國外物聯網管控策略研究

郝文江 穆靈

引言

隨著物聯網（Internet of Things，IOT）的興起，網絡空間開始大規模從計算與通信世界延伸向物理實體世界，世界范圍信息化進入新的發展階段。就目前而言許多物聯網相關技術仍在開發測試階段，距離實現不同系統之間融合、物與物之間的普遍連接的遠期目標還存在一定差距，物聯網的實際應用還未普及，許多潛在的問題尚未浮出水面?；ヂ摼W跟通訊網實現的是人與人的聯系，而物聯網實現的是世界上任何物體間的聯系，國外各國在發展物聯網的同時，也在積極開展物聯網監管措施，推動物聯網的健康發展。物聯網作為信息化與工業化融合的切入點，作為新興產業的增長點，作為加快轉變經濟發展方式的突破點，我國政府主管部門應將物聯網給社會帶來的變化和影響進行分析，綜合考慮物聯網發展過程中帶來的各種安全問題，并根據國務院27號文所提出的“積極防御”思想及其在互聯網治理中發揮的作用，借鑒國外各國物聯網管控方法措施，積極作好物聯網監管工作。

物聯網概念及特點

物聯網的概念是在1997年國際電聯互聯網報告中提出的，它是指將所有物品通過射頻識別等信息傳感設備與互聯網連接起來，實現智能化識別和管理。2005年，國際電聯（ITU）對物聯網的再定義是：通過將近程移動收發器嵌入到廣泛的日常器具之中，為人和物體之間以及物體之間提供新的通信形式。新的通信方式加入到信息和通信（ICT）領域：從任何時間（anytime）、任何地方（any place）連通任何一個人和物（anyone），就將連通任何東西（anything）。2009年，歐盟關于物聯網的定義是物聯網是未來互聯網的一部分，能夠被定義為基于標準和交互通信協議具有自配置能力的動態全球網絡設施，在物聯網內物理和虛擬的“物件”具有身份、物理屬性、擬人化、使用智能接口并且無縫融合到信息網絡中。我們在2010年政府工作報告注釋中關于物聯網解釋的基礎上，給出物聯網的定義為：通過信息傳感設備（如射頻識別（RFID）裝置、紅外感應器、全球定位系統、激光掃描器等裝置），按照約定的協議，把任何物品與互聯網或專用網絡連接起來，進行信息交換和通訊，以實現智能化識別、定位、跟蹤、監控和管理的一種網絡，它是在互聯網基礎上延伸和擴展的網絡。

物聯網是在互聯網基礎上產生的，它是互聯網的延續和發展，是互聯網發展的更高形態，它的存在不能脫離互聯網。互聯網解決了人與人之間的信息交換，而物聯網解決的是物與物、物與人之間的信息交換。我們認為它具有以下特點：

（一）地址龐雜性

互聯網的終端節點是有限的，通常情況下每人使用兩臺計算機終端，每個終端分配一個IP地址，那么全球也就不超過幾十億個地址。而物聯網就不同了，它將每個物品都獨立分配一個IP地址，一個人有手機、電腦、電視臺、洗衣機、空調、汽車等等，相當于一個人就需要占用幾十個IP地址，那么全球就需要幾千億個IP地址。目前，通常使用IPv4的32位遠遠不能滿足要求，必須要使用IPv6的128位來進行解決。IPv6是“Internet Protocol Version 6”的縮寫，它是IETF設計的用于替代現行版本IP協議IPv4的下一代IP協議。單從數字上來說，IPv6所擁有的地址容量是IPv4的8×1028倍。業界人士常說：IPv6時代將會給全世界每一粒沙子分配一個IP地址。這不但解決了網絡地址資源數量的問題，同時也為除電腦外的設備接入互聯網在數量限制上掃清了障礙。通常說：IPv4實現的只是人機對話，而IPv6則擴展到任意事物之間的對話，它不僅可以為人類服務，還將服務于眾多硬件設備，如家用電器、傳感器、遠程照相機、汽車等等。

（二）使用便捷性

物聯網是將所有的物進行連接起來，它可以解決人對物、物對物的無線操作和遠程控制。最為典型的就是在家庭生活中的日常應用，例如：在我國心腦血管病人眾多，廣大患者對智能醫療的需求非常迫切，物聯網給大家提供了一種新的解決方案。醫院可以為每名患者配備一個傳感器，它可以隨時將患者的血壓、脈搏、體溫等數據回傳至醫院的數據中心，如出現數據異常，醫院的醫生可及時趕到病人家中為患者解決問題。又如：在傳統的農業種植上，澆水、施肥、打藥，農民全憑經驗、靠感覺，而通過物聯網可以精準的控制農業耕種的每一步驟，溫度、濕度、光照、二氧化碳濃度是否合適，可以直接通過遠程傳感信息進行上報，農民可以通過物聯網來控制噴水、開啟風口及天窗。物聯網帶來的便捷性可能遠遠超過我們的想象，許多需要人工操作或親臨現場的工作都可以物聯網來遠程操作，大大減少了人工的成本。

（三）類型多樣性

物聯網不同于互聯網，它存在著大量不同種類的物品問題，每一類物品都有單獨的一類編碼，編碼的種類遠遠超過現有的手機、計算機的編碼類型。由于物聯網是將所有物連接起來的，每個物品都有一個唯一的ID號，即產品電子代碼（EPC代碼），它為每一件物品建立全球的、開放的標識，實現全球范圍內對單間物品的跟蹤與追溯，每件物品的所有信息都包含在此標識中，這是物聯網所特有的。同時，將每件物品進行標識是實現物聯網相關應用的基礎，并且在每件物品標識上再進行聚類，實現一小類物品的標識，一小類物品的標識再聚類實現一大類的標識，最終實現樹形結構后與互聯網連通。所以說，物聯網中的ID標識類型的是非常繁雜和多樣的。目前，國內外在物聯網產業和發展方面均處于同一起跑線，還沒有出現任何物聯網方面的標準和體系，我們認為對于物聯網傳感器、ID標識、傳輸協議、安全協議、處理方式、數據中心等內容的核心標準非常重要，并且也是物聯網連接和對話的基礎。

（四）安全風險高

物聯網對互聯網的依賴性很高，在互聯網中存在的病毒攻擊、黑客入侵和非法訪問均會對用戶造成損害，同時這些危害也會對物聯網用戶造成安全威脅。在物聯網上，黑客、木馬、病毒或惡意軟件如果破解了密鑰，攻破了安全中心或數據中心的防火墻和安全防范技術，就可能掌控與人身生命、健康、財產安全密切相關的如身份證、銀行卡、社?？ǖ任锲返闹匾畔?，造成對用戶人身、財產和隱私方面的嚴重侵害。這種侵害要遠遠高于在互聯網中的安全威脅，它可以導致物品的丟失和損壞。例如：如果攻擊者破解了用戶的住宅密鑰，就可以通過物聯網打開用戶的家門進入，隨意竊取物品；如果攻擊者破解了汽車的密鑰，就可以隨時掌控汽車的運行狀態，造成交通事故的發生。所以說，物聯網的安全風險等級遠遠高于互聯網中的安全風險等級。

國外物聯網現狀及政策分析

（一）美國

2009年1月7日，IBM與美國智庫機構信息技術與創新基金會（ITIF）共同向奧巴馬政府提出通過信息通信技術（ICT）投資可在短期內創造就業機會；1月28日，在奧巴馬就任總統后的首次美國工商業領袖圓桌會上，IBM前首席執行官彭明盛建議政府投資新一代的智能型基礎設施，他認為智能電網可以接入大量的分布式清潔能源，比如風能、太陽能，并整合利用電網的各種信息，進行深入分析和優化，對電網更完整和深入的洞察，實現整個智能電網“生態系統”更好的實時決策：對于電力用戶，可以自己選擇和決定更有效的用電方式；對于電力公司，可以決定如何更好地管理電力和均衡負載；對于政府和社會，可以決定如何保護我們的環境。最終，提高整個電網系統的效率、可靠性、靈活性，達到更高的智能化程度。這也是IBM提出的“智慧地球”的概念，即3I：Instrumented、Interconnected、Intelligeng。上述提議得到了奧巴馬的積極回應，奧巴馬把“寬帶網絡等新興技術”定位為振興經濟、確立美國全球競爭優勢的關鍵戰略，并在隨后出臺的總額7870億美元《經濟復蘇和再投資法》（Recovery and Reinvestment Act）中對上述戰略建議具體加以落實。《經濟復蘇和再投資法》希望從能源、科技、醫療、教育等方面著手，透過政府投資、減稅等措施來改善經濟、增加就業機會，并且帶動美國長期發展，其中鼓勵物聯網技術發展政策主要體現在推動能源、寬帶與醫療三大領域開展物聯網技術的應用。物聯網與新能源一道，成為美國擺脫金融危機振興經濟的兩大核心武器。

（二）歐盟

2 0 0 8年第一屆物聯網國際會議（IOT2008）在瑞士蘇黎士召開，會議重點討論了新型傳感技術、新型應用、物體互聯的通信基礎設施、EPC網絡、RFID技術和感知系統，并提出了物聯網發展趨勢和標準互通互聯問題。2009年，IEEE Wireless VITAE2009在丹麥奧爾堡召開，會議重點討論了物聯網涉及到的新思維方式、新商業模式、RFID技術、傳感器技術、智能技術和納米技術等，并提出了管理、安全、隱私、信任、身份、可擴展性、標準化、架構等問題。同年6月，歐盟委員會就發布了“Internet of Things -An action plan for Europe”的十四點行動計劃。行動計劃提出要加強物聯網管理，包括：制定一系列物聯網的管理規則；建立一個有效的分布式管理（Decentralized management）架構，使全球管理機構可以公開、公平、盡責的履行管理職能。同時強調要完善隱私和個人數據保護，包括：持續監測隱私和個人數據保護問題，修訂相關立法，加強相關方對話等；委員會還將針對個人可以隨時斷開聯網環境（The silence of the chips）開展技術、法律層面的辯論。當年10月，歐盟委員會以政策文件的形式對外發布了物聯網戰略，提出要讓歐洲在基于互聯網的智能基礎設施發展上領先全球，除了通過信息通信技術（ICT）研發計劃投資4億歐元，啟動90多個研發項目提高網絡智能化水平外，歐盟委員會還于2011-2013年間每年新增2億歐元進一步加強研發力度，同時拿出3億歐元?？?，支持物聯網相關公司合作短期項目建設。

（三）日本

2004年3月，日本總務省召開了“實現泛在網絡（Ubiquitous）社會政策座談會”，并于5月向日本經濟財政咨詢會議提出了“U-Japan”構想，其主要理念是以人為本，實現所有人與人、物與物、人與物之間的連接，并將基礎設施建設、高度化應用、安全利用環境為核心進行展開。2006年1月，日本政府以完善“U-Japan”計劃為基礎，并沿用其成果，制定了“I-Japan”戰略，戰略主要描述了日本數字化發展藍圖。2009年7月，日本IT戰略本部頒布了日本新一代的信息化戰略“I-Japan”戰略實施綱要，旨在實現以人為本的“安心且充滿活力的數字化社會”，強化了物聯網在交通、醫療、教育和環境監測等領域的應用。為了讓數字信息技術融入每一個角落，“I-Japan”戰略首先將政策目標聚焦在三大公共事業：電子化政府治理、醫療健康信息服務、教育與人才培育。電子化政府治理包括：完善電子政務推進體制，廣泛普及并落實“國民電子個人信箱”，使國民可經各種渠道享受一站式的行政服務，參與電子政務；醫療健康信息服務包括：使用遠程醫療技術，應對醫生短缺等醫療問題，并通過醫療機構中的數字化基礎設施，提高診療效率，減輕醫生工作負擔，完善醫院經營管理；教育與人才培育包括：推廣數字化技術與信息化教育應用，提高學生學習能力與應用信息的能力，強化對教育人員應用數字化技術的指導。綱要還提出到2015年，透過數字化技術達到“新的行政改革”，使行政流程簡化、效率化、標準化、透明化，不斷推動電子病歷、遠程醫療、遠程教育等應用的發展。

（四）韓國

韓國信息與通信產業部（MIC）在2005年3月主導成立了“U-Korea”策略規劃小組，同年9月完成了“U-Korea”政策草案，并在2006年3月確立了相關政策規劃及政策方針。該戰略是希望催生新一代信息科技革命，實現無所不在的便利社會。政策方針確定了五大社會應用（即：親民政府、智慧科技園區、再生經濟、安全社會環境和數字化客戶服務）、八項需要重點推進的業務，物聯網是U-Home（泛在家庭網絡）、Telematics/Locationbased（汽車通信平臺/基于位置的服務）等業務的實施重點。2009年韓國通信委員會出臺了《物聯網基礎設施構建基本規劃》，將物聯網市場確定為新增長動力?！兑巹潯诽岢龅?012年實現“通過構建世界最先進的物聯網基礎實施，打造未來廣播通信融合領域超一流信息通信技術（ICT）強國”的目標，并確定了構建物聯網基礎設施、發展物聯網服務、研發物聯網技術、營造物聯網擴散環境等4大領域、12項詳細課題。

國外物聯網監管方法評析

物聯網現在既沒有統一模式也不是單一形態。世界上已經有許多符合物聯網概念的網絡，這些網絡遍布警用、工業、農業、基礎設施和公共管理等眾多領域?；谖锫摼W對國家及個人生命財產可能造成的危害，國外針對不同形態的物聯網采取不同的監管方法，筆者針對其中幾種物聯網的管控方式進行研究。

（一）警用裝備物聯網

警察為國家公共安全提供有力保障，對警用裝備管理系統的安全管控顯得尤為重要。英國內政部科學發展司與警用武器支持小組合作開發的一整套基于計算機技術的武器和軍械管理系統，該系統在開發時充分考慮了系統的安全性，實現了對系統的監管：

（1）每個人都擁有一張RFID身份卡，該卡可以認證持卡人的姓名、警號以及頭像照片等；

（2）門禁系統要求RFID卡片認證加上PIN碼認證；另外，有攝像頭捕捉持卡人圖像；

（3）手持式設備的登錄需要RFID卡片認證加PIN碼認證；

（4）PIN碼是每個警官自定義的一串數字，系統不允許警官使用警號當做PIN碼；

（5）系統管理員可以設置警官的一系列權限：例如發放武器的權限、登錄管理電腦的權限、查看報告的權限、登錄手持式設備的權限等。

此外，日本國家警察署內部網絡系統新配備了確保安全的有效措施。由于警方通訊保密的重要性，系統在通信線路上引入加密方案。

（1）網絡系統引入了確保安全通信線路的虛擬專用網絡技術（VPN）。IPsec是廣泛用于Internet上的虛擬專用技術，驗證功能可以發現欺詐者，并確認數據的完整性。

（2）MAC地址分配功能。系統引入了地域起停，防止欺詐以及其他網絡攻擊和MAC地址分配的功能。MAC地址是分配給每個網絡設備唯一的序列號。此功能使得它可以防止可疑的沒有注冊的MAC地址的電腦在網絡上建立連接。

（二）機器物聯網

M2M是“機器對機器的通信（Machine to Machine）”或者“人對機器的通信（Man to Machine）”的簡稱。主要是指通過通信網絡傳遞信息從而實現機器對機器或人對機器的數據交換處理，也就是通過通信網絡實現機器之間的互聯、互通。機器物聯網其組成部分：一是調制解調器、傳感器和識別標簽等硬件；二是M2M網關和數據收集/集成部件等中間件；三是通信網絡。移動通信網絡由于其網絡的特殊性，終端不需要人工布線、可以提供移動性支撐，有利于節約成本，并可以滿足在危險環境下的通信需求，使得以移動通信網絡作為承載的M2M服務得到了業界的廣泛關注。M2M作為物聯網在現階段的最普遍的應用形式，在歐洲、美國、韓國、日本等國家實現了商業化應用。主要應用在安全監測、公共交通系統、車隊管理、城市信息化等領域。國際上各大標準化組織中M2M相關研究和標準制定工作也在不斷推進。幾大主要標準化組織按照各自的工作職能范圍，從不同角度開展了針對性監管研究。ETSI（European Telecommunications Standards Institute，歐洲電信標準化協會）從典型物聯網業務用例，如智能醫療、電子商務、自動化城市的相關研究入手，完成對物聯網業務需求的分析、支持物聯網業務的概要層體系結構設計以及相關數據模型、接口和過程的定義。3GPP/3GPP2（the 3rd Generation Partnership Project）以移動通信技術為工作核心，重點研究3G，LTE/CDMA網絡針對物聯網業務提供而需要實施的網絡優化相關技術，研究涉及業務需求、核心網絡和無線網優化、安全等領域。ETSI是國際上較早系統展開M2M相關研究的標準化組織，2009年初成立了專門的TC來負責統籌M2M的研究，旨在制定一個水平化的、不針對特定M2M應用的端到端解決方案的標準。其研究范圍可以分為兩個層面，第一個層面是針對M2M應用用例的收集和分析；第二個層面是在用例研究的基礎上，開展應用無關的統一M2M解決方案的業務需求分析，網絡體系架構定義和數據模型、接口和過程設計、信息安全等工作。

（三）能源工業物聯網

能源工業物聯網是美國等西方國家大力發展的一種物聯網，典型代表是智能電網（Smart Grid）。智能電網將傳統電力網絡和控制電力網路的信息基礎設施融為一體，依托高速雙向通信網絡、傳感/測量技術、設備技術、控制方法以及決策支持系統等，實現電網的可靠性、安全性。具體來講，為保障智能電網的安全，具體采取以下技術：

（1）基本安全防護系統，包括：

a.防火墻：將防火墻設為安全防護的第一道防線，通過訪問控制，防御網絡攻擊；

b.入侵檢測系統：通過監視、安全審計、攻擊識別和反攻擊等多項性能參數表示，對內部攻擊、外部攻擊進行實時監控；

c.防病毒系統：將計算機病毒防治與其他安全防護措施相結合，實現系統的安全防范；

d.安全審計系統：通過網絡數據的采集、分析和識別，實時監測通信內容、網絡流量和網絡行為，發現和捕獲各種敏感信息、違規行為，實時報警響應，全面記錄網絡系統中的各種會話和事件，實現對網絡信息的智能關聯分析、評估及安全事件的全程跟蹤定位，為整體網絡安全策略的制定提供可靠的支持；

e.脆弱性掃描系統：通過將掃描系統預存的漏洞規則與網絡或主機的配置信息進行匹配和分析，從而挖掘出系統脆弱性；

f.Web信息防篡改系統：監控Web服務器和應用服務器上的文件目錄，并通過可信部署進行合法更新，能實現對Web服務器的監視功能、檢知功能、防篡改和破壞功能、復原功能、自動報警功能等。

（2）基于PKI技術的CA認證系統：CA認證系統基于非對稱密碼學的安全屬性，通過引入數字證書可實現電網中用戶身份的有效識別，以及確保電網信息傳輸的安全性、完整性和保密性等。

（3）基于PMI的授權管理系統：授權管理系統通過在數字證書的擴展項增加用戶的屬性和權限信息，為信息系統提供針對不同資源的授權管理及訪問控制服務。它提供用戶管理、審核管理、資源管理、角色管理等多項功能。

（4）安全保密管理系統：安全保密管理系統提供自動化的安全資產管理、安全策略管理、安全狀態管理和技術規范管理等功能，可以有效提高電力內外網的可控性和可管理性。

（5）安全監控系統：通過在系統引導層、操作系統核心層、應用層等多個層面，對操作系統啟動前、啟動過程中和運行中的操作行為（特別是輸入/輸出信息流）實行安全監測和管控，達到保障信息系統安全的目的。

（6）信息加密系統：在電網信息安全防護體系中，對電網信息節點的數據采用AES等算法對數據進行加密，保障數據存儲的安全性。

（7）信息安全管控平臺：通過信息安全管控平臺，對電網企業的資產進行有效管理；同時，對用戶訪問資產進行有效控制，對所有訪問行為實現統一日志管理，對電網企業所提供的安全服務進行統一監控和管理。

（四）物流物聯網

物流物聯網最典型代表就是EPCglobal網，它利用全球統一標識編碼系統給每一個實體對象賦予唯一的代碼，在計算機互聯網和射頻識別（RFID）基礎上構造了實現全球物品信息實時共享的互聯網。EPCglobal主要由EPC代碼、解讀器、Savant服務器、對象解析服務器（ONS）和物理標記語言（PML）等組成。EPCglobal受到的主要安全風險包括保密性和隱私性、數據完整性、可用性。針對安全風險EPCglobal采取相關方法進行管控：

（1）VPN：EPCglobal網絡可以在私有網絡商業伙伴聯盟之間通過虛擬專用網絡（VPN）進行互連，從而降低數據機密性和完整性風險。

（2）TLS：建立一個適合的全球信任架構，使用傳輸層安全協議（TLS）解決通信時的數據保密性及數據完整性問題。

（3）D N S S E C：D N S安全擴展（DNSSEC）是一種可以解決DNS安全缺陷的方法。通過共享密鑰，DNSSEC可以提供DNS服務器之間的相互認證，通過使用公鑰密碼認證所傳送的信息來確保信息的完整性。

（4）匿名混淆：通過加密改變和混合來自源頭的Internet流量來阻止針對某個特定源地址的流量分析。這種方法可以增強匿名性和保密性。

對我國物聯網管控的幾點建議

在我國，物聯網的發展不同于互聯網，互聯網屬于“舶來品”，天然的帶有諸多安全和管理方面的問題，而且由于西方發達國家掌握著互聯網核心技術，形成了互聯網技術、制度、語言等層面的壟斷控制，直接限制和約束了我國互聯網的發展。而在物聯網方面當前世界各國均處于攻關探索階段，故我國應及時抓住當前有利時機，及時突破關鍵核心技術，努力掌握物聯網的主導權，不斷推動物聯網技術研發、應用和產業化。針對物聯網存在的監管方面問題，我們認為具有以下借鑒意義。

（一）繼續開展物聯網立法研究工作

物聯網發展過程中將可能涉及許多法律法規問題，宏觀上包括物聯網的立法部門、標準制定部門、管理部門、管理框架、管理辦法等，微觀上包括物聯網的使用部門、使用規范、準入機制、數據轉換問題等。我們建議：國務院法制辦公室可以成立專門立法小組，依據《立法法》的規定，聯合工信部、公安部、廣電總局等部門，開展物聯網相關法規的調查和研究工作，適時出臺切實可行的物聯網法律法規。法律法規可以將國務院法制辦公室作為立法領導部門，工信部作為物聯網產業的主管部門，公安部作為物聯網安全保衛的主管部門，并可以成立中國物聯網標準委員會開展標準制定工作。同時，針對物聯網統一協調問題可以設立專門機構，加強規劃和統籌協調工作，并開展物聯網使用部門、使用規范、準入機制，以及數據連通、數據轉換、數據傳輸等網絡安全方面研究。針對物聯網涉及到的內容安全、監管安全方面問題，國務院可以組織相關部委、研究機構和專家提出提案，提請全國人大常委會開展與物聯網相關法律的修訂，特別是關于刑法、民法等基本法律中與物聯網有關的部分內容。

（二）繼續加強物聯網標準制定力度

物聯網標準的制定工作涉及到物聯網發展的諸多方面，包括物聯網的國際標準化、標準體系與系統架構、通信與信息交互、協同信息處理、標識、安全、接口等等。這些方面將可能直接影響到社會上相關物聯網產品的研發和生產過程，會涉及到物聯網數據交換的穩定性和可靠性。我們建議：國家應繼續加強物聯網標準制定力度，適時成立統一標準制定機構，統籌協調物聯網標準研究工作，標準主要可以涉及：物聯網總體標準、感知層標準、傳輸層標準、處理層標準、應用層標準，以及共性標準?？傮w標準涉及體系結構和參考模型、術語和需要分析等方面；感知層標準涉及數據采集、近距離傳輸和自組網、協同信息處理和服務支持等方面；傳輸層標準涉及互聯網、移動通信網、異構網融合等方面；處理層標準涉及智能計劃、海量存儲、數據挖掘等方面；應用層標準涉及用戶管理、認證授權、計費管理、終端管理、環境監測、工作監控等方面；共性標準涉及標識解析、安全技術、網絡管理等方面。

（三）適時成立物聯網監督管理部門

我國互聯網監管機構相對復雜，多頭管理的現象比較突出。在新的形勢下國家高度重視互聯網的監管工作，并于近期成立了國務院互聯網信息辦公室，統一開展互聯網信息傳播方針政策和推動互聯網信息傳播法制建設，指導、協調、督促有關部門加強互聯網信息內容管理，依法查處違法違規網站等工作。我們認為：國家對互聯網的認識進一步加深，并成立國家層面的互聯網管理協調機構，有利于促進互聯網健康發展，并有利于國家對于互聯網這一陣地規劃和管理工作。由于，物聯網是互聯網的延伸和擴展，物聯網的監管工作應及早準備，避免在發展過程中形成“先發展后治理”的彎路。我們建議：國家互聯網信息辦公室可以設置專門小組，專門承擔物聯網發展過程中的協調工作，并可以聯合工信部、公安部開展物聯網的監管工作。工信部可以開展物聯網基礎建設、地址分配、數據分配、數據轉換、數據存儲等方面管理工作；公安部可以開展物聯網安全技術、物聯網特殊行業準入、物聯網日常監管，以及涉及物聯網違法犯罪打擊等方面工作。

（四）適當時機建立物聯網準入機制

物聯網涉及的技術比較廣泛，相關產品比較繁多，相關企業產品也已逐漸面世，但由此帶來的可能是物聯網產品之間的兼容性、互通性、數據交換等方面的問題。同時，由于我國尚未建立和形成物聯網準入機制，可能造成了物聯網企業爭先上馬、無序競爭的局面出現。我們建議：國家是否可以考慮建立物聯網準入管理制度，借鑒我國互聯網的管理模式，即國家出臺詳細的物聯網準入機制和管理辦法，設置嚴格的數據標準、數據接入、交換技術、數據存儲、數據容災、密碼認證等準入要求，設立專門機構進行社會企業準入資質的審核，統籌協調企業之間的研究和發展方向，特別是針對企業產品的感知節點信息接入、數據傳輸層的數據交換、數據處理層的數據存儲和分析、應用層使用安全等進行嚴格的準入限制。同時，針對物聯網的服務提供商、物聯網數據接入商可以設立嚴格的管理制度，明確其承擔物聯網危險數據的發現，非法侵入和攻擊行為分析和處理，重大突發事件的處理，終端安全的控制和管理，以及物聯網安全管理和培訓等責任。

（五）構建物聯網安全日常監管機制

隨著物聯網應用的廣泛使用，將可能會涉及到許多重要基礎性設施的操作和控制，包括：智能電力網、智能通訊網、智能廣電網等，這些基礎性設施的控制一旦受到攻擊和破壞，將可能會直接影響到整個社會的正常運轉。目前，對于這些重要基礎性信息系統，我國已采取信息安全等級保護的管理辦法進行日常的監測和管理，包括：物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復、管理要求等。特別是關于網絡安全和主機安全中的訪問控制、設備防護、身份鑒別、入侵防范、惡意代碼防范、數據完整性、備份和恢復等內容都進行了嚴格的規定。我們建議：在物聯網的日常監管過程中，可否參照等級保護的管理辦法將物聯網信息安全問題納入進來，將物聯網可能涉及的重要信息系統均納入到管理辦法當中來，尤其是涉及到基礎民生的特種行業物聯網應當采取嚴格的日常監測和管理工作，并采取定級保護、分級管理的措施開展安全運行和維護工作。

（六）不斷加強物聯網信息安全研究

隨著各國物聯網技術投入到各行各業的應用中，對物聯網的安全性要求越來越高。由于物聯網的產生，在黑客技術不斷威脅各國信息安全的今天，安全威脅已經不僅僅停留在網絡安全的范圍，而是已經走進我們的生產、生活，甚至我們的生命本身，物聯網應用中遍布的傳感節點，本質上就是監測和控制局部信息的觸角，很多節點具有暴露性或被定位性，這就為外來入侵者提供了場所和機會，同時感知信息通過無線網絡進行傳輸時，節點信息的安全性相當脆弱，安全威脅由網絡擴展到眾多節點，形成對物理空間的巨大威脅。信息安全在物聯網領域顯得十分重要。這就需要我國的科研人員不斷加強在技術研究方面的投入，同時，注重與實際相結合，根據不同應用類型的物聯網，更加深入全面地實施安全保障措施。

結語

現如今物聯網被各國廣為重視，各種物聯網技術應運而生，將物聯網根據不同的作用對象進行分類，針對不同類別的物聯網實行不同的監管策略。隨著時間的推移，我們相信在不久的將來，各個國家對物聯網的研究會不斷深入，物聯網產業會不斷發展，物聯網中的網絡安全、隱私安全、信息安全監管等方面的問題能得以重視并加以解決。我國物聯網在推動應用的同時，應該充分考慮到安全監管問題，盡早合理管控物聯網，從而更好地促進和保障物聯網健康、安全、和諧發展。

作者單位：郝文江 公安部第一研究所 穆靈 空軍某部