1、 本期内容： 欧盟关键信息基础设施环境中物联网安全建议（下） 电子政务发展前沿电子政务发展前沿 2018. 国家电子政务外网管理中心主办 3 3 编者的话 编者的话 物联网（Internet of Things，简称“loT” ）以其智能化和互联互通性等特征，快速成为新一代信息技术的重要发展方向。物联网对传统产业的改造升级和对大数据等新兴产业的助推使其成为世界新科技革命和产业革命发展的重要驱动力量。然而，由于物联网广泛的网络联通性所带来的一系列网络和信息安全问题也引起高度的重视。 世界各国都在致力于推动物联网产业的快速和健康发展。 发达国家在持续加大对物联网核心技术、 标准制定和产业化等方面投

2、入的同时，也在不断完善和加强对物联网的安全管理。2017 年 11 月 20 日，欧洲网络和信息安全管理局（ENISA）发布欧盟关键信息基础设施环境中的物联网安全基线建议 （以下简称建议 ） ，对物联网安全现状及安全基线建议进行了全面总结， 以期进一步促进欧洲物联网产业的健康快速发展。 本期内容涵盖了建议中的安全措施和可靠实践的详细清单，包括了物联网在网络安全方面的主要差距的分析， 并基于已完成的所有背景调查、专家会谈意见、可靠实践以及安全措施情况，提出了一系列建议。 近年来，我国高度重视物联网产业的发展，将物联网作为战略性新兴产业列为国家重要信息化发展战略的组成部分。在 “十三五”国家信息化

3、规划和“互联网+”国家行动计划中，均提出要在国家重大信息化应用工程中加大对物联网技术和应用的投入。 欧盟对物联网安全发展提出的建议对我国物联网发展有重要的借鉴意义。 责任编译：韩帅 编 译：黄若涵、焦迪 译 审：舍日古楞 电子政务发展前沿 E-Government Frontiers 2 目 录目 录 四、安全措施和可靠实践 . 1 （一）政策方针 . 2 （二）组织、人员和过程措施 . 3 （三）技术措施 . 4 五、差距分析 . 10 （一）现有安全解决方法和法规条例呈现零散化 . 10 （二）缺乏安全意识和专业知识 . 11 （三）不安全的设计和开发方法 . 12 （四）在不同的物联网设

4、备、平台以及框架间的互通性不足 . 12 （五）缺少经济激励举措 . 13 （六）产品缺乏适当的生命周期管理 . 13 六、改善物联网安全的高级建议 . 15 （一）建议概述 . 15 （二）具体建议 . 15 术语汇编 . 20 附录 代表性物联网安全事件详述 . 22 电子政务发展前沿 E-Government Frontiers 1 欧盟关键信息基础设施环境物联网安全建议 欧盟关键信息基础设施环境物联网安全建议 四、安全措施和可靠实践 本章提供了安全措施和可靠实践的详细清单， 旨在减少影响物联网设备和环境的威胁、脆弱性和风险。定义的这些安全措施和可靠实践，其目的是以横向方式应用于不同的物

5、联网环境和部署工作，而不仅是提供某些物联网垂直体系安全。因此，定义的安全措施涵盖了广泛的安全考虑，如设计安全、数据保护、风险分析等。 本报告的安全措施和可靠实践是根据一项非常广泛和深入的桌面研究确定的，考虑到了不同的安全准则、标准等。 这些不同安全措施和可靠实践属于本报告定义的几个安全领域。 划分安全领域的目的是横向覆盖每一个物联网环境， 以便对不同的物联网生态系统领域应用哪些安全措施进行分类和定义。建议的安全领域划分如下： 信息系统安全治理和风险管理：涉及的安全措施包括关于信息系统安全风险分析、政策、鉴定、指标、审计以及人力资源管理。 生态系统管理：包括关于生态系统制图和生态系统关系的安全措

6、施。 IT 安全体系结构：包括关于系统配置、资产管理、系统隔离、流量过滤和加密等安全措施。 IT 安全管理：包括关于管理帐户和管理信息系统的安全措施。 标识和访问管理：包括关于身份验证、标识和访问权限的安全措施。 IT 安全维护：包括关于 IT 安全维护程序和远程访问的安全措施。 物理和环境安全检测：包括关于检测、日志记录和日志关联分析的安全措施。 计算机安全事件管理：包括关于信息系统安全事件分析与响应，和安全事件报告的安全措施。 业务连续性：包括关于业务连续性管理和灾难恢复管理的安全措施。 危机管理：包括关于危机管理组织和过程的安全措施。 在4.1到4.3小节中列举了在落实物联网不同安全措施