《物聯網基礎安全標準體系建設指南(2021版)》政策解讀
據工信部網站25日消息,工業和信息化部辦公廳近日印發《物聯網基礎安全標準體系建設指南(2021版)》(下簡稱《建設指南》)。根據《建設指南》,到2022年,初步建立物聯網基礎安全標準體系,研制重點行業標準10項以上;到2025年,推動形成較為完善的物聯網基礎安全標準體系。
根據《建設指南》,物聯網基礎安全標準主要是指物聯網終端、網關、平臺等關鍵基礎環節的安全標準。物聯網基礎安全標準體系包括總體安全、終端安全、網關安全、平臺安全、安全管理等5大類。為推動政策加快落地,回應社會關切,現對《行動計劃》有關內容解讀如下:
問:《建設指南》出臺的背景是什么?
答
黨中央、國務院高度重視物聯網新型基礎設施建設發展,黨的十九屆五中全會提出“系統布局新型基礎設施”;國家“十四五”規劃綱要提出推動物聯網全面發展,將物聯網納入7大數字經濟重點產業,并對物聯網接入能力、重點領域應用等作出部署。
“十三五”以來,工業和信息化部大力推進物聯網產業發展,取得積極成效。一是加強政策指引,印發《信息通信行業發展規劃物聯網分冊(2016-2020)》,引導物聯網技術研發、應用落地和產業發展。二是啟動基地建設,推動杭州、無錫、重慶、福州、鷹潭等5個物聯網示范基地加快產業集群發展。三是加速應用落地,2018-2020年連續三年遴選具有技術先進性、產業帶動性、可規模化應用的創新示范項目,推動優秀成果推廣應用。“十三五”期間,我國物聯網產業總體規模、骨干企業數、標準制定數量等指標全部達到規劃預期目標,物聯網應用部署范圍和產業綜合實力持續提升。
標準引領產業發展的作用不強,物聯網安全問題仍然嚴峻,相關知識產權、成果轉化、人才培養等公共服務能力不足。解決上述問題,要進一步加強政策引導,匯聚合力,協同推進物聯網技術創新、產業生態建設、重點領域應用推廣和安全等工作。
“十四五”時期是物聯網新型基礎設施建設發展的關鍵期,為深入貫徹落實好黨中央、國務院決策部署,系統謀劃未來三年物聯網新型基礎設施建設,工業和信息化部等8部門共同印發《物聯網新型基礎設施建設三年行動計劃(2021-2023年)》。
為進一步發揮標準對物聯網基礎安全的規范和保障作用,加快網絡強國建設步伐,現印發《物聯網基礎安全標準體系建設指南(2021版)》,希望在標準化工作中貫徹執行。
問:《建設指南》的基本原則是什么?
答
需求牽引,加強統籌。緊密貼合物聯網產業發展現狀和 趨勢,著力構建科學合理、先進適用、開放融合的基礎安全 標準體系,強化標準工作統籌協調,指導標準制定有序開展。
聚焦重點,急用先行。圍繞物聯網基礎設施和重點行業 應用,加快推進基礎通用、關鍵技術、試驗方法等重點和急 需標準制定,及時滿足物聯網產業的安全需求。
廣泛參與,強化實施。凝聚設備廠商、電信企業、安全 企業、互聯網企業、科研單位、高校等產學研用各方力量, 鼓勵頭部企業發揮示范帶頭作用,推動標準有效實施。
問: 《建設指南》提到未來五年物聯網基礎安全標準的建設目標是什么?
03
《行動計劃》指出到 2022 年,初步建立物聯網基礎安全標準體系,研制 重點行業標準 10 項以上,明確物聯網終端、網關、平臺等 關鍵基礎環節安全要求,滿足物聯網基礎安全保障需要,促進物聯網基礎安全能力提升。
到 2025 年,推動形成較為完善的物聯網基礎安全標準體系,研制行業標準 30項以上,提升標準在細分行業及領 域的覆蓋程度,提高跨行業物聯網應用安全水平,保障消費者安全使用。
問:《建設指南》提到物聯網基礎安全標準的建設內容是什么?
答
《行動計劃》提出,物聯網基礎安全標準主要是指物聯網終端、網關、平臺 等關鍵基礎環節的安全標準。物聯網基礎安全標準體系包括 總體安全、終端安全、網關安全、平臺安全、安全管理等 5 大類標準。
來源:《物聯網基礎安全標準體系建設指南(2021版)》
針對這5類標準,通過進一步的解讀分析,結合物聯網行業安全現狀,可得出未來物聯網安全的發展方向如下:
通過對總體安全的解讀,可以發現,未來物聯網安全建設并非一成不變,需貼合相關業務場景,通過安全架構模型的設計,明確各個角色所承擔的責任及邊界,針對不同場景,細化安全規范。通過對物聯網基礎安全的分級分類,以及采用安全的通信協議,來保障物聯網的安全性及可靠性。
終端安全的能力建設,各類物聯網終端生產廠商,未來應強化供應鏈側的設備出廠安全,結合各自產品特征與制造工序,進行分層分級的安全建設,確保每個產品組件都達到對應的安全標準;除此之外,應建立完善的安全測試機制,及時發現產品自身的安全隱患,避免流入市場,造成更加嚴重的危害。
網關安全的能力建設,從產品側來講,需重視產品開發過程中從整體到組件的安全性,基于自身業務場景,集成必要的安全防護機制。
平臺安全的能力建設,應依法依規,做好平臺的通用安全建設;基于行業特性,貼合業務場景,理清業務邏輯,進而劃分安全域,加強平臺側南北向、東西向的安全訪問控制;針對日常運維管理,建立常態化的安全預警機制,能夠及時發現物聯網安全潛在風險,及時處置,確保物聯網相關業務能夠正常運行。
問:《建設指南》規范了哪些方面的要求?
答
《建設指南》還提及規范不同物聯網場景下終端、網關、平臺的運維管理等方面安全要求,主要包括制度建設、安全組織、人員管理、運行安全、資產管理、配置管理、遠程維護安全、脆弱性檢測、應急響應與管理、災備恢復等。
問: 如何推動物聯網標準建設和落地實施?
答
標準是物聯網發展的基礎。《建設指南》指出,在組織實施方面:
一是加快標準研制。加強產學研用等各方的工作協同,注重物聯網基礎安全 標準與行業發展實際相結合,成體系推進標準研制。
二是實施動態更新。跟蹤物聯網新技術、新應用的發展趨勢,主動適應物聯網安全發展水平的不斷提升,加強標準 體系的動態更新和完善,有效滿足產業安全發展需求。
三是深化標準應用。鼓勵行業協會、標準化技術組織等面向生產者、用戶、第三方檢測認證機構等,開展重點標準 的宣傳和培訓,引導企業對標達標,推動標準落地實施。
四是開展交流合作。支持中外企業、協會、標準化機構等開展物聯網基礎安全標準的國際交流合作,積極參與物聯網安全國際標準制定,為提升全球物聯網安全水平貢獻中國技術方案。
此外,行業相關人員應定期開展物聯網安全主題活動,強化物聯網安全意識;對于物聯網安全的管理,應結合自身業務特點,定期開展物聯網安全隱患排查工作,明確物聯網絡安全現狀,針對相關安全隱患開展專項整治活動;在物聯網設備的采購方面,面向各類物聯網產品供應商,應將物聯網設備安全、物聯網網關安全、物聯網平臺安全作為遴選的標準之一。推動物聯網行業的進步,提升物聯網產品的安全性能,保障物聯網安全工作能夠落到實處。
聯動《物聯網新型基礎設施建設三年行動計劃
(2021-2023年)》
問:未來三年,如何布局物聯網安全保障工作?
答
《行動計劃》提出依托科研機構與聯盟協會,從加強物聯網卡安全管理、建設面向物聯網密碼應用檢測平臺以及安全公共服務平臺、打造“物聯網安心產品”等方面發力,提升物聯網安全技術應用水平和安全公共服務能力。
網絡安全是信息化建設的前提與基礎,各單位應基于現有的整體網絡安全管理平臺,完善建設物聯網安全保障機制, 基于整體安全,在物聯網安全領域,構建縱深防御體系,進一步完善整體網絡安全的防護能力,使得物聯網安全真正融入到現有的整體網絡安全中去,為各單位整體安全的建設賦予物聯網安全防護能力!
最后,物聯網設備供應商、服務商、使用者作為物聯網基礎安全標準體系建設中的重要角色,需結合各自領域的安全現狀,貫徹落實《行動計劃》及《建設指南》的重要思想。基于各自角色,積極承擔相應的物聯網安全能力建設,推動物聯網安全又好又快發展。
