欧盟关键信息基础设施环境中物联网安全建议（下）.pdf

电子政务发展前沿 本期内容： 欧盟关键信息基础设施环境中物联网安全建议 （下） 国家电子政务外网管理中心主办 2018. 3 编者的话 物联网 （Internet of Things，简称“loT”）以其智能化和互联 互通性等特征，快速成为新一代信息技术的重要发展方向。物联网对 传统产业的改造升级和对大数据等新兴产业的助推使其成为世界新 科技革命和产业革命发展的重要驱动力量。然而，由于物联网广泛的 网络联通性所带来的一系列网络和信息安全问题也引起高度的重视。 世界各国都在致力于推动物联网产业的快速和健康发展。发达国 家在持续加大对物联网核心技术、标准制定和产业化等方面投入的同 时，也在不断完善和加强对物联网的安全管理。2017 年11 月20 日， 欧洲网络和信息安全管理局 （ENISA）发布《欧盟关键信息基础设施 环境中的物联网安全基线建议》（以下简称《建议》），对物联网安全 现状及安全基线建议进行了全面总结，以期进一步促进欧洲物联网产 业的健康快速发展。 本期内容涵盖了《建议》中的安全措施和可靠实践的详细清单， 包括了物联网在网络安全方面的主要差距的分析，并基于已完成的所 有背景调查、专家会谈意见、可靠实践以及安全措施情况，提出了一 系列建议。 近年来，我国高度重视物联网产业的发展，将物联网作为战略性 新兴产业列为国家重要信息化发展战略的组成部分。在 《“十三五” 国家信息化规划》和“互联网+”国家行动计划中，均提出要在国家 重大信息化应用工程中加大对物联网技术和应用的投入。欧盟对物联 网安全发展提出的建议对我国物联网发展有重要的借鉴意义。 责任编译：韩帅 编 译：黄若涵、焦迪 译 审：舍日古楞 电子政务发展前沿 E-Government Frontiers 目 录 四、安全措施和可靠实践 1 （一）政策方针2 （二）组织、人员和过程措施3 （三）技术措施4 五、差距分析 10 （一）现有安全解决方法和法规条例呈现零散化 10 （二）缺乏安全意识和专业知识 11 （三）不安全的设计和开发方法 12 （四）在不同的物联网设备、平台以及框架间的互通性不足 12 （五）缺少经济激励举措 13 （六）产品缺乏适当的生命周期管理 13 六、改善物联网安全的高级建议 15 （一）建议概述 15 （二）具体建议 15 术语汇编20 附录 代表性物联网安全事件详述22 2 电子政务发展前沿 E-Government Frontiers 欧盟关键信息基础设施环境物联网安全建议 四、安全措施和可靠实践 本章提供了安全措施和可靠实践的详细清单，旨在减少影响物联网设备和环 境的威胁、脆弱性和风险。定义的这些安全措施和可靠实践，其目的是以横向方 式应用于不同的物联网环境和部署工作，而不仅是提供某些物联网垂直体系安 全。因此，定义的安全措施涵盖了广泛的安全考虑，如设计安全、数据保护、风 险分析等。 本报告的安全措施和可靠实践是根据一项非常广泛和深入的桌面研究确定 的，考虑到了不同的安全准则、标准等。 这些不同安全措施和可靠实践属于本报告定义的几个安全领域。划分安全领 域的目的是横向覆盖每一个物联网环境，以便对不同的物联网生态系统领域应用 哪些安全措施进行分类和定义。建议的安全领域划分如下：  信息系统安全治理和风险管理：涉及的安全措施包括关于信息系统安全 风险分析、政策、鉴定、指标、审计以及人力资源管理。  生态系统管理：包括关于生态系统制图和生态系统关系的安全措施。  IT 安全体系结构：包括关于系统配置、资产管理、系统隔离、流量过滤