丁明慧 黄付晏 童 晋(中国信息通信研究院)
摘 要:物联网作为新型基础设施的关键构成,正日益成为驱动产业转型升级的核心引擎。美国、欧盟、新加坡、日本等主要国家和地区均启动了物联网安全标签计划并开展国际互认,以提高自身的国际竞争力,为物联网产业升级与安全治理提供有力支撑。文章围绕物联网设备安全标签现况,系统梳理并总结了全球战略布局、发展机遇、发展趋势和现存挑战,发现物联网正逐步从万物互联向万物智联演变,但也面临安全事件、碎片化问题、产业出海壁垒等方面挑战。对此,文章从物联网安全标签管理机制、物联网安全技术支撑体系、物联网安全标签应用生态三方面提出建议,以期为相关主体开展物联网安全标签实践提供参考。
关键词:物联网安全;新型标签;信任;交互
一、引言
物联网作为网络体系的底层单元,通过整合各类信息传感设备,构建起庞大且互联互通的网络空间。这一体系打破了工控设备、云终端以及多元操作系统间的壁垒,实现设备间更深入的协同联动。在其支撑下,数字空间、物理世界与人类社会得以深度融合,不仅为技术领域的革命性突破提供了沃土,还推动生产要素实现创新性优化配置,更是为产业的数智化转型筑牢根基,成为驱动经济社会创新发展的重要力量。
当前,物联网连接规模持续攀升,涉及能源、工业、农业、交通、城市规划、安全、通信等多个方面,万物互联的场景越发清晰。随着新一轮大规模设备更新行动的启动,我国物联网行业迎来新的发展契机。工业和信息化部、商务部等多部门印发通知,鼓励开展生产设备、服务设备更新和技术改造,将进一步激发市场对物联网设备和智能产品的需求,带动工业互联网、智慧城市、智慧农业、智慧医疗、智慧零售、智能家居等多个领域的蓬勃发展,释放出巨大的市场活力与创新动能。
随着物联网设备连接规模的快速增长,以及技术应用的日益多元,传统治理与安全保障模式已难以满足行业发展需求,亟须探索新路径。在治理层面,物联网是一项超大型系统工程,但由于不同行业对物联网的应用需求差异较大,导致物联网相关产品和技术呈现碎片化、多元化特征,这种分散特性增加了统筹管理和协同难度,成为提升物联网治理效能的关键制约。在安全层面,物联网应用与技术的广泛渗透,使得漏洞设备的类型识别和数量统计变得极为困难。面对有组织的高强度网络攻击,现有安全防护手段往往难以有效抵御,网络安全风险持续攀升。为应对这一局面,我国需紧盯国际形势,加强顶层设计,通过构建自主可控的物联网安全保障体系,为行业发展筑牢安全屏障,从而推动物联网实现高质量、高效率、公平且可持续的安全发展。
二、全球物联网安全战略布局
随着全球物联网产业的规模化,美国、英国、欧盟等主要发达经济体纷纷启动物联网设备网络安全标签计划,通过立法、标准、认证等手段保障计划落地实施,安全防护手段由“被动防御”向“主动防护”转变,构建有效的物联网安全防护体系将成为行业的重要发展趋势。
(一)基于立法、行政令等对物联网安全进行强制或自愿性保护
当前,物联网安全标签计划存在强制性和自愿性两种定位,如欧盟、英国通过立法形式具备了强制性,美国、日本则采用自愿性定位。欧盟将物联网安全要求上升为法律强制实施。《网络弹性法案》对投放至欧盟市场的软硬件产品提出强制性网络安全要求,覆盖产品的设计、开发、生产和市场全生命周期,制造商必须对产品进行网络安全风险评估并出具符合性声明,符合要求的产品将获得“CE”标志。英国发布《产品安全和电信基础设施法案》(简称PSTI法案),将消费物联网设备的安全要求上升到法律层面,明确规定若设备不符合安全标准,制造商将面临巨额罚款,违规产品也将被强制下架召回。此外,法案还要求企业建立健全安全漏洞报告机制。美国将物联网安全列入长期战略规划,以立法为主并协同多部门出台推进举措;2023年7月,美国联邦通信委员会(FCC)引入了美国网络信任标志,作为智能设备自愿安全标签工作的一部分,鼓励在美销售的消费类物联网设备应进行合规认证并赋有特定安全标签。2025年3月,日本推出自愿性物联网安全标签,启动“物联网产品安全合格评定和标签系统”(JC-STAR),覆盖使用互联网协议的各种物联网产品,包括间接连接产品(个人电脑、智能手机除外),并设定4级合格标准。未来,日本计划在政府采购中使用JC-STAR标签产品,并寻求与美国、欧盟、英国等国家标签计划相互认可。
(二)通过成立第三方机构和发布标准推动实施安全标签计划
美国发布《关于改善国家网络安全的行政令》,要求美国国家标准与技术研究院(NIST)、美国联邦贸易委员会(FTC)与其他相关机构深度合作,承担起消费物联网产品网络安全标准研制、测试和评估等重点任务。 2023年7月,美国白宫授权美国联邦通信委员会(FCC)作为安全标签计划牵头机构,FCC委托其旗下的公共安全和国土安全局(PSHSB)推进监管,由PSHSB选择第三方安全标签管理机构参与日常管理工作,并从中遴选出一名首席管理员,共同构建起完整的物联网安全标签管理架构。欧盟通过欧洲电信标准化协会(ETSI)以及相关产品制造商、学术界联合研制的消费者物联网网络安全标准ETSI EN 303 645—《消费者物联网安全:基线要求》,对消费类物联网设备身份验证、数据保护、软件更新、安全配置、安全事件记录与处理等方面做出详细规定,成为德国、芬兰、新加坡等国家开展物联网标签认证的参考范式。新加坡推出网络安全标签计划(CLS),初期重点针对路由器、智能家居等智能设备,将网络安全分为四个等级,对于前两个等级,制造商仅需提交一份符合性声明,而对于更高的两个级别,制造商则需要提交一份经由加拿大标准协会(CSA)批准测试实验室出具的评估报告。目前,该计划已扩展至所有类型的物联网设备,包括Wi-Fi路由器、智能家居集线器、智能穿戴设备、智能门锁等。
(三)部分物联网头部企业开展关键技术与标准规范实践
BOSCH(罗伯特·博世有限公司)基于计算机视觉和AIOT等技术,提供了集防伪、追踪追溯和客户关系管理为一体的综合解决方案,客户可以使用智能手机拍摄防伪二维码标签,与云端指纹特色数据库进行比对,进而验证产品的真实性。三星电子在智能家居设备生产中,从芯片层面强化安全设计,利用加密技术保护设备数据传输,通过定期软件更新修复潜在安全漏洞,满足安全标签认证要求。部分物联网企业开始研制物联网设备安全标签基准标准,如谷歌、LG电子、罗技、小米等企业,在产品设计、生产制造过程中融入符合安全标签计划的标准。以小米为例,2021年率先发布《消费级物联网安全基线》企业标准,为行业提供首个开放型物联网安全实施框架,2023年正式发布《消费级物联网安全基线》4.0版本,其内部和合作厂商依据此基线进行物联网产品安全评估和检测。
三、物联网安全标签发展的机遇、趋势
(一)发展机遇:国家政策支持物联网产业发展
我国高度重视物联网发展,2024年工业和信息化部首次提出推进移动物联网“万物智联”发展。《数字中国建设整体布局规划》《“十四五”信息通信行业发展规划》等政策推动物联网从单一设备连接向全域数字化生态演进,逐步成为数字经济高质量发展的核心引擎。2025年“两新”政策将设备更新支持范围从传统制造业向电子信息、安全生产、设施农业等领域延伸,不仅推动手机、平板、智能手表等消费物联网设备扩容升级,更是推动智能传感器、车载终端等产业物联网设备向高端化、智能化、绿色化提升。
(二)发展趋势:从万物互联到万物智联加速演进
网络作为数据、信息的载体和流通渠道,逐步成为新质生产力发展的底层基础设施。传统物联网通过有线和无线网络,实现物与物、人与物之间的相互连接。而随着智能传感器、通信技术、AI能力等关键技术的不断进步,智能物联网(AIoT)通过“数据上行”采集信息、“知识下行”反馈指令,实现端到端闭环,不仅推动不同终端设备间、系统平台间、应用场景间的互联互通,还将打通顶层应用服务之间的连接和数据的互通,使得物联网设备能够具备更高级别的智能感知、自主学习与协同工作能力,物联网领域呈现出更大的连接规模、更多样的连接需求和更强的交互能力特征。企业出于数据安全考量,正不断加大安全投入,为物联网安全标签市场注入增长动力。与此同时,随着消费者对物联网产品安全意识的提高,对带有安全标签产品的需求攀升,将推动物联网安全标签市场规模持续扩大。
四、推进物联网安全标签体系建设的思考与建议
(一)加强顶层设计和标准研制,构建物联网安全标签管理机制
一是完善物联网安全标签管理制度。当前,我国虽在多项物联网政策中提及安全体系建设,但尚未出台专项法律法规。为此,需加速推进物联网安全立法进程,严格落实消费类与产业类物联网设备进网安全合规认证,加强标签签发全流程管理。二是构建物联网安全标签认证管理规范。借鉴美欧等发达国家和地区物联网安全标签计划及互认经验,推动打造我国物联网安全标签体系框架,包括标识编码、标签设计、安全基准、消费类/产业类等内容,并选取国内主要厂商进行试点验证。三是规范物联网安全认证实施流程。制定物联网设备网络安全评估指南,对安全标签授权认证、签发流程、可信存证及全周期安全管理等进行标准化规范,为各行业开展物联网安全防护与监督管理提供指引,全面提升物联网安全标签管理效能。
(二)提升安全预警和防护能力,建立物联网安全技术支撑体系
一是深入开展物联网发展状况调研评估,聚焦工业互联网、车联网、低空智联网、智慧城市、智能家居等重点领域,精准识别涉及关键功能、敏感信息且存在风险隐患的物联网应用,建立物联网安全评估目录清单,完善物联网数据跨境事前评估机制,严格规范数据跨境流动监管。以消费类电子产品出口美国为例,针对其标签计划下产业链信息共享可能引发企业经营数据、个人隐私数据跨境传输风险,需防范数据泄露带来的风险。二是谋划部署城市级物联网安全标签管理平台,该平台具备安全评估、分级认证及监测管理功能,可以实现标签信息可信存证与全流程追踪。通过统一接口、标识和格式,制定平台接入与数据共享技术标准,实现全域感知、多维监测和全网指挥。三是依托标签管理平台,结合大规模设备更新与技术改造工作,精准定位存在安全隐患或漏洞的物联网设备,指导相关企业有序推进安全更新改造,加快芯片、模组等核心部件的国产替代进程,全面提升网络安全防护的自主性和可控性。
(三)打造创新载体和应用试点,推动物联网安全标签应用生态
一是建立本土的物联网安全标签认证实验室,作为物联网安全评估认证的创新载体,系统规划物联网安全标签标准体系,重点开展检测认证、标签管理、技术攻关、应用实践等方面研究,搭建物联网产品安全综合测试环境,并积极推动安全标签技术的产业推广应用,助力构建安全可靠的物联网生态。二是以消费类电子设备安全标签为切入点,重点强化智能穿戴、智能家居等产品的进网安全合规认证与标签管理,对产品数据安全保护、软件更新机制、网络通信安全、标签分级规则等方面提出明确要求。三是围绕工业互联网、车联网、低空智联网、智慧城市等关键场景,优先在江苏、广东、上海等有条件、基础好的地区,落地一批安全标签试点项目,以点带面引导更多企业和组织采用安全标签,逐步实现安全标签在全国范围内的广泛应用,最终建成我国自主可控、覆盖全面的物联网安全标签体系。
参考文献
[1]王秉政,林阳荟晨,朱雪峰,等.智能联网设备网络安全标签制度与标准化研究[J].信息技术与标准化,2023,(11):55-58.
[2]邵小景,刘阳,田娟,等.全球物联网标签发展态势及影响分析[J].通信世界,2023,(20):35-37.DOI:10.13571/j.cnki.cww.2023.20.018.
[3]马娟,于广琛,柯皓仁,等.工业互联网设备的网络安全管理与防护研究[J].中国工程科学,2021,23(02):81-87.
[4]周锋华,李岳洪,胡姣,等.新加坡网络安全标签计划要求解析[J].日用电器,2024,(09):76-83.
(丁明慧系中国信息通信研究院工程师;黄付晏系中国信息通信研究院工程师;童晋系中国信息通信研究院高级工程师)