当前,数字化发展浪潮席卷全球,网络空间与现实世界深入融合,国际环境日趋复杂严峻。伴随物联网产业生态加速发展,物联资产呈现规模增长态势。针对物联资产的网络攻击持续发生,呈现攻击频次高、波及范围广、后果影响严重等特征,给企业生产经营和社会正常运行造成巨大经济损失。目前,我国在物联网安全政策标准指引、安全技术监测等方面取得显著突破,但在物联资产测绘技术产品能力提升方面有待进一步强化。未来,产学研用各方协同发力,共同推动物联资产测绘技术赋能应用。
一是全球物联网发展提速,主要国家加强战略布局,强化物联网安全能力建设。
据IoT Analytics数据统计,全球物联网连接数量2022年增至144亿个,同比增长18%,预计到2025年物联网连接数达到270亿。随着物联网应用广泛覆盖,利用物联资产发起网络攻击,使得各类安全威胁可以迅速渗透延伸至现实世界,极易发生恶意控制、拒绝服务、数据泄露等网络安全事件,影响正常的业务和生产活动。近年来,全球主要国家通过立法、战略、标准等举措,不断加强物联资产识别、安全监测、风险评估、供应链管理能力建设,进而保障物联网安全。
美国逐步从战略引领向物联网设备安全认证管理过渡。在战略立法方面,2020年发布《物联网网络安全改进法案》,重点是逐步构建物联网设备的网络安全风险评估和全生命周期安全管理制度。在安全认证方面,2023年,针对家庭物联网设备,实施“网络安全和认证的标签计划”,用客观方法标记满足基本安全要求的产品,致力于提升物联网设备的安全可信水平,保护消费者合法权益。
欧盟聚焦供应链风险,加强物联网全生命周期安全管理。在法规提案方面,2022年9月,欧盟委员会发布《网络安全弹性法案》,通过提出物联网产品的安全管理和使用要求,加强物联网产品网络安全能力。在实践引导方面,2022年1月,发布《欧盟物联网研究、创新和优先事项部署白皮书》,明确物联网安全实践路线图,引导产业各方升级安全能力。
我国通过构建国家/行业标准体系、强化技术支撑,打造物联网基础安全核心能力。在标准方面,出台了《物联网基础安全标准体系建设指南(2021版)》,加快推进基础通用、关键技术、试验方法等重点和急需标准制定,及时满足物联网产业的安全需求。在强化技术支撑方面,构建物联网安全监测平台,加强对物联网安全风险的监测预警。
二是我国应深耕物联资产测绘核心技术,提升产品质量与成熟度,构建安全可信的物联网基础设施。
日趋丰富的物联资产和汇聚海量感知数据的物联网平台成为网络攻击的新目标。物联资产存在数量多、分布范围广等特点,客观上增加了其风险暴露面管理、资产管理、漏洞发现等工作难度。同时,物联资产普遍硬件资源有限,软件功能单一,缺乏内生安全防护机制,一旦被入侵控制,可以作为跳板进而攻击其他网络,对社会平稳运行造成极大威胁。进一步提高物联资产的可见性、可管性成为防范物联网安全风险的基础和前提,以及提升物联网安全管理水平的关键保障。
2022年以来,中国信通院安全所依托网络安全卓越验证示范中心先进网络安全技术测试能力,对国内20余款物联资产测绘产品进行了综合能力检验,重点围绕物联资产发现和识别能力、资产威胁分析能力、异常资产分析能力和资产管理能力等多维度进行对比分析。检测发现,目前我国物联资产测绘技术产品在主动探测基础能力方面表现较好,但在物联网行业深耕不足,缺乏围绕物联资产测绘的专业化产品,测绘分析的精确水平尚待提升。
加快专业物联资产测绘产品研发,未来发展可期。物联资产测绘是构建数字世界的必备基础技术能力,随着其广泛应用到多个领域,未来将继续探索更多的可能性。国内市场资金大量涌入智慧城市、IT运维管理、物联网和网络安全等新兴产业。全球移动通信系统协会(GSMA)预测全球物联网市场发展规模达1.1万亿美元,且中国发展潜力巨大。未来几年随着相关产业的全面崛起,物联资产测绘市场将快速走向成熟,市场规模有望进一步扩大。作为连接物联网络虚拟空间和物理空间的桥梁和安全的基础,物联资产测绘产品将呈现蓬勃发展态势。
加大物联资产测绘关键技术研究,夯实分析能力。当前,物联资产测绘在技术准确性、深度与广度上还不及人工测绘,无法完全替代人工参与。人工依然需要参与复杂业务网络的测绘方案设计、检测结果分析与验证、关键风险判断等环节。同时,现有技术对新兴物联资产的识别与检测能力还不足,对动态变更网络的响应也较慢。未来,需继续加强自动化技术研发,提高测绘精度与广度;加速人工智能技术在测绘各环节的应用,实现一体化智能化;构建开放共享的漏洞与攻击情报库,增强主动防御能力;加强与管理门户、SIEM/SOC等安全系统的集成,实现资产测绘与安全管控的有机结合等,这些将是物联资产测绘产品未来发展的重点领域与方向。
加强物联资产平台数据互联互通,实现安全互操作。物联资产测绘产品是实现网络安全主动防御的关键技术,其识别能力是防御、检测、响应和恢复的前提,因此,打造具备可以和其他安全产品互联互通的能力极其关键和重要。下一步,应加快弥补物联资产测绘产品互操作标准空白,为不同类型的策略数据互联、接口互通、管理语义互操作提供规范性参考,探索突破安全策略在跨产品间的自动化采集、解析、展示、下发,以实现更多环节、更加规范、更高级别的安全策略协同管理。
* * *
随着高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的综合化、智能化物联网数字信息基础设施的建设,物联网从战略性新兴产业角度被定位为新型基础设施,成为数字经济发展的基础,将打通经济社会发展的信息“大动脉”。而物联资产测绘技术能力是贯穿整个“大动脉”的关键与核心,也是整个基础设施安全的重要基石。
因此,我们应紧跟数字化发展趋势,聚合网络安全产业各方优势,发挥好生态引领带动作用,持续深化物联网安全领域能力布局,继续提升物联资产测绘验证示范能力,推动网络安全技术创新突破,切实提升场景安全实效,为网络强国、数字中国建设提供有力的安全保障和坚强支撑。
扫一扫在手机上查看当前页面