物联网安全事件频发,人大代表建议完善监管体系保护用户隐私
物联网(Internet of things,简称IoT),顾名思义,指的是物物相连的互联网。郭永宏介绍,近年来,全球物联网产业规模急速壮大,根据IDC数据,2018年全球物联网连接数(包括蜂窝及非蜂窝)达到115亿,预测2020年将接近300亿。我国已将物联网列为国家重点发展的战略性新兴产业,预计到2022年物联网市场规模将达到7.2万亿元。
郭永宏提到,在推动经济社会发展的同时,物联网的多源异构性、开放性、泛在性使其安全性面临潜在的巨大风险,主要包括三个方面:第一,用于攻击物联网的工具越来越先进,机器学习和人工智能将加剧攻防对抗。第二,实施攻击的技术门槛越来越低,任何类型的物联网终端设备均可能成为新的攻击对象,路灯、水表、井盖、音箱都会成为潜在攻击目标。第三,传统的网络安全边界被打破,不同物理位置和网络层级的设备联网后,产生出更多的攻击点。
据Gartner调查,全球近20%的企业或相关机构在过去三年遭受了至少一次物联网的攻击。而在中国,2017年物联网安全事件同比2016年增长113%,2018年前三季度同比2017年增长高达138%,预计2019年与2018年相比将增长近六倍。而这些攻击可导致设备被控、用户隐私泄露、云服务端数据被窃取以及影响基础通信网络正常运行等严重后果。
针对这些情况,郭永宏提出如下四点建议:
一是建立健全覆盖物联网系统和建设各个环节的安全体系。物联网是一个标准的“端-管-云”架构,需结合各个层次需求调研,构建出终端系统、通信网络、服务端系统三位一体的安全体系。加强物联网数据流通,发挥物联网安全态势感知平台基于大数据的物联网安全态势感知分析预警能力。在物联网业务系统规划、设计、开发、建设、验收、运营维护以及废弃等各环节,明确安全管理相关要求和规范,使安全融入物联网系统建设全生命周期。
二是加强对物联网安全新技术、新应用探索和研究的引导。物联网行业处于发展初期,参与者投入能力较弱。建议通过政策引导、设立专项基金等方式,帮助企业、高校、研究机构建立物联网安全创新实验室。举办物联网安全论坛,引导相关议题的讨论,建立国家级物联网安全技术创新、应用创新平台,加强对于创新创业企业的支持。激励企业主动探索区块链、人工智能等新技术在物联网安全方面应用。
三是联合行业力量打造物联网安全产业链。目前我国正处在由制造大国向制造强国的转变过程中,但对物联网安全影响重大的安全芯片等关键底层技术目前主要掌握在发达国家手中。建议由国家出台物联网安全产业发展规划,引导国内芯片、卡片、模组、终端、平台、电信运营商各环节物联网安全产品与安全技术的全面协同推进。鼓励各级物联网产业园、创客空间等平台加强对于物联网安全企业的引进;为相关企业设置专项补贴、税收减免、人才引进奖励、开通企业资本市场绿色通道;由政府认证行业协会开展定期或不定期举办安全相关培训,加强物联网安全产业人才队伍培养。
四是尽快完善物联网安全监管体系。政策管控层面,加强产业链各环节管控、加强风险事项惩治力度,建立物联网安全风险黑名单,对于发起过安全攻击的企业或个人实施黑名单管理,对其进行重点监控。加强物联网漏洞信息的披露和处置。提升中小民营企业物联网安全意识与防范能力。行业自律层面,由行业协会对于物联网相关企业进行自律管理,对行业内企业进行定期检查定期公布。企业自查层面,对于从事公共事业、智慧城市、智慧能源、核心技术行业等民生重点行业的企业,要求定期进行安全自查并上传自查报告至监管部门。