返回
信息安全技术-智能联网设备口令保护指南-编制说明

信息安全技术-智能联网设备口令保护指南-编制说明

ID:28210661

大小:80.51 KB

页数:6页

时间:2018-12-09

信息安全技术-智能联网设备口令保护指南-编制说明_第1页
信息安全技术-智能联网设备口令保护指南-编制说明_第2页
信息安全技术-智能联网设备口令保护指南-编制说明_第3页
信息安全技术-智能联网设备口令保护指南-编制说明_第4页
信息安全技术-智能联网设备口令保护指南-编制说明_第5页
资源描述:

《信息安全技术-智能联网设备口令保护指南-编制说明》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、国家标准《信息安全技术智能联网设备口令保护指南》(草案)编制说明一、工作简况《信息安全技术智能联网设备U令保护指南》是全国信息安全标准化技术委员会2017年下达的信息安全国家标准制定项目,由杭州海康威视数字技术股份有限公司牵头,由中国电子技术标准化研究院、北京信息安全测评中心、中国信息安全测评中心、公安部第一研宂所、公安部第三研宄所、中国科学院信息工程研究所、浙江大学、大华技术股份有限公司、阿里巴巴网络技术有限公司、华为技术有限公司、深圳联想懂的通信有限公司、海尔集团、美的智慧家居科技奋限公司、北京洋浦伟业科技发展有限公司、杭

2、州安恒信息技术有限公司、未来网络安全科技公司、北京天融信网络安全技术有限公司、江苏省电力公司电力科学研宂院等18家单位共同参与,组成了标准编制工作组,开展该标准的编写工作。在标准编制过程屮,编制工作组依据在锊能联网设备门令安全保护方面的技术研宄和实践经验,提出标准的主要框架和条款,参考国外先进标准NTSTSP800-63B的情况制定U令复杂度基木策略和常见弱U令检测规则,并经过多次讨论修改完成标准草案。根据专家意见,对标准的重大修改可以总结为以下几个方面:1.根据专家的意见增加了一章,专门对用户管理智能联网设备口令提供指导,丰

3、富标准的内容。2.经过编制组讨论,为了明确标准的应用场景,保证UI令指南的实际应用范围,保留了对于云平台认证模式的说明。3.调整了耍求条款的分组和排列顺序,使其逻辑更加清晰。4.修改丫标准正文屮的用语,采用正向的描述方式,使其语言更加规范、准确、易于理解。5.根据新模板写编制说明,并且将专家的意见进行分析说明。6.增加口令复杂度策略可配置的要求,以适应更多的应用场景。7.由于弱口令的不可穷尽性和设备的存储处理能力有限,将弱口令的要求放到对用户要求的部分,在设备端上不做要求。二、标准编制原则和确定主要内容的论据及解决的主要问题本

4、标准基于口令安全保护方而的技术实践,参考国外先进标准,规定了智能联网设备的帐号、门令在生成、管理和使用等方面的安全技术要求,适用于指导智能联网设备生产商安全设计和实现UI令保护功能,也可作为智能联网设备的U令安全监督、检查和指导的依据。本标准重点解决物联网中智能联网设备在口令安全保护方面存在的缺陷和不足,减少由于默认口令、弱口令等带来的安全风险,为智能联网设备口令保护提供安全参考及设计指导,提高智能联网设备整体安全防护能力和水平。在标准制定过程中,力求做到符合国家的奋关政策法规要求,与己颁布实施的相关标准相协调,并适度考虑目前

5、处于发展成熟过程中的技术,保持一定的前瞻性。本标准编制过程中,参考了以下标准和文档:[1]GB/T25069—2010信息安全技术术语[2]GB/T33474—2016物联网参考体系结构[3]GB/T33745—2017物联网术语[4]工业和信息化部电信研宄院,物联网白皮书(2011年),2011年5月[5]IS0/IEC20180:2012Telecommunicationsandinformationexchangebetweensystems—Securityframeworkforubiquitoussensornet

6、works[6]TEC62443-1-1:2009Industrialcommunicationnetworks一Networkandsystemsecurity—Part1-1Terminology,conceptsandmodels[7]ITU-TY.2060:OverviewoftheInternetofthings[8]NISTSpecialPublication800-63B,DigitalidentityGuidelines:AuthenticationandLifecycleManagement,June2017

7、本标准分别从生成、使用、管理、日志等方面对厂商如何设计帐号和口令的安全功能提出了要求,并且给出了用户安全管理和使用账号U令的指南。下面分别从帐号生成、帐号管理、帐号使用、口令生成、口令管理、口令使用六个方面对相关的安全要求和建议做一些说明。1.帐号生成帐号的生成包括帐号名称的生成和帐号初始属性的指定。帐号可以由系统自动生成,也可以由用户自己创建。为了安全,帐号名称需要遵循一定的规则,帐号的一些关键属性也需要系统进行一定的限制,如帐号的权限在创建帐号的时候应该得到严格的控制。1.帐号使用许多第三方和开源软件提供缺省帐号和口令,特

8、别是数据库的缺省帐号和缺省口令,己广泛公开并存在于口令破解工具的字典中,在现网中使用存在极大的安全隐患。2.帐号管理在帐号的使用过程中管理员需要对帐号进行维护,比如修改权限、删除帐号、锁定或解锁帐号等。出于安全的考虑,管理员还可以将用户强制下线。3.口令生成口令复杂度策略是系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。