肖騰飛 德勤中國風險咨詢合伙人

　　肖總站在專業服務公司的角度進行了德勤之前研究的一些分析，包括其對于整個物聯網看它的安全風險方面目前的狀況，包括還有國際標準方面對于物聯網安全領域的支撐做一些簡要的介紹和匯報。

　　我們的報告里面有一句話分享給大家，這段話是奧本商學院的院長提到的，過去的幾年主要是遇到現象要解釋這個現象是怎么產生的，但是對于響應比較延遲。但是未來的企業必須要對未來要發生的事情盡量能夠做預測。這段話形容現在物聯網的發展趨勢是非常恰當的，就跟我們今天的會議一樣，大家參加會議的人都知道，作為智能終端、物聯網來說，必然要爆發，但是什么時候爆發的話？我們能看到這個趨勢，但不一定是某一天，但是說不定比方說5G真的插上了一雙翅膀很快有一個爆發。我們盡量的想去預測未來，所以我們多參與多來關注這塊。

　　我們看一下最新的統計，我們和Gartner聯合的報告顯示，能夠看到到2020年全球物聯網支出超過3萬億美元，最大的一塊在工業物聯網方面會達到4500億美元。

　　對于德勤來說怎么來看物聯網的呢？我們不是說單一的看這個差別，其實我們會從一個閉環的角度來看，其實我們看的是說物聯網相應的設備、接入的產品最終產生的這些信息和數據最后進行了匯集之后，匯集的這些數據再做進一步的分析，然后在其中能夠產生的價值方面的驅動，這是我們關注的，我們關注的是整個物聯網信息價值的環路，我們會從這個角度來看物聯網對于企業所產生的推動，也就是我們提到的全新的價值元。

　　如果我們談現在整個物聯網商業價值方面的話，我們提到有三個方面要去關注的，在效率的提升、業務的成長，包括在自身風險管理能力提升方面都是我們要去關注的，在效率提升角度企業要關注物聯網相關的資產利用率，包括減少停機的時間帶來的價值，還有對于商業敏捷性和變化方面的響應產生的提升，還有減少供應鏈網絡的成本，以及確保計劃的穩定性和準確性、普惠性。當然還有業務成長這方面，包括物聯網所帶來的尋求業務核心增長的動因，包括對于售后市場收入來源的促進，以及對于客戶的理解和洞察等等。當然不可避免的還有一個環節，我們認為對于風險管理能力的提升，包括我們說產品的安全性提升資產的安全性，包括提升作業環境的安全性，還有一些項目召回等等，還有整個網絡環境的安全性，這個都是能夠帶來價值的，當然風險也是要關注的。今天我們關注的是物聯網和智能終端的安全，我們談談第三部分關于整個安全風險管理這方面的問題。

　　如果我們回頭看整個物聯網安全演變的話，其實跟整個互聯網走過的過程也是相關的，從我們最早的網絡時代的初期關注的是盜竊、損失、破壞、欺騙等等，到我們說目前的互聯網時代里面各種各樣的劫持、惡意軟件、惡意病毒、嗅探竊取等等，發展到萬物互聯的時代，更多關注像智能門鎖等等都會有的身份的驗證，包括編碼，包括含有完整性等等新的安全問題。我們說其實整個萬物互聯時代的安全有著新的，而且更堅定的安全方面的挑戰。

　　如果我們看物聯網整個安全需求的話，其實我們德勤這邊認為主要是三個方面的驅動因素，第一個方面我們認為是來自于風險方面的驅動，包括這里面提到的薄弱的訪問控制和欺詐，包括今天有人提到的去中心化和中心化之間的博弈，我們說這種分散性，包括還有物聯網大量的設備接入這種情況下的關于用戶的隱私保護，我們認為這是風險的驅動因素。還有運營驅動這方面，我們說面向用戶增強客戶的體驗，以客戶為中心，包括還有IT整個由于物聯網的幾何級數的增長帶來的IT整個復雜度的提升，以及法規整個在遵循合規這方面，其實就跟剛才看到的智能門鎖一個簡簡單單的鎖具可能會有幾十個相關國外國內的監管要求。所以說在合規，在整個法律遵從方面，其實也面對著很多這方面的挑戰。

　　當然還有我們說整個顛覆性技術的出現，這種技術驅動因素，包括作為我們各個企業現在面臨的已經進入這種數字化時代的企業，還有大量的我們傳統企業要做數字化轉型過程中間，包括還有我們說面向的整個企業的云化，以及還有我們說新一代的數字式的用戶體驗技術的應用和這些技術驅動的因素，這些對于我們物聯網提出了一個概念叫做新的數字安全觀。

　　對于整個物聯網安全風險來說，我們總結為四個方面，其實大家可以關注常見的，比如說我們說維修成本高和復雜這方面的風險，比如說像智能的醫療設備等等，包括還有廣泛的設備操作，其實就是相當于說我們對于大量的物聯網設備聚集的情況下，這種漏洞一旦出現可以被威脅所利用的情況下，整個風險會得到一個巨大的放量。再有，就是本身設備的一些中斷等等會導致的隱患，在一些健康的行業，涉及到人身方面的安全方面都會有隱患。還有最近大家一直在聊的隱私保護，比如說GDPR和美國醫療方面的，還有電子支付等等方面法規的遵從和數據的保護是我們看到比較關注的四個方面的風險。

　　如果我們看實踐的話，國內也有很多，我們如果看國外，國外相對來說聚焦在幾個領域，我們講是三個領域，一個是在美國NIST這方面，首先說是美國這邊有一個關于基礎設施安全提升的框架，這個是要去參考的，還有就是在800-53關于工業信息系統的安全計劃，800-82關于安全工業物聯網ICS具體的細則，傳統的安全很多做安全的比較熟的就是回到27000系列安全管理體系、安全管理實踐，以及ICA和IEC這邊會有一些關于電子安全、工業控制化和控制類方面的要求。

　　如果從另外一個角度看還有其他的可以幾個維度看物聯網的話，全球范圍一般會關注這幾塊，一個是企業信息安全方面，包括我們剛才提到27000，還有美國安全部，還有歐洲應急安全要求。工業自動化比較著名權威的是像歐洲這邊的ENISA等等的要求，還有一些特定的領域，這個更細分了，比如說在天然氣、能源、電力、風電也有一些具體的方面針對于物聯網方面的要求可以去參考。

　　在國家和國際法規這方面能夠關注到的像歐盟這邊相關的要求，比如說關鍵符和網絡安全的要求，還有一個目前來說最知名的關于GDPR方面的要求，還有關于一些其他的關鍵基礎設施保護方面的要求，都可以供我們參考關于整個物聯網安全方面的內容。

　　我們這邊針對物聯網安全方面有一些總結，但是比如說從美國的國土安全部，包括ISO其他機構等等如果整理的話大概有八個領域放在物聯網安全方面需要考慮的。第一個方面，在設計階段就是一個集成，現在比較主流流行的是把我們的這些安全要求整合在設計階段，再有就是一旦部署應用之后針對物聯網特定情況下對于它的漏洞整個生命周期的管理。包括還有一些我們要結合剛才提到的業界的時間來開展實踐可經得起驗證的落地和執行的工作，還有就是說我們要考慮一些，畢竟物聯網環境會更為龐大，這個過程中間一旦出現安全事件的時候要區分好相應的響應級別和行動的優先級。今天有很多人在談的透明化、開放、合作、共享平臺等等，這方面還有透明度的問題。再有就是考慮到新的產品使用的謹慎性方面，我們說要謹慎的接入，這個是要重點考慮的，還有分層的部署，還有提到的應急預案響應事件、響應能力等等，這八個領域是我們德勤認為在物聯網安全方面重點考慮的。

　　提到物聯網安全，其實還有一個就是如果在企業的角度考慮如何去整合物聯網安全的話，不可避免的我們不能離開關于整個安全組織架構重新的定位和調整，這個里面就要把我們傳統的IT和OT的結合，作為整個我們說CSO其實就要面臨的考慮是給我們高層管委會，或者是治理層去做匯報的時候，要考慮把IT的安全、OT的安全，還有產品研發過程中的安全，還有整個企業風險管理這些東西要做一個整合，通盤的去看我們整個IT、OT的安全，所以說在組織架構方面存在著一個再調整和再定位的問題。

　　還有一個就是我們要考慮如果從端到端的角度看物聯網安全的話有四個方面要去關注，一個就是我們剛才提到的安全集成，關于默認的安全設置、現代的操作系統，包括內置安全功能的內核硬件，還有失效防護機制，這是在連接設備這個角度，接下來在OT技術方面還有一個重點要關注接口中斷這個方面，在接口、網關和服務平臺要關注區域隔離、嗯用程序接口、通信協議等等這方面的問題，物聯網數據保護要針對信息的分級、敏感信息的界定和防護，還有針對各個國家的法規遵從，這四個領域來看端到端的物聯網安全。

　　還有一個框架可以分享給企業這邊，不管我們是作為物聯網產品的研發企業也好，還是說我們涉及到物聯網應用的企業也好，其實我們在全球推出的一個叫做面向整個物聯網的安全框架，在整個框架里面其實結合了我們說從物聯網安全站在企業治理的層面如何能夠分析透徹的關于物聯網的成熟度、路線，包括集成項目，還有整個對于企業價值的提升，包括企業業務保證這方面的業務價值的有力支撐。接下來還有三個支柱，從具體的安全本身，比如說身份、安全的設計、隱私的設計、具體控制的落實、代碼的安全，還有具體的補償性措施這些角度構建安全的能力。還有一個支柱，就是我們說監測的角度能夠實現對于物聯網安全具體的態勢感知和威脅情報的應用識別相應的這些惡意的行為，以確保比如說針對于物聯網漏洞的評估、滲透的測試，還有針對物聯網產品SIEM的實施，以及監測、補丁，這些構成了我們說在監測的角度。另外提到了彈性，當我們能夠監測相應的事件，一旦有一些事件不可控發生的時候，我能夠通過響應、應急、恢復和可持續構建我們整個彈性的持續的能力。這三個構成了我們整個物聯網的三大支柱，在企業物聯網安全的管理框架里面。

　　剛才這些是我們對于目前整個物聯網安全總體的界定，在物聯網里面有一點特別關注提到了數據安全，大家可以看到現在我們會講要把數據安全，因為以前在講網絡安全的時候大家在講攻擊、漏洞，逐漸開始往數據方面去關注、去靠攏，再到這兩年我們說叫做皇冠上的明珠，其實是關于數據的保護，我們叫做DPE的概念，我們會去關注一下整個在數據能力方面，包括數據的管理、數據的隱私、數據的安全這幾個角度如何來有效的防護確保數據的安全，這是要考慮的。

　　還有一點，在物聯網領域里面，大家考慮的隱私這塊，尤其這兩年我做過很多家電企業冰箱、洗衣機等等傳感器，包括在進入歐洲市場過程中間的隱私方面的保護，還有手機企業、智能手表的穿戴企業，我們說如果站在物聯網的角度來說，其實隱私這方面也是非常熱的一個話題，這方面很多企業不見得非要進軍歐洲的情況下遇到這種情況，其實也可以變成自身的能力，很多企業都開始關注隱私保護，這方面不光是歐洲，在美國比較有名的是加州最新的法案，包括現在還有企業在巴西、墨西哥等地開展業務過程中間，巴西這邊有LGPD等等各種要求都在出。但是應該怎么去做呢？非常建議大家關注一下整個歐洲的GDPR，這個里面我們在LT這塊、物聯網這個角度來說同樣是適用的，這個方面尤其在物聯網的角度很多會涉及到生物信息，這些生物信息在整個GDPR里面也是明確列為隱私方面需要關注的內容。

　　作為GDPR大概給大家羅列了十項當中的需要關注的能力，比如當事人權利、告知、默認的隱私保護，包括很多涉及到平臺在中國、應用在歐洲，這種情況下很多數據傳到平臺做處理，作為數據處理者怎么樣應對？還有在活動中間生成的記錄，這五個方面是企業需要關注的。再往下還有五項內容需要去關注的，比如通告的機制，一旦出現信息泄露怎么在72小時之內能夠去響應匯報，還有就是每個企業要做的一項定的動作，叫做DPIA的動作，叫做隱私保護的影響評估，如果說你的企業在歐洲一旦有了一些問題之后，歐洲的執法機關重點會看有沒有曾經按照規定動作對于你的關鍵流程做過相應的DPIA的工作，還有關于DPO，就是數據保護官應該具備的內容和能力，包括和歐洲相應的機構之間已經建立的溝通匯報機制，以及我們提到的跨境  數據傳輸，如何把你的數據跨出歐洲？當然還有救濟法則等等。這些我們說如果站在隱私的角度來說，這些在物聯網領域里面同樣也是大家可以去參考和遵循的。