■文/孟雪 周千荷（賽迪智庫）

智慧城市建設(shè)正逐漸成為推動經(jīng)濟增長和治理體系現(xiàn)代化的有效抓手，智慧城市的眾多技術(shù)應(yīng)用在抗疫工作中發(fā)揮了重要作用。物聯(lián)網(wǎng)是智慧城市的神經(jīng)末梢，直接影響著智慧城市的運行質(zhì)量，保障物聯(lián)網(wǎng)安全就成為發(fā)展智慧城市的重中之重。面對嚴峻的物聯(lián)網(wǎng)安全形勢，澳大利亞、美國、歐盟相繼出臺物聯(lián)網(wǎng)安全相關(guān)準則及法案，以解決物聯(lián)網(wǎng)行業(yè)安全漏洞頻發(fā)等問題，提高物聯(lián)網(wǎng)安全治理水平，更好地發(fā)揮物聯(lián)網(wǎng)技術(shù)的應(yīng)用效益。

一、歐、美、澳相繼推出物聯(lián)網(wǎng)安全相關(guān)準則法案

歐 盟： 《 物 聯(lián) 網(wǎng) 安 全 準則》。2020年11月9日，歐盟網(wǎng)絡(luò)安全局（ENISA）發(fā)布了《物聯(lián)網(wǎng)安全準則》（以下簡稱《準則》），旨在幫助物聯(lián)網(wǎng)制造商、開發(fā)商、集成商及所有物聯(lián)網(wǎng)供應(yīng)鏈的利益相關(guān)者在構(gòu)建、部署或評估物聯(lián)網(wǎng)技術(shù)時做出最佳決策?！稖蕜t》的目標在于定義與識別有關(guān)物聯(lián)網(wǎng)安全的挑戰(zhàn)、威脅、安全注意事項和成功實踐，以確保物聯(lián)網(wǎng)供應(yīng)鏈不同階段的安全性?！稖蕜t》給出了五點建議：一是各物聯(lián)網(wǎng)實體之間應(yīng)建立更良好的關(guān)系，包括優(yōu)先與提供網(wǎng)絡(luò)安全保證的供應(yīng)商合作、努力提高透明度、開發(fā)創(chuàng)新的信任模型、向客戶提供安全承諾等。二是進一步普及網(wǎng)絡(luò)安全專業(yè)知識，加強對專業(yè)人員的維護和培訓，并提升用戶的物聯(lián)網(wǎng)安全意識。三是通過改善物聯(lián)網(wǎng)設(shè)計標準實現(xiàn)安全性，包括采用安全設(shè)計原則、利用新興技術(shù)進行安全控制和審計、實施遠程更新機制等。四是采取更全面更明確的方法提高安全性，包括建立全面測試計劃、將身份驗證機制集成到電路中、在默認情況下使用出廠設(shè)置等。五是充分利用現(xiàn)有標準和成功實踐，提高供應(yīng)鏈產(chǎn)品的安全性和服務(wù)質(zhì)量。

美國：《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》。2020年9月14日，美國眾議院通過了《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》（以下簡稱《法案》）。鑒于物聯(lián)網(wǎng)設(shè)備的安全性是國家安全需要重點考量的新興網(wǎng)絡(luò)挑戰(zhàn)，該法案的目標就在于將物聯(lián)網(wǎng)設(shè)備引入美國聯(lián)邦政府使用前必須解決網(wǎng)絡(luò)安全問題，以提高聯(lián)邦互聯(lián)網(wǎng)連接設(shè)備的安全性。《法案》要求，聯(lián)邦政府購買的所有與互聯(lián)網(wǎng)連接設(shè)備（包括計算機、移動設(shè)備和其他具有互聯(lián)網(wǎng)連接能力的產(chǎn)品）必須符合美國國家標準與技術(shù)研究院（NIST）發(fā)布的最低安全標準。同時，《法案》還敦促NIST發(fā)布有關(guān)聯(lián)邦機構(gòu)使用物聯(lián)網(wǎng)設(shè)備的標準和指南，并指示行政管理和預算局審查政府購買政策。

澳大利亞：《實踐準則：為消費者保護物聯(lián)網(wǎng)》。2020年9月3日，澳大利亞政府發(fā)布《實踐準則：為消費者保護物聯(lián)網(wǎng)》（以下簡稱《實踐準則》），被視為其提升本國物聯(lián)網(wǎng)設(shè)備安全性的第一步?？紤]到物聯(lián)網(wǎng)設(shè)備安全性的全球化性質(zhì)，《實踐準則》提出的行業(yè)標準與其他國際標準保持一致，并以13項原則為基礎(chǔ)，主要包括：沒有重復的弱口令或默認口令，實施漏洞披露策略，軟件持續(xù)安全更新，憑證的安全存儲，確保實施個人數(shù)據(jù)保護，最小化暴露攻擊面，確保通信安全，確保軟件完整性，使系統(tǒng)具有抗中斷能力，監(jiān)控系統(tǒng)測量數(shù)據(jù)，便于消費者刪除個人數(shù)據(jù)，使得設(shè)備易于安裝和維護以及驗證輸入數(shù)據(jù)。由于對密碼、漏洞披露和安全更新采取行動短期內(nèi)會帶來最大的安全效益，澳大利亞政府建議業(yè)界優(yōu)先考慮前三項原則。

二、歐、美、澳物聯(lián)網(wǎng)安全法案和準則的異同點

一是均從多個方面健全物聯(lián)網(wǎng)設(shè)備安全防護準則。歐盟、美國及澳大利亞都提出了物聯(lián)網(wǎng)設(shè)備的多項安全準則，比如要確保設(shè)備口令復雜程度足夠高、采用多因子身份認證方式、保證身份憑據(jù)的安全存儲，以及及時披露和修復安全漏洞、定期提供安全更新、最小化暴露網(wǎng)絡(luò)攻擊面等，旨在有效提高物聯(lián)網(wǎng)設(shè)備的安全性。

二是均注重加強物聯(lián)網(wǎng)個人隱私保護。歐盟、美國及澳大利亞的法案和準則都將個人隱私保護作為物聯(lián)網(wǎng)安全的重要部分。例如，澳大利亞在《實踐準則》中提出，物聯(lián)網(wǎng)設(shè)備應(yīng)當默認設(shè)置為隱私保護，當處理個人數(shù)據(jù)時，必須提前獲得用戶同意，并支持用戶隨時刪除個人數(shù)據(jù)，撤回隱私許可，以最大程度地保護用戶的個人隱私和敏感數(shù)據(jù)。

三是覆蓋范圍和面向?qū)ο蟛煌０拇罄麃啞秾嵺`準則》面向消費者，有助于提高與物聯(lián)網(wǎng)設(shè)備相關(guān)的安全保障意識，增強消費者對物聯(lián)網(wǎng)技術(shù)的信心，使澳大利亞從推廣中獲益。歐盟《準則》的落腳點是物聯(lián)網(wǎng)供應(yīng)鏈，目標受眾為物聯(lián)網(wǎng)設(shè)備和軟件開發(fā)商、制造商、安全專家、采購團隊等供應(yīng)鏈實體，通過研究和應(yīng)對供應(yīng)鏈在不同階段面臨的不同安全威脅，以達到構(gòu)建安全的物聯(lián)網(wǎng)生態(tài)系統(tǒng)這一目標。美國《法案》主要覆蓋美國聯(lián)邦政府，旨在規(guī)范政府對物聯(lián)網(wǎng)設(shè)備的安全評估，確保政府機構(gòu)購買和使用的物聯(lián)網(wǎng)設(shè)備安全性符合標準。

四是對物聯(lián)網(wǎng)安全的政府監(jiān)管效力不同。作為政府相關(guān)機構(gòu)提出的建議性措施，歐盟的《準則》、澳大利亞的《實踐準則》均不具有強制性。美國的《法案》則具有政府效力，包含多項硬性規(guī)定，比如明確要求美國國家標準與技術(shù)研究院（NIST）須在《法案》頒發(fā)后的90日內(nèi)發(fā)布有關(guān)聯(lián)邦機構(gòu)使用物聯(lián)網(wǎng)設(shè)備的安全標準和指南，以指導行政管理機構(gòu)和預算局開展物聯(lián)網(wǎng)審查監(jiān)管工作；對于不符合安全要求的物聯(lián)網(wǎng)設(shè)備，聯(lián)邦政府和機構(gòu)將不予購買和使用。

三、幾點啟示

物聯(lián)網(wǎng)是新一代信息技術(shù)的高度集成和綜合運用，大量傳統(tǒng)設(shè)備在進行數(shù)字化改造時，幾乎沒有同步配置防護能力，影響了物聯(lián)網(wǎng)的安全性與可靠性。同時，物聯(lián)網(wǎng)終端和應(yīng)用的融合化、多樣化，也給物聯(lián)網(wǎng)業(yè)務(wù)帶來了安全方面的更多不確定性。目前我國物聯(lián)網(wǎng)行業(yè)還存在行業(yè)關(guān)鍵技術(shù)標準缺乏統(tǒng)一規(guī)范、數(shù)據(jù)安全防護能力較為薄弱、信息安全問題突出等問題，必須采取有效措施，提高物聯(lián)網(wǎng)安全治理水平。

一是加快制定我國物聯(lián)網(wǎng)設(shè)備安全標準和防護指南。充分借鑒發(fā)達國家物聯(lián)網(wǎng)安全治理經(jīng)驗，加快推進物聯(lián)網(wǎng)信息安全保護的立法工作，制定我國物聯(lián)網(wǎng)設(shè)備安全標準和防護指南，為相關(guān)部門開展執(zhí)法監(jiān)督工作提供依據(jù)，包括加快制定物聯(lián)網(wǎng)標識和解析、應(yīng)用接口、數(shù)據(jù)格式等基礎(chǔ)共性標準，大力推進智能傳感器、超高頻和微波 RFID 等關(guān)鍵技術(shù)標準的制定。

二是加強物聯(lián)網(wǎng)全生命周期的安全管理。嚴格落實網(wǎng)絡(luò)安全等級保護2.0制度，加強物聯(lián)網(wǎng)全生命周期安全管理，構(gòu)建覆蓋物聯(lián)網(wǎng)系統(tǒng)建設(shè)各環(huán)節(jié)的安全防護體系，實現(xiàn)全業(yè)務(wù)流程的安全防護。例如，加強物聯(lián)網(wǎng)感知層設(shè)備的系統(tǒng)安全防護能力、保障傳輸層各節(jié)點的物理安全，提高對平臺層用戶數(shù)據(jù)安全保護能力，以及應(yīng)用服務(wù)程序抵擋惡意攻擊的水平等。