（4）对终端中的用户隐私、敏感信息、配置 文件等重要数据进行加密存储和访问控制。

（5）支持对终端的实时状态监控，支持对状态异常的终端进行屏蔽入网/远程锁闭/远程数据擦除等紧急防护处置。

（6）为终端提供远程升级服务，支持远程升级包推送、强制升级等功能，及时修补终端的安全漏洞。

（7）实现终端系统准入制度，制定终端安全标准，对入网终端进行测试和评估，限制未通过测评的终端接入系统。

2.2网络层

NB-IoT网络具有终端海量接入、开放性等特 点，需要从以下几方面来进行网络层的安全防护。

（1）支持终端入网身份认证，实现终端与网络之间的双向身份认证功能，限制非法终端接入网络。采用轻量级密码算法设计轻量级、高效、大连 接的双向网络接入认证机制。

（2）对高安全用户提供终端与业务平台之间端到端的加密通信保护，保证信息传输的机密性、完整性和不可否认。

（3）在NB-IoT核心网和接入网之间、核心网与业务平台之间建立网络访问控制、异常流量检测/ 流量清洗、入侵检测与防御等边界安全防护机制。

（4 ）在 NB-IoT 网络层构建防 DDOS（ Distributed Denial of Service,分布式拒绝服务）攻击、防篡改、防入侵、防病毒等基础网络安全防护能力，在网络层可防御信令欺骗、重放攻击、中间人攻击等。

2.3应用层

NB-IoT物联网系统的应用层需要在采取以下 的安全防护：

（1）业务平台的基础防护能力

1）物联网业务平台需要实现身份认证、访问控制、安全审计、安全监测等安全功能，保证业务平台自身的安全运行。

2）在物联网业务平台与核心网之间、业务平台与用户信息系统之间进行边界安全防护；实现业务平台与用户信息系统之间信息的受控交换。

3）物联网业务平台提供数据存储保护、数据传输保护以及数据的访问控制，保证业务平台数据的机密性、完整性和可用性。

（2）业务平台的业务安全和管理安全能力

1）访问控制与分级管理。

由于业务平台支持多种终端的接入和多类业务的处理，因此需要实现业务的分区分级保护。可按照用户对业务平台进行分区管控，严格限制不同分区之间的非法访问、信息获取。按照业务对物联网业务平台进行分级管控, 根据业务级别实现业务的资源配置和访问控制。

2)态势感知与威胁防护。

物联网业务平台可实现对全网的安全态势感知，对所有终端和网元进 行实时状态监控，禁止非法终端、“带病”网元接 入系统。物联网业务平台可实现对业务行为的监控和威胁防范，支持对业务数据的协议分析，可识别基于应用协议的安全攻击,过滤/限制非法业务访问。业务平台能够对收集到系统业务数据进行大数据分析，对系统进行威胁识别、风险预警和应急处置。