标准规范下载简介

T／TAF 101.2-2021 冷链物流可信溯源服务技术要求 第2部分：设备安全.pdf简介：

T／TAF 101.2-2021 冷链物流可信溯源服务技术要求 第2部分：设备安全.pdf部分内容预览：

冷链物流可信溯源服务技术要求第2部分：设备安全

本文件针对冷链物流中物联网智能终端，规定了其需要满足的通用设备安全技术要求，包括 全要求、软件安全要求、通信安全要求、升级安全要求、数据安全要求、鉴权与安全防护。 本文适用于参与冷链物流全流程各环节的物联网智能终端设备，个别条款不适用于特殊设备 类似设备也可参考使用。

DB22∕JT 169-2017 水泥聚苯模壳格构式混凝土墙体建筑技术规程下列缩略语适用于本文件。 API：应用程序编程接口（ApplicationProgrammingInterface） CNNVD：中国国家信息安全漏洞库（ChinaNationalVulnerabilityDatabaseofInformation Security) CNVD：国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase） RToS：实时操作系统（RealTimeOperatingSystem） TLS：传输层安全（TransportLayerSecurity） TLCP：传输层密码协议（TransportLayerCryptographyProtocol）

冷链物流申使用的物联网智能终端，根据其实现方式以及对外提供的功能，可以划分为两种类 型： 基于轻量级嵌入式系统或无操作系统，无法安装应用软件，功能较为单一的单功能设备； b）基于复杂操作系统，能够安装、加载、运行应用软件，为用户提供多种功能的多功能设备。 两类设备均由硬件+软件的方式构成，其安全属性具有共性，整体的安全架构基本相同，如图1所 示，主要包含6个部分：最底层是硬件安全，其上为软件安全、升级安全、通信安全，数据安全、鉴权

图1物联网智能终端设备安全框架

硬件安全：保证设备内处理器、存储和接口的安全，在芯片级对设备进行保护，防止芯片内 的程序、数据被非法访问、篡改。 软件安全：保障固件、操作系统以及应用安全，对系统、应用进行安全配置，保护设备业 务、权限。 C 通信安全：保障设备数据传输过程的安全性。 d 升级安全：在升级更新时加强保护，防止因升级过程降低安全性。 e 数据安全：保障数据在采集、传输、存储、处理过程中的安全性。 f） 鉴权与安全防护：通过恰当的安全配置，防范越权行为，制潜在的攻击。 物联网智能终端设备的安全要求分为两部分，第6章规定了两类设备均需满足的通用安全技术要 第7章规定了多功能设备在通用要求基础上仍需满足的扩展安全技术要求。

6.1.1硬件接口安全

设备的硬件接口应符合以下要求。 应遵循最小化原则，保证在出厂后显式调试接口等非必需的物理接口已被禁用

c）当设备具备控制台接口时，必须为接口添加安全访问控制措施，防止未授权访问 注：可使用口令或其他方式进行访问控制

6. 1. 2 物理安全

宜去除设备电路板中芯片、接口、管脚的标记。

6.2.1系统安全要求

6.2.1.1安全启动

固件启动时，提供安全启动机制，确保只加载执

6. 2. 1. 2 权限配置

系统中的权限配置应符合以下要求。 a 应开启地址随机化、堆栈不可执行等安全配置，应为关键区域设置正确的权限， 应对关键系统API提供访问控制机制，防止非授权的API调用。 C 不应将用户名、口令等敏感信息明文存储在固件中。

6.2.1.3服务配置

6.2.1.4漏洞管理

系统中不应存在CNVD、CNNVD等权威漏洞 公开发布6个月以上的高危及以

6. 2. 2 第三方组件安全要求

6. 2. 3日志安全要求

志功能应符合以下要求。

设备应支持升级更新，并符合以下要求。 a 除用户或管理者主动将升级过程设置为不提示的自动升级外，升级之前应有提示，不应强制 更新。 b 通过网络传输升级包时应采用安全的通信协议，宜使用TLCP1.1、TLS1.2或更高的版本。 C) 传输升级包时宜采用双向身份认证。 d 宜对升级包进行加密，宜使用SM4、AES128或更高强度的算法，使用AES算法时选择安全的 工作模式，不应使用ECB、CBC等不安全的模式。 升级时，应对升级包的完整性进行校验，防止升级包被篡改。 升级时，应对升级包的版本进行校验，防止降级更新。 g） 系统升级失败时，应保持原系统的可用性，并且安全属性与升级前一致。

设备中数据的处理应符合以下要求。

7多功能设备增强安全技术要求

7. 1. 1 芯片安全

设备中使用的芯片应符合以下要求。 a 设备应具备不可改写的安全存储区域，用于存储校验密钥等信息。 b) 设备应具备必要的固件保护措施，包括但不限于加密、签名、写保护等，防范固件被提取、 宴改。 C 设备宜具备物理保护能力，防止攻击者通过去除封装等物理接触方式，获取芯片内部存储的 数据。 d 若设备需要对生物特征识别信息等敏感数据进行操作，应具备安全芯片或可信执行环境

设备宜具备对自身状态的检测能力，在出现暴力移除、拆卸、替换等情况时，提供必要的告警机 制。

JJG(苏) 69-2007 医用数字摄影（CR、DR）系统.pdf7.2.1系统安全要求

7. 2. 1. 1 安全启动

应在固件后动时，提供安全后动机制，确保只加载执行可信的固件，并符合以下要求。 应从不可篡改的区域开始执行安全启动，并在启动过程中校验密钥的完整性、真实性， 应在安全启动过程中校验镜像的完整性、真实性；当存在多级启动时，每个镜像启动前均应 进行校验。 C 安全启动过程中应校验镜像的版本，不应启动比设备存储的版本号低的镜像；镜像的版本号 信息应储存在不可直接访问、具备防篡改能力的区域。 d 安全启动过程中应禁用调试。 安全启动过程中任意步骤校验不通过或出现其他失败情况，应退出启动过程，并清除RAM中 的数据。

7.2. 1.2权限配置

系统中的权限配置应符合以下要求。 应遵循最小化原则，为不同的用户、应用分配权限，禁止越权操作。 应开启SELinux或其他强制访问控制策略等安全配置。 应采取适当的访问控制措施对不同用户、应用的数据进行隔离，防止非授权访问。 应禁止root用户非授权登录，默认禁止任何进程或应用获取系统的超级用户权限，防范可能 的提权攻击。 不应存在隐藏账号。 应坦仕 生

7. 2. 2 应用安全要求

设备的升级更新应符合以下要求。 a）应用升级失败时，应保持原应用的可用性，并且安全属性与升级前一致。 b）宜定期更新设备中存储的工厂包。 ）宜支持热修复，用于在出现安全问题时，快速执行修复操作。

设备中的鉴权与安全防护措施宜符合以下要求。 宜采用校验技术对关键代码、数据进行完整性保护。 宜能够检测到对重要位置的攻击行为，如网络攻击、异常流量、会话劫持，并且在检测到攻 击行为时采取日志记录、安全告警、攻击遏制等措施。

DB52／T 1558-2021标准下载电信终端产业协会团体标准 冷链物流可信溯源服务技术要求第2部分：设备安全