三大因素催生安全“重灾区”
多方面的因素导致了物联网已经逐步成为网络信息安全的“重灾区”,其中既有物联网技术本身特点逐步累积形成的特性,也有新兴行业在高速发展过程中存在的通病。
一是产业结构复杂。物联网在发展过程中逐渐形成了较为完整的生态体系,但在三层架构的基础上涉及了众多产业链环节,导致参与角色众多、结构复杂。从终端层的硬件芯片、传感器、无线模组,到网络层各通信运营商,再到平台应用层的软件开发、系统集成、平台服务,其中各个环节都在整个产业链中不可或缺。这就需要各个环节紧密配合、统一认识才能确保不出现大的安全问题。
二是安全意识淡薄。据Gartner发布的数据显示,到2020年,全球物联网市场规模将达1.9万亿美元。而在产业高速发展、规模急剧扩张的背后,是物联网厂商安全意识淡薄,安全投入不足的现状。一方面,物联网设备数量庞大、价格低廉,很多厂商为压缩成本对安全投入严重不足。另一方面,多数物联网设备和硬件制造商无法像互联网企业一样重视安全,缺乏安全意识和人才储备。
三是监管政策及标准体系匮乏。2013年国务院在《关于推进物联网有序健康发展的指导意见》中提出:“要加强物联网重大系统和应用的安全测评、风险评估和安全防护工作,保障物联网重大基础设施、重要业务系统和重点领域应用的安全可控。”但目前尚未进入实质性阶段,相关政策法规有待落地。在安全标准体系建设方面,虽然行业内已有多个物联网组织在推进物联网标准体系建设,但由于物联网技术更新快、应用场景丰富,导致物联网标准体系建设步伐滞后于物联网发展,且缺乏完善的安全标准体系和成熟的安全解决方案。
如何加强物联网信息安全
物联网发展已经进入快车道,下一步,我国应在物联网安全政策、标准、应用和人员培训等方面进一步推进,加大安全监管力度,引导和促进整个产业对于安全问题的关注,保障物联网产业持续健康发展。
在监管层面,加强监管落实,推动物联网领域的安全标准制订。建议加强整体行业安全管理,建立安全性合规性检测机制,提高行业准入门槛,约束发展乱象,从安全框架体系、安全测评、风险评估、安全防范、安全处置方案等方面推动标准规范制订和落地。
在产业层面,推动构建物联网全生命周期立体防御体系。在硬件、操作系统、通信技术、云端服务器、数据库等各个模块之间做好统一的安全体系建设,从开发到制造、集成,把安全设计融入物联网产品生命周期的每个步骤,从芯片到硬件、软件、系统,将安全防护作为物联网每个环节必要的配套手段,推动整个产业对安全需求从被动转为主动。
在技术层面,加快物联网安全技术发展及防范技术研究。建议设备厂商、研究机构加大对物联网软硬件、操作系统、通信协议、云平台等方面安全技术的关注力度,研发有效的安全威胁监测发现技术和安全防护技术,团结行业力量打造物联网安全生态。
在宣传层面,普及信息安全知识,提高安全意识。建议企业树立正确的发展观念,同步重视网络信息安全,同时对物联网从业人员进行安全知识普及和技术培训,提高从业人员的安全意识和知识技能。此外,建议提高用户网络信息安全意识,在挑选使用物联网产品的同时注重安全防范。
