物聯網安全總結范文

前言：我們精心挑選了數篇優質物聯網安全總結文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

【 關鍵詞 】 信息安全；規劃；規范；完善；信息系統

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在當今全球一體化的環境中，信息的重要性被廣泛接受，信息系統在商業和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統不斷增長的依賴性，加上在信息系統上運作業務的風險、收益和機會，使得信息安全管理成為信息化管理越來越關鍵的一部分。面對越來越嚴峻的安全形勢，世界各國高度重視信息安全保障。2015年已然過半，在安全行業，不同規模的攻擊者，無論是技術還是組織都在快速提升。相比之下美國信息安全保障體系建設比較完善，信息保障已成為美軍組織實施信息化作戰的指導思想。

國際上信息安全標準化工作興起于20世紀70年代中期，80年代有了較快的發展，90年代引起了世界各國的普遍關注。目前世界上有近300個國際和區域性組織制定標準或技術規則，與信息安全標準化有關的組織主要有幾個：ISO（國際標準化組織）、IEC（國際電工委員會）、ITU（國際電信聯盟）、IETF（Internet工程任務組）等。除了上述標準組織，世界各國的官方機構和行業監管機構還有許多信息安全方面的標準、指引和建議的操作實踐。

2 國外IT新技術信息安全

隨著全球信息化浪潮的不斷推進，信息技術正在經歷一場新的革命，使社會經濟生活各方面都發生著日新月異的變化。虛擬化、云計算、物聯網、IPv6等新技術、新應用和新模式的出現，對信息安全提出了新的要求，拓展了信息安全產業的發展空間。同時，新技術、新應用和新模式在國外市場的全面開拓將加快國外信息安全技術創新速度，催生云安全等新的信息安全應用領域，為國外企業與國際同步發展提供了契機。

2.1 云計算

“云安全”是繼“云計算”、“云存儲”之后出現的“云”技術的重要應用，已經在反病毒軟件中取得了廣泛的應用，發揮了良好的效果。在病毒與反病毒軟件的技術競爭當中為反病毒軟件奪得了先機。云安全聯盟CSA是在2009年的RSA大會上宣布成立的，云安全聯盟成立的目的是為了在云計算環境下提供最佳的安全方案。同時云安全聯盟列出了云計算的七大安全風險：（1）數據丟失/泄漏；（2）共享技術漏洞；（3）內部控制；（4）賬戶、服務和通信劫持；（5）不安全的應用程序接口；（6）沒有正確運用云計算；（7）透明度問題。

2.2 虛擬化

咨詢公司Gartner將虛擬化技術列為2013年十大戰略技術第一位，而在2014年初預測中，更是大膽斷言到2015年20%的企業將不再擁有IT資產，因為多個內在關聯的趨勢正在推動企業去逐步減少IT硬件資產，這些趨勢主要是虛擬化、云計算服務等。而虛擬化技術，作為云計算的一個支撐技術，必將成為未來最重要的最值得研究的IT技術之一。雖然目前針對各組件安全的保護措施不少，但是從CVE的公告中可以看出安全威脅仍然存在。目前針對虛擬化環境的主要威脅有三類：逃逸威脅、流量分析與隱蔽信道以及Host OS與Guest OS之間的共享問題。

2.3 物聯網

物聯網和互聯網一樣，都是一把“雙刃劍”。物聯網是一種虛擬網絡與現實世界實時交互的新型系統，其特點是無處不在的數據感知、以無線為主的信息傳輸、智能化的信息處理。根據物聯網自身的特點，物聯網除了面對移動通信網絡的傳統網絡安全問題之外，還存在著一些與已有移動網絡安全不同的特殊安全問題。這是由于物聯網是由大量的機器構成，缺少人對設備的有效監控，并且數量龐大，設備集群等相關特點造成的，這些特殊的安全問題主要有幾個方面：（l）物聯網機器/感知節點的本地安全問題；（2）感知網絡的傳輸與信息安全問題；（3）核心網絡的傳輸與信息安全問題；（4）物聯網應用的安全問題。

2.4 IPv6

為適應Intemet的迅速發展及對網絡安全性的需要，由IETF（The Internet Engineer Task Force）建議制定的下一代網際協議（IPNextGeneration Protocol，IPng），又被稱為IP版本6（1Pv6），除了擴展到128位地址來解決地址匱乏外，在網絡安全上也做了多項改進，可以有效地提高網絡的安全性。

由于IPv6與IPv4網絡將會，網絡必然會同時存在兩者的安全問題，或由此產生新的安全漏洞。已經發現從IPv4向IPv6轉移時出現的一些安全漏洞，例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協議的LAN的網絡資源，攻擊者可以通過安裝了雙棧的使用IPv6的主機，建立由IPv6到IPv4的隧道，繞過防火墻對IPv4進行攻擊。

3 國外信息安全發展趨勢

據Gartner分析，當前國際大型企業在信息安全領域主要有幾個發展趨勢：（1） 信息安全投資從基礎架構向應用系統轉移；（2）信息安全的重心從技術向管理轉移；（3）信息安全管理與企業風險管理、內控體系建設的結合日益緊密；（4）信息技術逐步向信息安全管理滲透。結合大型企業信息安全發展趨勢，國際各大咨詢公司、廠商等機構紛紛提出了符合大型企業業務和信息化發展需要的信息安全體系架構模型，著力建立全面的企業信息安全體系架構，使企業的信息安全保護模式從較為單一的保護模式發展成為系統、全面的保護模式。

4 國外信息安全總結

信息安全在國外已經上升到了國家戰略層次，國外的信息安全總體發展領先于國內，特別是歐美，研究國外的信息安全現狀有助于我國的信息安全規劃。國外的主流的信息安全體系框架較多，都有其適用范圍和缺點，并不完全符合我國現狀，可選取框架的先進理念和組成部分為我國所用，如IATF的縱深防御理念和分層分區理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。

5 國內信息安全綜述

目前，國家開始高度重視信息安全問題，以等級保護和分級保護工作為主要手段，加強我國企事業單位的信息安全保障水平。 目前我國信息于網絡安全的防護能力處于發展的初級階段，許多應用系統處于不設防狀態，信息與網絡安全，目前處于忙于封堵現有信息系統的安全漏洞，要解決這 些迫在眉睫的問題，歸根結底取決于信息安全保障體系的建設。

6 國內信息安全標準

國內的安全標準組織主要有信息技術安全標準化技術委員會（CITS）、中國通信標準化協會（CCSA）下轄的網絡與信息安全技術工作委員會、公安部信息系統安全標準化技術委員會、國家保密局、國家密碼管理委員會等部門。

在信息安全標準方面，我國已了《信息技術 安全技術 公鑰基礎設施在線證書狀態協議》、《信息技術 安全技術 公鑰基礎設施證書管理協議》等幾十項重要的國家信息安全基礎標準，初步形成了包括基礎標準、技術標準、管理標準和測評標準在內的信息安全標準體系框架。

7 國內IT新技術信息安全

7.1 云計算

目前我國的云計算應用還處于初始階段，關注的重點是數據中心建設、虛擬化技術方面，因此，我國的云安全技術多數集中在虛擬化安全方面，對于云應用的安全技術所涉及的還不多。雖然當前眾多廠商提出了各種云安全解決方案，但云安全仍處于起步階段，除了可能發生的大規模計算資源的系統故障外，云計算安全隱患還包括缺乏統一的安全標準、適用法規、以及對于用戶的隱私保護、數據、遷移、傳輸安全、災備等問題。

7.2 虛擬化

由于虛擬化技術能夠通過服務器整合而顯著降低投資成本，并通過構建內部云和外部云節省大量的運營成本，因此加速了虛擬化在全球范圍的普及與應用。目前許多預測已經成為現實：存儲虛擬化真正落地、高端應用程序虛擬化漸成主流、網絡虛擬化逐漸普及、虛擬化數據中心朝著云計算的方向大步邁進、管理工具比以往更加關注虛擬數據中心。在虛擬化技術應用方面，企業桌面虛擬化、手機虛擬化、面向虛擬化的安全解決方案、虛擬化推動綠色中心發展等領域也取得了長足進步，發展勢頭比之前預想的還要迅猛。

7.3 IPv6

我國IPv6標準整體上仍處于跟隨國際標準的地位，IPv6標準進展與國際標準基本一致，在過渡類標準方面有所創新（如軟線技術標準和 IVI技術標準等），已進入國際標準。中國運營企業在IPv6網絡的發展，奠定了中國在世界范圍內IPv6領域的地位，積累了一定的運營經驗。但總體來看，我國IPv6運營業發展緩慢，主要體現在IPv6網絡集中在骨干網層面，向邊緣網絡延伸不足，難以為IPv6特色業務的開發和規模商用提供有效平臺。此外，由于運營企業積極申請IPv4地址，或采用私有地址，對于發展IPv6用戶并不積極，直接影響了其他產業環節的IPv6投入力度。

8 國內信息安全發展趨勢

隨著信息技術的快速發展和廣泛應用，基礎信息網絡和重要信息系統安全、信息資源安全以及個人信息安全等問題與日俱增，應用安全日益受到關注，主動防御技術成為信息安全技術發展的重點。

第一，向系統化、主動防御方向發展。信息安全保障逐步由傳統的被動防護轉向"監測-響應式"的主動防御，產品功能集成化、系統化趨勢明顯，功能越來越豐富，性能不斷提高；產品問自適應聯動防護、綜合防御水平不斷提高。

第二，向網絡化、智能化方向發展。計算技術的重心從計算機轉向互聯網，互聯網正在逐步成為軟件開發、部署、運行和服務的平臺，對高效防范和綜合治理的要求日益提高，信息安全產品向網絡化、智能化方向發展。網絡身份認證、安全智能技術、新型密碼算法等信息安全技術日益受到重視。

第三，向服務化方向發展。信息安全內容正從技術、產品主導向技術、產品、服務并重調整，安全服務逐步成為發展重點。

9 國內信息安全總結

國內的信息安全較國外有一定距離，不過也正在快速趕上，國內現在以等級保護體系和分級保護體系為主要手段，以保護重點為特點，強制實施以提高對重點系統和設施的信息安全保障水平，國內的信息安全標準通過引進和消化也已經初步成了體系，我國在規劃時，需考慮合規因素，如等級保護和分級保護。國內的信息安全體系框架較少，主要是等級保護和分級保護，也有國內專家個人推崇的框架，總體來講，以合規為主要目的。

參考資料

[1] 中華人民共和國國務院.中華人民共和國計算機信息系統安全保護條例.1994.

[2] 公安部，國家保密局，國家密碼管理局，國務院信息化工作辦公室.信息安全等級保護管理辦法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April， 2006.

第2篇

1.1盡快研究出臺與三網融合進程相適應的我國廣電網絡信息安全總體戰略規劃

按照2010年國務院批復的《推進三網融合的總體方案》要求，2013~2015年為推廣階段，該階段目標為：“總結推廣試點經驗，全面推進三網融合；自主創新技術研發和產業化取得突破性進展，掌握一批核心技術，寬帶通信網、數字電視網、下一代互聯網的網絡承載能力進一步提升；網絡信息資源、文化內容產品得到充分開發利用，融合業務應用更加普及，適度競爭的網絡產業格局基本形成；適應三網融合的體制機制基本建立，相關法律法規基本健全，職責清晰、協調順暢、決策科學、管理高效的新型監管體系基本形成；網絡信息安全和文化安全監管機制不斷完善，安全保障能力顯著提高。”根據上述階段目標，總體方案對網絡信息安全保障能力提出了明確的要求，為適應三網融合進程，我國廣電行業在實現技術突破，完成業務融合等措施的同時，需要從戰略的高度統籌考慮網絡信息安全保障問題，從機構調整、立法、關鍵基礎設施保護、技術研發、加強教育培訓、加強多方合作等角度全面的制定我國廣電網絡信息安全總體戰略規劃，分階段制定網絡信息安全總體目標，依據總體目標制定信息安全基本政策及具體措施，并依此來指導未來幾年內面臨三網融合不斷推進形勢下的廣電網絡信息安全保障工作。

1.2盡快建立適合三網融合新形勢的廣電網絡信息安全機制

隨著三網融合進程的不斷深入，電信、互聯網、廣電主體業務將相互開放和相互進入，網絡承載業務的變化必將對現有廣電網絡信息安全機制提出嚴峻的挑戰。因此，當前廣電行業對節目內容以及傳輸網絡的一些管理方式及監管機制也應因勢利導，系統分析及評估當前網絡信息安全風險及未來可能產生的變化，并針對這些新的變化調整自身管理方式和監管機制，盡快建立與三網融合進程相適應的新的廣電網絡信息安全機制。

1.3完善并制定新形勢下廣電網絡信息安全相關法律法規

自三網融合進程啟動以來，針對IPTV、網絡視頻等新媒體內容，我國廣電行業已出臺了一系列相關的法律法規對其進行監督管理。然而，隨著三網融合進程的不斷深入，電信、互聯網、廣電主體業務將不斷相互開放和相互進入，廣電網絡承載業務將不斷擴大，網絡覆蓋方式將涵蓋有線、無線、衛星等多種方式，用戶終端將從客廳電視擴展到PC、移動終端、手持終端等多種終端，業務運營模式也將多種多樣，面對上述不斷激增的新的變化，目前我國廣電行業的相關法律法規已不能全面系統地保障廣電網絡的信息安全。因此，完善并制定新形勢下廣電網絡相關法律法規的工作就迫在眉睫。

1.4完善新技術在廣電網絡應用的安全性及風險評估機制

當前，我國廣電運營商在三網融合進程不斷推進的形勢下，正受到來自電信以及互聯網運營商方面巨大的壓力，面對這種壓力，我國廣電運營商在穩固發展自身視頻業務的同時，也不斷嘗試開展新的融合業務，而支撐這些新業務的新技術也被引入到了廣電網絡中，這些新技術包括物聯網技術、移動互聯網技術、云計算、大數據技術等。新技術的應用推動了新業務的應用，提升了廣電網絡的競爭力，然而任何一種新技術的應用必然會帶來一定的安全威脅，如云計算的應用可能會對存在云端的用戶信息帶來一定安全威脅，物聯網大量使用無線通信、電子標簽和無人值守設備，這使得物聯網應用層隱私信息威脅問題會非常突出。而諸如移動互聯網、大數據等新技術也同樣存在不同的安全威脅。新技術在廣電網絡的應用是提升廣電網絡競爭力的必然需求，但如何安全的應用這些新的技術，盡量減少安全風險，這就要求我們盡早的對新技術在廣電網絡的應用安全性及風險進行系統的評估，建立科學的風險評估機制，分析這些新技術可能在哪些技術環節出現安全威脅，從而針對性的制定網絡信息安全對策，進而采取有效的網絡信息安全措施。

2三網融合背景下我國廣電網絡信息安全技術措施建議

2.1推進具有自主知識產權的廣電核心技術研發

2013年6月，美國前中情局（CIA）職員愛德華•斯諾登向全世界披露了美國國家安全局一項代號為“棱鏡”的秘密項目，棱鏡計劃（PRISM）是一項由美國國家安全局（NSA）自2007年小布什時期起開始實施的絕密電子監聽計劃，該計劃的正式名號為“US-984XN”。美國情報機構可通過直接接觸位于美國的互聯網和科技巨頭的用戶數據，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯系方式與行動。監控的類型有10類：信息電郵，即時消息，視頻，照片，存儲數據，語音聊天，文件傳輸，視頻會議，登錄時間，社交網絡資料的細節。這些巨頭主要包括谷歌、雅虎、微軟、蘋果、Facebook、美國在線、PalTalk、Skype、YouTube、思科等，他們向美國兩大情報機構開放服務器，使美國政府能夠輕而易舉地監控全球。在我國，以思科為例，思科參與了中國幾乎所有大型網絡項目的建設，涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等要害部門的網絡建設，以及中國電信、中國聯通以及我國廣電網絡基礎設施建設。而微軟、Google和蘋果則掌握了中國的PC操作系統份額，在移動終端操作系統領域，蘋果的IOS及Google的Android操作系統更是平分天下。在廣電行業，智能電視操作系統及機頂盒也有部分采用Google的Android系統，這都為我國廣電網絡信息安全埋下了安全隱患。因此，需要研發一批具有自主知識產權的廣電網絡核心技術、關鍵技術、共性技術，以先進的自主技術支撐廣播電視裝備、軟件、系統的自主開發和應用，從而切實提高我國廣播電視領域的自主創新能力和技術裝備水平，排除因采用國外技術而可能隱藏的網絡信息安全隱患。

2.2推進適應融合網絡架構的網絡信息安全技術研發

隨著三網融合進程的推進，廣電網絡、電信網絡以及互聯網三網邊界日益模糊，同時，為提高廣電網絡的承載和覆蓋能力，有線、無線和衛星傳輸網絡的互聯互通和智能協同覆蓋也被提上了日程，此外，基于無線頻譜開展無線互聯網接入業務的呼聲也日益高漲。由此可見，當前的廣電網絡正在經歷著巨大的變革，與互聯網、電信網的融合，自身不同傳輸網絡之間的融合，新的移動互聯接入網絡的需求都使得處于“融合形態”廣電網絡架構發生了巨大的變化，這種變化相應地也帶來了新的安全威脅。因此，如何適應融合形態下的新型廣電網絡信息安全，推進適應融合網絡架構的網絡信息安全技術的研發也需要相關研究機構考慮，并加緊相關研究工作的實施。

2.3推進適應融合業務的網絡信息安全技術研發

網絡的融合，必然帶來的是網絡承載業務的融合，當前廣電網絡承載業務已不僅僅是客廳電視機終端上的視頻業務，點播業務、時移業務也經歷了很長時間的發展，基于移動終端的視頻業務正方興未艾，同時，各種數據業務也正由廣電網絡運營商提供給用戶使用，未來物聯網等新型業務也將由廣電網絡承載并提供給家庭用戶使用。融合業務給廣電網絡帶來了新的機遇，同時也給廣電網絡的信息安全帶來了極大的挑戰，為應對傳統視頻業務而采用的一系列信息安全技術在面臨新的融合業務時已經不足以保障用戶安全的使用和享受這些業務形式。因此，需要推進適應融合業務的網絡信息安全技術研發，真正使用戶放心安全的享受廣電網絡承載的多種融合業務。

2.4推進面向云計算、物聯網等新技術應用的網絡信息安全技術研發

通過之前的研究我們發現，進入21世紀第二個十年后，以云計算、物聯網為代表的新技術正在加快在廣電網絡的應用。然而，新技術在推動廣電網絡的巨大變革的同時，也帶來了新的安全隱患。以云計算為例，2010年3月云計算安全聯盟(CSA)的一份云計算主要威脅的報告中，就提出了云計算目前存在的七大安全威脅，而如果我們沒有及早對這些可能的安全威脅采取相應的安全技術和安全措施，一旦發生安全事故，就極有可能導致整個網絡的癱瘓，導致所有用戶信息的泄露，后果不堪設想。物聯網同樣存在著巨大的安全隱患，如果物聯網出現了被攻擊、數據被篡改等，并致使其出現了與所期望的功能不一致的情況，或者不再發揮應有的功能，那么依賴于物聯網的控制結果將會出現災難性的問題，如工廠停產或出現錯誤的操控結果此外，黑客等惡意攻擊者還有可能通過物聯網來獲取、處理、傳輸的用戶的隱私數據，如果物聯網沒有防范措施則會導致用戶隱私的泄露。因此，我們在推動云計算、物聯網等新技術在廣電網絡應用的同時，務必需要對這些新技術可能產生的安全威脅進行系統的估量，并加緊推進面向云計算、物聯網等新技術應用的網絡信息安全技術研發，從而在享受新技術帶來的“技術紅利”的同時，以技術的手段堵著可能的安全漏洞，真正確保新技術在廣電網絡的安全應用。

3結束語

第3篇

2016年11月29日，普華永道2017年全球信息安全狀況調查報告（以下簡稱“調查”）。此次調查是2016年4月至6月由普華永道和CIO與CSO雜志聯合在互聯網上開展的全球范圍調查研究。調研對象來自CIO和CSO雜志的讀者與普華永道的客戶群體，涵蓋133個國家，其中超過10，000份調研來自CEO（首席執行官）、CFO（首席財務官）、CIO（首席信息官）、CISO（首席信息安全官）、CSO（首席安全官）、VP（副總裁）以及IT與安全總監，48%的受訪企業年收益超過5億美元。

調查顯示，在過去12個月中，中國內地及香港企業檢測到的信息安全事件平均數量高達2，577起，是前次調查記錄的兩倍，較2014年更是攀升969%。

同時，調查發現，在過去一年中，全球各行業檢測到的信息安全事件平均數量有所下降，為4，782起，比2014年減少3%。

中國受訪企業在信息安全方面的投資預算比去年削減了7.6%。值得注意的是，88%的中國受訪企業認為，他們在信息安全上的投入受到了數字化的影響，而投入的重點主要集中在那些與企業自身的商業戰略及安全監管相匹配的網絡安全方面。此外，31.5%的中國受訪企業表示其有意在人工智能、機器學習等先進安全技術領域進行投資。

對此，普華永道中國網絡安全與隱私保護服務合伙人冼嘉樂認為，“國內一些有前瞻性的企業已經在調整信息安全的投資方向，通過加大對先進網絡信息安全技術的投入，來明確并加強其獨有的商業價值，為業務增長保駕護航。”

根據調查反饋，針對信息安全事件的攻擊途徑，49%的中國內地及香港受訪者表示，網絡釣魚欺詐是主要手段，而商務郵件首先成為重災區。44%的中國受訪企業認為，內部原因是網絡安全的最大威脅。同時，商業競爭對手也是不可忽視的因素。34%的中國受訪企業將攻擊歸因于競爭對手，高于全球數值（23%）。

在商業機會和風險不斷演變的大環境中，如何加強物聯網中各個連接設備的網絡安全，如何利用云科技來部署企業敏感職能已成為企業探索的主要方向。本期調查顯示，57%的中國內地及香港受訪企業正在對物聯網安全策略進行投資（全球為46%），并且已有約45%的IT系統是基于云技術運行的（全球為48%）。

與此同時，根據調查反饋，75%的中國內地及香港受訪企業在使用開源軟件（全球為53%）。受訪企業認為安全管理服務和開源軟件能夠有效提升企業信息安全水平。

冼嘉樂表示，企業在信息安全方面，應當重視員工的信息安全意識培訓，同時做好企業數據的分類工作、對數據分類進行風險評估，并按照級別對信息采取相應的保護措施；采用科技數據保護方案是十分必要的；企業應該加強信息安全的管理，并提高對受訪者身份的識別能力。