今日頭條
官方微信
官方抖音
資訊頻道聯網設備、系統以及服務所組成的物聯網(IoT)不斷增長,為我們的社會創造了巨大的機會與利益。為了最大限度地利用聯網設備帶來的益處,同時將潛在的重大風險降至最低,我們必須確保這些設備是安全的、有彈性的。但我們不得不承認,隨著聯網的人、企業以及設備的增長,潛在的惡意攻擊也在不斷蔓延。當前,網絡攻擊聚焦聯網設備,所造成的后果正在成倍增加。
隨著全球數字生態系統(包括物聯網)面臨的威脅不斷增長,我們重建聯網設備、物聯網以及安全生態中的信任將變得至關重要,不僅涉及到安全問題,更關乎經濟增長與創新。為了更好地幫助決策者和利益相關方保護物聯網生態的安全,ITI提出以下政策原則作為指導:
1、關注設備之外 所有利益相關者必須合作,采取系統的方法,保護物聯網的各部分網絡和復雜生態系統的安全,其中必須關注端對端安全,包括設計實現安全的技術(security-by-design techniques)和安全的開發生命周期。隨著全球對物聯網安全的關注(包括擔心像利用不安全物聯網設備的僵尸網絡等復雜的自動化和分布式威脅)持續增長,政策制定者錯誤地聚焦于物聯網產品的安全,而不是更廣范圍的物聯網生態安全。許多政策建議僅僅局限于物聯網生態系統的單個組成部分,而不是將生態系統的安全視作整體,如部分政策簡單要求互聯網服務提供商(ISPs)關閉所有的僵尸網絡,或者數十億設備制造商應該確保其設備普遍安全,這樣過于簡單粗暴的解決方案難以滿足確保生態系統安全的基本需求。無論在設備、網絡,還是軟件方面采取何種安全措施,但凡這些措施是獨立于生態系統單獨處理的,那么最終仍然是失敗。因此,從整體的角度看問題是一種更好的方法。 2、引領行業驅動的核心基線和標準 既然生態系統安全至關重要,那么圍繞物聯網基本安全能力確立共識則非常必要。建立一套通用的最佳實踐和安全能力并將其推行至所有復雜各異的、受市場需求驅動的全球物聯網設備中,將有助于改善所有新物聯網設備的安全。 圍繞物聯網安全基線建立廣泛的行業共識也會有利于加強政府與行業之間的有效合作,在全球建立互操作性強的物聯網安全政策。此外,確立一個核心基線將有助于在全球推動建立具有互操作性的標準、促進創新,提升物聯網安全。政府應該持續鼓勵開放和國際性的安全標準以維持物聯網的長期生存能力,并促進跨部門的解決方案。 多方利益相關者在制定核心物聯網安全基線上發揮了重要作用,如美國NIST發布的《對物聯網設備制造商的建議:基礎活動和核心設備網絡安全能力基線》草案第二版(NISTIR 8259);向物聯網設備生產商提建議參考多個國際物聯網安全標準以及行業驅動的物聯網安全能力共識C2。推動全球圍繞核心物聯網安全基線工作進行協調,從而形成重大共識,可作為推進全球物聯網安全的關鍵工作。 3、避免監管的碎片化和重復 為充分實現物聯網的賦能,政府部門應該推進政策打破各項設備連接的政策障礙,并且在保護隱私和安全的條件下整合數據。政府應該審視當前物聯網的基礎技術,并評估當前正在實施的監管措施,避免孤立的、部門性的規制方式。 政策制定者和監管者在物聯網議題上應加強公私合作,以制定網絡安全解決方案,并更好地協調國內和全球已有的物聯網安全相關的政策。如美國NIST正在發展建立物聯網安全框架,這是此類合作的典型。 貼安全標簽作為保護消費者權益有效的工具,其可行性需要進一步的觀察和討論,特別是目前在政策制定者和行業相關者之間還沒有就這種方案的優點和缺點達成共識。例如,向消費者提供有關物聯網設備關鍵安全特性的明確信息,可能會促進基于安全的市場競爭,建立對物聯網產品安全的信任,幫助消費者履行其維護安全的職責。然而,這樣的計劃可能傳達出一種虛假的安全感,如果強制執行,只會進一步分化市場,提高合規成本。政策制定者應在這方面謹慎行事,確保任何計劃都是自愿的和深思熟慮的。 4、促進全球協調 個別城市、行業機構或國家發布的強制性物聯網要求,將分割全球物聯網安全格局,這種碎片化最終將通過降低安全物聯網產品在開發、制造、支持、培訓、評估和識別方面的規模效率來限制安全物聯網的增長。這也將使行業更難遵守這些不同的要求,從而阻礙全球商業和貿易。 維護物聯網長期的安全和彈性需要一個全球整體的方法,這就意味著不同國家、行業和生態系統的各個部分的利益相關者采用同樣的基線安全實踐。為了應對日益多樣化的政策環境,政策制定者應優先考慮全球協調和監管合作,以支持業界圍繞基于全球標準的物聯網安全核心基線能力達成自愿共識。 最后,利益相關者必須明白,將物聯網設備連接到互聯網是一個長期的承諾,而不是一次性的設計和制造。物聯網安全需要的是動態的、靈活的市場驅動的解決方案,能夠靈活地適應不斷演變的網絡威脅。 參考文獻: https://www.itic.org/dotAsset/d9c7be68-d2d4-42de-aaea-e91fc526b717.pdf 來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號