信息安全:多方协作政策先行
2月14日,工业和信息化部对外发布了《物联网“十二五”发展规划》,明确提出要攻克一批物联网核心关键技术,在感知、传输、处理、应用等技术领域取得重要研究成果。其中,关键技术创新工程作为“十二五”时期我国物联网产业五大重大工程之一,要求在信息感知和信息处理技术领域追赶国际先进水平,在信息传输技术领域达到国际领先水平,增强信息安全保障能力,形成较为完备的物联网技术体系并实现产业化。本报特围绕信息安全、信息处理、信息感知以及信息传输等物联网关键技术,采访相关专家、企业代表详细解读技术突破的重点和难点。
获取物品信息,智能处理,使物品能实时被监控并随人的意愿调整或变化,让物品变得有智慧,这就是物联网设定的目标之一。从这个设想不难看出,实现物联网,需要通过多个环节、跨越多个网络、运用多种技术、涉足多个领域,这张庞大的物品信息网络会产生多大的信息安全难题呢?
物联网和安全相关的特征表现在可感知性、可传递性和可处理性。可感知性是需要物品、设备和设施的相关信息均可唯一识别,并数据化描述,最终可通过网络进行远程监控。可传递性是需要将物品信息通过各种电信网络与互联网实时准确地传递出去。可处理性是需要运用云计算、模糊识别等智能计算技术对海量信息进行智能处理。据美国权威咨询机构forrester预测,到2020年,世界上物物互联的业务,跟人与人通信的业务相比,将达到30∶1。因此,物联网时代,我们将面对海量信息。
从技术上来讲,实现物联网的信息安全面临很多考验。
在感知层,目前主要安全技术包括基本安全框架、密钥分配、安全路由、入侵检测和加密技术等。入侵检测技术常常作为信息安全的第二道防线。由于物联网节点资源受限,不可能在每个节点上运行一个全功能的入侵检测系统,所以如何在传感网中合理地分布,有待进一步研究。在传输层,物联网接入方式主要依靠移动通信网络,主要和移动网的安全相关,还与接入设备、接入方式有关,存在无线窃听、身份假冒和数据篡改等不安全的因素。在应用层,海量数据信息处理和业务控制策略将在安全性和可靠性方面面临巨大挑战,特别是业务控制、管理和认证机制、中间件以及隐私保护等安全问题尤为突出。
由于物联网在很多场合都需要无线传输,这种暴露在公开场所之中的信号很容易被窃取,也更容易被干扰。物联网规模很大,与人类社会的联系十分紧密,一旦受到病毒攻击,很可能出现世界范围内的工厂停产、商店停业、交通瘫痪,让人类社会陷入一片混乱。
从个人隐私保护来讲,重视物联网的信息安全十分必要。
在未来的物联网中,每个人,包括每件物品都将随时随地连接在网络上,随时随地被感知。在这种环境中个人信息、企业信息、财务信息、技术资料、国家秘密等等十分重要的信息都将连接在网络中。由于物联网大多是无线传输,很多感知节点都部署在无人监控的环境下,不管是通过网络技术或病毒攻击,还是通过人为现场破坏、截取或篡改信息传播渠道,都将无法保证信息的安全。
因此,发展物联网,首先要考虑的重要问题之一就是如何保证物联网的信息安全。国家发布的《物联网“十二五”发展规划》,给予重要篇幅阐述了“加强信息安全保障”的具体措施:一是加强物联网安全技术研发,二是建立并完善物联网安全保障体系,三是加强网络基础设施安全防护建设。“三分技术,七分管理”,目前我国的物联网产业链条长,每一环节规模效益低,商业模式不清晰,重数据收集、轻数据挖掘和智能处理。物联网的普及,需要各方的协调配合及各种力量的整合,同时国家政策以及相关立法要走在前面,引导物联网朝着健康稳定快速的方向发展。
赛迪智库信息安全所所长刘权
“攻克物联网信息安全技术难题需要政府、企业、研究机构互相协作。”
物联网涉及多个领域,其信息安全主要包括两方面的核心技术,一是物联网自身在感知层和网络层的一些技术,二是相关的信息安全共性技术。我国“十二五”规划中明确提出要实现物联网的安全可控,这就意味着在物联网的发展过程中既要推进自身核心技术的自主化,又要加强信息安全共性技术在物联网中的应用。
目前,我国物联网信息安全技术可控能力还比较弱。在传感器技术方面,我国还主要集中在低端传感器研究和产品开发;在RFID技术方面,我国低频和高频技术相对成熟,但UHF和微波频段产品与国外技术相比差距较大;在M2M等网络层技术方面,我国与国外基本同步;在信息安全共性技术方面,我国已经开展了相关研究工作,但与国外相比差距较大。
我国全力推动自主知识产权的RFID标准制定,取得初步成果,目前我国正在研究和制定的标准已达到50多项。但是,我国在物联网关键技术领域研究不足、技术创新能力较弱、受到国际标准组织制约,使得我国物联网标准制定进程缓慢,与国外差距有扩大趋势。
攻克物联网信息安全技术难题需要一个良好的产业环境,营造这样一个产业环境需要政府、企业、研究机构等各相关方相互协作。首先,政府要制定和出台促进物联网信息安全相关产业发展的政策,加大财政资金支持力度;其次,要加快制定物联网信息安全保护相关法律法规,为产业营造一个公平竞争的环境;再次,要加强产学研用相结合,鼓励物联网相关企业与科研机构、高校、产业联盟合作共建研发中心,提高自主创新能力;最后,要加速推动标准体系建设,提高我国物联网信息安全相关产业的国际影响力。
北京天融信网络安全技术有限公司李建清博士
“目前无论国内国外,物联网信息安全暂没有一个统一的认识。”
物联网信息安全既包含了传统的信息安全,又包括与自身应用特征相适应的安全技术需求。我国信息安全取得了长足的进步,在核心技术、产品、标准等各方面逐步向全球领先水平靠近,某些子领域甚至处于国际领先水平,这些为物联网信息安全的发展奠定了较为坚实的基础。“十二五”规划从国家战略高度提出了物联网信息安全发展目标。
目前无论国内国外,物联网信息安全暂没有一个统一的认识,国内国外许多标准组织、企业、技术团体等从不同的角度开展了物联网信息安全技术研究与开发。信息安全已经成为制约我国物联网规模化应用的关键因素之一,物联网信息安全核心技术的突破,可以推动我国物联网应用拓展和规模化发展,反过来物联网应用的多样化和规模化,又将推动我国信息安全市场的进一步发展,促进我国信息安全核心技术的发展,二者相辅相成。根据CCID发布相关数据保守估算,“十二五”期间我国物联网市场发展将带动我国信息安全产业规模增长至少超过50%。
从全球来看,当前我国物联网骨干龙头企业缺乏,规模化信息安全企业较少,抗风险能力普遍较差,掌握技术单一。建议加大资金投入,加强政策引导,进行跨产业联合开发,尽快攻克物联网信息安全核心技术。
工业和信息化部电子科学技术情报研究所网络与信息安全部主任尹丽波
“做好物联网信息安全要遵循"同步规划、同步建设、同步运行"原则。”
近几年,我国物联网技术、产业和应用基地初具规模,呈现出良好的发展态势。《物联网“十二五”发展规划》中明确提出未来5年的发展目标和重点任务,其中物联网的信息安全保障问题是基本任务也是重要任务。
一是高度重视物联网信息安全问题,提倡安全发展。我国物联网建设过程中,要做好物联网信息安全顶层设计,加强物联网信息安全技术的研发,有效保障物联网的安全应用,遵循“同步规划、同步建设、同步运行”的原则。
二是构建物联网信息安全保障体系。建立以政府为主导,定点企事业为主体的物联网信息安全管理机制;重点支持物联网评估指标体系研究、测评系统开发和专业评估团队的建设;支持应用示范工程安全风险与系统可靠性评估机制建立,在物联网示范工程的规划、验证、监理、验收、运维全生命周期推行安全风险与系统可靠性评估,从源头上保障物联网的应用安全。
三是加大安全人才引进和培养力度,并成立专门科研机构。以开放合作的方式,推进物联网安全技术的发展。