智慧城市建設(shè)正逐漸成為推動經(jīng)濟增長和治理體系現(xiàn)代化的有效抓手，智慧城市的眾多技術(shù)應(yīng)用在抗疫工作中發(fā)揮了重要作用。物聯(lián)網(wǎng)是智慧城市的神經(jīng)末梢，直接影響著智慧城市的運行質(zhì)量，保障物聯(lián)網(wǎng)安全就成為發(fā)展智慧城市的重中之重。面對嚴(yán)峻的物聯(lián)網(wǎng)安全形勢，澳大利亞、美國、歐盟相繼出臺物聯(lián)網(wǎng)安全相關(guān)準(zhǔn)則及法案，以解決物聯(lián)網(wǎng)行業(yè)安全漏洞頻發(fā)等問題，提高物聯(lián)網(wǎng)安全治理水平，更好地發(fā)揮物聯(lián)網(wǎng)技術(shù)的應(yīng)用效益。

　　歐、美、澳相繼推出物聯(lián)網(wǎng)安全相關(guān)準(zhǔn)則法案

　　歐盟網(wǎng)絡(luò)安全局發(fā)布《物聯(lián)網(wǎng)安全準(zhǔn)則》。2020 年11 月9 日，歐盟網(wǎng)絡(luò)安全局（ENISA）發(fā)布了《物聯(lián)網(wǎng)安全準(zhǔn)則》（以下簡稱《準(zhǔn)則》），旨在幫助物聯(lián)網(wǎng)制造商、開發(fā)商、集成商及所有物聯(lián)網(wǎng)供應(yīng)鏈的利益相關(guān)者在構(gòu)建、部署或評估物聯(lián)網(wǎng)技術(shù)時做出最佳決策?！稖?zhǔn)則》的目標(biāo)在于定義與識別有關(guān)物聯(lián)網(wǎng)安全的挑戰(zhàn)、威脅、安全注意事項和成功實踐，以確保物聯(lián)網(wǎng)供應(yīng)鏈不同階段的安全性?！稖?zhǔn)則》給出了五點建議：一是各物聯(lián)網(wǎng)實體之間應(yīng)建立更良好的關(guān)系，包括優(yōu)先與提供網(wǎng)絡(luò)安全保證的供應(yīng)商合作、努力提高透明度、開發(fā)創(chuàng)新的信任模型、向客戶提供安全承諾等。二是進(jìn)一步普及網(wǎng)絡(luò)安全專業(yè)知識，加強對專業(yè)人員的維護(hù)和培訓(xùn)，并提升用戶的物聯(lián)網(wǎng)安全意識。三是通過改善物聯(lián)網(wǎng)設(shè)計標(biāo)準(zhǔn)實現(xiàn)安全性，包括采用安全設(shè)計原則、利用新興技術(shù)進(jìn)行安全控制和審計、實施遠(yuǎn)程更新機制等。四是采取更全面更明確的方法提高安全性，包括建立全面測試計劃、將身份驗證機制集成到電路中、在默認(rèn)情況下使用出廠設(shè)置等。五是充分利用現(xiàn)有標(biāo)準(zhǔn)和成功實踐，提高供應(yīng)鏈產(chǎn)品的安全性和服務(wù)質(zhì)量。

　　美國眾議院通過《2020 年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》。2020 年9 月14 日，美國眾議院通過了《2020 年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》（以下簡稱《法案》）。鑒于物聯(lián)網(wǎng)設(shè)備的安全性是國家安全需要重點考量的新興網(wǎng)絡(luò)挑戰(zhàn)，該法案的目標(biāo)就在于將物聯(lián)網(wǎng)設(shè)備引入美國聯(lián)邦政府使用前必須解決網(wǎng)絡(luò)安全問題，以提高聯(lián)邦互聯(lián)網(wǎng)連接設(shè)備的安全性。《法案》要求，聯(lián)邦政府購買的所有與互聯(lián)網(wǎng)連接設(shè)備（包括計算機、移動設(shè)備和其他具有互聯(lián)網(wǎng)連接能力的產(chǎn)品）必須符合美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的最低安全標(biāo)準(zhǔn)。同時，《法案》還敦促NIST 發(fā)布有關(guān)聯(lián)邦機構(gòu)使用物聯(lián)網(wǎng)設(shè)備的標(biāo)準(zhǔn)和指南，并指示行政管理和預(yù)算局審查政府購買政策。

　　澳大利亞政府發(fā)布《實踐準(zhǔn)則：為消費者保護(hù)物聯(lián)網(wǎng)》。2020 年9 月3 日，澳大利亞政府發(fā)布《實踐準(zhǔn)則：為消費者保護(hù)物聯(lián)網(wǎng)》（以下簡稱《實踐準(zhǔn)則》），被視為其提升本國物聯(lián)網(wǎng)設(shè)備安全性的第一步。考慮到物聯(lián)網(wǎng)設(shè)備安全性的全球化性質(zhì)，《實踐準(zhǔn)則》提出的行業(yè)標(biāo)準(zhǔn)與其他國際標(biāo)準(zhǔn)保持一致，并以 13 項原則為基礎(chǔ)，主要包括：沒有重復(fù)的弱口令或默認(rèn)口令，實施漏洞披露策略，軟件持續(xù)安全更新，憑證的安全存儲，確保實施個人數(shù)據(jù)保護(hù)，最小化暴露攻擊面，確保通信安全，確保軟件完整性，使系統(tǒng)具有抗中斷能力，監(jiān)控系統(tǒng)測量數(shù)據(jù)，便于消費者刪除個人數(shù)據(jù)，使得設(shè)備易于安裝和維護(hù)以及驗證輸入數(shù)據(jù)。由于對密碼、漏洞披露和安全更新采取行動短期內(nèi)會帶來最大的安全效益，澳大利亞政府建議業(yè)界優(yōu)先考慮前三項原則。

　　歐、美、澳物聯(lián)網(wǎng)安全法案和準(zhǔn)則的異同點

　　均從多個方面健全物聯(lián)網(wǎng)設(shè)備安全防護(hù)準(zhǔn)則。歐盟、美國及澳大利亞都提出了物聯(lián)網(wǎng)設(shè)備的多項安全準(zhǔn)則，比如要確保設(shè)備口令復(fù)雜程度足夠高、采用多因子身份認(rèn)證方式、保證身份憑據(jù)的安全存儲，以及及時披露和修復(fù)安全漏洞、定期提供安全更新、最小化暴露網(wǎng)絡(luò)攻擊面等，旨在有效提高物聯(lián)網(wǎng)設(shè)備的安全性。

　　均注重加強物聯(lián)網(wǎng)個人隱私保護(hù)。歐盟、美國及澳大利亞的法案和準(zhǔn)則都將個人隱私保護(hù)作為物聯(lián)網(wǎng)安全的重要部分。例如，澳大利亞在《實踐準(zhǔn)則》中提出，物聯(lián)網(wǎng)設(shè)備應(yīng)當(dāng)默認(rèn)設(shè)置為隱私保護(hù)，當(dāng)處理個人數(shù)據(jù)時，必須提前獲得用戶同意，并支持用戶隨時刪除個人數(shù)據(jù)，撤回隱私許可，以最大程度地保護(hù)用戶的個人隱私和敏感數(shù)據(jù)。

　　覆蓋范圍和面向?qū)ο蟛煌?。澳大利亞《實踐準(zhǔn)則》面向消費者，有助于提高與物聯(lián)網(wǎng)設(shè)備相關(guān)的安全保障意識，增強消費者對物聯(lián)網(wǎng)技術(shù)的信心，使澳大利亞從推廣中獲益。歐盟《準(zhǔn)則》的落腳點是物聯(lián)網(wǎng)供應(yīng)鏈，目標(biāo)受眾為物聯(lián)網(wǎng)設(shè)備和軟件開發(fā)商、制造商、安全專家、采購團(tuán)隊等供應(yīng)鏈實體，通過研究和應(yīng)對供應(yīng)鏈在不同階段面臨的不同安全威脅，以達(dá)到構(gòu)建安全的物聯(lián)網(wǎng)生態(tài)系統(tǒng)這一目標(biāo)。美國《法案》主要覆蓋美國聯(lián)邦政府，旨在規(guī)范政府對物聯(lián)網(wǎng)設(shè)備的安全評估，確保政府機構(gòu)購買和使用的物聯(lián)網(wǎng)設(shè)備安全性符合標(biāo)準(zhǔn)。

　　對物聯(lián)網(wǎng)安全的政府監(jiān)管效力不同。作為政府相關(guān)機構(gòu)提出的建議性措施，歐盟的《準(zhǔn)則》、澳大利亞的《實踐準(zhǔn)則》均不具有強制性。美國的《法案》則具有政府效力，包含多項硬性規(guī)定，比如明確要求美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）須在《法案》頒發(fā)后的90 日內(nèi)發(fā)布有關(guān)聯(lián)邦機構(gòu)使用物聯(lián)網(wǎng)設(shè)備的安全標(biāo)準(zhǔn)和指南，以指導(dǎo)行政管理機構(gòu)和預(yù)算局開展物聯(lián)網(wǎng)審查監(jiān)管工作；對于不符合安全要求的物聯(lián)網(wǎng)設(shè)備，聯(lián)邦政府和機構(gòu)將不予購買和使用。

　　幾點啟示

　　物聯(lián)網(wǎng)是新一代信息技術(shù)的高度集成和綜合運用，大量傳統(tǒng)設(shè)備在進(jìn)行數(shù)字化改造時，幾乎沒有同步配置防護(hù)能力，影響了物聯(lián)網(wǎng)的安全性與可靠性。同時，物聯(lián)網(wǎng)終端和應(yīng)用的融合化、多樣化，也給物聯(lián)網(wǎng)業(yè)務(wù)帶來了安全方面的更多不確定性。目前我國物聯(lián)網(wǎng)行業(yè)還存在行業(yè)關(guān)鍵技術(shù)標(biāo)準(zhǔn)缺乏統(tǒng)一規(guī)范、數(shù)據(jù)安全防護(hù)能力較為薄弱、信息安全問題突出等，必須采取有效措施，提高物聯(lián)網(wǎng)安全治理水平。

　　加快制定我國物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn)和防護(hù)指南。充分借鑒發(fā)達(dá)國家物聯(lián)網(wǎng)安全治理經(jīng)驗，加快推進(jìn)物聯(lián)網(wǎng)信息安全保護(hù)的立法工作，制定我國物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn)和防護(hù)指南，為相關(guān)部門開展執(zhí)法監(jiān)督工作提供依據(jù)，包括加快制定物聯(lián)網(wǎng)標(biāo)識和解析、應(yīng)用接口、數(shù)據(jù)格式等基礎(chǔ)共性標(biāo)準(zhǔn)，大力推進(jìn)智能傳感器、超高頻和微波RFID 等關(guān)鍵技術(shù)標(biāo)準(zhǔn)的制定。

　　加強物聯(lián)網(wǎng)全生命周期的安全管理。嚴(yán)格落實網(wǎng)絡(luò)安全等級保護(hù)2.0 制度，加強物聯(lián)網(wǎng)全生命周期安全管理，構(gòu)建覆蓋物聯(lián)網(wǎng)系統(tǒng)建設(shè)各環(huán)節(jié)的安全防護(hù)體系，實現(xiàn)全業(yè)務(wù)流程的安全防護(hù)。例如，加強物聯(lián)網(wǎng)感知層設(shè)備的系統(tǒng)安全防護(hù)能力、保障傳輸層各節(jié)點的物理安全，提高對平臺層用戶數(shù)據(jù)安全保護(hù)能力，以及應(yīng)用服務(wù)程序抵擋惡意攻擊的水平等。

　　加強物聯(lián)網(wǎng)產(chǎn)業(yè)鏈的共享協(xié)作。物聯(lián)網(wǎng)產(chǎn)業(yè)鏈上下游涉及眾多主體和技術(shù)，通過整合物聯(lián)網(wǎng)整個產(chǎn)業(yè)體系的資源激發(fā)產(chǎn)業(yè)鏈上下游發(fā)展活力，充分發(fā)揮各自優(yōu)勢，整合信息、技術(shù)、市場等資源，強化產(chǎn)業(yè)、學(xué)校、科研機構(gòu)的相互配合，建立聯(lián)合工作機制，充分發(fā)揮產(chǎn)業(yè)力量，合力推進(jìn)關(guān)鍵技術(shù)標(biāo)準(zhǔn)化，統(tǒng)籌跨領(lǐng)域的標(biāo)準(zhǔn)制定和互通，以共同加強物聯(lián)網(wǎng)安全防護(hù)能力。

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……