《物联网基础安全标准体系建设指南(2021版)》政策解读
据工信部网站25日消息,工业和信息化部办公厅近日印发《物联网基础安全标准体系建设指南(2021版)》(下简称《建设指南》)。根据《建设指南》,到2022年,初步建立物联网基础安全标准体系,研制重点行业标准10项以上;到2025年,推动形成较为完善的物联网基础安全标准体系。
根据《建设指南》,物联网基础安全标准主要是指物联网终端、网关、平台等关键基础环节的安全标准。物联网基础安全标准体系包括总体安全、终端安全、网关安全、平台安全、安全管理等5大类。为推动政策加快落地,回应社会关切,现对《行动计划》有关内容解读如下:
问:《建设指南》出台的背景是什么?
答
党中央、国务院高度重视物联网新型基础设施建设发展,党的十九届五中全会提出“系统布局新型基础设施”;国家“十四五”规划纲要提出推动物联网全面发展,将物联网纳入7大数字经济重点产业,并对物联网接入能力、重点领域应用等作出部署。
“十三五”以来,工业和信息化部大力推进物联网产业发展,取得积极成效。一是加强政策指引,印发《信息通信行业发展规划物联网分册(2016-2020)》,引导物联网技术研发、应用落地和产业发展。二是启动基地建设,推动杭州、无锡、重庆、福州、鹰潭等5个物联网示范基地加快产业集群发展。三是加速应用落地,2018-2020年连续三年遴选具有技术先进性、产业带动性、可规模化应用的创新示范项目,推动优秀成果推广应用。“十三五”期间,我国物联网产业总体规模、骨干企业数、标准制定数量等指标全部达到规划预期目标,物联网应用部署范围和产业综合实力持续提升。
标准引领产业发展的作用不强,物联网安全问题仍然严峻,相关知识产权、成果转化、人才培养等公共服务能力不足。解决上述问题,要进一步加强政策引导,汇聚合力,协同推进物联网技术创新、产业生态建设、重点领域应用推广和安全等工作。
“十四五”时期是物联网新型基础设施建设发展的关键期,为深入贯彻落实好党中央、国务院决策部署,系统谋划未来三年物联网新型基础设施建设,工业和信息化部等8部门共同印发《物联网新型基础设施建设三年行动计划(2021-2023年)》。
为进一步发挥标准对物联网基础安全的规范和保障作用,加快网络强国建设步伐,现印发《物联网基础安全标准体系建设指南(2021版)》,希望在标准化工作中贯彻执行。
问:《建设指南》的基本原则是什么?
答
需求牵引,加强统筹。紧密贴合物联网产业发展现状和 趋势,着力构建科学合理、先进适用、开放融合的基础安全 标准体系,强化标准工作统筹协调,指导标准制定有序开展。
聚焦重点,急用先行。围绕物联网基础设施和重点行业 应用,加快推进基础通用、关键技术、试验方法等重点和急 需标准制定,及时满足物联网产业的安全需求。
广泛参与,强化实施。凝聚设备厂商、电信企业、安全 企业、互联网企业、科研单位、高校等产学研用各方力量, 鼓励头部企业发挥示范带头作用,推动标准有效实施。
问: 《建设指南》提到未来五年物联网基础安全标准的建设目标是什么?
03
《行动计划》指出到 2022 年,初步建立物联网基础安全标准体系,研制 重点行业标准 10 项以上,明确物联网终端、网关、平台等 关键基础环节安全要求,满足物联网基础安全保障需要,促进物联网基础安全能力提升。
到 2025 年,推动形成较为完善的物联网基础安全标准体系,研制行业标准 30项以上,提升标准在细分行业及领 域的覆盖程度,提高跨行业物联网应用安全水平,保障消费者安全使用。
问:《建设指南》提到物联网基础安全标准的建设内容是什么?
答
《行动计划》提出,物联网基础安全标准主要是指物联网终端、网关、平台 等关键基础环节的安全标准。物联网基础安全标准体系包括 总体安全、终端安全、网关安全、平台安全、安全管理等 5 大类标准。
来源:《物联网基础安全标准体系建设指南(2021版)》
针对这5类标准,通过进一步的解读分析,结合物联网行业安全现状,可得出未来物联网安全的发展方向如下:
通过对总体安全的解读,可以发现,未来物联网安全建设并非一成不变,需贴合相关业务场景,通过安全架构模型的设计,明确各个角色所承担的责任及边界,针对不同场景,细化安全规范。通过对物联网基础安全的分级分类,以及采用安全的通信协议,来保障物联网的安全性及可靠性。
终端安全的能力建设,各类物联网终端生产厂商,未来应强化供应链侧的设备出厂安全,结合各自产品特征与制造工序,进行分层分级的安全建设,确保每个产品组件都达到对应的安全标准;除此之外,应建立完善的安全测试机制,及时发现产品自身的安全隐患,避免流入市场,造成更加严重的危害。
网关安全的能力建设,从产品侧来讲,需重视产品开发过程中从整体到组件的安全性,基于自身业务场景,集成必要的安全防护机制。
平台安全的能力建设,应依法依规,做好平台的通用安全建设;基于行业特性,贴合业务场景,理清业务逻辑,进而划分安全域,加强平台侧南北向、东西向的安全访问控制;针对日常运维管理,建立常态化的安全预警机制,能够及时发现物联网安全潜在风险,及时处置,确保物联网相关业务能够正常运行。
问:《建设指南》规范了哪些方面的要求?
答
《建设指南》还提及规范不同物联网场景下终端、网关、平台的运维管理等方面安全要求,主要包括制度建设、安全组织、人员管理、运行安全、资产管理、配置管理、远程维护安全、脆弱性检测、应急响应与管理、灾备恢复等。
问: 如何推动物联网标准建设和落地实施?
答
标准是物联网发展的基础。《建设指南》指出,在组织实施方面:
一是加快标准研制。加强产学研用等各方的工作协同,注重物联网基础安全 标准与行业发展实际相结合,成体系推进标准研制。
二是实施动态更新。跟踪物联网新技术、新应用的发展趋势,主动适应物联网安全发展水平的不断提升,加强标准 体系的动态更新和完善,有效满足产业安全发展需求。
三是深化标准应用。鼓励行业协会、标准化技术组织等面向生产者、用户、第三方检测认证机构等,开展重点标准 的宣传和培训,引导企业对标达标,推动标准落地实施。
四是开展交流合作。支持中外企业、协会、标准化机构等开展物联网基础安全标准的国际交流合作,积极参与物联网安全国际标准制定,为提升全球物联网安全水平贡献中国技术方案。
此外,行业相关人员应定期开展物联网安全主题活动,强化物联网安全意识;对于物联网安全的管理,应结合自身业务特点,定期开展物联网安全隐患排查工作,明确物联网络安全现状,针对相关安全隐患开展专项整治活动;在物联网设备的采购方面,面向各类物联网产品供应商,应将物联网设备安全、物联网网关安全、物联网平台安全作为遴选的标准之一。推动物联网行业的进步,提升物联网产品的安全性能,保障物联网安全工作能够落到实处。
联动《物联网新型基础设施建设三年行动计划
(2021-2023年)》
问:未来三年,如何布局物联网安全保障工作?
答
《行动计划》提出依托科研机构与联盟协会,从加强物联网卡安全管理、建设面向物联网密码应用检测平台以及安全公共服务平台、打造“物联网安心产品”等方面发力,提升物联网安全技术应用水平和安全公共服务能力。
网络安全是信息化建设的前提与基础,各单位应基于现有的整体网络安全管理平台,完善建设物联网安全保障机制, 基于整体安全,在物联网安全领域,构建纵深防御体系,进一步完善整体网络安全的防护能力,使得物联网安全真正融入到现有的整体网络安全中去,为各单位整体安全的建设赋予物联网安全防护能力!
最后,物联网设备供应商、服务商、使用者作为物联网基础安全标准体系建设中的重要角色,需结合各自领域的安全现状,贯彻落实《行动计划》及《建设指南》的重要思想。基于各自角色,积极承担相应的物联网安全能力建设,推动物联网安全又好又快发展。
