李 峰，陳 亮，李 凱，王亞玲

（軍事科學(xué)院系統(tǒng)工程研究院 后勤科學(xué)與技術(shù)研究所，北京 100166）

0 引言

物聯(lián)網(wǎng)歷經(jīng)幾十年的發(fā)展，其概念、特征與作用逐步取得全球的共識。2015 年國際電信聯(lián)盟（ITU）把物聯(lián)網(wǎng)定義為“信息社會全球基礎(chǔ)設(shè)施（通過物理和虛擬手段）將基于現(xiàn)有和正在出現(xiàn)的、信息互操作和通信技術(shù)的物質(zhì)相互連接，以提供先進的服務(wù)”[1]。近年來隨著技術(shù)成熟度越來越高，物聯(lián)網(wǎng)已被廣泛應(yīng)用于農(nóng)業(yè)、能源、交通、醫(yī)療、家居、軍事等領(lǐng)域，推動了經(jīng)濟與社會發(fā)展，2021 年度《中國互聯(lián)網(wǎng)發(fā)展報告》指出，物聯(lián)網(wǎng)市場規(guī)模已經(jīng)達到1.7 萬億元[2]。然而，由于物聯(lián)網(wǎng)終端設(shè)備具有空間分布廣、應(yīng)用環(huán)境復(fù)雜、設(shè)備資源薄弱等特點，帶來了安全防護措施不全、安全防護能力薄弱、隱私保護不充分等問題，通常認(rèn)為物聯(lián)網(wǎng)比傳統(tǒng)網(wǎng)絡(luò)面臨更加嚴(yán)重的安全威脅[3]。物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)是保護物聯(lián)網(wǎng)系統(tǒng)減輕安全威脅，實現(xiàn)設(shè)備聯(lián)網(wǎng)入網(wǎng)，進行數(shù)據(jù)采集、傳輸與利用的基礎(chǔ)支撐，是物聯(lián)網(wǎng)標(biāo)準(zhǔn)體系的重要組成。

本文在闡述物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)內(nèi)外關(guān)系的同時，概述了國際國內(nèi)物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化主要組織，并對物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)進行了分類；給出了物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系框架；提出了物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化推進建議；最后對全文進行了總結(jié)。

1 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)及其分類

1.1 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化組織

為加強物聯(lián)網(wǎng)技術(shù)安全研究和應(yīng)用，國際國內(nèi)均成立了相關(guān)標(biāo)準(zhǔn)化組織，國際上有影響力的包括ISO/IEC JTC1/SC27（信息技術(shù)委員會/安全技術(shù)分委員會）、SC41（物聯(lián)網(wǎng)及相關(guān)技術(shù)分委員會）、SC25（信息技術(shù)設(shè)備互聯(lián)分委員會），ITU-T SG17（安全研究組）、SG20/Q6（物聯(lián)網(wǎng)和智慧城市研究組/安全、隱私保護、信任和識別課題組），ETSI（歐洲電信標(biāo)準(zhǔn)化協(xié)會），國內(nèi)則主要有全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）、中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）、車載信息服務(wù)產(chǎn)業(yè)應(yīng)用聯(lián)盟（TIAA）、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）等[4]。

其中，ISO/IEC 下轄相關(guān)物聯(lián)網(wǎng)安全分委員會，主要側(cè)重物聯(lián)網(wǎng)信息安全、智能家居、隱私保護等類別技術(shù)安全標(biāo)準(zhǔn)研究與制定，ITU-T 則更為關(guān)注物聯(lián)網(wǎng)通信安全、智慧城市、信任和識別等相關(guān)物聯(lián)網(wǎng)安全類標(biāo)準(zhǔn)制修訂，ETSI 更多傾向于消費類物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)應(yīng)用。我國則以全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會為物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)主要歸口，其于2018 年12 月28 日發(fā)布的27 項國家標(biāo)準(zhǔn)[5]，涉及物聯(lián)網(wǎng)安全方面的有5 項，分別為：GB/T 37044-2018《信息安全技術(shù) 物聯(lián)網(wǎng)安全參考模型及通用要求》、GB/T 36951-2018《信息安全技術(shù) 物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求》、GB/T 37024-2018《信息安全技術(shù) 物聯(lián)網(wǎng)感知層網(wǎng)關(guān)安全技術(shù)要求》、GB/T 37025-2018《信息安全技術(shù) 物聯(lián)網(wǎng)數(shù)據(jù)傳輸安全技術(shù)要求》、GB/T 37093-2018《信息安全技術(shù) 物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求》，主要是參考了國際上物聯(lián)網(wǎng)3 層架構(gòu)和國內(nèi)物聯(lián)網(wǎng)“六域模型”架構(gòu)[6-7]，明確了物聯(lián)網(wǎng)的安全對象和安全責(zé)任，提出了感知層、物聯(lián)網(wǎng)網(wǎng)關(guān)、接入通信網(wǎng)和數(shù)據(jù)傳輸?shù)确矫娴臉?biāo)準(zhǔn)化要求，總結(jié)了應(yīng)用層和網(wǎng)絡(luò)層使用等級保護相關(guān)標(biāo)準(zhǔn)。

1.2 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的分類

從不同的維度可以把物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)劃分到不同的分類體系中，結(jié)合物聯(lián)網(wǎng)屬性特征，本文從技術(shù)和應(yīng)用兩個維度對物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)進行分類。

1.2.1 技術(shù)視角物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)分類

參考國際通用的物聯(lián)網(wǎng)感知、傳輸與應(yīng)用三層體系架構(gòu)，綜合考慮安全標(biāo)準(zhǔn)體系涉及的基礎(chǔ)術(shù)語與模型和物聯(lián)網(wǎng)技術(shù)應(yīng)用實際，從技術(shù)視角可把物聯(lián)網(wǎng)標(biāo)準(zhǔn)劃分為4 類，分別是基礎(chǔ)通用類、傳感采集類、通信傳輸類、應(yīng)用管理類，如圖1 所示。

圖1 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)分類（技術(shù)視角）

其中，基礎(chǔ)通用類包括術(shù)語、概念、模型、框架等物聯(lián)網(wǎng)安全技術(shù)與應(yīng)用需要統(tǒng)一描述和定義的基礎(chǔ)性內(nèi)容；傳感采集類包括傳感器安全、芯片卡安全、物聯(lián)網(wǎng)終端安全以及集成網(wǎng)關(guān)安全等內(nèi)容；通信傳輸類包括有線無線通信安全、網(wǎng)絡(luò)數(shù)據(jù)安全交換、數(shù)據(jù)傳輸與隱私防護防篡改等內(nèi)容；應(yīng)用管理類包括應(yīng)用安全規(guī)范、數(shù)據(jù)安全使用、運維管理安全以及與新技術(shù)整合安全等內(nèi)容。

1.2.2 應(yīng)用視角物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)分類

結(jié)合物聯(lián)網(wǎng)支撐工業(yè)互聯(lián)網(wǎng)、智慧城市、智慧物流、車聯(lián)網(wǎng)等行業(yè)社會經(jīng)濟實踐活動，從應(yīng)用視角可把物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)分為基礎(chǔ)綜合類、應(yīng)用要求類、實施指南類與檢測評估類4 種類型，如圖2 所示。

圖2 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)分類（應(yīng)用視角）

其中，基礎(chǔ)綜合類包括基礎(chǔ)性的符號、術(shù)語，以及綜合性的安全防護框架等；應(yīng)用要求類通常結(jié)合行業(yè)物聯(lián)網(wǎng)應(yīng)用特點，針對不同領(lǐng)域提出不同的物聯(lián)網(wǎng)技術(shù)應(yīng)用實施安全防護要求，例如，醫(yī)療設(shè)備類物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)與農(nóng)業(yè)物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)相關(guān)安全防護要求差異較大[8-9]，需要分別提出相應(yīng)的物聯(lián)網(wǎng)安全應(yīng)用標(biāo)準(zhǔn)；實施指南類包括不同行業(yè)領(lǐng)域不同應(yīng)用類型物聯(lián)網(wǎng)安全應(yīng)用實施需要遵循的網(wǎng)絡(luò)拓?fù)洹⑿畔⒘鞒袒虿僮髯⒁馐马椀葟娭苹騾⒖夹园踩珒?nèi)容；檢測評估類包括安全測試與檢測，以及針對場景類別，結(jié)合不同的安全防護等級制定的安全評估類標(biāo)準(zhǔn)。

1.2.3 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的外延

物聯(lián)網(wǎng)最早是在傳統(tǒng)的電信和互聯(lián)網(wǎng)領(lǐng)域發(fā)展起來的，隨著概念內(nèi)涵的不斷深化，其與當(dāng)前的5G/6G、云計算與大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術(shù)的應(yīng)用發(fā)展緊密關(guān)聯(lián)；從應(yīng)用層面物聯(lián)網(wǎng)與眾多新興技術(shù)綜合集成共同支撐工業(yè)互聯(lián)網(wǎng)、智慧城市、智慧物流、車聯(lián)網(wǎng)等行業(yè)發(fā)展。因此，物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)與這些關(guān)聯(lián)技術(shù)體系和應(yīng)用密切相關(guān)。即，物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系框架構(gòu)建，需要參考相關(guān)技術(shù)領(lǐng)域安全標(biāo)準(zhǔn)，包括傳統(tǒng)通信與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和新技術(shù)相關(guān)安全標(biāo)準(zhǔn)，能直接采用的應(yīng)直接采用，需要制修訂的應(yīng)盡可能保持兼容，同時在行業(yè)應(yīng)用領(lǐng)域方面與安全要求相配套，并能夠支撐各行業(yè)新興應(yīng)用。對應(yīng)的外延關(guān)系如圖3 所示[10]。

圖3 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的外延

2 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系框架

2.1 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)總體框架

結(jié)合物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的分類，本文依據(jù)前文1.2.1小結(jié)提出的技術(shù)視角物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)分類，進一步細化形成物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系框架，如圖4 所示。

圖4 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系框架

基礎(chǔ)通用類主要包括物聯(lián)網(wǎng)安全概念與術(shù)語、物聯(lián)網(wǎng)安全參考模型、物聯(lián)網(wǎng)安全框架三個小類的安全標(biāo)準(zhǔn)，傳感采集類主要包括傳感器安全、控制器安全、智能卡及芯片安全、智能終端安全、網(wǎng)關(guān)與邊緣計算安全等子類別的安全標(biāo)準(zhǔn)，通信傳輸類包括有線通信、無線通信、數(shù)據(jù)交換、數(shù)據(jù)傳輸與隱私防護4 個小類的安全標(biāo)準(zhǔn)，應(yīng)用管理類包括應(yīng)用安全規(guī)范、數(shù)據(jù)安全使用、物聯(lián)網(wǎng)運維管理、物聯(lián)網(wǎng)升級改造、新技術(shù)整合應(yīng)用共5 個小類的安全標(biāo)準(zhǔn)。

2.2 基礎(chǔ)通用類安全標(biāo)準(zhǔn)

基礎(chǔ)通用類安全標(biāo)準(zhǔn)主要用于解決物聯(lián)網(wǎng)安全領(lǐng)域概念術(shù)語統(tǒng)一性、參考模型兼容性和安全框架一致性的問題，用于避免出現(xiàn)安全標(biāo)準(zhǔn)制修訂混亂、技術(shù)安全不兼容和應(yīng)用安全框架認(rèn)知不一致等現(xiàn)象[11]。

物聯(lián)網(wǎng)安全概念與術(shù)語類標(biāo)準(zhǔn)主要是為物聯(lián)網(wǎng)安全領(lǐng)域交流、使用提供一致性的語言載體，達成共同的語言認(rèn)知，該類標(biāo)準(zhǔn)的制定應(yīng)注意術(shù)語專業(yè)性和通用性的平衡，既能夠為專業(yè)人員交流提供準(zhǔn)確表達的手段，又能夠為更多的行業(yè)初學(xué)者提供簡單易記的術(shù)語。例如，AMQP（高級消息隊列協(xié)議）術(shù)語，是指一個開源標(biāo)準(zhǔn)，用于不同的應(yīng)用程序在任何網(wǎng)絡(luò)和任何設(shè)備之間進行通信[12]；MQTT（MQ 遙測傳輸）術(shù)語，是指一種發(fā)布/訂閱消息協(xié)議，用于在設(shè)備相互通信的情況下使用有限的計算能力，或者在不可靠或延遲的網(wǎng)絡(luò)連接的情況下使用[13]。物聯(lián)網(wǎng)安全參考模型類標(biāo)準(zhǔn)，用于提供標(biāo)準(zhǔn)化的物聯(lián)網(wǎng)安全模型，供物聯(lián)網(wǎng)安全實踐過程中參考和應(yīng)用。例如，GB/T 37044-2018《信息安全技術(shù) 物聯(lián)網(wǎng)安全參考模型及通用要求》提出了由參考安全分區(qū)、基本安全防護措施和系統(tǒng)生成周期三個維度共同組成的物聯(lián)網(wǎng)安全參考模型，同時每個維度包含了不同的階段，為物聯(lián)網(wǎng)其他安全標(biāo)準(zhǔn)制定以及物聯(lián)網(wǎng)安全防護實踐提供了重要參考[14]。物聯(lián)網(wǎng)安全框架類標(biāo)準(zhǔn)，用于明確物聯(lián)網(wǎng)安全功能組成要素，以及各功能要素之間的邏輯組成、層次結(jié)構(gòu)、拓?fù)浼軜?gòu)和影響關(guān)系，通常作為物聯(lián)網(wǎng)感知采集、通信傳輸和應(yīng)用管理類安全標(biāo)準(zhǔn)制定的框架參考，便于物聯(lián)網(wǎng)安全從業(yè)者快速了解并遵循相關(guān)的物聯(lián)網(wǎng)安全框架要求。

2.3 傳感采集類安全標(biāo)準(zhǔn)

傳感采集類安全標(biāo)準(zhǔn)主要是為物聯(lián)網(wǎng)感知層各類傳感器、控制器、網(wǎng)關(guān)、智能終端以及邊緣計算設(shè)備與相關(guān)嵌入式系統(tǒng)或軟件提供相對應(yīng)的技術(shù)設(shè)計、應(yīng)用防護和安全操作等相關(guān)標(biāo)準(zhǔn)。

傳感器安全類標(biāo)準(zhǔn)主要用于滿足或指導(dǎo)各類日?；驀?yán)苛條件下傳感器物理部署安全、感知節(jié)點信任鑒權(quán)安全、傳感量程干擾安全、電磁攻擊安全、傳感信息偽造或篡改安全等，也可按照傳感數(shù)據(jù)量、傳感數(shù)據(jù)報送頻度進行相關(guān)安全標(biāo)準(zhǔn)制定；控制器安全類標(biāo)準(zhǔn)通常包括控制器防偽、短距離信息安全鑒權(quán)、防止信息偽造和重放攻擊等安全標(biāo)準(zhǔn)內(nèi)容，例如智能門鎖、電子門禁安全標(biāo)準(zhǔn)等；智能卡及芯片安全類標(biāo)準(zhǔn)，隨著芯片存儲容量和性能的提升帶來的物聯(lián)網(wǎng)大規(guī)模應(yīng)用，這類安全標(biāo)準(zhǔn)種類較為豐富，通常包括卡片物理芯片安全，芯片訪問鑒權(quán)、存儲分區(qū)、數(shù)據(jù)保護、加密模塊及密鑰，假冒、嗅探、重放、拒絕服務(wù)等系列安全標(biāo)準(zhǔn)內(nèi)容；智能終端是近幾年迅速發(fā)展起來的具備一定計算與存儲能力的物聯(lián)網(wǎng)產(chǎn)品[14]，其相關(guān)安全類標(biāo)準(zhǔn)與嵌入式設(shè)備、智能電子設(shè)備之間存在較多的交叉，包括環(huán)境類、通信類、數(shù)據(jù)類、應(yīng)用類和身份鑒別類等安全標(biāo)準(zhǔn)；網(wǎng)關(guān)與邊緣計算節(jié)點通常部署在物聯(lián)網(wǎng)感知層與傳輸層的交界[15]，是數(shù)據(jù)匯總上傳和關(guān)鍵反饋控制指令下達的樞紐，其安全類標(biāo)準(zhǔn)主要用于滿足設(shè)備鑒權(quán)接入、信息存儲、數(shù)據(jù)共享交換、協(xié)議轉(zhuǎn)換、數(shù)據(jù)過濾壓縮、嵌入式計算環(huán)境等安全防護需要。

2.4 通信傳輸類安全標(biāo)準(zhǔn)

通信傳輸類安全標(biāo)準(zhǔn)是基于有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)通信提供技術(shù)與應(yīng)用安全的相關(guān)標(biāo)準(zhǔn)，例如針對煙花爆竹類庫房物聯(lián)網(wǎng)、無人機自組網(wǎng)、機器人體域網(wǎng)等應(yīng)用場景下安全通信制定的傳輸、交換、隱私保護等相關(guān)標(biāo)準(zhǔn)。

有線通信類安全標(biāo)準(zhǔn)，包括傳統(tǒng)的有線通信安全標(biāo)準(zhǔn)，例如RS232 串口、RS-485 串行總線，以及物聯(lián)網(wǎng)固定網(wǎng)絡(luò)接入等安全標(biāo)準(zhǔn)，也包括新增的物聯(lián)網(wǎng)相關(guān)的有限通信類安全標(biāo)準(zhǔn)，例如USB 3.0 安全標(biāo)準(zhǔn)[16]等；無線通信類安全標(biāo)準(zhǔn)，是指藍牙、ZigBee、Lora、NB-IoT、Wi-Fi、IPv6/6Lowpan 等物聯(lián)網(wǎng)無線通信類安全標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)通常需要包括接入鑒權(quán)、空口協(xié)議、通信協(xié)議、數(shù)據(jù)保護、密鑰管理、安全審計等相關(guān)內(nèi)容，同時由于技術(shù)的交叉性，這些安全標(biāo)準(zhǔn)通常按通信類型來分類。

物聯(lián)網(wǎng)數(shù)據(jù)的傳輸通常要跨越不同的網(wǎng)絡(luò)類型，同時在數(shù)據(jù)流向上既有單向跨網(wǎng)也有雙向流動，與單一網(wǎng)絡(luò)相比面臨更加嚴(yán)重的信息安全威脅。數(shù)據(jù)交換安全標(biāo)準(zhǔn)，旨在為數(shù)據(jù)交換起點、過程和終點提供訪問鑒權(quán)、數(shù)據(jù)加解密、一致性和完整性校驗、數(shù)據(jù)自毀、密鑰管理等系列安全防護內(nèi)容，為物聯(lián)網(wǎng)數(shù)據(jù)交換提供安全保障；數(shù)據(jù)傳輸與隱私安全標(biāo)準(zhǔn)，通常包括傳輸協(xié)議安全、傳輸算法破解、中間人攻擊以及用戶隱私訪問控制等內(nèi)容，例如，可穿戴醫(yī)療設(shè)備安全標(biāo)準(zhǔn)應(yīng)考慮中間人復(fù)制用戶敏感隱私信息。

2.5 應(yīng)用管理類安全標(biāo)準(zhǔn)

應(yīng)用管理類安全標(biāo)準(zhǔn)是為物聯(lián)網(wǎng)技術(shù)與產(chǎn)品的操作使用、物聯(lián)網(wǎng)數(shù)據(jù)的業(yè)務(wù)應(yīng)用、物聯(lián)網(wǎng)全生命周期的運維管理、物聯(lián)網(wǎng)的升級改造以及物聯(lián)網(wǎng)與新技術(shù)的整合應(yīng)用提供系列安全類標(biāo)準(zhǔn)。

應(yīng)用安全規(guī)范類安全標(biāo)準(zhǔn)，是面向物聯(lián)網(wǎng)產(chǎn)品設(shè)計和研發(fā)人員以及操作維護人員等制定的，包括并不僅限于為物聯(lián)網(wǎng)數(shù)據(jù)、技術(shù)以及產(chǎn)品應(yīng)用而制定的系列安全標(biāo)準(zhǔn)或規(guī)范，指導(dǎo)物聯(lián)網(wǎng)從業(yè)人員在安全許可范圍內(nèi)進行各類物聯(lián)網(wǎng)建設(shè)和管理，目的在于通過統(tǒng)一的標(biāo)準(zhǔn)規(guī)范減少安全威脅和損失。數(shù)據(jù)安全使用類安全標(biāo)準(zhǔn)，主要是與物聯(lián)網(wǎng)通信網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)相配套的數(shù)據(jù)類安全標(biāo)準(zhǔn)，更加傾向其業(yè)務(wù)屬性，一般包括數(shù)據(jù)安全等級分類、數(shù)據(jù)訪問與共享規(guī)范、數(shù)據(jù)流轉(zhuǎn)與應(yīng)用標(biāo)準(zhǔn)等內(nèi)容，此類標(biāo)準(zhǔn)通常與數(shù)據(jù)安全交換、數(shù)據(jù)傳輸與隱私保護類相關(guān)聯(lián)，或在同一標(biāo)準(zhǔn)中體現(xiàn)。物聯(lián)網(wǎng)運維管理安全標(biāo)準(zhǔn)，包括物聯(lián)網(wǎng)安全管理、物聯(lián)網(wǎng)安全響應(yīng)、物聯(lián)網(wǎng)安全評估、物聯(lián)網(wǎng)安全審計、物聯(lián)網(wǎng)安全運營等相關(guān)標(biāo)準(zhǔn)、指南或規(guī)范，涉及物聯(lián)網(wǎng)系統(tǒng)安全規(guī)劃、研發(fā)上線與安全部署、漏洞預(yù)警發(fā)現(xiàn)與修補等內(nèi)容。物聯(lián)網(wǎng)升級改造類安全標(biāo)準(zhǔn)，是指針對物聯(lián)網(wǎng)系統(tǒng)進行局部改造、設(shè)備替換、技術(shù)升級、數(shù)據(jù)遷移等行為可能帶來的安全風(fēng)險，制定的升級改造安全評估、升級改造安全規(guī)程、數(shù)據(jù)備份與恢復(fù)等系列安全標(biāo)準(zhǔn)或指南，避免因物聯(lián)網(wǎng)系統(tǒng)升級改造帶來安全的不穩(wěn)定性。物聯(lián)網(wǎng)及其關(guān)聯(lián)技術(shù)的快速發(fā)展，帶來了物聯(lián)網(wǎng)新技術(shù)整合應(yīng)用的普遍性，這一類安全標(biāo)準(zhǔn)屬于物聯(lián)網(wǎng)與其他新興技術(shù)的結(jié)合部分，包括新技術(shù)自身的系列安全標(biāo)準(zhǔn)，以及其與物聯(lián)網(wǎng)聯(lián)合應(yīng)用帶來的集成接入、數(shù)據(jù)交互、通信傳輸、管理控制、外部環(huán)境等系列安全內(nèi)容，既可通過新立標(biāo)準(zhǔn)規(guī)范的方式也可通過現(xiàn)有標(biāo)準(zhǔn)制修訂的方式納入物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系。

本節(jié)從技術(shù)視角參考常見的物聯(lián)網(wǎng)分層架構(gòu)對物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系進行了描述，值得指出的是，這種分類視角僅是多種分類方法的一種，且隨著5G/6G、天基通信、邊緣計算、未來網(wǎng)絡(luò)等新ICT 技術(shù)的融合發(fā)展[17]，物聯(lián)網(wǎng)各項支撐技術(shù)的邊界更加模糊，對應(yīng)的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)分類將會存在一定的交疊，實際安全標(biāo)準(zhǔn)也會存在跨類現(xiàn)象。

3 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化推進思考

《國家標(biāo)準(zhǔn)化發(fā)展綱要》要求，“在兩化融合、新一代信息技術(shù)、大數(shù)據(jù)、區(qū)塊鏈等應(yīng)用前景廣闊的技術(shù)領(lǐng)域，同步部署技術(shù)研發(fā)、標(biāo)準(zhǔn)研制與產(chǎn)業(yè)推廣，加快新技術(shù)產(chǎn)業(yè)化步伐”[18]。盡管國際國內(nèi)結(jié)合物聯(lián)網(wǎng)安全應(yīng)用需要制定頒發(fā)了系列安全標(biāo)準(zhǔn)，但依然難以適應(yīng)物聯(lián)網(wǎng)安全威脅激增對安全標(biāo)準(zhǔn)化的需要。結(jié)合物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)研究與應(yīng)用現(xiàn)狀，提出如下思考建議。

首先要牢固樹立安全標(biāo)準(zhǔn)理念，加強安全一體化設(shè)計。物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)長期以來存在標(biāo)準(zhǔn)化不足、碎片化嚴(yán)重、功能模塊復(fù)用率低、安全威脅面廣等現(xiàn)象，其中標(biāo)準(zhǔn)理念落實不夠、全流程標(biāo)準(zhǔn)化程度不足是導(dǎo)致這些外在表象的重要原因。安全標(biāo)準(zhǔn)作為物聯(lián)網(wǎng)標(biāo)準(zhǔn)體系的組成部分，應(yīng)與物聯(lián)網(wǎng)其他標(biāo)準(zhǔn)一起，全流程貫穿到系統(tǒng)設(shè)計、應(yīng)用開發(fā)與部署管理全過程，實現(xiàn)安全與架構(gòu)、技術(shù)、功能、數(shù)據(jù)等的一體設(shè)計，避免安全標(biāo)準(zhǔn)和設(shè)計在物聯(lián)網(wǎng)產(chǎn)品或系統(tǒng)使用時才開始考慮帶來的滯后性。

其次要加強現(xiàn)有安全標(biāo)準(zhǔn)宣貫，提升安全標(biāo)準(zhǔn)化程度。物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系框架基本確立，國家和行業(yè)系列物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)陸續(xù)發(fā)布，這些為物聯(lián)網(wǎng)安全應(yīng)用提供了基礎(chǔ)。但受種種原因影響，物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)宣傳貫徹力度不夠，部分物聯(lián)網(wǎng)從業(yè)者對現(xiàn)有物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的范圍和內(nèi)容了解不深，一些物聯(lián)網(wǎng)項目實踐者在物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)貫徹上打了折扣，從而給物聯(lián)網(wǎng)應(yīng)用帶來了安全威脅。未來，應(yīng)以《國家標(biāo)準(zhǔn)化發(fā)展綱要》精神為指導(dǎo)，優(yōu)化物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化運行機制，加大現(xiàn)有安全標(biāo)準(zhǔn)實施應(yīng)用力度，加強物聯(lián)網(wǎng)項目安全標(biāo)準(zhǔn)化評估，著力解決安全標(biāo)準(zhǔn)研制與應(yīng)用脫節(jié)等現(xiàn)象，推動物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系高質(zhì)量健康發(fā)展。

然后要優(yōu)化完善安全標(biāo)準(zhǔn)體系，補齊安全標(biāo)準(zhǔn)薄弱項。安全標(biāo)準(zhǔn)體系化程度決定了物聯(lián)網(wǎng)產(chǎn)業(yè)應(yīng)用的安全成熟度。當(dāng)前物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系中條碼、射頻識別和感知終端類標(biāo)準(zhǔn)相對較多[19]，而在網(wǎng)關(guān)與邊緣計算安全、物聯(lián)網(wǎng)安全管理、數(shù)據(jù)與隱私保護、物聯(lián)網(wǎng)安全風(fēng)險評估、物聯(lián)網(wǎng)應(yīng)用安全規(guī)范、物聯(lián)網(wǎng)運維安全與安全審計等方向標(biāo)準(zhǔn)缺口較大，在新型物聯(lián)網(wǎng)芯片與協(xié)議，北斗、5G、邊緣計算、區(qū)塊鏈、人工智能等新技術(shù)整合類方向安全標(biāo)準(zhǔn)十分薄弱。應(yīng)結(jié)合物聯(lián)網(wǎng)標(biāo)準(zhǔn)化整體布局，加大物聯(lián)網(wǎng)安全領(lǐng)域薄弱標(biāo)準(zhǔn)的立項投入，強化標(biāo)準(zhǔn)之間的體系配套性，支撐物聯(lián)網(wǎng)安全與產(chǎn)業(yè)發(fā)展相配套。

最后應(yīng)鼓勵行業(yè)領(lǐng)域安全標(biāo)準(zhǔn)制定，建強標(biāo)準(zhǔn)化人才隊伍。物聯(lián)網(wǎng)應(yīng)用涉及諸如智能醫(yī)療、智慧交通、智能物流、智慧礦山、智能戰(zhàn)場等眾多行業(yè)和多個領(lǐng)域，呈現(xiàn)出應(yīng)用樣式差異大、應(yīng)用鏈條跨度廣、安全防護等級需求不一致等特點，因而對物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)需求也不盡一致。需要物聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織或機構(gòu)在加大物聯(lián)網(wǎng)通用安全標(biāo)準(zhǔn)制定的同時，應(yīng)結(jié)合新興或特殊領(lǐng)域應(yīng)用特點，鼓勵行業(yè)領(lǐng)域物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定，同步加強物聯(lián)網(wǎng)標(biāo)準(zhǔn)化通用人才和領(lǐng)域?qū)I(yè)人才隊伍的培養(yǎng)，為物聯(lián)網(wǎng)標(biāo)準(zhǔn)化事業(yè)提供持續(xù)發(fā)展后勁。

4 結(jié)論

隨著《物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施建設(shè)三年行動計劃（2021-2023 年）》的發(fā)布[20]，可以預(yù)見物聯(lián)網(wǎng)將在我國經(jīng)濟社會和國防軍事領(lǐng)域發(fā)揮更強的支撐和賦能作用，物聯(lián)網(wǎng)安全是物聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展的重要保障，物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)將成為下一步研究和關(guān)注的焦點。

本文結(jié)合物聯(lián)網(wǎng)發(fā)展趨勢，概述了國際國內(nèi)物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化組織，從技術(shù)和應(yīng)用視角對物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)進行了分類，嘗試給出了物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系框架，并針對性提出了物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化推進建議。下一步將結(jié)合物聯(lián)網(wǎng)行業(yè)應(yīng)用和新技術(shù)發(fā)展，深化物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)研究，加大安全標(biāo)準(zhǔn)應(yīng)用推進。