《信息安全技術—智慧型聯網設備口令保護指南》(GB/T 38626-2020)是2020年11月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息安全技術—智慧型聯網設備口令保護指南》(GB/T 38626-2020)給出了智慧型聯網設備的賬號和口令在生成、管理和使用等方面的安全技術指南。該標準適用於指導智慧型聯網設備生產製造商安全設計和實現口令保護功能,也適用於智慧型聯網設備的口令安全使用的監督、檢查。
基本介紹
- 中文名:信息安全技術—智慧型聯網設備口令保護指南
- 外文名:Information security technology—Guide to password protection for intelligent connected device
- 標準號:GB/T 38626-2020
- 中國標準分類號:L80
- 標準類別:安全
- 國際標準分類號:35.040
- 發布日期:2020-04-28
- 實施日期:2020-11-01
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,制定背景,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
制定背景
物聯網被人們視為繼計算機、網際網路之後信息技術產業發展的第三次革命,其泛化的網路特性使得萬物互聯正在成為可能。與計算機時代、網路時代相比較,物聯網的終端具有移動化、微型化等特徵其傳輸管道更是在有線網路之外又增加了無線網路,物聯網的雲端數據中心不僅更大也更為靈活;物聯網體系架構里可程式、可通訊、智慧型化、網路化的特徵要素愈發凸顯,而物聯網所面臨的特殊安全挑戰也由此而生,直接導致了的物聯網安全事件頻發。
可以預期的是,未來物聯網產業規模將和其遇到的安全挑戰同樣巨大,其安全風險主要集中在以下幾點:①物聯網中聯網智慧型設備通常數量龐大,部署位置也較為分散,可能會出現斷網、設備故障、狀態異常等情況;②越來越多的聯網智慧型設備接入網際網路,並且一般是部署在不安全的環境中,所以很容易被攻擊,從而誘發各種安全問題;③聯網智慧型設備大多存在弱口令、默認口令問題,一旦被黑客利用,後果極為嚴重,針對物聯網的幾起重大安全事件的設備的弱口令問題是主要原因。
網際網路上仍然存在大量的弱口令智慧型聯網終端設備,這些設備將會給物聯網帶來嚴重的安全隱患,而存在這些弱口令設備的主要原因是使用者安全管理上存在缺陷,還存在部分廠商產品安全設計的不足,如口令硬編碼等。而這些智慧型終端的用戶很大一部分安全意識和管理水平在一定程度上較難去快速提高,所以需要廠商對產品進行安全設計,從源頭上杜絕此類問題的發生,這將在一定程度上彌補安全管理上的不足。因此,制定了國家標準《信息安全技術—智慧型聯網設備口令保護指南》(GB/T 38626-2020)。
編制進程
- 標準計畫
2018年1月9日,國家標準計畫《信息安全技術—智慧型聯網設備口令保護指南》(20173867-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)提出並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2020年4月28日,國家標準《信息安全技術—智慧型聯網設備口令保護指南》(GB/T 38626-2020)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2020年11月1日,國家標準《信息安全技術—智慧型聯網設備口令保護指南》(GB/T 38626-2020)實施。
制定依據
國家標準《信息安全技術—智慧型聯網設備口令保護指南》(GB/T 38626-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫規則》(GB/T 1.1-2009)規則起草。
起草工作
主要起草單位:杭州海康威視數位技術股份有限公司、北京信息安全測評中心、公安部第一研究所、中國科學院信息工程研究所、國家工業信息安全發展研究中心、大華技術股份有限公司、華為技術有限公司、海爾集團、北京洋浦偉業科技發展有限公司、北京未來安全信息技術有限公司、江蘇省電力公司電力科學研究院、中國電子技術標準化研究院、中國信息安全測評中心、公安部第三研究所、浙江大學、國網浙江省電力有限公司、阿里巴巴網路技術有限公司、深圳聯想懂的通信有限公司、美的智慧家居科技有限公司、杭州安恆信息技術有限公司、北京天融信網路安全技術有限公司。
主要起草人:王濱、劉賢剛、陳學明、范科峰、韓煜、劉繼順、王沖華、姚一楊、張軍昌、劉大鵬、茹昭、張軍、王英鍵、李娜、許東陽、趙章界、成金愛、邸麗清、閆兆騰、徐文淵、萬里、王星、黃敏、倪曉林、劉明君、陳兆全、姚楠。
標準目次
前言 | Ⅰ |
---|---|
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 1 |
4縮略語 | 2 |
5概述 | 2 |
6賬號安全 | 2 |
7口令安全 | 3 |
8用戶安全 | 4 |
附錄A(資料性附錄)非設備本地鑑別方式 | 5 |
參考文獻 | 6 |
參考資料:
內容範圍
《信息安全技術—智慧型聯網設備口令保護指南》(GB/T 38626-2020)給出了智慧型聯網設備的賬號和口令在生成、管理和使用等方面的安全技術指南。該標準適用於指導智慧型聯網設備生產製造商安全設計和實現口令保護功能,也適用於智慧型聯網設備的口令安全使用的監督、檢查。
引用檔案
GB/T 25069-2010 信息安全技術—術語 |
參考資料:
意義價值
《信息安全技術—智慧型聯網設備口令保護指南》(GB/T 38626-2020)為智慧型聯網設備設計完備的口令機制,有利於整個物聯網的安全,另外也可以幫助廠商更加明確的劃分安全責任河邊界。