国务院日前发布《关于推进物联网有序健康发展的指导意见》(以下简称《指导意见》),就物联网的指导思想、发展目标、主要任务、保障措施等提出了指导意见。自2009年物联网成为国家级重要产业领域以来,我国陆续出台了关于物联网发展的一系列政策意见。与以往政策所不同的是,此次发布的《指导意见》重点提及了安全保障等话题。
产业基础薄弱
提起《指导意见》发布的背景,印·希尔咨询高级咨询师刘秀丽认为,经过近几年的发展,我国物联网在技术研发、标准研制、产业培育和行业应用等方面初步具备了一定基础。2012年我国物联网产业市场规模达到3650亿元,比2011年增长了38.6%。不过在迅速发展的同时,产业基础薄弱、关键核心技术有待突破、网络信息安全存在潜在隐患等问题依然突出,亟需加强引导和加快解决。
从物联网全球竞争形势来看,物联网目前仍处于起步阶段,在全球还没有成熟的技术和标准,发达国家一方面加大力度发展传感器节点核心芯片、嵌入式操作系统、智能计算等核心技术,另一方面不断加快标准制定和产业化进程,积极谋求在未来的物联网大规模发展及国际竞争中占据有利位置。基于物联网的战略地位及其在国内的发展现状,我国政府亟需大力推动行业标准制定。因此,在此前颁布的政策的基础上,细化和明确产业发展指导规范,是物联网发展的当务之急。
“物联网产业链分布广,具有很强的行业示范作用,在政策支持下,这一新兴行业将吸引众多投资者进入,此次《指导意见》出台,物联网产业链上的行业,如无线通信、有线通信、设备和芯片等都会成为受益者,这无疑会推动中国物联网市场快速发展。”刘秀丽如此评价《指导意见》。
安全问题较突出
值得注意的是,本次《指导意见》重点提及了安全保护。“强化安全意识,注重信息系统安全管理和数据保护。加强物联网重大应用和系统的安全测评、风险评估和安全防护工作,保障物联网重大基础设施、重要业务系统和重点领域应用的安全可控。”《指导意见》这样提及。
对于物联网安全问题的重要性,中国联通物联网办公室主任马彦这样认为,物联网的某些应用,如车联网和移动医疗等,可能会涉及人生安全,一旦出现安全问题,后果将不堪想象。因此物联网的安全标准要远远高于互联网的安全标准。
不过,现实情况是,目前国内外的物联网安全都还处于起步阶段,虽然在无线传感器网络和射频识别领域有一些针对性的研发工作,但是统一标准的物联网安全体系尚未正式形成。国内外较为流行的无线通信协议均采用为不同安全等级应用配置不同加密等级策略的思路,对如何为物联网划分安全等级的研究还较少。
“从物联网安全需求和特点可以看出,物联网安全将是其能否真正普及的决定性因素,物联网的发展已经开始加速,对安全的需求日益迫切。”刘秀丽表示。
网络层和应用层应区别对待
对于如何构建物联网安全保障体系,《指导意见》提出:“完善安全等级保护制度,建立健全物联网安全测评、风险评估、安全防范、应急处置等机制,增强物联网基础设施、重大系统、重要信息等的安全保障能力,形成系统安全可用、数据安全可信的物联网应用系统。”
对于安全等级保护制度,中国移动研究院首席科学家杨景认为,首先是应用层和网络层建立不同的安全等级保护制度。因为网络的应用层面跟传统信息安全风险评估差距不大,但是网络传输使用到专用网关设备与网络环境,所以物联网安全保障体系的重点应该是物联网专网及相关协议。其次,计算体系和信息存储体系的可用性,以及对生命周期中各种活动的安全评估和处理,也都是物联网安全运营所必须考虑的。
刘秀丽认为,与互联网安全相比,物联网安全呈现出平民化、轻量级、非对称和复杂性等特点。
物联网安全必须改变先系统后安全的思路,在物联网应用设计和实施之初,就同时考虑应用和安全,将两者从一开始就紧密结合起来,系统地考虑感知层、网络层和应用层的安全,才能更好地解决各种物联网安全问题,应对物联网安全的新挑战。
此外,不同行业的物联网信息有自己的特点,所采取的对策也不尽相同,因此需要明确物联网中的特殊安全需求,为不同的物联网应用提供端到端的安全保护。