欧洲网络与信息安全局《关键信息基础设施领域的物联网安全基线指南》

石建兵 译

（上海社会科学院应用经济研究所，上海 200020）

1 报告综述

欧洲网络与信息安全局（ENISA）将物联网(IoT)视为快速变迁中的技术、社会和经济的范式和生态系统，包含一系列相互关联的系列设备及其服务，安全问题相当重要。

物联网是计算的自然演进，带来两项挑战：①生态系统不成熟，物联网市场中存在着标准和安全问题的碎片化；②可全球扩张 。物联网应用与行业应用紧密相关，在物联网中设备、系统和服务存在的威胁和风险五花八门，而且还在迅速演进。物联网的安全认知已过时，还停留在所使用的网络技术层面上。随着人们对安保、安全和隐私等逐渐关注，面临的威胁面将更宽广。要让物联网充分发挥其潜力，必须应对这些挑战。保护物联网安全，重要的是明确保护什么、并制定明确的安全措施。物联网系统安全是整体概念，包括设备本身、云端和服务、应用程序、维护和诊断工具等。

要保证物联网产品和服务的安全，难点之一是物联网中威胁和攻击可能严重危及人们的安保、隐私和安全，此外物联网自身也可能成为大规模的攻击向量；难点之二是隐私保护。在技术性安全问题之外，应用物联网还给法律、政策及监管带来挑战，现有政策、法律和监管框架的变化能力已不能适应技术的快速发展。更严峻的是，目前尚无明确的安全框架可供遵循，因此厂商在设计物联网设备时只能采用自己的方法，就会给其他厂商带来互通性的问题，如果再考虑其他设备及遗留系统的影响，将更难处理。

因此，ENISA为物联网定义了一组安全基线指南，希望明确物联网安全需求、明了关键资产及其相关威胁、评估潜在攻击面，并为保护物联网系统应用，提出可行的最佳实践和安全对策。

在综合各项背景研究以及专家访谈、评审之后，制定出安全对策及最佳实践：

· 推动物联网安全与规范的一致性；

· 促进物联网安全意识；

· 定义物联网软/硬件开发的生命周期指南；

· 实现物联网生态系统的互通共识；

· 鼓励针对物联网安全实行经济和管理激励；

· 建立物联网产品和服务的生命周期管理；

· 明确互联网各方职责；

1.1 报告的目的

关键基础设施（CII）包含设施、网络、服务、物理和信息技术设备等，其之所以“关键”，是因为它们一旦被破坏或中断就可能对公民的健康、安全和经济福祉造成恶果，危及国家机构和公共行政部门的有效运作，还给使用物联网的服务商带来恶劣影响。

ENISA提出物联网的安全基线，一方面是希望可以促成各方协力形成欧盟基本方针；另一方面为采用标签、认证等统一标准措施打好基础。

由于物联网概念并不统一，如何定义物联网安全基线非常困难，首先物联网应用领域多样性所带来的复杂性，因此是强调每个应用领域的特殊性，还是注重差异性？后者可在明确的场景下分散风险。这份报告基于ENISA专家组对未来的洞见，综合了以往在物联网的垂直应用领域研究所积累的专业知识，如智能家居、智慧城市与智能公共交通、智能电网等。

这份报告包括物联网可用的威胁模型，应对已知威胁列出明细的举措，最后提出了相关建议，期望各方对于物联网安全采取统一的方针，为拟订后续计划与倡议奠定基础。

1.2 范围

ENISA关注关键信息基础设施（如工业4.0、M2M通信、物联网可更新性）中的物联网安全，挖掘和分析现有的物联网的安全实践、安全指南、相关行业标准和研究计划，全面分析当前活动，ENISA参照已知的实践和标准，制订出安全基线准则。

ENISA的关注焦点：物联网的弹性和通讯、对专有系统的互操作性、物联网的可靠性，尤其是隐私问题。同时还兼顾到欧盟已颁布的政策和监管措施，例如《网络与信息安全指令》（NIS Directive）、《欧盟通用数据保护条例》（GDPR），《物联网-欧洲行动计划》，以及物联网创新联盟（AIOTI）的研究、ICT标准化工作文件等，尤其是2017年ENISA成立了物联网安全专家组（IoTSEC），该工作组是一个汇集了相关专家的信息交流的平台，确保整个物联网生态系统的安全性和弹性。

1.3 欧盟及国际政策背景

近年来，欧盟委员会一直致力于促进物联网在欧洲的应用，力图发挥物联网全部潜力，出台了不少配套政策措施，开展了系列相关实际举措 。

2015年3月，欧盟委员会成立了物联网创新联盟（AIOTI），目标为设立一个由创新和产业驱动欧洲物联网生态系统。2015年5月，出台《数字单一市场（DSM）战略》，为物联网发挥潜能而侧重避免需求的碎片化及培育互用性。在2016年4月，欧盟委员会将《推进欧洲的物联网》 中有关欧盟物联网愿景的文件，整合进欧洲《产业数字化新规划（DEI）倡议》，此愿景有三大支柱：蓬勃发展的物联网生态系统、以人为本的物联网途径以及单一物联网市场。

影响单一物联网市场成功的问题是：面对海量、多样的设备接入容量问题及识别泛在、通用物件的能力问题，因此亟需培育一个开放的系统来识别和鉴权联网物件，还需要一个超越地理限制可互用的物联网编码空间，后者在欧盟电信代码 2016年年度评审会议中已有所涉及。

欧盟单一数字市场的ICT标准化路线图中明确了五个优先领域 ：物联网、5G通信、网络安全、云和大数据，委员会希望有新方法来促进标准统一，进而帮助欧洲创新具备竞争优势可进入全球市场。

除倡导欧洲单一物联网市场，2017年1月又提出了“欧洲数据经济”倡议 ，该倡议提出在欧盟内部的数据跨界自由流动的政策和法律方案，以及明确物联网产品和服务的责任问题。欧盟还在“地平线2020研究与创新方案”（H2020） 中设置了明确的物联网目标。在DSM中期审查中对物联网应用进行了大量的研讨，重点在责任和网络安全问题 。此外，根据第29章设立的数据保护工作组委员会“关于物联网的最新发展的意见（8/2014）”中明确了物联网生态系统中的主要数据保护风险，并就如何在此方面适用欧盟法律框架提供了指导意见 。

2017年9月欧盟发布新的《网络安全法案（Cybersecurity Act）提案》，该方案也同时明确了ENISA在欧盟的网络安全领域所行使的职能。

在同一天，欧盟委员会发布了《欧洲议会与理事会的联合行动-弹性、威慑和防御：为欧盟构建强有力的网络安全》（Joint Communication To The European Parliament And The Council Resilience, Deterrence and Defence∶Building strong cybersecurity for the EU），介绍了欧盟总体网络安全战略，目标是让欧盟面临网络攻击时具备更高的系统弹性、加固检测机制和强化国际合作。该文件中有专门针对物联网的章节，如鼓励将“设计即安全”（security by design）理念融入物联网设备的整个生命周期，表明基于此框架设计的产品将是使用最先进的安全开发方法构建，而且经过充分的安全测试，并且供应商还应承诺一旦有新发现的漏洞或威胁能及时更新软件。

美国方面是2017年8月1日由四名参议员提出的“2017年物联网安全改进法案” ，该法案的背景是2016年发生的数起与物联网有关的网络攻击 ，本法案拟为由美国政府采购的可连网设备制定最低网络安全要求，其中包括 ：设备可修复(patchable)、遵循行业标准协议、漏洞披露的处理、联网设备资产管理等。

1.4 目标受众

本报告提供了一套具体的安全基线相关措施和建议，可用于保护物联网系统和环境。本报告的主要目标受众为计划采用或已经使用物联网解决方案的组织，以及提供物联网产品、解决方案、服务的制造商和运营商。本报告还针对负责其组织的IT和(或)创新活动的相关专业人士，如：

· 物联网专家、软件开发商和制造商；

· 信息安全专家；

· 信息或安全解决方案架构师；

· 首席信息安全官（CISOs）；

· 关键信息基础设施保护（CIIP）专家

本报告的指引有助于支撑物联网安全方面的政策制定，因此也适用于此类监管机构。

2 物联网生态圈范式及其安全威胁

ENISA将物联网定义为“由互联、可智能决策的感测器与激励器组成的信息-物理融合生态系统”，而信息是物联网的关键所在，自始至终贯穿于“感测—智能决策—行动”这一信息处理闭环。基于物联网与信息-物理融合网络紧密相连的特征，因此可让基础设施变得更智能，从而提供更高质量的服务及更先进的功能。

鉴于物联网安全问题较为琐碎，经过相关专家将物联网要素归纳，总结出安全有严重影响的主要有生态系统复杂、标准和法规的碎片化、参与方职责划分不清、自身的技术及应用环境限制等12个常见原因，与高级参考模型进行水平基线设置，完成详尽的设备分类，进行分析后计有7类25种威胁可对物联网的应用安全产生严重影响，甚至会造成人身伤害。

2.1 物联网要素

ENISA认为构成物联网的要素有：“物件”（Things）、智能决策(Intelligent decision making)、感测器(Sensors)和激励器(Actuators)、通讯及嵌入式系统等，实际细分为8个类别合计24种资产，其中最关键的是感测器，接下来依次是装置、网络管控、通讯协议及网关及应用与服务，这五种对于物联网的影响接近2/3。

其中：

“物件”是指可被识别并能接入通讯网络的实体或虚拟物体，核心在于可互相通信或在网络间交换数据，还可感应或捕捉数据、受激励、存储或处理数据、执行本地或云端指令，甚至可进行机器学习。另外在物联网生态圈中的“物件”还可被智能系统管理。

智能决策：由于接入物件众多，为服务于有效决策，需要使用数据分析和智能数据管理技术从产生的海量数据获得有价值的信息。

表1： 物联网通信可用协议表

感测器和激励器：感测器是物联网的关键部件，从物理层面可度量物理、化学和生物数据；从数字层面可收集网络、应用信息，用于产生量化数据，这些数据可实时处理也可存储；而激励器可看成某种移动或控制系统或机制的实体反馈，简单来说就是感测器的方向操作。总的来说，感测器是用于收集环境数据和上下文信息的输入设备，而激励器是基于采集的信息后执行决策的输出单元。大多数情况，这两者可合而为一。

嵌入式系统：内置处理单元可以处理自身的数据，其结构参见图1：

通讯：由于使用目的及资源约束不同，物联网中通讯需求多样化 ，主要度量指标有QOS（服务质量）、弹性、安全性和可管理性。表1说明了不同的通讯层可用到的协议。

2.2 安全问题

报告中发现阻碍物联网安全生态系统整合的一般性问题，大致有12类：

攻击面宽广：物联网对公民健康、安全和隐私（数据收集和处理过程对用户不透明）都有影响，因此物联网的受威胁场景极其广泛。

设备资源受限：大多数物联网设备的能力有限，例如处理器、内存和电源等，传统的安全措施由于技术限制可能需重新改造，先进的安全控制手段无法应用。

生态系统复杂：物联网不是孤立的设备，而是一个极其丰富、多样化的生态系统，包括设备、通讯、接口及人。

标准、法规碎片化：新技术的不断涌现，加上现行安全规范及标准和法规零散，并且推进缓慢，导致相关问题复杂化。

部署广泛：不仅有商业应用，关键基础设施（CIs）应用物联网技术成为智能基础设施已成趋势。

安全集成：由于观点冲突还要兼顾利益相干者的全部诉求，安全集成异常困难。例如物联网设备和系统可能基于不同的身份验证方案，如何集成并互操作？

安保方面：物联网中激励器可作用于物理世界，安保将是大问题，如有人演示过如何攻击车联网的网络。

低成本：物联网产品可通过牺牲数据流、高级监控和集成等方面的特性来节约成本，厂商为降低成本会忽略安全性。

专家匮乏∶物联网安全领域较少富于经验的专家。

安全的更新：用户界面的特殊性导致无法使用传统的更新机制，无线更新及其更新机制很困难。

不安全的编程：物联网产品的“及时上市”压力更大，厂商无法有效贯彻“设计即安全”的理念，在开发过程也不关注安全和隐私问题，在加上成本问题，迫使厂商优先关注功能性和可用性。

责任不清：由于缺乏明确的责任分配将会在安全事件发生时导致扯皮和冲突，如果多方共用一个独立组件，如何管理安全性的问题仍然无解。强制责任也有新的问题。

2.3 定义安全对策使用水平基线及架构

本报告的主要特点是根据设备来水平定义安全基线，没有使用垂直行业的方式来定义。如果针对垂直行业应用来定义垂直基线，就囿于用户用例、应用用途及用户场景等。但采用水平基线同样也可以用于垂直行业，只需根据所有设备就能得到很好的应用。本报告基础架构参照欧洲物联网创新联盟（AIOTI）开发的高级别物联网参考模型（High Level Architecture functional model ），如图2。

图2：物联网高级参考模型

2.4 设备分类

本报告的重要贡献就在于物联网中的设备分类，如表2

表2： 物联网设备分类表

设备类型设备描述其他物联设备物件的接口装置提供接口（其他装置、人机交互）管理设备用来管理其它设备、网络等嵌入式系统内置处理器可处理自身数据，含嵌入的感测器、激励器、联网能力、内存、软件运行等网络物联网生态圈不同节点允许互相通过数据链路交换数据、信息，根据空间覆盖的不同可有不同的网络，如(W)LANs、(W)PANs、 PANs和(W)WANs等通讯协议两个或多个物联网设备通过一个给定的通道进行通讯时必须遵循的规则，物联网可使用的无线或有线协议较多，如ZigBee、 MQTT、CoAP、BLE等路由在物联网生态系统中的不同网络间交换数据包。网关物联网异构的网络节点通过网关提供协议转换、错误隔离等方式提供系统的互操作性电源IOT设备的供电（可外部线缆连接或内置）基础设施安全设备保障物联网设备、网络和信息的安全，包括防火墙、Web应用防火墙（WAF）、云的CASBs、IDSs、IPSs及鉴权/授赋权系统基于Web的服务可在Web环境下适用的物联网H2M/M2M通讯的网络服务云设施和服务云后端可用于处理分散设备中的汇总数据，还提供计算、存储、应用服务等平台和后端数据挖掘指用算法和服务处理已收集的数据并转换为特定结构待用，可用在超大数据集中进行模式发现的大数据技术决策数据处理和计算为获取有用的信息使用服务促进数据处理，最终信息可施加规则和逻辑，用来决策或使流程自动化，机器学习可利用已有的信息进行学习数据分析和可视化数据收集处理后，进行分析并可视化，从中发现新模式，进而改善运营效能等应用和服务设备和网络管理物联网生态系统的设备和网络进行操作系统、固件、应用的更新管理，包括跟踪和管理设备网络，并为将来进行诊断存储日志设备利用物联网生态系统的设备和网络进行上下文关联，可明了当前状态、使用模式、性能等在存(At rest)信息已存储至云端数据库或设备本地在传(In transit)信息在网络处于传送或交换状态在用(In use)信息在应用、服务或物联网要素内正在被使用状态信息

3 威胁和风险分析

本章主要确定及列出影响物联网设备和网络的主要威胁、漏洞、风险因子，并进行了具体的攻击场景分析，同时还将威胁、风险及攻击场景采用专家访谈的方式进行重要程度和破坏程度进行等级划分，最后通过攻击场景分析示例提出针对性的对策。

3.1 安全事件及威胁分类

回顾分析了自2009年至2017年3月对物联网应用影响极大的17起事件，将2016年发生的Mirai僵尸网络攻击作为攻击物联网的标志性事件，物联网的安全事件逐年递增，人们还将面临更为复杂的物联网安全威胁，ENISA因此也准备了一个威胁清单，如表3所示：

表3： 物联网威胁分类及其影响

分类威胁描述影响的设备网络侦察（ Network reconnaissance）- 信息- 通讯- 物联网设备- 基础设施会话劫持（ Session hijacking）被动获取网络的内部信息：链接的设备、开放的端口、使用的服务等封装、介入、劫持伪装为合法主机劫持数据链接，可窃取、纂改或者删除传输的数据。- 信息- 通讯- 物联网设备收集（ Information gathering）- 信息- 通讯- 物联网设备信息中继( Replay of messages)被动获取网络的内部信息：链接的设备、开放的端口、使用的服务等使用合法数据连接恶意反复发送或延迟，试图操作或使目标设备崩溃- 信息- 物联网设备- 决策网络失效（Network Outage）- 基础设施- 通讯设备失效（ Failures of devices）硬件的故障或失灵威胁- 物联网设备系统失效（Failure of system）软件、服务或应用的故障有意或无意使网络中断或失效，基于受影响的网段及恢复时长本威胁的重要度可从高到关键失效- 物联网设备- 平台及后端- 其他设备支持服务失效（ Loss of support services）正常运行信息系统的支持服务不可用- 全部设备损毁/损失（IT资产）数据/敏感信息泄露（ Data /Sensitive information leakage）敏感数据被有意或无意泄露给无关第三方，本威胁的重要度主要取决于泄露数据的类型- 物联网设备-其他设备- 平台及后端- 信息软件漏洞（ Software vulnerabilities）物联网设备最常见漏洞是由于弱或默认密码、软件缺陷、配置错误给网络带来的风险，这类风险通常攻击软件套件等故障/失灵- 物联网设备- 其他设备- 平台及后端- 基础设施- 应用与服务第三方失误（Third parties failures）由于其他直接相连的设备不当配置导致的网络单元错误- 物联网设备- 其他设备- 平台及后端- 基础设施- 应用与服务自然灾害（Natural Disaster）如洪水、暴风、暴雪、滑坡等自然灾害引起的物理损害灾难- 物联网设备- 其他设备- 平台及后端- 基础设施环境灾难（ Environmental Disaster）物联网设施的部署环境灾难- 其他设备- 平台及后端- 基础设施

分类威胁描述影响的设备设备修改（Device modification）如利用错误配置表搜寻可用的端口等设备- 通讯- 物联网设备物理攻击暴力损毁（ Device destruction/sabotage）偷盗、爆炸、蓄意捣毁等- 物联网设备- 其他设备- 平台及后端- 基础设施

3.2 物联网的攻击场景

物联网的攻击模式可总结为10个攻击场景，如下表所示：

表4：物联网的攻击场景及破坏程度

在专家访谈中，指出其中三种场景最让人担忧：夺取物联网系统控制权、针对感测器纂改数据及僵尸网络和指令注入，实际针对这三种场景的攻击和对策进行专门分析。

3.3 攻击场景1-夺取物联网系统控制权示意及对策

夺取物联网控制权场景取材于企业网关攻击，展现了如何在物联网环境中读取一个或多个设备的控制权，一旦被夺取控制权可以操纵或瘫痪目标设备，也可以修改数据、改变功能/行为或不可访问。

攻击过程如图3所示：

图3：夺取物联网系统控制权攻击步骤示意

夺取物联网系统控制权的风险评估及对策如表5所示：

表5：攻击读取物联网系统控制权的风险评估及对策

针对感测器纂改数据及僵尸网络和指令注入场景的分析也与此类似，总体而言，通过场景的细致分析，寻找其中可能存在的风险点、潜在的攻击面，进行充分评估，并严格按照安全基线进行差异分析，再施以正确的对策，可让系统应用场景更为安全。

4 安全基线-对策与优秀实践

本报告的核心即安全基线，由针对物联网的应用安全拟订的近百条详细、明确以及有针对性的安全措施及优秀实践构成。

其中安全措施共涵盖11个领域：

1.信息系统安全治理与风险管理：与信息系统安全风险分析、政策、认证、指标、审计、人力资源保障等有关的措施。

2.生态系统管理∶ 与生态系统图谱及关联关系的措施。

3.IT安全架构：系统配置、资产管理、系统隔离、通讯过滤和加密等。

4.IT安全管理：授权及授权管理系统。

5.身份和访问管理：鉴权、识别和访问权限。

6.IT安全维护：IT安全维护流程、远程访问等。

7.物理和环境安全。

8.侦测：侦测、日志记录和日志关联分析。

9.计算机安全事件管理：信息系统安全事件的分析、响应和报告。

10. 业务连续性：业务连续性管理、灾难恢复管理。

11. 危机管理：危机管理的组织及流程。

而优秀实践的框架主要由以下三类组成：

1.策略（PS）：包括“设计即安全”、“设计即隐私”、“资产管理”和“风险和威胁的识别与评估”等四个策略，使用这些策略将有助于系统更为健壮和坚固。

2.组织、人员与流程（OP）：包括“终身服务”“成熟的解决方案”“安全漏洞和事件的管理”“人员的安全意识和安全培训”“第三方关系”等五个流程，这些流程可在企业对安全做到事前、事中和事后管理。

3.技术对策（TM）：包括“安全硬件”、“诚信管理”“强默认安全性和隐私性”“数据保护与遵从性”“系统安固与可靠性”“安全软件与固件升级”“签权”、“授权”“访问控制（物理和环境安全）”“加密”“安全可信通讯”“安全接口与网络服务”“安全输入/输出控制”“日志”“监督审计”等13类与技术有关的对策，这些技术对策同时兼顾物联网的水平以及垂直领域，可让整个系统更具有伸缩性。

5 安全差距分析

物联网的安全尚处于发展的初级阶段，可使用基线来比较现实与期望目标的差距，一般有两类的差距：一是存在的樊篱，另一个是如何改变并完善的措施差距。识别差距后就可明确采取的行动。参与本报告访谈的专家根据当前特点，总结出六个常见的差距：

5.1 安全措施和监管的碎片化

当前欧盟并无统一的方法和标准，甚至也没有成熟的安全模型来对物联网安全进行测度和规范，还存在监管的碎片化及职责不清等。在实际操作中，鉴于在行业中应用物联网出现的水平差异远殊于垂直差异，因此采用单一而且专一的法规既无实现的可能也没有必要，不能采用统一标准，而且统一标准甚至还会阻碍创新和研究，因此采取适用不同层级的多样化监管方式，由多方共同承担责任。对于职责不清这个问题，由于物联网注定厂商众多，运营方也不同，过去并无妥善的责任区分，但安全事件必须明晰各方责任。

5.2 匮乏安全意识和相关知识

无论是IT专家还是消费者，都普遍对物联网安全知之甚少，整体缺乏对于物联网设备的安全意识。

总体而言，应当教育新一代的消费者、开发商、厂商关于物联网设备如何使用、使用风险警示以及如何应对相关问题，还应培育人身安保影响和网络安全防范的素养。

对于开发者及厂商要树立安全是重点的意识，因为安全不仅是自己设备的问题，还会危及到整个物联网的应用环境。

5.3 不安全的设计和开发

在实际调研中，厂商的这个问题尤为突出，一般不关心安全，主要表现在这些方面：

1.系统设计时没有采用纵深防御的策略，例如安全引导过程、可信计算的隔离、限制开放端口、自我保护等。

2.没有树立“设计即安全”或“设计即隐私”的观念，例如和第三方交换数据时，将不必要的数据导出到物联网环境之外。

3.缺乏通讯保护意识，内外接口无差别。

·不使用强鉴权/赋权系统

·固件更新时不验证也无需签名；

·软件更新时无需服务器授权,业务文件可信验证；

4.缺乏加固。

· 固件中不采用数据执行保护或者应用攻击缓解技术；

·公开漏洞也没修复（DNS代理、HTTP服务等）；

·在不同的接入点暴露的服务仍然开放不必要的端口，常见的问题开放Telnet和SSH服务。

·容忍弱密码策略，甚至默认密码都可不修改。

·配置缺陷；

5.缺乏诊断和响应能力。

5.4 不同的物联网设备、平台和框架缺乏互用性

广义的物联网生态圈尤其是关键基础设施领域包含各种遗留系统，目前由于缺乏监管规制并无统一的标准，厂商会自行定义协议、自行整合，使得不同厂商的产品无法互通和集成。当务之急是让物联网、遗留系统之间及各方开发的设备之间能正确安全地的互联、互操作，同时为了提高开发效率和安全性，提倡各厂商使用统一标准的协议和共用框架，但不建议厂商使用开源或专享的协议。

5.5 缺乏经济激励

厂商一般关注产品的功能性和可用性，一般不愿在安全设计和开发中投入成本，由于收益不与安全挂钩，因此部分厂商甚至都不将安全看成问题。

大部分专家认为有意或无意忽视各种风险、威胁甚至危险事件等现象其实都是预算问题，当然目前也缺乏经济激励来促进安全，欧盟也仅有H2020计划可资助相关研发，但竞争激烈。还有问题就是等安全事件发生后再处理的态度。

5.6 没有完善的产品生命周期管理

要对物联网产品进行合适的产品生命周期管理。物联网产品众多，有广阔的被攻击面，若有产品被不当应用，势必危及整个供应链。设备和产品应当沿着安全的方向演进，厂商除设计和生产产品外，还应实行全生命周期管理。厂商提供具有安全特性的产品后，用户也应当认同安全投入，方可维持安全性与成本之间的平衡。

在产品整个生命周期中，产品可被快速打补丁或更新以便应对层出不穷的漏洞，另外如前文所述，用户一般缺乏安全意识，不能及时更新，易于被攻击。

另一个需要注意的是部署阶段，还需要总结部署阶段的最佳实践，这个最佳实践应当含有设备或网络的特定配置指南、基础设施中可检测异常的网络监控需求等。

6 七点建议

6.1 促进协调物联网相关安全的举措与法规

本建议主要适用对象：物联网产业、供应商、厂商和协会。

要解决物联网安全指南、措施、标准和其他计划的碎片化问题，除了AIOTI和ECSO的相关报告外，也可将本报告作为一个起点，建立一套通用的物联网实践、指导方针和安全要求。

产业界通常比较欢迎将标准统一，但由于各利益相干者群体都有自己的研发链，因此态度就不甚相同，这也是碎片化的主要原因。垂直领域可根据自己特定的应用场景和风险因素制定针对本领域的实践、指南和安全需求，应首先实现垂直领域相关标准的统一。

欧洲理事会及其成员国政府应当采取措施来推动利益相关者（产业和用户）之间的协调与协同。

采购流程是另外一种强制统一基线标准和需求方法。

6.2 提高对物联网网络安全需求的认知

本建议主要适用对象：物联网产业、供应商、厂商、协会、学术机构、消费者群体和监管机构。

网络安全是所有利益相关者的共同责任，各方就相关的风险和威胁取得共识及共同应对就非常必要，因此强烈建议提高安全认知并采取措施。

从威胁图景来看，物联网开发者、产业和终端用户及消费者均缺乏相关知识，因此：

产业应举办安全教育和培训，包括物联网安全的最新知识、最佳实践、参考架构、可用模块、方法论和工具等。

终端用户及消费者应当被教育至可在购买设备和系统时能做出明智的决定，教育活动对于提高安全意识也很有帮助，可帮助保证他们所购买并使用的“物件”保持适度的网络“卫生”。相关的消费者权益也应当重点关注。

开发者社区应有共同采纳跨行业通用基础安全准则的意识，而不仅仅着眼于单一的行业。物联网安全方面的企业培训较为有用，也应当施行。

科技站（café scientific）或网络安全诊所也是有效的方法，在中学和大学开展相关的课程和培训可让年轻人更好的理解物联网安全，而且可长期保持安全认知。

6.3 为物联网定义安全的软件与硬件开发生命周期指南

本建议主要适用对象：物联网开发者、平台运营商、厂商和产业。

安全应整体考虑，物联网产品的开发者、厂商和供应商需要整合和引入安全的软件开发生命周期（SSDLC）指南，指导他们的运营，鼓励企业向市场提供同时可用的安全组件，这对开发商和终端用户及消费者同等重要。

“默认安全和隐私”与“设计即安全、即隐私”理念应作为物联网安全的基本共识，诚然由于不同的环境具备不同的特点使得推行这种理念较为困难，但由于物联网风险具有上下文依赖（即基于应用场景），如果遵循行业共同的理念，如相对成熟的IT领域的厂商将证明是划算的。

对于开发者来说，通过参加黑客马拉松学习到的安全设计及应用最佳实践来增强认知这两个理念，应用于产品和项目中。对公司借鉴合适的安全流程和应用业内精心设计的工具（标准、审核清单）可推动这两个理念的落实。

6.4 对物联网生态系统的互操作性达成共识

本建议主要适用对象：物联网产业、供应商、厂商、协会和监管机构。

物联网生态系统规模非常庞大和深入，供应链长期而复杂、利益相干者众多，应确保和促进物联网设备、平台和框架的互操作性。

建议如下：

·鼓励厂商使用安全的开放互操作框架。

·提高互操作框架中安全性能的透明度。

·促进互操作框架实验室及测试基地的开放。

6.5 促进物联网安全领域的经济与行政性激励举措

本建议主要适用对象：物联网产业、协会、学术机构、消费者组织和监管机构。

由于厂商系研发驱动急于将产品和服务推向市场，但物联网的安全性将影响业务的连续性，所以业务连续性也就成为评估安全成本的驱动因素。另一方面，市场不关心安全是由于消费者意识不到网络安全带来的价值。消费者的参与就显得很重要，委员会和成员国的政府可通过媒体宣传来提高消费者安全意识进而推动物联网安全。

当前厂商的竞争优势在于“及时上市”，而非“安全上市”，应鼓励具备一定的安全和隐私保护的才能上市。一个方法是定义由安全基线及对策支持的安全框架，另一个方案是认证和标签的标准化。后一种方法也有助于理解和透明化物联网安全，用认证和标签还可教育终端用户及消费者多点安全意识。监管机构也可推行这些方法。

6.6 建立安全的物联网产品/服务生命周期管理机制

本建议主要适用对象：物联网开发者、平台运营商、产业和厂商。

相关各方应当认识到这一点，安全性在物联网产品/服务的生命周期的所有阶段中起着重要的作用，因此建议为各阶段定义具体、聚焦和有目标的安全流程。

在部署后，终端用户或消费者对安全更新就视为理所当然，这个安全更新在“终止支持”之前首先要列明具体的条款和条件，这些条款需无专业技术及无财务约束，而且产品开发商或供应商需要明确定义“终止支持”，并向终端用户或消费解释清楚。

6.7 明确物联网利益相干方之间的责任划分

本建议主要适用对象：物联网产业和监管机构。

应用物联网重要的问题是责任，这是由于物联网与生俱来和信息-物理融合紧密相连，且与人们的安保与安全息息相关。责任问题与众多而且多元化的利益相干方有关，因此应通过欧盟及成员国通过立法和判例解决责任划分问题。

7 小结

安全性和隐私性自然成为物联网安全的基石，物联网技术的快速变化已超越相关的政策、法律和监管结构的变化能力，目前尚无明确的安全框架可供遵循。因此，除技术安全问题之外，物联网的应用也在广度和复杂度层面给法律、政策及监管带来挑战，这些问题还将与已出现未解决的问题叠加。

ENISA在当前物联网产业发展尚不成熟的阶段，因应欧盟提出的“数字单一市场（DSM）”战略以及“数字化欧洲工业部分（DEI）” 倡议，即便在认识到在不同垂直领域物联网应用中存在的巨大差异，以前没有先例可循，可谓重重困难。ENISA专家组通过案头研究数百份文献，采用专家访谈、评审等手段，推出这份目前集大成的物联网安全基线及指南，虽然主要是希望克服在关键基础设施（CII）在应用物联网的障碍，但也可作为物联网产业规划以及相关政策的拟订提供参考，也可为我国相关行业在物联网应用中可能出现的问题提供有益的借鉴。