今日頭條
官方微信
官方抖音
資訊頻道聯(lián)網(wǎng)設備、系統(tǒng)以及服務所組成的物聯(lián)網(wǎng)(IoT)不斷增長,為我們的社會創(chuàng)造了巨大的機會與利益。為了最大限度地利用聯(lián)網(wǎng)設備帶來的益處,同時將潛在的重大風險降至最低,我們必須確保這些設備是安全的、有彈性的。但我們不得不承認,隨著聯(lián)網(wǎng)的人、企業(yè)以及設備的增長,潛在的惡意攻擊也在不斷蔓延。當前,網(wǎng)絡攻擊聚焦聯(lián)網(wǎng)設備,所造成的后果正在成倍增加。
隨著全球數(shù)字生態(tài)系統(tǒng)(包括物聯(lián)網(wǎng))面臨的威脅不斷增長,我們重建聯(lián)網(wǎng)設備、物聯(lián)網(wǎng)以及安全生態(tài)中的信任將變得至關(guān)重要,不僅涉及到安全問題,更關(guān)乎經(jīng)濟增長與創(chuàng)新。為了更好地幫助決策者和利益相關(guān)方保護物聯(lián)網(wǎng)生態(tài)的安全,ITI提出以下政策原則作為指導:
1、關(guān)注設備之外 所有利益相關(guān)者必須合作,采取系統(tǒng)的方法,保護物聯(lián)網(wǎng)的各部分網(wǎng)絡和復雜生態(tài)系統(tǒng)的安全,其中必須關(guān)注端對端安全,包括設計實現(xiàn)安全的技術(shù)(security-by-design techniques)和安全的開發(fā)生命周期。隨著全球?qū)ξ锫?lián)網(wǎng)安全的關(guān)注(包括擔心像利用不安全物聯(lián)網(wǎng)設備的僵尸網(wǎng)絡等復雜的自動化和分布式威脅)持續(xù)增長,政策制定者錯誤地聚焦于物聯(lián)網(wǎng)產(chǎn)品的安全,而不是更廣范圍的物聯(lián)網(wǎng)生態(tài)安全。許多政策建議僅僅局限于物聯(lián)網(wǎng)生態(tài)系統(tǒng)的單個組成部分,而不是將生態(tài)系統(tǒng)的安全視作整體,如部分政策簡單要求互聯(lián)網(wǎng)服務提供商(ISPs)關(guān)閉所有的僵尸網(wǎng)絡,或者數(shù)十億設備制造商應該確保其設備普遍安全,這樣過于簡單粗暴的解決方案難以滿足確保生態(tài)系統(tǒng)安全的基本需求。無論在設備、網(wǎng)絡,還是軟件方面采取何種安全措施,但凡這些措施是獨立于生態(tài)系統(tǒng)單獨處理的,那么最終仍然是失敗。因此,從整體的角度看問題是一種更好的方法。 2、引領行業(yè)驅(qū)動的核心基線和標準 既然生態(tài)系統(tǒng)安全至關(guān)重要,那么圍繞物聯(lián)網(wǎng)基本安全能力確立共識則非常必要。建立一套通用的最佳實踐和安全能力并將其推行至所有復雜各異的、受市場需求驅(qū)動的全球物聯(lián)網(wǎng)設備中,將有助于改善所有新物聯(lián)網(wǎng)設備的安全。 圍繞物聯(lián)網(wǎng)安全基線建立廣泛的行業(yè)共識也會有利于加強政府與行業(yè)之間的有效合作,在全球建立互操作性強的物聯(lián)網(wǎng)安全政策。此外,確立一個核心基線將有助于在全球推動建立具有互操作性的標準、促進創(chuàng)新,提升物聯(lián)網(wǎng)安全。政府應該持續(xù)鼓勵開放和國際性的安全標準以維持物聯(lián)網(wǎng)的長期生存能力,并促進跨部門的解決方案。 多方利益相關(guān)者在制定核心物聯(lián)網(wǎng)安全基線上發(fā)揮了重要作用,如美國NIST發(fā)布的《對物聯(lián)網(wǎng)設備制造商的建議:基礎活動和核心設備網(wǎng)絡安全能力基線》草案第二版(NISTIR 8259);向物聯(lián)網(wǎng)設備生產(chǎn)商提建議參考多個國際物聯(lián)網(wǎng)安全標準以及行業(yè)驅(qū)動的物聯(lián)網(wǎng)安全能力共識C2。推動全球圍繞核心物聯(lián)網(wǎng)安全基線工作進行協(xié)調(diào),從而形成重大共識,可作為推進全球物聯(lián)網(wǎng)安全的關(guān)鍵工作。 3、避免監(jiān)管的碎片化和重復 為充分實現(xiàn)物聯(lián)網(wǎng)的賦能,政府部門應該推進政策打破各項設備連接的政策障礙,并且在保護隱私和安全的條件下整合數(shù)據(jù)。政府應該審視當前物聯(lián)網(wǎng)的基礎技術(shù),并評估當前正在實施的監(jiān)管措施,避免孤立的、部門性的規(guī)制方式。 政策制定者和監(jiān)管者在物聯(lián)網(wǎng)議題上應加強公私合作,以制定網(wǎng)絡安全解決方案,并更好地協(xié)調(diào)國內(nèi)和全球已有的物聯(lián)網(wǎng)安全相關(guān)的政策。如美國NIST正在發(fā)展建立物聯(lián)網(wǎng)安全框架,這是此類合作的典型。 貼安全標簽作為保護消費者權(quán)益有效的工具,其可行性需要進一步的觀察和討論,特別是目前在政策制定者和行業(yè)相關(guān)者之間還沒有就這種方案的優(yōu)點和缺點達成共識。例如,向消費者提供有關(guān)物聯(lián)網(wǎng)設備關(guān)鍵安全特性的明確信息,可能會促進基于安全的市場競爭,建立對物聯(lián)網(wǎng)產(chǎn)品安全的信任,幫助消費者履行其維護安全的職責。然而,這樣的計劃可能傳達出一種虛假的安全感,如果強制執(zhí)行,只會進一步分化市場,提高合規(guī)成本。政策制定者應在這方面謹慎行事,確保任何計劃都是自愿的和深思熟慮的。 4、促進全球協(xié)調(diào) 個別城市、行業(yè)機構(gòu)或國家發(fā)布的強制性物聯(lián)網(wǎng)要求,將分割全球物聯(lián)網(wǎng)安全格局,這種碎片化最終將通過降低安全物聯(lián)網(wǎng)產(chǎn)品在開發(fā)、制造、支持、培訓、評估和識別方面的規(guī)模效率來限制安全物聯(lián)網(wǎng)的增長。這也將使行業(yè)更難遵守這些不同的要求,從而阻礙全球商業(yè)和貿(mào)易。 維護物聯(lián)網(wǎng)長期的安全和彈性需要一個全球整體的方法,這就意味著不同國家、行業(yè)和生態(tài)系統(tǒng)的各個部分的利益相關(guān)者采用同樣的基線安全實踐。為了應對日益多樣化的政策環(huán)境,政策制定者應優(yōu)先考慮全球協(xié)調(diào)和監(jiān)管合作,以支持業(yè)界圍繞基于全球標準的物聯(lián)網(wǎng)安全核心基線能力達成自愿共識。 最后,利益相關(guān)者必須明白,將物聯(lián)網(wǎng)設備連接到互聯(lián)網(wǎng)是一個長期的承諾,而不是一次性的設計和制造。物聯(lián)網(wǎng)安全需要的是動態(tài)的、靈活的市場驅(qū)動的解決方案,能夠靈活地適應不斷演變的網(wǎng)絡威脅。 參考文獻: https://www.itic.org/dotAsset/d9c7be68-d2d4-42de-aaea-e91fc526b717.pdf 來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號