GB/T 37044—2018信息安全技術 物聯網安全參考模型及通用要求5.3 系統生存周期
5.3.1 概述
物聯網系統的一個完整生存周期大致可以分為以下四個階段:規劃設計、開發建設、運維管理、廢棄退出。每一個階段均有不同的任務目標和相應信息安全防護需求。
注:本標準在參考了GB/T 22032-2008《系統工程 系統生存周期過程》后,結合物聯網系統一般特性,將物聯網系統生存周期歸納為4個階段。
5.3.2 規劃設計
不同的物聯網應用系統的部署環境差異較大,因此在規劃設計階段即需要考慮到周圍的環境對于感知終端的安全性影響,采用適當的安全措施將降低此類風險;同時還需要考慮到上層用戶系統對底層感知終端的訪問權限問題,避免非法操控行為。
5.3.3 開發建設
在該階段,相關人員需要部署實現所有安全防護功能的相應機制和具體措施,包括保障系統中數據的保密性、完整性和可用性,身份認證及訪問控制機制、用戶隱私保護、密鑰協商機制、防重放攻擊、抗DDoS攻擊等,以保障物聯網系統的整體信息安全保護能力。
5.3.4 運維管理
物聯網應用系統最終是需要在現實環境中開展運營服務的,運維管理階段的信息安全保障水平直接關系到整個系統的效率,因此該階段的信息安全保護能力要求不僅包括系統安全監控,更多的在于信息安全管理,在有健全的安全管理制度的同時,還需要有配套的控制落實措施。
5.3.5 廢棄退出
物聯網應用系統到期廢棄后,需要對原來采集的數據、訪問日志等信息進行及時的備份或銷毀處理,部分設備在復用之前需要進行必要的初始化狀態重置、緩存數據清理等操作,避免原系統信息的泄露。
推薦文章: