孟雪 周千荷

智慧城市建設(shè)正逐漸成為推動(dòng)經(jīng)濟(jì)增長和治理體系現(xiàn)代化的有效抓手，智慧城市的眾多技術(shù)應(yīng)用在抗疫工作中發(fā)揮了重要作用。物聯(lián)網(wǎng)是智慧城市的神經(jīng)末梢，直接影響著智慧城市的運(yùn)行質(zhì)量，保障物聯(lián)網(wǎng)安全就成為發(fā)展智慧城市的重中之重。面對(duì)嚴(yán)峻的物聯(lián)網(wǎng)安全形勢，澳大利亞、美國、歐盟相繼出臺(tái)物聯(lián)網(wǎng)安全相關(guān)準(zhǔn)則及法案，以解決物聯(lián)網(wǎng)行業(yè)安全漏洞頻發(fā)等問題，提高物聯(lián)網(wǎng)安全治理水平，更好地發(fā)揮物聯(lián)網(wǎng)技術(shù)的應(yīng)用效益。

歐、美、澳相繼推出物聯(lián)網(wǎng)

安全相關(guān)準(zhǔn)則法案

歐盟網(wǎng)絡(luò)安全局發(fā)布《物聯(lián)網(wǎng)安全準(zhǔn)則》。2020 年 11 月 9 日，歐盟網(wǎng)絡(luò)安全局（ENISA）發(fā)布了《物聯(lián)網(wǎng)安全準(zhǔn)則》（以下簡稱《準(zhǔn)則》），旨在幫助物聯(lián)網(wǎng)制造商、開發(fā)商、集成商及所有物聯(lián)網(wǎng)供應(yīng)鏈的利益相關(guān)者在構(gòu)建、部署或評(píng)估物聯(lián)網(wǎng)技術(shù)時(shí)做出最佳決策。《準(zhǔn)則》的目標(biāo)在于定義與識(shí)別有關(guān)物聯(lián)網(wǎng)安全的挑戰(zhàn)、威脅、安全注意事項(xiàng)和成功實(shí)踐，以確保物聯(lián)網(wǎng)供應(yīng)鏈不同階段的安全性?！稖?zhǔn)則》給出了五點(diǎn)建議：一是各物聯(lián)網(wǎng)實(shí)體之間應(yīng)建立更良好的關(guān)系，包括優(yōu)先與提供網(wǎng)絡(luò)安全保證的供應(yīng)商合作、努力提高透明度、開發(fā)創(chuàng)新的信任模型、向客戶提供安全承諾等。二是進(jìn)一步普及網(wǎng)絡(luò)安全專業(yè)知識(shí)，加強(qiáng)對(duì)專業(yè)人員的維護(hù)和培訓(xùn)，并提升用戶的物聯(lián)網(wǎng)安全意識(shí)。三是通過改善物聯(lián)網(wǎng)設(shè)計(jì)標(biāo)準(zhǔn)實(shí)現(xiàn)安全性，包括采用安全設(shè)計(jì)原則、利用新興技術(shù)進(jìn)行安全控制和審計(jì)、實(shí)施遠(yuǎn)程更新機(jī)制等。四是采取更全面更明確的方法提高安全性，包括建立全面測試計(jì)劃、將身份驗(yàn)證機(jī)制集成到電路中、在默認(rèn)情況下使用出廠設(shè)置等。五是充分利用現(xiàn)有標(biāo)準(zhǔn)和成功實(shí)踐，提高供應(yīng)鏈產(chǎn)品的安全性和服務(wù)質(zhì)量。

美國眾議院通過《2020 年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》。2020年 9 月 14 日，美國眾議院通過了《2020 年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》（以下簡稱《法案》）。鑒于物聯(lián)網(wǎng)設(shè)備的安全性是國家安全需要重點(diǎn)考量的新興網(wǎng)絡(luò)挑戰(zhàn)，該法案的目標(biāo)就在于將物聯(lián)網(wǎng)設(shè)備引入美國聯(lián)邦政府使用前必須解決網(wǎng)絡(luò)安全問題，以提高聯(lián)邦互聯(lián)網(wǎng)連接設(shè)備的安全性?！斗ò浮芬螅?lián)邦政府購買的所有與互聯(lián)網(wǎng)連接設(shè)備（包括計(jì)算機(jī)、移動(dòng)設(shè)備和其他具有互聯(lián)網(wǎng)連接能力的產(chǎn)品）必須符合美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的最低安全標(biāo)準(zhǔn)。同時(shí)，《法案》還敦促 NIST發(fā)布有關(guān)聯(lián)邦機(jī)構(gòu)使用物聯(lián)網(wǎng)設(shè)備的標(biāo)準(zhǔn)和指南，并指示行政管理和預(yù)算局審查政府購買政策。

澳大利亞政府發(fā)布《實(shí)踐準(zhǔn)則：為消費(fèi)者保護(hù)物聯(lián)網(wǎng)》。2020年 9 月 3 日，澳大利亞政府發(fā)布《實(shí)踐準(zhǔn)則：為消費(fèi)者保護(hù)物聯(lián)網(wǎng)》（以下簡稱《實(shí)踐準(zhǔn)則》），被視為其提升本國物聯(lián)網(wǎng)設(shè)備安全性的第一步?？紤]到物聯(lián)網(wǎng)設(shè)備安全性的全球化性質(zhì)，《實(shí)踐準(zhǔn)則》提出的行業(yè)標(biāo)準(zhǔn)與其他國際標(biāo)準(zhǔn)保持一致，并以 13 項(xiàng)原則為基礎(chǔ)，主要包括：沒有重復(fù)的弱口令或默認(rèn)口令，實(shí)施漏洞披露策略，軟件持續(xù)安全更新，憑證的安全存儲(chǔ)，確保實(shí)施個(gè)人數(shù)據(jù)保護(hù)，最小化暴露攻擊面，確保通信安全，確保軟件完整性，使系統(tǒng)具有抗中斷能力，監(jiān)控系統(tǒng)測量數(shù)據(jù)，便于消費(fèi)者刪除個(gè)人數(shù)據(jù)，使得設(shè)備易于安裝和維護(hù)以及驗(yàn)證輸入數(shù)據(jù)。由于對(duì)密碼、漏洞披露和安全更新采取行動(dòng)短期內(nèi)會(huì)帶來最大的安全效益，澳大利亞政府建議業(yè)界優(yōu)先考慮前三項(xiàng)原則。

歐、美、澳物聯(lián)網(wǎng)安全法案和準(zhǔn)則的異同點(diǎn)

均從多個(gè)方面健全物聯(lián)網(wǎng)設(shè)備安全防護(hù)準(zhǔn)則。歐盟、美國及澳大利亞都提出了物聯(lián)網(wǎng)設(shè)備的多項(xiàng)安全準(zhǔn)則，比如要確保設(shè)備口令復(fù)雜程度足夠高、采用多因子身份認(rèn)證方式、保證身份憑據(jù)的安全存儲(chǔ)，以及及時(shí)披露和修復(fù)安全漏洞、定期提供安全更新、最小化暴露網(wǎng)絡(luò)攻擊面等，旨在有效提高物聯(lián)網(wǎng)設(shè)備的安全性。

均注重加強(qiáng)物聯(lián)網(wǎng)個(gè)人隱私保護(hù)。歐盟、美國及澳大利亞的法案和準(zhǔn)則都將個(gè)人隱私保護(hù)作為物聯(lián)網(wǎng)安全的重要部分。例如，澳大利亞在《實(shí)踐準(zhǔn)則》中提出，物聯(lián)網(wǎng)設(shè)備應(yīng)當(dāng)默認(rèn)設(shè)置為隱私保護(hù)，當(dāng)處理個(gè)人數(shù)據(jù)時(shí)，必須提前獲得用戶同意，并支持用戶隨時(shí)刪除個(gè)人數(shù)據(jù)，撤回隱私許可，以最大程度地保護(hù)用戶的個(gè)人隱私和敏感數(shù)據(jù)。

覆蓋范圍和面向?qū)ο蟛煌０拇罄麃啞秾?shí)踐準(zhǔn)則》面向消費(fèi)者，有助于提高與物聯(lián)網(wǎng)設(shè)備相關(guān)的安全保障意識(shí)，增強(qiáng)消費(fèi)者對(duì)物聯(lián)網(wǎng)技術(shù)的信心，使澳大利亞從推廣中獲益。歐盟《準(zhǔn)則》的落腳點(diǎn)是物聯(lián)網(wǎng)供應(yīng)鏈，目標(biāo)受眾為物聯(lián)網(wǎng)設(shè)備和軟件開發(fā)商、制造商、安全專家、采購團(tuán)隊(duì)等供應(yīng)鏈實(shí)體，通過研究和應(yīng)對(duì)供應(yīng)鏈在不同階段面臨的不同安全威脅，以達(dá)到構(gòu)建安全的物聯(lián)網(wǎng)生態(tài)系統(tǒng)這一目標(biāo)。美國《法案》主要覆蓋美國聯(lián)邦政府，旨在規(guī)范政府對(duì)物聯(lián)網(wǎng)設(shè)備的安全評(píng)估，確保政府機(jī)構(gòu)購買和使用的物聯(lián)網(wǎng)設(shè)備安全性符合標(biāo)準(zhǔn)。

對(duì)物聯(lián)網(wǎng)安全的政府監(jiān)管效力不同。作為政府相關(guān)機(jī)構(gòu)提出的建議性措施，歐盟的《準(zhǔn)則》、澳大利亞的《實(shí)踐準(zhǔn)則》均不具有強(qiáng)制性。美國的《法案》則具有政府效力，包含多項(xiàng)硬性規(guī)定，比如明確要求美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）須在《法案》頒發(fā)后的 90 日內(nèi)發(fā)布有關(guān)聯(lián)邦機(jī)構(gòu)使用物聯(lián)網(wǎng)設(shè)備的安全標(biāo)準(zhǔn)和指南，以指導(dǎo)行政管理機(jī)構(gòu)和預(yù)算局開展物聯(lián)網(wǎng)審查監(jiān)管工作;對(duì)于不符合安全要求的物聯(lián)網(wǎng)設(shè)備，聯(lián)邦政府和機(jī)構(gòu)將不予購買和使用。

幾點(diǎn)啟示

物聯(lián)網(wǎng)是新一代信息技術(shù)的高度集成和綜合運(yùn)用，大量傳統(tǒng)設(shè)備在進(jìn)行數(shù)字化改造時(shí)，幾乎沒有同步配置防護(hù)能力，影響了物聯(lián)網(wǎng)的安全性與可靠性。同時(shí)，物聯(lián)網(wǎng)終端和應(yīng)用的融合化、多樣化，也給物聯(lián)網(wǎng)業(yè)務(wù)帶來了安全方面的更多不確定性。目前我國物聯(lián)網(wǎng)行業(yè)還存在行業(yè)關(guān)鍵技術(shù)標(biāo)準(zhǔn)缺乏統(tǒng)一規(guī)范、數(shù)據(jù)安全防護(hù)能力較為薄弱、信息安全問題突出等，必須采取有效措施，提高物聯(lián)網(wǎng)安全治理水平。

加快制定我國物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn)和防護(hù)指南。充分借鑒發(fā)達(dá)國家物聯(lián)網(wǎng)安全治理經(jīng)驗(yàn)，加快推進(jìn)物聯(lián)網(wǎng)信息安全保護(hù)的立法工作，制定我國物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn)和防護(hù)指南，為相關(guān)部門開展執(zhí)法監(jiān)督工作提供依據(jù)，包括加快制定物聯(lián)網(wǎng)標(biāo)識(shí)和解析、應(yīng)用接口、數(shù)據(jù)格式等基礎(chǔ)共性標(biāo)準(zhǔn)，大力推進(jìn)智能傳感器、超高頻和微波 RFID 等關(guān)鍵技術(shù)標(biāo)準(zhǔn)的制定。

加強(qiáng)物聯(lián)網(wǎng)全生命周期的安全管理。嚴(yán)格落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù) 2.0 制度，加強(qiáng)物聯(lián)網(wǎng)全生命周期安全管理，構(gòu)建覆蓋物聯(lián)網(wǎng)系統(tǒng)建設(shè)各環(huán)節(jié)的安全防護(hù)體系，實(shí)現(xiàn)全業(yè)務(wù)流程的安全防護(hù)。例如，加強(qiáng)物聯(lián)網(wǎng)感知層設(shè)備的系統(tǒng)安全防護(hù)能力、保障傳輸層各節(jié)點(diǎn)的物理安全，提高對(duì)平臺(tái)層用戶數(shù)據(jù)安全保護(hù)能力，以及應(yīng)用服務(wù)程序抵擋惡意攻擊的水平等。

加強(qiáng)物聯(lián)網(wǎng)產(chǎn)業(yè)鏈的共享協(xié)作。物聯(lián)網(wǎng)產(chǎn)業(yè)鏈上下游涉及眾多主體和技術(shù)，通過整合物聯(lián)網(wǎng)整個(gè)產(chǎn)業(yè)體系的資源激發(fā)產(chǎn)業(yè)鏈上下游發(fā)展活力，充分發(fā)揮各自優(yōu)勢，整合信息、技術(shù)、市場等資源，強(qiáng)化產(chǎn)業(yè)、學(xué)校、科研機(jī)構(gòu)的相互配合，建立聯(lián)合工作機(jī)制，充分發(fā)揮產(chǎn)業(yè)力量，合力推進(jìn)關(guān)鍵技術(shù)標(biāo)準(zhǔn)化，統(tǒng)籌跨領(lǐng)域的標(biāo)準(zhǔn)制定和互通，以共同加強(qiáng)物聯(lián)網(wǎng)安全防護(hù)能力。