物联网,让生活充满“智慧”

  根据美国市场调研公司弗雷斯特的研究报告,物联网安全挑战形势严峻,主要有以下四方面原因:一是物联网产业链生态体系中的众多参与者,如设备制造商、服务提供商、系统集成商等的安全意识参差不齐,各自的隐私和安全责任界定不清晰;二是大量上市的物联网设备缺乏基本的认证和加密措施;三是物联网标准和协议多样且不统一,导致用户侧使用复杂性增加,也使得不同设备间安全协同困难;四是广泛分布且数量众多的物联网设备和由此产生的海量数据增加了安全监测的难度和及时性。

  美国政府采取了多种举措加强物联网信息安全。首先,政府多部门发布白皮书或高阶指南,提升社会各界物联网安全防范意识。2014年NIST发布《改善关键基础设施网络安全的框架》,对包含物联网在内的多种连接技术给出了网络安全最佳实践和建议;2015年,美国联邦贸易委员会发布物联网产品安全高级指南;2016年11月国土安全部发布《确保物联网安全的战略原则》白皮书,向物联网设备和系统开发商、管理者及个人提出了一组网络安全实践准则建议。

  其次,考虑到不同行业物联网发展的不均衡,针对物联网技术在能源、消费电子、医疗和智能驾驶等特定领域的应用,美国出台技术指南或行动建议明确这些领域物联网产品的信息安全要求。2014年,NIST发布了针对智能电网的安全指南;2015年,联邦通信委员会发布了消费类物联网设备的网络安全要求;2016年,美国食品药品监督管理局发布指南,督促医疗设备厂商关注售出的联网设备安全问题。此外,美国交通部下属的国家高速公路交通安全管理局发布“智能车辆网络安全最佳实践”,明确具有联网功能车辆的安全保障要求。上述面向特定行业的物联网安全指南,督促设备提供商、软件提供商或系统集成商及早做好联网设备的网络安全防护。

  第三,采取措施鼓励研发新技术以改善物联网设备的信息安全。美国国防部高级研究计划局于2015年9月发起“安全模拟”项目资助一些拟通过分析物联网设备的电磁、声光、温度等信号异常变化来检测病毒软件的前瞻性研究。该局已拨付3600万美元开启第一阶段历时18个月的项目。通过这些新技术的研发,有效识别潜在的物联网攻击和入侵,特别是那些可能绕过传统安全控制的攻击。

  欧盟委员会计划将物联网规则的改革作为欧盟电信法律的一部分,其中最关键的是制定新物联网设备安全规范。欧盟希望通过制定法规,强制企业遵守安全标准,借助认证流程确保物联网隐私安全,消除安全威胁。此外,还鼓励领先企业出台针对物联网设备的安全规则或系统,作为网络安全评级的模板。