欧、美、澳规范物联网安全建设的最新进展及启示

本文作者：赛迪智库网络安全研究所 孟雪 周千荷

智慧城市建设正逐渐成为推动经济增长和治理体系现代化的有效抓手，智慧城市的众多技术应用在抗疫工作中发挥了重要作用。物联网是智慧城市的神经末梢，直接影响着智慧城市的运行质量，保障物联网安全就成为发展智慧城市的重中之重。面对严峻的物联网安全形势，澳大利亚、美国、欧盟相继出台物联网安全相关准则及法案，以解决物联网行业安全漏洞频发等问题，提高物联网安全治理水平，更好地发挥物联网技术的应用效益。

一、欧、美、澳相继推出物联网安全相关准则法案

欧盟网络安全局发布《物联网安全准则》。2020年11月9日，欧盟网络安全局（ENISA）发布了《物联网安全准则》（以下简称《准则》），旨在帮助物联网制造商、开发商、集成商及所有物联网供应链的利益相关者在构建、部署或评估物联网技术时做出最佳决策。《准则》的目标在于定义与识别有关物联网安全的挑战、威胁、安全注意事项和成功实践，以确保物联网供应链不同阶段的安全性。《准则》给出了五点建议：一是各物联网实体之间应建立更良好的关系，包括优先与提供网络安全保证的供应商合作、努力提高透明度、开发创新的信任模型、向客户提供安全承诺等。二是进一步普及网络安全专业知识，加强对专业人员的维护和培训，并提升用户的物联网安全意识。三是通过改善物联网设计标准实现安全性，包括采用安全设计原则、利用新兴技术进行安全控制和审计、实施远程更新机制等。四是采取更全面更明确的方法提高安全性，包括建立全面测试计划、将身份验证机制集成到电路中、在默认情况下使用出厂设置等。五是充分利用现有标准和成功实践，提高供应链产品的安全性和服务质量。

美国众议院通过《2020年物联网网络安全改进法案》。2020年9月14日，美国众议院通过了《2020年物联网网络安全改进法案》（以下简称《法案》）。鉴于物联网设备的安全性是国家安全需要重点考量的新兴网络挑战，该法案的目标就在于将物联网设备引入美国联邦政府使用前必须解决网络安全问题，以提高联邦互联网连接设备的安全性。《法案》要求，联邦政府购买的所有与互联网连接设备（包括计算机、移动设备和其他具有互联网连接能力的产品）必须符合美国国家标准与技术研究院（NIST）发布的最低安全标准。同时，《法案》还敦促NIST发布有关联邦机构使用物联网设备的标准和指南，并指示行政管理和预算局审查政府购买政策。

澳大利亚政府发布《实践准则：为消费者保护物联网》。2020年9月3日，澳大利亚政府发布《实践准则：为消费者保护物联网》（以下简称《实践准则》），被视为其提升本国物联网设备安全性的第一步。考虑到物联网设备安全性的全球化性质，《实践准则》提出的行业标准与其他国际标准保持一致，并以13项原则为基础，主要包括：没有重复的弱口令或默认口令，实施漏洞披露策略，软件持续安全更新，凭证的安全存储，确保实施个人数据保护，最小化暴露攻击面，确保通信安全，确保软件完整性，使系统具有抗中断能力，监控系统测量数据，便于消费者删除个人数据，使得设备易于安装和维护以及验证输入数据。由于对密码、漏洞披露和安全更新采取行动短期内会带来最大的安全效益，澳大利亚政府建议业界优先考虑前三项原则。

二、欧、美、澳物联网安全法案和准则的异同点

均从多个方面健全物联网设备安全防护准则。欧盟、美国及澳大利亚都提出了物联网设备的多项安全准则，比如要确保设备口令复杂程度足够高、采用多因子身份认证方式、保证身份凭据的安全存储，以及及时披露和修复安全漏洞、定期提供安全更新、最小化暴露网络攻击面等，旨在有效提高物联网设备的安全性。

均注重加强物联网个人隐私保护。欧盟、美国及澳大利亚的法案和准则都将个人隐私保护作为物联网安全的重要部分。例如，澳大利亚在《实践准则》中提出，物联网设备应当默认设置为隐私保护，当处理个人数据时，必须提前获得用户同意，并支持用户随时删除个人数据，撤回隐私许可，以最大程度地保护用户的个人隐私和敏感数据。

覆盖范围和面向对象不同。澳大利亚《实践准则》面向消费者，有助于提高与物联网设备相关的安全保障意识，增强消费者对物联网技术的信心，使澳大利亚从推广中获益。欧盟《准则》的落脚点是物联网供应链，目标受众为物联网设备和软件开发商、制造商、安全专家、采购团队等供应链实体，通过研究和应对供应链在不同阶段面临的不同安全威胁，以达到构建安全的物联网生态系统这一目标。美国《法案》主要覆盖美国联邦政府，旨在规范政府对物联网设备的安全评估，确保政府机构购买和使用的物联网设备安全性符合标准。

对物联网安全的政府监管效力不同。作为政府相关机构提出的建议性措施，欧盟的《准则》、澳大利亚的《实践准则》均不具有强制性。美国的《法案》则具有政府效力，包含多项硬性规定，比如明确要求美国国家标准与技术研究院（NIST）须在《法案》颁发后的90日内发布有关联邦机构使用物联网设备的安全标准和指南，以指导行政管理机构和预算局开展物联网审查监管工作；对于不符合安全要求的物联网设备，联邦政府和机构将不予购买和使用。

三、几点启示

物联网是新一代信息技术的高度集成和综合运用，大量传统设备在进行数字化改造时，几乎没有同步配置防护能力，影响了物联网的安全性与可靠性。同时，物联网终端和应用的融合化、多样化，也给物联网业务带来了安全方面的更多不确定性。目前我国物联网行业还存在行业关键技术标准缺乏统一规范、数据安全防护能力较为薄弱、信息安全问题突出等，必须采取有效措施，提高物联网安全治理水平。

加快制定我国物联网设备安全标准和防护指南。充分借鉴发达国家物联网安全治理经验，加快推进物联网信息安全保护的立法工作，制定我国物联网设备安全标准和防护指南，为相关部门开展执法监督工作提供依据，包括加快制定物联网标识和解析、应用接口、数据格式等基础共性标准，大力推进智能传感器、超高频和微波 RFID 等关键技术标准的制定。

加强物联网全生命周期的安全管理。严格落实网络安全等级保护2.0制度，加强物联网全生命周期安全管理，构建覆盖物联网系统建设各环节的安全防护体系，实现全业务流程的安全防护。例如，加强物联网感知层设备的系统安全防护能力、保障传输层各节点的物理安全，提高对平台层用户数据安全保护能力，以及应用服务程序抵挡恶意攻击的水平等。

加强物联网产业链的共享协作。物联网产业链上下游涉及众多主体和技术，通过整合物联网整个产业体系的资源激发产业链上下游发展活力，充分发挥各自优势，整合信息、技术、市场等资源，强化产业、学校、科研机构的相互配合，建立联合工作机制，充分发挥产业力量，合力推进关键技术标准化，统筹跨领域的标准制定和互通，以共同加强物联网安全防护能力。

声明：本文来自赛迪智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。