聯(lián)網(wǎng)設備、系統以及服務(wù)所組成的物聯(lián)網(wǎng)（IoT）不斷增長(cháng)，為我們的社會(huì )創(chuàng )造了巨大的機會(huì )與利益。為了最大限度地利用聯(lián)網(wǎng)設備帶來(lái)的益處，同時(shí)將潛在的重大風(fēng)險降至最低，我們必須確保這些設備是安全的、有彈性的。但我們不得不承認，隨著(zhù)聯(lián)網(wǎng)的人、企業(yè)以及設備的增長(cháng)，潛在的惡意攻擊也在不斷蔓延。當前，網(wǎng)絡(luò )攻擊聚焦聯(lián)網(wǎng)設備，所造成的后果正在成倍增加。

隨著(zhù)全球數字生態(tài)系統（包括物聯(lián)網(wǎng)）面臨的威脅不斷增長(cháng)，我們重建聯(lián)網(wǎng)設備、物聯(lián)網(wǎng)以及安全生態(tài)中的信任將變得至關(guān)重要，不僅涉及到安全問(wèn)題，更關(guān)乎經(jīng)濟增長(cháng)與創(chuàng )新。為了更好地幫助決策者和利益相關(guān)方保護物聯(lián)網(wǎng)生態(tài)的安全，ITI提出以下政策原則作為指導：

所有利益相關(guān)者必須合作，采取系統的方法，保護物聯(lián)網(wǎng)的各部分網(wǎng)絡(luò )和復雜生態(tài)系統的安全，其中必須關(guān)注端對端安全，包括設計實(shí)現安全的技術(shù)（security-by-design techniques）和安全的開(kāi)發(fā)生命周期。隨著(zhù)全球對物聯(lián)網(wǎng)安全的關(guān)注（包括擔心像利用不安全物聯(lián)網(wǎng)設備的僵尸網(wǎng)絡(luò )等復雜的自動(dòng)化和分布式威脅）持續增長(cháng)，政策制定者錯誤地聚焦于物聯(lián)網(wǎng)產(chǎn)品的安全，而不是更廣范圍的物聯(lián)網(wǎng)生態(tài)安全。許多政策建議僅僅局限于物聯(lián)網(wǎng)生態(tài)系統的單個(gè)組成部分，而不是將生態(tài)系統的安全視作整體，如部分政策簡(jiǎn)單要求互聯(lián)網(wǎng)服務(wù)提供商（ISPs）關(guān)閉所有的僵尸網(wǎng)絡(luò )，或者數十億設備制造商應該確保其設備普遍安全，這樣過(guò)于簡(jiǎn)單粗暴的解決方案難以滿(mǎn)足確保生態(tài)系統安全的基本需求。無(wú)論在設備、網(wǎng)絡(luò )，還是軟件方面采取何種安全措施，但凡這些措施是獨立于生態(tài)系統單獨處理的，那么最終仍然是失敗。因此，從整體的角度看問(wèn)題是一種更好的方法。

既然生態(tài)系統安全至關(guān)重要，那么圍繞物聯(lián)網(wǎng)基本安全能力確立共識則非常必要。建立一套通用的最佳實(shí)踐和安全能力并將其推行至所有復雜各異的、受市場(chǎng)需求驅動(dòng)的全球物聯(lián)網(wǎng)設備中，將有助于改善所有新物聯(lián)網(wǎng)設備的安全。

圍繞物聯(lián)網(wǎng)安全基線(xiàn)建立廣泛的行業(yè)共識也會(huì )有利于加強政府與行業(yè)之間的有效合作，在全球建立互操作性強的物聯(lián)網(wǎng)安全政策。此外，確立一個(gè)核心基線(xiàn)將有助于在全球推動(dòng)建立具有互操作性的標準、促進(jìn)創(chuàng )新，提升物聯(lián)網(wǎng)安全。政府應該持續鼓勵開(kāi)放和國際性的安全標準以維持物聯(lián)網(wǎng)的長(cháng)期生存能力，并促進(jìn)跨部門(mén)的解決方案。

多方利益相關(guān)者在制定核心物聯(lián)網(wǎng)安全基線(xiàn)上發(fā)揮了重要作用，如美國NIST發(fā)布的《對物聯(lián)網(wǎng)設備制造商的建議:基礎活動(dòng)和核心設備網(wǎng)絡(luò )安全能力基線(xiàn)》草案第二版（NISTIR 8259）；向物聯(lián)網(wǎng)設備生產(chǎn)商提建議參考多個(gè)國際物聯(lián)網(wǎng)安全標準以及行業(yè)驅動(dòng)的物聯(lián)網(wǎng)安全能力共識C2。推動(dòng)全球圍繞核心物聯(lián)網(wǎng)安全基線(xiàn)工作進(jìn)行協(xié)調，從而形成重大共識，可作為推進(jìn)全球物聯(lián)網(wǎng)安全的關(guān)鍵工作。

為充分實(shí)現物聯(lián)網(wǎng)的賦能，政府部門(mén)應該推進(jìn)政策打破各項設備連接的政策障礙，并且在保護隱私和安全的條件下整合數據。政府應該審視當前物聯(lián)網(wǎng)的基礎技術(shù)，并評估當前正在實(shí)施的監管措施，避免孤立的、部門(mén)性的規制方式。

政策制定者和監管者在物聯(lián)網(wǎng)議題上應加強公私合作，以制定網(wǎng)絡(luò )安全解決方案，并更好地協(xié)調國內和全球已有的物聯(lián)網(wǎng)安全相關(guān)的政策。如美國NIST正在發(fā)展建立物聯(lián)網(wǎng)安全框架，這是此類(lèi)合作的典型。

貼安全標簽作為保護消費者權益有效的工具，其可行性需要進(jìn)一步的觀(guān)察和討論，特別是目前在政策制定者和行業(yè)相關(guān)者之間還沒(méi)有就這種方案的優(yōu)點(diǎn)和缺點(diǎn)達成共識。例如，向消費者提供有關(guān)物聯(lián)網(wǎng)設備關(guān)鍵安全特性的明確信息，可能會(huì )促進(jìn)基于安全的市場(chǎng)競爭，建立對物聯(lián)網(wǎng)產(chǎn)品安全的信任，幫助消費者履行其維護安全的職責。然而，這樣的計劃可能傳達出一種虛假的安全感，如果強制執行，只會(huì )進(jìn)一步分化市場(chǎng)，提高合規成本。政策制定者應在這方面謹慎行事，確保任何計劃都是自愿的和深思熟慮的。

個(gè)別城市、行業(yè)機構或國家發(fā)布的強制性物聯(lián)網(wǎng)要求，將分割全球物聯(lián)網(wǎng)安全格局，這種碎片化最終將通過(guò)降低安全物聯(lián)網(wǎng)產(chǎn)品在開(kāi)發(fā)、制造、支持、培訓、評估和識別方面的規模效率來(lái)限制安全物聯(lián)網(wǎng)的增長(cháng)。這也將使行業(yè)更難遵守這些不同的要求，從而阻礙全球商業(yè)和貿易。

維護物聯(lián)網(wǎng)長(cháng)期的安全和彈性需要一個(gè)全球整體的方法，這就意味著(zhù)不同國家、行業(yè)和生態(tài)系統的各個(gè)部分的利益相關(guān)者采用同樣的基線(xiàn)安全實(shí)踐。為了應對日益多樣化的政策環(huán)境，政策制定者應優(yōu)先考慮全球協(xié)調和監管合作，以支持業(yè)界圍繞基于全球標準的物聯(lián)網(wǎng)安全核心基線(xiàn)能力達成自愿共識。

最后，利益相關(guān)者必須明白，將物聯(lián)網(wǎng)設備連接到互聯(lián)網(wǎng)是一個(gè)長(cháng)期的承諾，而不是一次性的設計和制造。物聯(lián)網(wǎng)安全需要的是動(dòng)態(tài)的、靈活的市場(chǎng)驅動(dòng)的解決方案，能夠靈活地適應不斷演變的網(wǎng)絡(luò )威脅。

參考文獻：

https://www.itic.org/dotAsset/d9c7be68-d2d4-42de-aaea-e91fc526b717.pdf

來(lái)源：中國信息安全