物联网安全总结范文

前言：我们精心挑选了数篇优质物联网安全总结文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

【 关键词 】 信息安全；规划；规范；完善；信息系统

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在当今全球一体化的环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为信息化管理越来越关键的一部分。面对越来越严峻的安全形势，世界各国高度重视信息安全保障。2015年已然过半，在安全行业，不同规模的攻击者，无论是技术还是组织都在快速提升。相比之下美国信息安全保障体系建设比较完善，信息保障已成为美军组织实施信息化作战的指导思想。

国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主要有几个：ISO（国际标准化组织）、IEC（国际电工委员会）、ITU（国际电信联盟）、IETF（Internet工程任务组）等。除了上述标准组织，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。

2 国外IT新技术信息安全

随着全球信息化浪潮的不断推进，信息技术正在经历一场新的革命，使社会经济生活各方面都发生着日新月异的变化。虚拟化、云计算、物联网、IPv6等新技术、新应用和新模式的出现，对信息安全提出了新的要求，拓展了信息安全产业的发展空间。同时，新技术、新应用和新模式在国外市场的全面开拓将加快国外信息安全技术创新速度，催生云安全等新的信息安全应用领域，为国外企业与国际同步发展提供了契机。

2.1 云计算

“云安全”是继“云计算”、“云存储”之后出现的“云”技术的重要应用，已经在反病毒软件中取得了广泛的应用，发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全联盟CSA是在2009年的RSA大会上宣布成立的，云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。同时云安全联盟列出了云计算的七大安全风险：（1）数据丢失/泄漏；（2）共享技术漏洞；（3）内部控制；（4）账户、服务和通信劫持；（5）不安全的应用程序接口；（6）没有正确运用云计算；（7）透明度问题。

2.2 虚拟化

咨询公司Gartner将虚拟化技术列为2013年十大战略技术第一位，而在2014年初预测中，更是大胆断言到2015年20%的企业将不再拥有IT资产，因为多个内在关联的趋势正在推动企业去逐步减少IT硬件资产，这些趋势主要是虚拟化、云计算服务等。而虚拟化技术，作为云计算的一个支撑技术，必将成为未来最重要的最值得研究的IT技术之一。虽然目前针对各组件安全的保护措施不少，但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有三类：逃逸威胁、流量分析与隐蔽信道以及Host OS与Guest OS之间的共享问题。

2.3 物联网

物联网和互联网一样，都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统，其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。根据物联网自身的特点，物联网除了面对移动通信网络的传统网络安全问题之外，还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成，缺少人对设备的有效监控，并且数量庞大，设备集群等相关特点造成的，这些特殊的安全问题主要有几个方面：（l）物联网机器/感知节点的本地安全问题；（2）感知网络的传输与信息安全问题；（3）核心网络的传输与信息安全问题；（4）物联网应用的安全问题。

2.4 IPv6

为适应Intemet的迅速发展及对网络安全性的需要，由IETF（The Internet Engineer Task Force）建议制定的下一代网际协议（IPNextGeneration Protocol，IPng），又被称为IP版本6（1Pv6），除了扩展到128位地址来解决地址匮乏外，在网络安全上也做了多项改进，可以有效地提高网络的安全性。

由于IPv6与IPv4网络将会，网络必然会同时存在两者的安全问题，或由此产生新的安全漏洞。已经发现从IPv4向IPv6转移时出现的一些安全漏洞，例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源，攻击者可以通过安装了双栈的使用IPv6的主机，建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击。

3 国外信息安全发展趋势

据Gartner分析，当前国际大型企业在信息安全领域主要有几个发展趋势：（1） 信息安全投资从基础架构向应用系统转移；（2）信息安全的重心从技术向管理转移；（3）信息安全管理与企业风险管理、内控体系建设的结合日益紧密；（4）信息技术逐步向信息安全管理渗透。结合大型企业信息安全发展趋势，国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化发展需要的信息安全体系架构模型，着力建立全面的企业信息安全体系架构，使企业的信息安全保护模式从较为单一的保护模式发展成为系统、全面的保护模式。

4 国外信息安全总结

信息安全在国外已经上升到了国家战略层次，国外的信息安全总体发展领先于国内，特别是欧美，研究国外的信息安全现状有助于我国的信息安全规划。国外的主流的信息安全体系框架较多，都有其适用范围和缺点，并不完全符合我国现状，可选取框架的先进理念和组成部分为我国所用，如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全管理模型、IBM的安全治理模块等。

5 国内信息安全综述

目前，国家开始高度重视信息安全问题，以等级保护和分级保护工作为主要手段，加强我国企事业单位的信息安全保障水平。 目前我国信息于网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态，信息与网络安全，目前处于忙于封堵现有信息系统的安全漏洞，要解决这 些迫在眉睫的问题，归根结底取决于信息安全保障体系的建设。

6 国内信息安全标准

国内的安全标准组织主要有信息技术安全标准化技术委员会（CITS）、中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。

在信息安全标准方面，我国已了《信息技术 安全技术 公钥基础设施在线证书状态协议》、《信息技术 安全技术 公钥基础设施证书管理协议》等几十项重要的国家信息安全基础标准，初步形成了包括基础标准、技术标准、管理标准和测评标准在内的信息安全标准体系框架。

7 国内IT新技术信息安全

7.1 云计算

目前我国的云计算应用还处于初始阶段，关注的重点是数据中心建设、虚拟化技术方面，因此，我国的云安全技术多数集中在虚拟化安全方面，对于云应用的安全技术所涉及的还不多。虽然当前众多厂商提出了各种云安全解决方案，但云安全仍处于起步阶段，除了可能发生的大规模计算资源的系统故障外，云计算安全隐患还包括缺乏统一的安全标准、适用法规、以及对于用户的隐私保护、数据、迁移、传输安全、灾备等问题。

7.2 虚拟化

由于虚拟化技术能够通过服务器整合而显著降低投资成本，并通过构建内部云和外部云节省大量的运营成本，因此加速了虚拟化在全球范围的普及与应用。目前许多预测已经成为现实：存储虚拟化真正落地、高端应用程序虚拟化渐成主流、网络虚拟化逐渐普及、虚拟化数据中心朝着云计算的方向大步迈进、管理工具比以往更加关注虚拟数据中心。在虚拟化技术应用方面，企业桌面虚拟化、手机虚拟化、面向虚拟化的安全解决方案、虚拟化推动绿色中心发展等领域也取得了长足进步，发展势头比之前预想的还要迅猛。

7.3 IPv6

我国IPv6标准整体上仍处于跟随国际标准的地位，IPv6标准进展与国际标准基本一致，在过渡类标准方面有所创新（如软线技术标准和 IVI技术标准等），已进入国际标准。中国运营企业在IPv6网络的发展，奠定了中国在世界范围内IPv6领域的地位，积累了一定的运营经验。但总体来看，我国IPv6运营业发展缓慢，主要体现在IPv6网络集中在骨干网层面，向边缘网络延伸不足，难以为IPv6特色业务的开发和规模商用提供有效平台。此外，由于运营企业积极申请IPv4地址，或采用私有地址，对于发展IPv6用户并不积极，直接影响了其他产业环节的IPv6投入力度。

8 国内信息安全发展趋势

随着信息技术的快速发展和广泛应用，基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增，应用安全日益受到关注，主动防御技术成为信息安全技术发展的重点。

第一，向系统化、主动防御方向发展。信息安全保障逐步由传统的被动防护转向"监测-响应式"的主动防御，产品功能集成化、系统化趋势明显，功能越来越丰富，性能不断提高；产品问自适应联动防护、综合防御水平不断提高。

第二，向网络化、智能化方向发展。计算技术的重心从计算机转向互联网，互联网正在逐步成为软件开发、部署、运行和服务的平台，对高效防范和综合治理的要求日益提高，信息安全产品向网络化、智能化方向发展。网络身份认证、安全智能技术、新型密码算法等信息安全技术日益受到重视。

第三，向服务化方向发展。信息安全内容正从技术、产品主导向技术、产品、服务并重调整，安全服务逐步成为发展重点。

9 国内信息安全总结

国内的信息安全较国外有一定距离，不过也正在快速赶上，国内现在以等级保护体系和分级保护体系为主要手段，以保护重点为特点，强制实施以提高对重点系统和设施的信息安全保障水平，国内的信息安全标准通过引进和消化也已经初步成了体系，我国在规划时，需考虑合规因素，如等级保护和分级保护。国内的信息安全体系框架较少，主要是等级保护和分级保护，也有国内专家个人推崇的框架，总体来讲，以合规为主要目的。

参考资料

[1] 中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例.1994.

[2] 公安部，国家保密局，国家密码管理局，国务院信息化工作办公室.信息安全等级保护管理办法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April， 2006.

第2篇

1.1尽快研究出台与三网融合进程相适应的我国广电网络信息安全总体战略规划

按照2010年国务院批复的《推进三网融合的总体方案》要求，2013~2015年为推广阶段，该阶段目标为：“总结推广试点经验，全面推进三网融合；自主创新技术研发和产业化取得突破性进展，掌握一批核心技术，宽带通信网、数字电视网、下一代互联网的网络承载能力进一步提升；网络信息资源、文化内容产品得到充分开发利用，融合业务应用更加普及，适度竞争的网络产业格局基本形成；适应三网融合的体制机制基本建立，相关法律法规基本健全，职责清晰、协调顺畅、决策科学、管理高效的新型监管体系基本形成；网络信息安全和文化安全监管机制不断完善，安全保障能力显著提高。”根据上述阶段目标，总体方案对网络信息安全保障能力提出了明确的要求，为适应三网融合进程，我国广电行业在实现技术突破，完成业务融合等措施的同时，需要从战略的高度统筹考虑网络信息安全保障问题，从机构调整、立法、关键基础设施保护、技术研发、加强教育培训、加强多方合作等角度全面的制定我国广电网络信息安全总体战略规划，分阶段制定网络信息安全总体目标，依据总体目标制定信息安全基本政策及具体措施，并依此来指导未来几年内面临三网融合不断推进形势下的广电网络信息安全保障工作。

1.2尽快建立适合三网融合新形势的广电网络信息安全机制

随着三网融合进程的不断深入，电信、互联网、广电主体业务将相互开放和相互进入，网络承载业务的变化必将对现有广电网络信息安全机制提出严峻的挑战。因此，当前广电行业对节目内容以及传输网络的一些管理方式及监管机制也应因势利导，系统分析及评估当前网络信息安全风险及未来可能产生的变化，并针对这些新的变化调整自身管理方式和监管机制，尽快建立与三网融合进程相适应的新的广电网络信息安全机制。

1.3完善并制定新形势下广电网络信息安全相关法律法规

自三网融合进程启动以来，针对IPTV、网络视频等新媒体内容，我国广电行业已出台了一系列相关的法律法规对其进行监督管理。然而，随着三网融合进程的不断深入，电信、互联网、广电主体业务将不断相互开放和相互进入，广电网络承载业务将不断扩大，网络覆盖方式将涵盖有线、无线、卫星等多种方式，用户终端将从客厅电视扩展到PC、移动终端、手持终端等多种终端，业务运营模式也将多种多样，面对上述不断激增的新的变化，目前我国广电行业的相关法律法规已不能全面系统地保障广电网络的信息安全。因此，完善并制定新形势下广电网络相关法律法规的工作就迫在眉睫。

1.4完善新技术在广电网络应用的安全性及风险评估机制

当前，我国广电运营商在三网融合进程不断推进的形势下，正受到来自电信以及互联网运营商方面巨大的压力，面对这种压力，我国广电运营商在稳固发展自身视频业务的同时，也不断尝试开展新的融合业务，而支撑这些新业务的新技术也被引入到了广电网络中，这些新技术包括物联网技术、移动互联网技术、云计算、大数据技术等。新技术的应用推动了新业务的应用，提升了广电网络的竞争力，然而任何一种新技术的应用必然会带来一定的安全威胁，如云计算的应用可能会对存在云端的用户信息带来一定安全威胁，物联网大量使用无线通信、电子标签和无人值守设备，这使得物联网应用层隐私信息威胁问题会非常突出。而诸如移动互联网、大数据等新技术也同样存在不同的安全威胁。新技术在广电网络的应用是提升广电网络竞争力的必然需求，但如何安全的应用这些新的技术，尽量减少安全风险，这就要求我们尽早的对新技术在广电网络的应用安全性及风险进行系统的评估，建立科学的风险评估机制，分析这些新技术可能在哪些技术环节出现安全威胁，从而针对性的制定网络信息安全对策，进而采取有效的网络信息安全措施。

2三网融合背景下我国广电网络信息安全技术措施建议

2.1推进具有自主知识产权的广电核心技术研发

2013年6月，美国前中情局（CIA）职员爱德华•斯诺登向全世界披露了美国国家安全局一项代号为“棱镜”的秘密项目，棱镜计划（PRISM）是一项由美国国家安全局（NSA）自2007年小布什时期起开始实施的绝密电子监听计划，该计划的正式名号为“US-984XN”。美国情报机构可通过直接接触位于美国的互联网和科技巨头的用户数据，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮，即时消息，视频，照片，存储数据，语音聊天，文件传输，视频会议，登录时间，社交网络资料的细节。这些巨头主要包括谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube、思科等，他们向美国两大情报机构开放服务器，使美国政府能够轻而易举地监控全球。在我国，以思科为例，思科参与了中国几乎所有大型网络项目的建设，涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设，以及中国电信、中国联通以及我国广电网络基础设施建设。而微软、Google和苹果则掌握了中国的PC操作系统份额，在移动终端操作系统领域，苹果的IOS及Google的Android操作系统更是平分天下。在广电行业，智能电视操作系统及机顶盒也有部分采用Google的Android系统，这都为我国广电网络信息安全埋下了安全隐患。因此，需要研发一批具有自主知识产权的广电网络核心技术、关键技术、共性技术，以先进的自主技术支撑广播电视装备、软件、系统的自主开发和应用，从而切实提高我国广播电视领域的自主创新能力和技术装备水平，排除因采用国外技术而可能隐藏的网络信息安全隐患。

2.2推进适应融合网络架构的网络信息安全技术研发

随着三网融合进程的推进，广电网络、电信网络以及互联网三网边界日益模糊，同时，为提高广电网络的承载和覆盖能力，有线、无线和卫星传输网络的互联互通和智能协同覆盖也被提上了日程，此外，基于无线频谱开展无线互联网接入业务的呼声也日益高涨。由此可见，当前的广电网络正在经历着巨大的变革，与互联网、电信网的融合，自身不同传输网络之间的融合，新的移动互联接入网络的需求都使得处于“融合形态”广电网络架构发生了巨大的变化，这种变化相应地也带来了新的安全威胁。因此，如何适应融合形态下的新型广电网络信息安全，推进适应融合网络架构的网络信息安全技术的研发也需要相关研究机构考虑，并加紧相关研究工作的实施。

2.3推进适应融合业务的网络信息安全技术研发

网络的融合，必然带来的是网络承载业务的融合，当前广电网络承载业务已不仅仅是客厅电视机终端上的视频业务，点播业务、时移业务也经历了很长时间的发展，基于移动终端的视频业务正方兴未艾，同时，各种数据业务也正由广电网络运营商提供给用户使用，未来物联网等新型业务也将由广电网络承载并提供给家庭用户使用。融合业务给广电网络带来了新的机遇，同时也给广电网络的信息安全带来了极大的挑战，为应对传统视频业务而采用的一系列信息安全技术在面临新的融合业务时已经不足以保障用户安全的使用和享受这些业务形式。因此，需要推进适应融合业务的网络信息安全技术研发，真正使用户放心安全的享受广电网络承载的多种融合业务。

2.4推进面向云计算、物联网等新技术应用的网络信息安全技术研发

通过之前的研究我们发现，进入21世纪第二个十年后，以云计算、物联网为代表的新技术正在加快在广电网络的应用。然而，新技术在推动广电网络的巨大变革的同时，也带来了新的安全隐患。以云计算为例，2010年3月云计算安全联盟(CSA)的一份云计算主要威胁的报告中，就提出了云计算目前存在的七大安全威胁，而如果我们没有及早对这些可能的安全威胁采取相应的安全技术和安全措施，一旦发生安全事故，就极有可能导致整个网络的瘫痪，导致所有用户信息的泄露，后果不堪设想。物联网同样存在着巨大的安全隐患，如果物联网出现了被攻击、数据被篡改等，并致使其出现了与所期望的功能不一致的情况，或者不再发挥应有的功能，那么依赖于物联网的控制结果将会出现灾难性的问题，如工厂停产或出现错误的操控结果此外，黑客等恶意攻击者还有可能通过物联网来获取、处理、传输的用户的隐私数据，如果物联网没有防范措施则会导致用户隐私的泄露。因此，我们在推动云计算、物联网等新技术在广电网络应用的同时，务必需要对这些新技术可能产生的安全威胁进行系统的估量，并加紧推进面向云计算、物联网等新技术应用的网络信息安全技术研发，从而在享受新技术带来的“技术红利”的同时，以技术的手段堵着可能的安全漏洞，真正确保新技术在广电网络的安全应用。

3结束语

第3篇

2016年11月29日，普华永道2017年全球信息安全状况调查报告（以下简称“调查”）。此次调查是2016年4月至6月由普华永道和CIO与CSO杂志联合在互联网上开展的全球范围调查研究。调研对象来自CIO和CSO杂志的读者与普华永道的客户群体，涵盖133个国家，其中超过10，000份调研来自CEO（首席执行官）、CFO（首席财务官）、CIO（首席信息官）、CISO（首席信息安全官）、CSO（首席安全官）、VP（副总裁）以及IT与安全总监，48%的受访企业年收益超过5亿美元。

调查显示，在过去12个月中，中国内地及香港企业检测到的信息安全事件平均数量高达2，577起，是前次调查记录的两倍，较2014年更是攀升969%。

同时，调查发现，在过去一年中，全球各行业检测到的信息安全事件平均数量有所下降，为4，782起，比2014年减少3%。

中国受访企业在信息安全方面的投资预算比去年削减了7.6%。值得注意的是，88%的中国受访企业认为，他们在信息安全上的投入受到了数字化的影响，而投入的重点主要集中在那些与企业自身的商业战略及安全监管相匹配的网络安全方面。此外，31.5%的中国受访企业表示其有意在人工智能、机器学习等先进安全技术领域进行投资。

对此，普华永道中国网络安全与隐私保护服务合伙人冼嘉乐认为，“国内一些有前瞻性的企业已经在调整信息安全的投资方向，通过加大对先进网络信息安全技术的投入，来明确并加强其独有的商业价值，为业务增长保驾护航。”

根据调查反馈，针对信息安全事件的攻击途径，49%的中国内地及香港受访者表示，网络钓鱼欺诈是主要手段，而商务邮件首先成为重灾区。44%的中国受访企业认为，内部原因是网络安全的最大威胁。同时，商业竞争对手也是不可忽视的因素。34%的中国受访企业将攻击归因于竞争对手，高于全球数值（23%）。

在商业机会和风险不断演变的大环境中，如何加强物联网中各个连接设备的网络安全，如何利用云科技来部署企业敏感职能已成为企业探索的主要方向。本期调查显示，57%的中国内地及香港受访企业正在对物联网安全策略进行投资（全球为46%），并且已有约45%的IT系统是基于云技术运行的（全球为48%）。

与此同时，根据调查反馈，75%的中国内地及香港受访企业在使用开源软件（全球为53%）。受访企业认为安全管理服务和开源软件能够有效提升企业信息安全水平。

冼嘉乐表示，企业在信息安全方面，应当重视员工的信息安全意识培训，同时做好企业数据的分类工作、对数据分类进行风险评估，并按照级别对信息采取相应的保护措施；采用科技数据保护方案是十分必要的；企业应该加强信息安全的管理，并提高对受访者身份的识别能力。