DB50∕T1175 -2021 智慧交通 物联网数据服务平台 信息安全通用要求(重庆市).pdf

1、DB 50/T XXXXXXXICS 35.040CCS L80DB50重庆市地方标准DB 50/T 117520212021 - 11 - 30 发布2022 - 03 - 01 实施重庆市市场监督管理局发 布智慧交通物联网数据服务平台信息安全通用要求DB50/T 11752021I目次前言.II1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25 系统架构.25.1 概述.25.2 感控安全区.25.3 网络安全区.35.4 运维安全区.35.5 应用安全区.36 信息分级保护.47 信息管理角色与职责.48 平台数据生存周期安全要求.48.1 信息安全总体要求.48.2

2、标签产品安全要求.58.3 数据采集安全要求.58.4 数据传输安全要求.58.5 数据处理存储安全要求.68.6 数据交换使用安全要求.78.7 数据清理销毁安全要求.7DB50/T 11752021II前言本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由重庆市经济和信息化委员会提出并归口。本文件起草单位：重庆市城投金卡信息产业（集团）股份有限公司、中国电子技术标准化研究院、重庆市公安局、重庆市公安局交通管理局。本文件主要起草人：张鹏、彭滨鸿、王文峰、赵明、宋鸿

3、、陈占锋、许汝峰、王思翔、张伟、刘立国、胡芮嘉、易佳、廖汝秋、刘玉印、李春雨、钟添翼、徐龙、徐立松、魏丽丽、杨民、辜继东、余跃、耿力、张璋、刘倩颖。DB50/T 117520211智慧交通物联网数据服务平台信息安全通用要求1范围本文件规定了智慧交通物联网数据服务平台的信息安全要求，包括系统架构、信息分级保护、信息管理员角色与职责和平台数据生存周期安全要求等。本文件适用于基于智慧交通的物联网数据服务平台，可为类似组织定制信息安全要求标准提供参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引

4、用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 25069 信息安全技术 术语GB/T 33745 物联网 术语DB 50/T526-2013 机动车射频识别 标签产品规范DB 50/T534-2013 机动车射频识别 RFID系统安全技术要求3术语和定义GB/T25069和GB/T33745界定的以及下列术语和定义适用于本文件。3.1安全域securitydomain在信息系统中，单一安全策略下运行的实体的汇集。例如，由单一或一组认证机构采用同

5、一安全策略创建的各公钥证书的汇集。来源：GB/T 25069，2.2.1.173.2数据生存周期datalifecycle将原始数据转化为可用于行动的知识的一组过程。来源：GB/T 33745，2.1.23.3数据分类 data classificationDB50/T 117520212把具有某种共同属性或特征的数据归并在一起，通过其类别的属性或特征来对数据进行区别。3.4定向推送 directional push通过对用户数据的分析，向特定对象主动发送相关信息。4缩略语下列缩略语适用于本文件。RFID：射频识别技术（RadioFrequencyIdentification）5系统架构5.1

6、概述物联网数据服务平台的信息安全要求系统架构如图1所示。图 1物联网数据服务平台信息安全系统架构5.2感控安全区感控安全区包括目标对象域和感知控制域， 主要满足感知对象、 控制对象及相应感知控制系统的信息安全需求。a)目标对象域：物联网数据服务平台管理者期望的信息对象，包括但不限于：1）感知对象：物联网数据服务平台管理者期望获取数据的对象；DB50/T 1175202132）控制对象：物联网数据服务平台管理者期望执行操控的对象。b)感知控制域： 通过不同的感知和执行功能单元实现对关联对象的数据采集和控制操作， 各功能单元可独立工作，也可通过相互协作，共同实现对物联网数据服务平台的感知和操作控制

7、，功能单元包括但不限于：1）传感器网络系统：通过与对象关联绑定的传感结点采集对象数据，或通过执行器对对象执行操作控制；2）标签识别系统：通过读写设备对附加在对象上的 RFID 等标签进行识别和数据读写，以采集或修改对象相关的数据；3）视频图像数据采集系统：通过视频、图像等设备采集对象的视频图像等非结构化数据；4）智能化设备接口系统：具有通信、数据处理、协议转换等功能，且提供与对象的通信接口，其对象包括电源开关、空调、大型仪器仪表等智能或数字设备。5.3网络安全区网络安全区包括资源交换域和服务提供域， 主要保障数据汇集和预处理的真实性及有效性、 网络传输的机密性及可靠性、数据交换共享的隐私性及可

8、认证性。a)资源交换域：实现物联网系统与外部系统间信息的共享与交换，包括但不限于：1）信息资源交换系统：为满足特定用户服务需求，需获取其他外部系统必要信息资源，或为其他外部系统提供信息资源前提下，实现系统间的信息资源交换和共享的系统；2）市场资源交换系统：为支撑有效提供物联网应用服务，实现物联网相关信息流、服务流和资金流的交换的系统。b)服务提供域：根据用户域需求对外提供服务，包括但不限于：1）基础服务系统：为业务服务系统提供物联网基础支撑服务的系统，包括数据接入、数据处理、数据融合、数据存储等；2）业务服务系统：面向某类特定用户需求，提供物联网业务服务的系统，包括数据统计、数据查询、分析对比

9、、告警预警、操作控制、协调联动等。5.4运维安全区运维安全区包括运维管控域， 主要需要满足运维管控域的信息安全需求， 除了满足基本运行维护所必要的安全管理保障外，需要符合相关法律法规监管所要求的安全保障功能。运维管控域：管理和保障物联网中设备和系统可靠、安全运行，并保障物联网应用系统合法合规，包括但不限于：运维管理系统：实现包括系统接入管理、系统安全认证管理、系统运行管理、系统维护管理等功能；网络安全监管系统：实现包括相关法律法规查询、监督、执行等功能。5.5应用安全区应用安全区包括用户域，主要需要满足用户域的信息安全需求，负责满足系统用户的身份鉴别、访问权限控制以及配合必要的运维管理等方面的

10、安全要求， 同时需要具备一定的主动防攻击能力， 充分保障系统的可靠性。用户域是支撑用户接入物联网，使用物联网服务的接口系统，从物联网用户总体类别来分，可包括政府用户系统、企业用户系统、公众用户系统等。本文件依托物联网数据服务平台信息安全系统架构， 重点针对数据在平台流转过程中的安全问题提出安全要求。DB50/T 1175202146信息分级保护为保护物联网数据服务平台运行过程中所涉及的信息的安全， 根据信息的重要及敏感程度对其进行分级，可分为一般信息、重要信息和机要信息，三类信息的管控要求如表1所示。a）一般信息：信息系统受到破坏后，会对城市交通管理和社会治理造成一般影响；b）重要信息：信息系

11、统受到破坏后，会对城市交通管理和社会治理造成严重损害；c）机要信息：信息系统受到破坏后，会对城市交通管理和社会治理造成特别严重损害。表 1数据分级管控要求数据类型管控要求一般信息可在内部自由传输和使用，在传输和使用中不得擅自泄露或借阅他人，可选择性公开。重要信息只能在信息产生和使用部门的规定范围内使用，有条件公开，由专人负责管理，并进行加密及备份处理，使用时应进行实名登记。机要信息严格控制信息的知晓范围，原则上在未脱密前不允许公开。采用物理隔离、汇源防信息泄露系统等方法对信息进行保护，使用时应层层审批。7信息管理角色与职责物联网数据服务平台信息安全管理的角色包括但不限于：a)物联网数据服务平台

12、信息安全决策者物联网数据服务平台信息安全决策者负责信息安全战略管理及各环节的安全管理决策， 按平台信息安全战略对信息进行监督管理；b)物联网数据服务平台信息安全管理者物联网数据服务平台信息安全管理者是平台信息安全战略的执行者， 负责对平台运行过程中各环节数据的监督、指导、审核及实施；对下属子单位信息应用、信息安全体系建设、平台程序开发的监督、指导和审核。一般根据管理者接触和管理信息的不同进行权限划分。c)物联网数据服务平台信息安全维护者物联网数据服务平台信息安全维护者负责平台数据安全运行过程中信息的日常维护与管理， 主要人员包括但不限于：数据库维护者：具有数据维护权限，无数据应用权限，负责管理

13、和优化数据库，保障数据库正常、高效运行；系统维护者：负责数据相应系统的维护，保障数据相应系统的正常运行；网络维护者：负责数据系统相关网络的运行维护工作，保障数据相应系统的网络正常；程序、平台等维护者：负责数据相应程序、平台的运行维护，优化平台运行，解决平台问题，对平台数据分析结果进行质量管控，及时解决发现的问题。8平台数据生存周期安全要求8.1信息安全总体要求物联网数据服务平台的信息安全包括标签产品的设计、生产、检验和验收，数据采集，数据传输，数据处理存储，数据交换使用，数据清理销毁。整个过程应符合DB 50/T534-2013的规定，制定平台管理体系，严格分权管理，确保整个平台在运行过程中的

14、安全。DB50/T 117520215建立物联网数据服务平台信息安全管理机制，管理机制应从软、硬件、管理等方面保障平台从项目立项、安全验收到运行使用整个过程的安全。8.2标签产品安全要求标签产品的设计、生产、检验和验收应符合DB 50/T526-2013的规定。8.3数据采集安全要求物联网数据服务平台采集的数据包括用户信息数据和业务基础数据。 用户信息数据主要通过客户端APP、微信公众号等方式采集，内容包括用户的姓名、公民身份号码、电话号码等信息。业务基础数据主要通过RFID、视频抓拍设备等方式采集，内容包括车辆信息数据、停车场数据、非现金支付数据等数据。a)基础数据采集安全要求：1） 建立数

15、据采集审批机制，确定采集的内容、范围等数据；2） 对采集的数据进行完整性和一致性校验；3） 采集时对数据采集环境、采集设施和采集技术进行安全管控；4） 明确数据安全责任人，并提供资源保障其独立履行数据安全职责；建立备案机制，备案内容包括采集使用规则、目的、规模、方式、范围、类型、期限等，不包括数据内容本身。b） 用户数据采集安全要求：1)建立数据采集审批机制，确定采集的内容、范围等数据；2)制定并公开数据采集使用规则， 待用户明确同意后进行数据采集。 数据采集使用规则应说明采集使用数据的目的、种类、数量、频度、方式、范围，法律、行政法规规定的相关依据等数据；3)非公安机关强制要求，收集 14

16、周岁以下未成年人个人信息应征得监护人同意；其他途径获得的个人信息或企业信息，与直接收集负有同等保护责任和义务；不得以默认授权、功能捆绑等形式，强迫、误导信息主体同意数据采集；4)明确数据安全责任人，并提供资源保障其独立履行数据安全职责；建立备案机制，备案内容包括采集使用规则、目的、规模、方式、范围、类型、期限等，不包括数据内容本身；5)收集的用户信息的类型应与实现的业务功能有直接关联；6)自动采集用户信息的频率应为实现业务功能所必需的最低频率。c） 业务数据采集安全要求：1)建立数据采集审批机制，确定采集点数量、位置等数据；2)采集设备应装载密钥卡，且与设备一一对应，防止电子牌信息泄漏或非法采

17、集；3)采集点应受控，严格按照国家及地方相关法律法规要求进行数据采集；4)采集数据应按照数据分类分级策略进行分类分级标识， 对不同类别和级别的采集数据实施相应的安全管理策略和保障措施；5)明确数据安全责任人，并提供资源保障其独立履行数据安全职责；建立备案机制，备案内容包括采集使用规则、目的、规模、方式、范围、类型、期限等，不包括数据内容本身。8.4数据传输安全要求物联网数据服务平台在运行过程中的数据传输包括网络传输和媒体传输。a)网络传输过程中应符合：1）制定并实施网络传输安全策略和规程；2）在构建传输通道前对通信双方身份进行鉴别；DB50/T 1175202163）采用专网加密传输，非内部指

18、定人员无法进入采集网络；4）前端采集设备应通过后台采集中间件与后台连接；5）支持断点续传，以防网络中断，导致全量数据重传占用网络资源；6）能够对所接收的历史数据或超出时限的数据进行识别，在数据存在可接受的误差时，建立容错机制保障系统正常运行；7）传输时支持对重要及以上级别信息的完整性校验，具有通信延时和中断处理功能，并在检测到完整性错误时采取必要的恢复措施；8）外接应用访问时，应有严格的安全管理规定，外接可分为：禁止外接指部分重要信息和机要信息，如涉及车主或驾驶员个人隐私的信息，该类信息外接可能导致隐私泄漏；专网外接指具有一定管理和决策支撑作用的统计信息、 路网信息等， 可通过与应用单位专网直

19、连的方式外接；互联网外接指一般信息， 如只针对特定企业或政府部门的管理信息，即使信息泄漏也无法使用。9）制定外接安全要求，针对所有外接系统的对方应用单位提出管理、软硬件设备设施要求，杜绝系统外接因对方单位安全疏忽而对平台造成安全影响；10）不可信区域的数据，应在数据接收的边界进行过滤和防病毒处理，在接收端主机或设备上进行来源确认的验证；11）传输系统应对安全失效事件进行日志记录和审计，日志内容应至少包含日期/时间、事件类型、事件主体、事件描述，成功/失败的数据。b）媒体传输过程中应符合：1）建立物联网数据服务存储媒体访问和使用安全策略和管理规范；2）不得使用未经认证的 U 盘，外来计算机不得接

20、入内部网络，防止病毒木马传播；3）存储媒体在使用过程中应符合 GB/T 20269-2006 中 5.4.2.3 的要求。8.5数据处理存储安全要求物联网数据服务平台存储的数据包括原始数据和处理数据，在处理备份过程中应符合：a)制定数据存储安全规则，包括但不限于：1）数据存储设备运行维护操作规则；2）数据存储系统安全管理规则；3）数据复制、备份与恢复的操作规则及定期检查或更新工作程序；4）数据归档存储制度及相应的安全审计与恢复制度；5）数据存储时效性管理规则。b)建立开放可伸缩的数据存储架构，以满足数据量持续增长、数据分类分级存储等需求；c)建立具备跨地域容错、容灾能力的数据存储架构；d)数据

21、逻辑存储多租户隔离，分层分级保护，并授权管理；e)采用中间件/安全加密技术/安全设备实施实现数据资源的保护；f)数据访问审计的存储保护和管控；g)数据存储完整性、多副本一致性检测与恢复；h)提供有效的硬盘保护形式， 保证即使硬盘被窃取， 非法用户也无法从硬盘中获取有效的用户数据；i)在安全等级可接受的环境中再次使用媒体之前应清除媒体上已有的内部存储、 缓存或其他可用的数据，以防对先前数据的访问；DB50/T 117520217g)对存储媒体进行标记，明确媒体存储的数据对象，并对媒体访问和使用行为进行记录和审计。8.6数据交换使用安全要求数据在交换使用过程中应符合：a)构建数据脱敏规范， 数据使

22、用正当性的内部责任制度， 数据溯源策略和管理制度以及不同类型、级别数据的加密规则和保存期限；b)建立分布式处理节点间可信连接策略和规范，采用节点认证等机制确保节点接入的真实性；c)建立分布式处理节点和用户安全属性的周期性确认机制，确保预定义分布式安全策略一致性；d)建立分布式处理过程中数据文件鉴别和访问用户身份认证的策略和规范， 确保分布式处理数据文件的可访问性；e)定向推送信息应以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能。f)合成宣传资料，应以明显方式标明“合成”字样，不得以谋取利益或损害他人利益为目的自动合成信息；g)社交网络转发的信息，应自动标注信息制作者在该社交网

23、络上的账户或不可更改的用户标识；h)明确信息安全要求和责任，签署免责声明；i)举报投诉应及时响应，核实后立即停止传播并作删除处理；j)分析利用所掌握的信息资源，不得影响国家安全、经济运行、社会稳定，不得损害他人合法权益；k)用户注销账号后应及时删除个人信息，经过处理无法关联到特定个人且不能复原的除外。l)若收到个人信息查询、 更正、 删除及用户注销账号请求， 应在合理时间和代价范围内予以查询、更正、删除或注销账号；m)因业务需求，需扩大个人信息使用范围的，应征得个人信息主体同意，不得违反收集使用规则使用个人信息。8.7数据清理销毁安全要求物联网数据服务平台在运行过程中需要清理销毁的数据包括正式

24、数据和测试数据， 在清理销毁过程中应符合：a)建立数据/媒体销毁策略、管理制度和机制，明确销毁对象、销毁方式、销毁流程和销毁要求；b)建立数据销毁审批机制，设置正式数据的保存时间、销毁相关监督角色，监督操作过程；c)从可信渠道购买或获得存储媒体，采取有效的媒体净化技术和规程对存储媒体进行净化；d)依据媒体存储内容的重要性明确磁媒体、光媒体和半导体媒体的销毁方法和机制；e)制定对存储媒体进行销毁的监管措施， 确保对销毁媒体登记、 审批、 交接等媒体销毁过程监控；f)按照国家相关法律和标准销毁敏感数据，加强对媒体销毁人员监管；g)针对网络存储数据，建立硬销毁和软销毁的数据销毁方法和技术，如基于安全策略、基于分布式杂凑算法等网络数据分布式存储的销毁策略与机制；h)针对闪存、硬盘、磁带、光盘等存储数据，建立硬销毁和软销毁的数据销毁方法和技术。配置必要的数据销毁技术手段与管控措施，确保以不可逆方式销毁数据及其副本内容。_