SSP认证机制应至少不低于6位数字。 15.3加密密钥宜选择允许范围内的最大长度。 15.4设备蓝牙应支持采用可获取的最安全认证方法。 15.5设备蓝牙应默认使用最强安全模式和等级。 16.WiFi通信 16.1若非设备功能需要,WiFi网络应默认关闭或禁用。 16.2宜支持WPA2或更高等级的安全保护。 16.3若使用WPA,应采用AES加密(CCMP模式)。 16.4WiFi连接宜禁用WPS方式。
T/ZJAF 11-2021相似标准
推荐
工业视频内窥镜在核电行业中的相关应用
而且有时候工作的环境比较恶劣或者狭小,对于工业视频内窥镜的重量比较关注,更有甚者,要求工业视频内窥镜带有独立的无线图像传输系统,和智能终端设备进行实时画面共享,要求都能进行拍照或者图像,进行双人检测,大大提升检测的准确度和效率。整机调试阶段,在部分系统或电站整体达到调试状态后,要在系统内进行开机调试,以达到运行前的良好状态。...
检测和维护 工业内窥镜对缺陷的定性和定量分析
而且有时候工作的环境比较恶劣或者狭小,对于工业视频内窥镜的重量比较关注,更有甚者,要求工业视频内窥镜带有独立的无线图像传输系统,和智能终端设备进行实时画面共享,要求都能进行拍照或者图像,进行双人检测,大大提升检测的准确度和效率。整机调试阶段,在部分系统或电站整体达到调试状态后,要在系统内进行开机调试,以达到运行前的良好状态。...