2023年7月27日发(作者：)

□TELECOMMUNICATIONSNETWORKTECHNOLOGYNo.1INDUSTRYANDPOLICY七七七七七七七七七七七七七七七七七七七七七七国内外物联网安全监管现状及建议七七七七七七七七产业与政策颜丽中国信息通信研究院产业与规划研究所助理工程师摘要：物联网技术在推动产业变革和经济社会发展方面发挥着重要作用，保障其安全性至关重要；2016年年底，美国断网事件敲响了物联网安全的警钟，越来越多的消费者、企业呼吁政府加强监管。本文对国内外政府针对物联网安全出台的相关政策、法规，以及联盟组织制定的物联网安全最佳实践指南情况进行研究梳理，并在此基础上对确保物联网安全提出相关管控建议。关键词：物联网安全；监管政策；最佳实践1物联网安全问题的重要性和严峻性物联网是新一代信息技术的高度集成和综合运攻击导致美国大面积断网；近期，基于Mirai创建的新型僵尸网络“IoT_reaper”被监测发现，扩张速度令人担忧，引发广泛关注。围绕物联网的安全威胁已迅速成为焦点问题。用，对新一轮产业变革和经济社会绿色、智能、可持续发展具有重要意义。供给侧方面，物联网与工业、农业、能源、物流等行业深度融合，推动这些行业的提质增效、转型升级；需求侧方面，物联网与移动互联网融合推动家居、健康、养老、娱乐等民生应用创新，为民众生活带来更多便利；政府管理方面，物联网在公共安全、城市交通、设施管理、管网监测等智慧城市领域的应用提升了城市管理智能化水平，有助于政府公共管理与服务效率的提高。由此可见，物联网已与国家战略性基础行业、经济社会紧密相连，一旦出现安全问题，有可能危及人身、公共、国家安全。因此，保障物联网安全至关重要。然而，物联网感知节点的分散性、数据采集的规模性、设备与软件的脆弱性不可避免地伴生着安全问题，随着相关技术的普及、联网设备数量的增长，以其作为对象或手段的攻击规模将会越来越庞大，攻击速度也会越来越快。据Gartner预测，到2020年，全球联网设备数量将达250亿台，而针对企业的经确认安全性攻击中，25%以上将涉及物联网。2010年11月，“震网”病毒攻击导致伊朗布什尔核电站有毒的放射性物质泄漏；2015年12月，木马网络攻击导致乌克兰局部地区持续3h的电网系统停电；2016年10月，Mirai僵尸网络2物联网安全监管需求被激发AT&T物联网安全调查显示，90%的组织对他们的物联网安全缺乏充分的信心。Gemalto公司调查显示，65%的消费者担心黑客控制他们的物联网设备，60%的消费者担心数据泄露，54%的消费者担心黑客访问个人信息，全球96%的企业和90%的消费者都期待由政府推动物联网安全法规的制定。由此可见，企业和消费者对物联网安全监管有强烈需求。3国外物联网安全监管现状3.1政府针对物联网安全出台相关政策、法规3.1.1美国多措并举提升物联网安全美国是物联网技术的主导和先行者之一，政府采取了多种措施加强物联网安全。特别是2016年10月美国断网事件以后，无论是联邦政府还是国会，都开始积极探讨和研究如何应对物联网面临的安全冲击，物联网安全问题俨然已上升到国土安全高度，成为举国重点关注领域。（1）联邦政府通过立法、行政令等对物联网安全提出要求·74·Copyright©博看网 . All Rights Reserved.产业与政策《电信网技术》2018年1月第1期2016年11月15日，美国国土安全部（DHS）发布了《保障物联网安全战略原则（V1.0）》，为利益相关者提供了一套非约束性原则和最佳实践建议。2016年12月1日，美国网络空间安全促进委员会发布题为《数字经济的安全保护与发展》的报告，强调改善物联网安全的重要性，首次将物联网安全提升为一个举国需要重点关注领域，并给出了具体发展建议。2017年5月11日，特朗普签署13800号总统行政令《加强联邦网络和关键基础设施的网络安全》，内容之一就是要求采取行动增强美国应对僵尸网络及其他自动化和分布式威胁的能力。2017年8月1日，美国国会议员提交了《2017物联网网络安全改进法案》，希望通过设定联邦政府采购物联网设备安全标准，来改善美政府所面临的物联网安全问题。（2）行业主管部门出台文件规范特定应用领域物联网安全针对物联网特定领域应用，美国相关行业主管部门陆续出台技术指南或行动建议，明确这些领域物联网安全要求。美国国家标准与技术研究院（NIST）2014年发布了《提升关键基础设施网络安全的框架（V1.0）》，该框架包括了一系列与标准、方法、程序和过程相匹配的解决网络风险的政策、业务和技术方法。联邦通信委员会（FCC）2015年发布了消费类物联网设备的网络安全要求。美国食品与药品监督管理局（FDA）分别于2014年、2016年发布了《医疗器械上市前需提交的网络安全管理内容指南》、《上市后医疗器械的网络安全管理指南》，督促医疗设备厂商关注联网设备安全问题。美国高速公路安全管理局（NHTSA）2016年发布了《现代汽车网络安全最佳实践》，明确具有联网功能车辆的安全保障要求。3.1.2欧盟拟制定更严规范解决物联网安全问题欧盟委员会在美国断网事件发生后的第四天，宣布将制定新物联网设备安全规范，该规范将是欧盟电信法改革计划的一部分，旨在通过更严厉的监管规范解决安全问题。3.2联盟组织制定物联网安全最佳实践指南如表1所示，除相关行业的主管部门外，全球移动通信系统协会（GSMA）、开放式Web应用程序安全项目（OWASP）、国际云安全联盟（CSA）、物联网安全基金会（IoTSF）、美国在线信任联盟（OTA）、美国工业互联网联盟（IIC）、美国农业局联盟（AFBF）等联盟组织也制定发布了物联网安全相关指引，内容反映业界最佳实践和观点，提供务实建议，推动物联网产业参与主体践行物联网安全最佳实践，缓解安全漏洞，降低安全风险。表1联盟组织制定的物联网安全最佳实践指南4我国物联网安全监管现状我国在把物联网提升到国家战略性新兴产业高度的同时，也对物联网安全提出要求。不论是政府已出台的产业发展规划、指导意见，还是网安法以及相关应用领域的管理文件，均将物联网安全考虑在内，物联网安全相关标准也在积极制定中。4.1政府要求物联网产业发展坚持“安全可控”原则国务院2016年11月印发的《“十三五”国家战略性新兴产业发展规划》、工业和信息化部2017年印发的《信息通信行业发展规划物联网分册（2016—2020年）》、《关于全面推进移动物联网（NBIoT）建设发展的通知》以及国务院常务会2017年10月审议通过的《深化“互联网+先进制造业”发展工业互联网的指导意见》，都明确提出安全是发展的前提和保障，要求建立健全相关安全保障体系，确保物联网、工业互联网安全可控。4.2网安法及其配套文件对物联网安全管控工作提出要求·75·Copyright©博看网 . All Rights Reserved.□TELECOMMUNICATIONSNETWORKTECHNOLOGYNo.1INDUSTRYANDPOLICY《中华人民共和国网络安全法》（简称网安法）已于2017年6月1日起施行，对于网络产品和服务、网络关键设备和网络安全专用产品、网络安全事件应急响应与处置、网络安全认证、检测、风险评估等方面都作出了明确规定。与网安法配套的《关键信息基础设施安全保护条例（征求意见稿）》已发布、《网络安全等级保护条例》仍在制定中，网络安全等级保护标准体系文稿目前已进入送审稿阶段。物联网作为等级保护对象之一，在网络安全等级保护标准体系文稿中也有涉及，具体体现在“物联网安全扩展要求、物联网安全扩展测评要求、对物联网系统的扩展设计要求”等部分内容。4.3物联网安全相关标准正在积极制定中全国信息安全标准化技术委员会正积极推进物联网安全技术要求相关国家标准的制定，《物联网感知设备安全技术要求》、《物联网感知层网关安全技术要求》、《物联网数据传输安全技术要求》、《物联网安全参考模型及通用要求》、《物联网感知层接入信息网络的安全技术要求》等标准已进入送审稿阶段。针对医疗、汽车等物联网领域应用，国家食品药品监管总局2017年1月发布了《医疗器械网络安全注册技术审查指导原则》，关注医疗器械网络安全；工业和信息化部、国家标准化管理委员会会同有关单位组织开展了《国家车联网产业标准体系建设指南》系列文件编制工作，车联网产业网络与数据安全标准是整个体系建设的其中一块，相关内容已对外公开征求意见。攻击越来越多，企业应该变“被动防护”为“主动防御”，提升实时监测、分析、应对安全威胁的能力。譬如，美国NIST发布的《提升关键基础设施网络安全的框架》框架核心由5个并发的和连续的功能组成——识别、保护、检测、响应、恢复，这些功能从一个组织网络安全风险管理的整个生命周期角度，提出了一个高层次、战略性的观点。（3）加强供应链风险管理。除依靠各相关主体自觉遵循物联网安全最佳实践外，企业也应组织利益相关者沟通物联网安全要求，通过签订协议明确相关责任界面，并加强验证、评估，确定是否满足物联网安全要求。例如，美国NIST发布的《提升关键基础设施网络安全的框架》便将“网络供应链风险管理”内容贯穿在整个框架当中，识别、评估和缓解可能包含潜在恶意功能的产品和服务，或者由于网络供应链中不良的制造和开发实践造成的脆弱性。（4）加强对物联网设备的安全认证。企业应与第三方机构合作，开展对物联网产品的测评及可信认证工作，协助企业提升对物联网产品性能的专业化确认能力，强化民众对物联网产品的信心。例如，美国国会议员提交的《2017物联网网络安全改进法案》要求联网设备供应商提供相关书面认证，证明其交付的设备满足相关网络安全要求。（5）加强物联网漏洞信息的披露和处置。政府或行业应建立漏洞信息共享和分析平台，要求开发商、生产商、服务商等相关方共享重要的安全威胁和应对措施，上报解决网络安全漏洞问题的补丁和更新信息，同时鼓励社会力量发现、披露漏洞隐患，漏洞信息共享和分析平台应及时提醒并督促漏洞所属单位修补漏洞、防范风险。美国DHS《保障物联网安全战略原则（V1.0）》、FDA《售后医疗设备网络安全管理指南》均提出了此方面的建议。（收稿日期：2017-12-16）5物联网安全管控建议基于对国内外物联网安全相关政策、法规、指南等的梳理，对确保物联网安全提出以下管控建议：（1）各方合作，共同构建物联网可信生态系统。物联网产业链条长，可信生态系统的构建需要产业链上下游各相关方共同参与，且从设计环节开始就将安全性考虑进来。例如，美国DHS、GSMA、OWASP均是面向各相关主体制定发布相关原则、指南，关注整个生态系统的安全。各方应就物联网安全问题达成共识，共同遵循相关的物联网安全最佳实践做法或建议，保障最基本的物联网安全措施部署。（2）从整个生命周期角度加强物联网网络安全风险管理。随着物联网技术的普及，黑客针对物联网的·76·Copyright©博看网 . All Rights Reserved.