歐、美、澳規范物聯網安全建設的最新進展及啟示

孟雪 周千荷

智慧城市建設正逐漸成為推動經濟增長和治理體系現代化的有效抓手，智慧城市的眾多技術應用在抗疫工作中發揮了重要作用。物聯網是智慧城市的神經末梢，直接影響著智慧城市的運行質量，保障物聯網安全就成為發展智慧城市的重中之重。面對嚴峻的物聯網安全形勢，澳大利亞、美國、歐盟相繼出臺物聯網安全相關準則及法案，以解決物聯網行業安全漏洞頻發等問題，提高物聯網安全治理水平，更好地發揮物聯網技術的應用效益。

歐、美、澳相繼推出物聯網

安全相關準則法案

歐盟網絡安全局發布《物聯網安全準則》。2020 年 11 月 9 日，歐盟網絡安全局（ENISA）發布了《物聯網安全準則》（以下簡稱《準則》），旨在幫助物聯網制造商、開發商、集成商及所有物聯網供應鏈的利益相關者在構建、部署或評估物聯網技術時做出最佳決策。《準則》的目標在于定義與識別有關物聯網安全的挑戰、威脅、安全注意事項和成功實踐，以確保物聯網供應鏈不同階段的安全性。《準則》給出了五點建議：一是各物聯網實體之間應建立更良好的關系，包括優先與提供網絡安全保證的供應商合作、努力提高透明度、開發創新的信任模型、向客戶提供安全承諾等。二是進一步普及網絡安全專業知識，加強對專業人員的維護和培訓，并提升用戶的物聯網安全意識。三是通過改善物聯網設計標準實現安全性，包括采用安全設計原則、利用新興技術進行安全控制和審計、實施遠程更新機制等。四是采取更全面更明確的方法提高安全性，包括建立全面測試計劃、將身份驗證機制集成到電路中、在默認情況下使用出廠設置等。五是充分利用現有標準和成功實踐，提高供應鏈產品的安全性和服務質量。

美國眾議院通過《2020 年物聯網網絡安全改進法案》。2020年 9 月 14 日，美國眾議院通過了《2020 年物聯網網絡安全改進法案》（以下簡稱《法案》）。鑒于物聯網設備的安全性是國家安全需要重點考量的新興網絡挑戰，該法案的目標就在于將物聯網設備引入美國聯邦政府使用前必須解決網絡安全問題，以提高聯邦互聯網連接設備的安全性。《法案》要求，聯邦政府購買的所有與互聯網連接設備（包括計算機、移動設備和其他具有互聯網連接能力的產品）必須符合美國國家標準與技術研究院（NIST）發布的最低安全標準。同時，《法案》還敦促 NIST發布有關聯邦機構使用物聯網設備的標準和指南，并指示行政管理和預算局審查政府購買政策。

澳大利亞政府發布《實踐準則：為消費者保護物聯網》。2020年 9 月 3 日，澳大利亞政府發布《實踐準則：為消費者保護物聯網》（以下簡稱《實踐準則》），被視為其提升本國物聯網設備安全性的第一步。考慮到物聯網設備安全性的全球化性質，《實踐準則》提出的行業標準與其他國際標準保持一致，并以 13 項原則為基礎，主要包括：沒有重復的弱口令或默認口令，實施漏洞披露策略，軟件持續安全更新，憑證的安全存儲，確保實施個人數據保護，最小化暴露攻擊面，確保通信安全，確保軟件完整性，使系統具有抗中斷能力，監控系統測量數據，便于消費者刪除個人數據，使得設備易于安裝和維護以及驗證輸入數據。由于對密碼、漏洞披露和安全更新采取行動短期內會帶來最大的安全效益，澳大利亞政府建議業界優先考慮前三項原則。

歐、美、澳物聯網安全法案和準則的異同點

均從多個方面健全物聯網設備安全防護準則。歐盟、美國及澳大利亞都提出了物聯網設備的多項安全準則，比如要確保設備口令復雜程度足夠高、采用多因子身份認證方式、保證身份憑據的安全存儲，以及及時披露和修復安全漏洞、定期提供安全更新、最小化暴露網絡攻擊面等，旨在有效提高物聯網設備的安全性。

均注重加強物聯網個人隱私保護。歐盟、美國及澳大利亞的法案和準則都將個人隱私保護作為物聯網安全的重要部分。例如，澳大利亞在《實踐準則》中提出，物聯網設備應當默認設置為隱私保護，當處理個人數據時，必須提前獲得用戶同意，并支持用戶隨時刪除個人數據，撤回隱私許可，以最大程度地保護用戶的個人隱私和敏感數據。

覆蓋范圍和面向對象不同。澳大利亞《實踐準則》面向消費者，有助于提高與物聯網設備相關的安全保障意識，增強消費者對物聯網技術的信心，使澳大利亞從推廣中獲益。歐盟《準則》的落腳點是物聯網供應鏈，目標受眾為物聯網設備和軟件開發商、制造商、安全專家、采購團隊等供應鏈實體，通過研究和應對供應鏈在不同階段面臨的不同安全威脅，以達到構建安全的物聯網生態系統這一目標。美國《法案》主要覆蓋美國聯邦政府，旨在規范政府對物聯網設備的安全評估，確保政府機構購買和使用的物聯網設備安全性符合標準。

對物聯網安全的政府監管效力不同。作為政府相關機構提出的建議性措施，歐盟的《準則》、澳大利亞的《實踐準則》均不具有強制性。美國的《法案》則具有政府效力，包含多項硬性規定，比如明確要求美國國家標準與技術研究院（NIST）須在《法案》頒發后的 90 日內發布有關聯邦機構使用物聯網設備的安全標準和指南，以指導行政管理機構和預算局開展物聯網審查監管工作;對于不符合安全要求的物聯網設備，聯邦政府和機構將不予購買和使用。

幾點啟示

物聯網是新一代信息技術的高度集成和綜合運用，大量傳統設備在進行數字化改造時，幾乎沒有同步配置防護能力，影響了物聯網的安全性與可靠性。同時，物聯網終端和應用的融合化、多樣化，也給物聯網業務帶來了安全方面的更多不確定性。目前我國物聯網行業還存在行業關鍵技術標準缺乏統一規范、數據安全防護能力較為薄弱、信息安全問題突出等，必須采取有效措施，提高物聯網安全治理水平。

加快制定我國物聯網設備安全標準和防護指南。充分借鑒發達國家物聯網安全治理經驗，加快推進物聯網信息安全保護的立法工作，制定我國物聯網設備安全標準和防護指南，為相關部門開展執法監督工作提供依據，包括加快制定物聯網標識和解析、應用接口、數據格式等基礎共性標準，大力推進智能傳感器、超高頻和微波 RFID 等關鍵技術標準的制定。

加強物聯網全生命周期的安全管理。嚴格落實網絡安全等級保護 2.0 制度，加強物聯網全生命周期安全管理，構建覆蓋物聯網系統建設各環節的安全防護體系，實現全業務流程的安全防護。例如，加強物聯網感知層設備的系統安全防護能力、保障傳輸層各節點的物理安全，提高對平臺層用戶數據安全保護能力，以及應用服務程序抵擋惡意攻擊的水平等。

加強物聯網產業鏈的共享協作。物聯網產業鏈上下游涉及眾多主體和技術，通過整合物聯網整個產業體系的資源激發產業鏈上下游發展活力，充分發揮各自優勢，整合信息、技術、市場等資源，強化產業、學校、科研機構的相互配合，建立聯合工作機制，充分發揮產業力量，合力推進關鍵技術標準化，統籌跨領域的標準制定和互通，以共同加強物聯網安全防護能力。