中国移动物联网终端安全管理体系

"中国移动物联网安全保障体系系列规范2，聚焦于物联网终端安全管理要求，旨在促进物联网业务的健康发展，强化终端安全。该文档由中国移动通信集团公司于2017年发布，适用于各类物联网终端，如智能硬件、智能家居、车载设备、行业终端和工控设备，但不包括传统通信终端。管理内容涉及终端硬件、专用软件，以及按照相关安全规范进行的立项、研发、入网、运行等阶段的安全管理。集团信安中心统筹管理，各部门和省公司依据职责分工负责不同阶段的安全工作。安全管理遵循'四负责'原则，涵盖立项规划、终端研发、入网测评、运行监测和应急响应等关键环节。在立项规划阶段，需要同时考虑终端和预装应用的安全需求，技术方案也需评估安全风险并确保符合安全规范。" 在物联网终端安全管理中，中国移动强调了以下几个关键知识点： 1. **管理范围**：物联网终端安全管理涵盖硬件设备和运行的专用软件，定制终端上的自有软件需遵循中国移动的终端应用安全规定。 2. **责任分配**：集团信安中心负责总体管理，各部门和省公司按业务阶段执行安全管理，采购部门进行入网安全测评，研发部门确保安全研发，终端公司等负责自研和第三方定制终端的安全测评。 3. **安全原则**：遵循“谁主管，谁负责；谁运营，谁负责；谁使用，谁负责；谁接入，谁负责”的原则，确保责任明确。 4. **生命周期管理**：物联网终端安全管理覆盖全生命周期，包括立项规划、终端研发、入网测评、运行监测和应急响应。 5. **安全需求**：在立项规划阶段，应同步提出终端及预装应用的安全需求，并在技术方案中评估安全风险，确保符合《中国移动智能硬件安全通用评估规范》等相关规范。 6. **安全测评**：集团及省公司采购部门需依据《中国移动智能硬件安全通用评估规范》和《中国移动物联网模组安全通用评估规范》等进行入网安全测评。 7. **运行监测与应急响应**：对内外购终端和用户自购终端分别进行运行监测和应急响应管理，确保安全运行。 通过这些规范，中国移动构建了一个全面的物联网终端安全保障体系，旨在从源头到运行全程保障物联网系统的安全。