物联网安全生态的不同责任 安全企业最为厚重

“据工业和信息化部统计，截至2022年底，我国移动物联网连接数量达到18.4亿，比2021年底净增4.47亿，占全球总量的70%。此外，我国目前拥有230多万个5G基站，这将进一步促进物联网和数字经济的发展。”这是前不久国家权威媒体报道在京举行的世界物联网大会（WIOTC）曾引用的相关数据。



《人民日报》此前相关报道也指出，我国已建成全球最大窄带物联网，实现了全国主要城市乡镇以上区域连续覆盖，且物联网应用场景不断丰富，产业链持续完善。截止2022年年中，我国已形成涵盖芯片、模组、终端、软件、平台和服务等环节的较为完整的移动物联网产业链。窄带物联网已在水表、燃气表、消防烟感和电动自行车防盗4个行业实现超过千万级连接。
 
中国信息安全测评中心总工程师王军此前在接受安全419采访时引用相关数据侧面表达了对物联网安全现状的担心，他指出，目前CNNVD国家信息安全漏洞库中共有17万多条累积漏洞量，粗略统计，其中物联网相关漏洞共占到11%，这还是基于公开的漏洞，和基于国内外知名物联网厂商索引查询的数量。所以从漏洞态势层面来看，物联网安全威胁不容乐观。
 
产业物联网安全重在有章可循 消费物联网安全热度逐年攀升
 
网络安全产业的物联网领域安全专家曾现安全419表示，物联网安全是网络安全的一个体系分支，物联网可分为产业物联网和消费物联网，在产业物联网一侧最近几年因不断完善的法律法规（指三法一条例）、物联网安全国家标准、等级保护2.0单独开设物联网安全扩展要求等等举措使得政企单位对于物联网安全意识提到了一个相对较高的水平。
 
从实践来看，如在智慧城市的项目规划当中，物联网安全已成为同步建设的必备一环。
 
但安全专家也明确指出，在产业物联网一侧安全仍然有很大的提升空间，其中最重要一点就是很多建设单位已经知道物联网安全的重要性，只是不知道在实际中该如何建设。产业物联网包罗万象，需要政府行业监管部门为不同应用场景制定以适应其自身业务需要的细分场景的安全建设规范或标准，从而让相关建设方有章可循，合规开展物联网安全建设。
 
消费物联网比较容易理解，就是我们身边常出现的智能联网设备，比如智能手表、扫地机器人等等。但实际上最近几年智能汽车正迅速增长为消费物联网最大市场，且在年初中国计算机学会（CCF）发布2023年网络安全十大发展趋势时，就曾预测智能网联汽车安全将为产业重点。
 
在消费物联网领域，更多的还是要靠生产企业来负责买单。对于个人终端用户而言，在其使用消费物联网设备时，自身对设备安全需求是明确的，但为安全付费意愿不高，所以消费级物联网终端的安全责任在商业模式上要归属于设备制造商。且随着终端用户越来越关注消费物联网设备的安全性，以智能网联汽车为例，其终端安全可靠的品质将成为赢得用户青睐的重要因素。
 
物联网安全生态闭环的不同责任 安全企业责任最为厚重
 
安全专家总结过物联网安全生态当中的不同角色，他们分别是生产厂商、项目建设方、监管部门及网络安全厂商。
 
对于生产厂商而言，其责任在于有义务提供更加安全的终端设备，第一，不能让设备“带病入网”，第二，还要对设备进行后期可能出现的安全隐患做出及时的应急响应。这方面相关组织需遵循具体的标准规范，强化厂商责任，及具体的安全回溯机制。
 
对于物联网项目建设方而言，以智慧园区建设为例，需要在建设过程中同步规划智慧园区的整体安全体系，要保障整体网络的安全性、传感设备户外部署的安全性等等，这需要为感知层、网络层、应用层、平台层建设一系列安全防护手段。
 
监管部门方面，物联网领域尚未形成完整的安全监管标准闭环，需要推动物联网领域制定细分场景的安全监管标准。实际这方面国家已经做了大量的工作，但标准和规范方面仍然需要持续细化，其具体安全技术要求下沉到具体的行业和项目建设场景当中。
 
网络安全厂商方面，被认为是整个物联网的安全生态当中责任和义务相对厚重的一方。其中的责任与义务是提供物联网安全产品及解决方案咨询及服务，以及为具体客户场景的安全标准规范的制定提供专业建议。
 
在5G、人工智能等技术的催化下，数字化改革浪潮的推进下，万物互联正在加速。安全厂商如何打造更好的安全产品方案，赋能物联网全生命周期安全，是物联网产业健康、快速发展的重要保障。但现阶段，物联网安全建设仍然面临诸多痛点，需要行业共同攻关解决：
 
第一，生产厂商需尽可能地补齐网络安全短板，最大限度保障安全。设备的智能化固然更具生命力和吸引力，但忽视安全绝不可取。任何一个产业都有自身的产业链，企业往往因为节省成本忽视安全，现在，企业需要在成本控制与安全成本支出之间寻找平衡，智能终端设备的安全性不足必将得不到用户的认可。
 
第二，不同的智能终端对于安全同步建设存在巨大差异，比如在室外部署的物联网设备，需要的是低功耗，或者是精简设计，这就对同步的安全开发提出了挑战。为不同联网设备提供专属的安全开发，对于厂商而言是个巨大挑战，从物联网建设一方而言，也需要为之制定灵活的配套安全举措。
 
第三，物联网设备带病运营普遍存在，在设备开源系统组件的供应链环节，在持续的安全研究下，安全漏洞陆续被发现，这就要求要不断对联网设备进行升级维护。难点在于联网设备数量较大，部分设备没有条件进行便利的升级维护，甚至是无法升级，这对持续运营的物联网安全带来巨大挑战。
 
第四，近年来物联网应用飞速增长，物联网应用场景中连接规模之大，已经引起了黑客组织极大的兴趣。这种攻防趋势威胁之下，要求物联网设备安全防护要与黑客技术不断较量，即需要持续的安全投入，从而让联网设备始终处于有效安全保护之下。
 
总之，物联网安全工作是一个大的系统工程，做好这件事需要多方合作从实践上不断探索。‍‍