诸子云 | 活动：9.24深圳物联网安全研讨会

从企业数字化到业务互联、产业互联，不难看出物联网是一个趋势，当下虽然在整体环境中还没有太大的爆发，但从某些特别的行业来看，比如能源、交通、医疗、家居等，物联网都已有了较深的应用。物联网的出现有效地推动了相关行业的智能化发展，它使得有限的资源可以更加合理地被使用分配，从而提高了行业效率和效益。

然而，物联网近年来的发展虽然已渐成规模，各国都投入了巨大的人力、物力、财力来进行研究和开发，但是在技术、管理、安全等方面仍然存在许多需要攻克的难题。比如物联网的体系结构更复杂，其没有统一的标准，各方面的安全隐患都会更为突出；再比如，对部分标签物的所有者会造成一些个人隐私的暴露，就好像小小的摄像头会不会变成他人的监视器，等等。

基于此，9月24日诸子云深圳分会举办了“物联网安全研讨会”，现场专家对物联网背景下的隐私保护、保障体系、方案落地、安全保险等做了详细的解读。

本次研讨会由诸子云深圳分会主办，深信服安全业务副总裁周智坚担任主持。活动有幸邀请深圳矽递科技有限公司、联洲国际、深圳竹缘互联网技术有限公司、华润、picc、传音控股、平安科技、立讯精密、晨星资讯、集贤科技、蚂蚁安全、维谛技术、海南高等科技、慧泽保险、联洲国际、安信证券、中国金融认证中心、广东远蓝、集贤科技、深圳杰美特、天懋信息、深信服等企业的安全专家参与。

联洲国际信息安全和隐私负责人黄凤翔、天懋信息华南技术总监罗斌，深信服物联网安全业务总监张振礼，众安科技高级网络安全专家叶翔，四位专家分别进行了分享。

物联网是“通过感知设备，按照既定协议，连接物、人、系统和信息资源， 对物理和虚拟世界的信息进行处理并做出反应的智能服务系统”。其中，“物”指物理实体。国际标准 ISO/IEC 22417:2017《 Internet of things (IoT) - IoT use cases》中提出物联网的应用场景包括交通、家居、公共建筑、办公、工业、农业、渔业、穿戴、机车、智慧城市等。

物联网的应用场景大体上分为四部分，consumer、business、government和army。在俄乌战争爆发以前，人们可能对场景中的to c和to g比较熟悉，若身处相关行业，也会对to b接触得较多，但大多对军方的场景并不了解，直至俄乌战争开启，一上来他们就先用物联网的DDOS攻击对国家的关键基础设施进行破坏，以此取得先机，这便是物联网对国安方面非常重要的影响。

而在隐私和个人信息方面，两者并不相同。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息（《民法典》第1032条），权利主体行权的核心目的在于“不愿为人知晓”和“生活安宁”，是相对偏主观感觉的认知。

个人信息，核心是“可识别性”，即该信息可直接或者间接识别出特定自然人，主体行权目的多在于想积极主动管理已授权第三人处理的个人信息。但个人信息在法律上的定义相对偏客观事实。二者一定程度上重合。

物联网想做好隐私保护最大的困难在于它的低能耗。物联网和主机不同，它的计算资源不会像主机、服务器那样丰富复杂，太过复杂的算法和逻辑会变得难以应用，因此为传感器所设计的算法不会太复杂，一方面是为了可用性，另一方面是为了更好地维护。这就是物联网方面最核心的约束了。

据不完全统计，截至目前，我国已出台关于网络与数据安全的法律、行政法规、部门规章、规范性文件等共计两百多部，形成了覆盖网络安全等级保护、关键信息基础设施安全保护、网络关键设备和网络安全专用产品管理、国家网络安全事件管理、密码管理、跨境活动网络安全管理、数据安全管理、个人信息保护等领域的网络安全法律法规体系。

重点在于，法律法规不会对IT系统并这些系统所垂直的场景化进行区分，因此如此多的法律法规使得合规的工作变得越发困难。而除了法规法律之外，另有物联网标准-TC260/CCSA/TTAF，其中TC260有13项标准，CCSA有六十多项标准，TTAF有四十多项标准。

总结而言：标准繁多，但对实际设备制造方和选购方指导意义不强；落地复杂，对小公司不友好，同时还需要认证机制。

当前物联网方面监管最严的国家是新加坡，若企业不符合其最基本的要求，就不允许进海关，不允许投放市场；欧盟2022年颁布了一条指令，要求所有的物联网产品都需要遵守ETSI EN 303 645标准；而在英国，如果企业不遵守其相关物联网的法律法规，会按1000万英镑或者年营业额的2.5%罚款，基本上和GDRP的量级相当，

各时期的里程碑事件推动了这些法案的落地，比如2001年黑客侵入美国加州电力传输系统运营商，比如2010年伊朗核电战震网病毒事件，再比如今年的俄乌战争等，都大大加快了网络弹性法案的推进速度。

英国脱欧之后，欧盟9月16日最新立法消息，从家用电器到联网玩具，再到计算机和软件，所有出口欧洲的数字产品都必须提供安全保障、软件物料清单、漏洞报告机制和为期五年的补丁更新。所谓补丁更新是数字产品最低的安全补丁维护年限，和保修期是分开的，此二者都必须在消费者容易看到的地方呈现出来。此法案预计在2024年正式生效。

所有出口到新加坡的数字产品都需要满足他们的监管标准，比如在安全管理方面，他们会要求企业提供SAST的报告、DST的报告、API测试的报告，还会要求模糊测试的报告，这些要求仅针对于某个家庭网关，即企业所售的家用路由器如果达到了二级以上的强度，就必须把这些报告全都备齐。

2021年，工信部发布《物联网基础安全标准体系建设指南（2021版）》，明确物联网终端、网关、平台等关键基础环节的安全要求，并提出到2022年底要初步建立物联网基础安全标准体系，研制重点行业标准10项以上；到2025年要形成较为完善的物联网基础安全标准体系，满足物联网基础安全保障需要，促进物联网基础安全能力提升。

为此，黄凤翔总结了五点趋势：

管理体系标准化。物联网碎片化严重，固件难以更新，全栈（硬件-OS-协议-应用）各层都可能存在容易利用的漏洞，需要设备开发商全生命周期管理，尽早拦截漏洞。

市场准入认证化。从风险视角，各区域倾向物联网安全垂直分类水平分级，便于需求方清晰决策选购产品及服务，建立清晰的市场竞争机制，有利于此前在信息安全及隐私保护投入较大的头部厂商。

SBOM强制化。同制造业的BOM表相同，SBOM非常有助于分析复杂信息系统是否受漏洞影响，是应急响应和软件供应链管理的有力工具，也是需求方参考的重要因素。

漏洞管理GA化。由于物联网已经嵌入数字化政务，关键基础设施，可用性遭到破坏会影响国家安全；如果不及时修补高危漏洞，可能被Mirai等病毒劫持为DDoS肉鸡，进一步威胁国家安全；相关漏洞研究和披露的工作会逐渐特种化，地缘政治化，从业者需要有更高的政治觉悟。

企业责任扩大化。同1~3年的保修期限相比，近期的安全漏洞更新维护周期多数都会5年起，给企业的研发和管理体系提出了更高的挑战，机海战术能否应对此类变化有待观察；同时，物联网作为个人数据收集装置，需要严格遵循“清晰透明，最小必要”，真正尊重用户。

提问环节

提问一：面对如此严格的合规环境，产品的价格会否因此上调？

答：从企业责任扩大化的角度来看，最后价格的趋向会由市场来决定，因为法律法规必须得遵守，这同样也是销量的前提。

提问二：在美国上架物联网产品需要注意什么？

答：拿加州举例，它的强制措施通常以法律的形式颁布，它和新加坡不太一样，它所给的条例非常明确，比如要求企业不能设置默认密码，这就算是一条条例。各厂商经验告知，UL MCV 1376是比较全面的标准认证。此外，它不会在业务上线时限制企业入场，而是会在企业犯法后给予罚款。

近年来，受新冠疫情、可持续发展战略、突飞猛进的数字化技术影响下，各大企业推出物联网产品贴近数字化市场，多种类型、型号的设备层出不穷，随之带来的是越来越多的安全问题。

物联网安全所遭受到的攻击，如勒索病毒、数据泄露等，严重可能导致城市大停电、工厂系统瘫痪等，那么造成这些网络安全事件的主要原因是我们缺乏对物联网主动安全监管的手段，导致网络边界被突破，资产高危端口或者服务漏洞被利用，从而让攻击者有机会渗透到物联网内进行各种破坏。

目前我国先后出台了各项法律法规从国家网络安全层面开展了相关的督导督查工作，比如《网络安全法》、《等级保护2.0》、《国家网络空间安全战略》、《数据安全法》等，都明确提出我们必需采取技术手段或其它必要手段保障网络安全不受攻击破坏，保障网络数据的完整性、保密性和可用性。

根据《关键信息基础设施安全保护条例》，企业需要理清内部的资产情况，检查企业网内所存在的一些安全隐患，以及一些可能会被利用的漏洞、弱口令等，可以及时发现异常访问、异常攻击、病毒传播等行为。

我们可以从网络边界、专网资产、数据加密、审计溯源四个维度来分析物联网的信息安全风险。

网络边界。在物联网或者专网的环境下，专网禁止连接互联网，如果专网不小心暴露在互联网上，就可能会带来更多的威胁。比如使用多网卡终端设备，一张网卡连接专网，另一张网卡连接互联网，就会导致专网被暴露在互联网之上。除此之外，手机USB，包括目前较多的被称为向日葵的硬件设备，都可能直接连到企业的专网，使得企业的专网被暴露。

专网资产。对于企业内部的资产需要理清是否存在脆弱性的问题，比如弱口令漏洞，以及是否存在开放的高危端口或者一些服务之类的脆弱性问题。同时，企业还需要检查是否存在非授权入网的设备，这些设备又是否存在其他的安全隐患，等等。

数据加密。目前大部分的数据都是以明文信息做传输的，这就导致了大部分的敏感信息都会存在泄露的风险，因此建议需对这些数据传输做加密处理，防止这些敏感数据被直接窃取利用。同时对一些核心的数据库，需要使用数字签证或者设置IP白名单的形式做访问控制。

审计溯源。在网络安全事件发生之后，比如产生了一些网络异常访问行为、远程登录行为、跨域行为、异常数据库访问行为，企业往往缺少审计溯源的举措，这会让企业在排查时遗失之前的攻击痕迹，以至于难以追求攻击者到底是谁。

安全保障体系可以从三个方面入手。其一是要符合国家的法律法规，比如《网络安全法》、《数据安全法》、《关键信息基础保护条例》等，通过这一部分的法律法规去制定严格的制度和规范，落实好数据的分级分权管理，以此降低数据泄露的风险。

其次，需要加强员工的网络安全意识培训，避免员工在不经意间被攻击者利用邮件钓鱼；提升人员的相关意识和技能，切实做好数据安全的防护工作。

第三，企业需要从技术层面、资产层面、业务层面做好网络防护。可从五个方面来讲，分别为空间测绘、资产安全监管、边界安全监管、网内攻击监管和违规操作监管，这五个部分构建主动安全监管体系。

空间测绘是利用网络空间测绘技术对专网信息资产进行纵深探测，对数量大、多元的信息数据, 进行时间、空间、类型等一体化组织, 基于统一的空间基准数据模型和资源标识, 对数据进行有效关联组织和可视化表达, 对网络空间资源的分布、状态、发展趋势等进行全方位动态展示，形成网络空间测绘拓扑图，为掌握在网资产在网络空间的位置提供可视化支撑，实现网络资产空间的可查、可定位，解决未知边界节点、未知资产发现和防护不足的难题。

资产安全监管的重点在于理清家底，比如资产类型、品牌、型号或者附属位置等资产信息。同时还需要理清资产的风险属性，判断哪些资产是可信资产，哪些是未认证的资产，哪些是非法资产。

边界安全监管是对专网边界安全进行监测，主动监测专网内存在的违规和非授权网络边界，发现不受控隐蔽的跨边界数据传输和网络访问通道，以及监测外部设备非授权入网和内部用户违规外联外部网络等高危风险行为，从而预防专网网络资源被不法人员利用，造成网内资源被破坏、数据被泄露以及非法入侵等安全事件。

企业需要采取手段对攻击者攻击专网如端口试探、敏感端口扫描、漏洞利用、僵木蠕病毒传播等攻击行为进行监测和分析，同时需要对重要或敏感业务、应用、数据、资产的访问行为实时监测，发现异常访问行为。

违规行为是对专网内存在的各类违规行为如游戏行为、违规搭建服务站点行为、违规通讯行为、违规文件传输行为等进行监测并告警，减少安全隐患，避免数据信息被泄露、病毒传染源和木马扩散。

广州天懋信息系统股份有限公司（简称“天懋信息”）是一家专注于专网安全产品研发和技术创新的高新技术企业、广东省专精特新企业，已拥有国家信息安全服务安全工程一级资质及风险评估一级资质、通信网络 安全服务能力一级资质、国家网络关键设备和网络安全专用产品安全认证证书、ISO9001和ISO27001管理体系证书等，受聘为公安部重点实验室及国家信息安全漏洞库等国家权威单位或机构的技术支撑单位，被评为大数据安全创新者、中国信息安全内控领域值 得信赖品牌、中国网络安全企业百强、中国杰出网络安全企业等。

天懋信息长期致力于保障政府、公安、军队、能源、运营商、医疗、卫生、教育等行业关基设施的网络安全，推出的网络安全主动监管和安全事件查处等安全产品及解决方案，累计用户上千家，遍布全国二十多省份、数百城市，均获得高度评价和认可，引领国内专网安全标杆。

天懋信息积极承担守护网络安全的责任，已先后圆满完成包括“北京冬奥会”、“建党100周年庆典”、“新中国成立70周年庆典”、“澳门回归20周年”、“十九大”、“上合峰会”、“全国十四运”、“COP15（《生物多样性公约》缔约方大会第十五次会议）”和WannaCry勒索病毒事件等重大活动及安全事件的网络安全应急保障工作，获得客户的高度认可。

提问环节

提问一：天懋的安全体系可以直接用在智能制造上嘛吗？

答：可以。比如医院会使用到一些物联网环境，就把患者的输液情况投影至护士，在此过程中可以通过保障体系去监测，是否存在敏感数据信息泄露的风险。

提问二：物联网安全和传统安全哪里不同？

答：传统安全的风险主要来自于外部攻击，而物联网安全的风险更多来自于内部违规操作。

随着万物互联的发展趋势，以及IPv6的大力推进，未来将会有更多的设备接入网络。此趋势不可逆。

2018年往后，物联网设备的攻击越来越多的和政治事件有关，而物联网所涉及到的威胁也越来越恐怖，比如俄罗斯可直接远程让乌克兰的电厂起火，再比如通过路边的摄像头可获取公民隐私数据，甚至能对其进行篡改。

在深信服的物联安全整体框架中，其物联网安全网关具备四大能力，第一，能把企业的物联设备资产梳理好；第二具备入网管控的机制；第三，具备物联设备漏洞的弱口令、漏洞检测和防御；第四具备加密组网特性。安全网关之上是物联网的安全管理平台，另外还有固件安全检测系统针对物联网设备的固件进行安全分析。

在物联网设备上，Gartner提出最关键的三个点分别是Discovery，visibility and control，即发现、可视、可控。在此基础上，深信服进行了多次验证，得出了物联设备的解决方案框架，其核心还是主动探测+被动识别，但比其他厂商多了一层未知物联设备的指纹推荐。

设备身份化方面，深信服计划会和零信任相结合，基于设备身份化做安全管理。只要设备有IP、厂商、类型、协议、端口，就可以固定算出它的ID，这和身份证一样，有家庭住址、姓名等元素，一旦哪部分属性变了，就可认为此设备是被仿冒了。而深信服要做到就算ID被仿冒了可以快速发现和隔离，避免影响后端业务。

深信服的物联专网非法外联检测有四种方式，内置4G网卡，内外网互联，多网卡设备和私接WIFI NAT子网。

总结而言，深信服的网关技术（SIG）有着丰富的入网控制措施，能够建立可信边界，并同时拥有基础的物联设备风险发现能力（弱密码、漏洞、非法外联）和安全防护能力（针对物联设备定向的漏洞防护），以及具备物联设备网络元数据审计和溯源能力 。

而其平台技术（物联持续动态信任评估平台）则具备物联数据泄露监测分析，物联设备访问行为监测分析，物联设备动态权限评估与策略下发，并具备IT/IoT/OT全局统一可视与管控，以及传统安全能力监测模型（挖矿、APT、web攻击、数据库攻击等），实现混合IT趋势下的一体化运营，避免重复的平台投资。

当下深信服做得最好的两个行业，一个是视频专网场景，另一个是医疗物联网。而在全国范围内，深信服在公安、能源、交通、教育等各行业有累计超过500+ 视频监控网安全建设案例，并且每年都会有很多的大项目会持续跟进。

医疗物联网解决方案经过2021全年的打磨，深信服已经探索出了新的赛道，其中联合信通院发布《医疗物联网安全研究报告》，同时还联合成立了医疗科技安全实验室，当前全国TOP10医院其中3家是他们的用户。

从物联网业务发展趋势看，安全边界的打破带来的是暴露面增加，这暴露面积会从集中向分散转变，而访问关系也会从百千向万级跃升，因此一定要用零信任的思维去解决，基于此，深信服引入了物联网零信任的方案。做个比喻：就算有一天企业门口的闸机被攻破了，到后端时攻击者也无法访问企业其他的数据库服务器或中间件服务器，其中的关键就在于要把这些权限给做好。所以，基于前端的资产识别是积累，然后把边界防护做好，确认受信任的设备才能访问后端业务，之后再加上基于AI的异常行为分析模型，并辅以零信任的策略将物联网里基本的权限管理好，这样，就算被攻破了也不会影响业务。在物联网安全方面，企业于未来3到5年内如此施行不会出什么问题。

除此之外，深信服也会安排专业团队为企业做渗透测试和其他的安全服务。

最后，此方案基于零信任平台可实现人、物统管，所有的安全问题、权限问题、攻防问题都能得到有效的解决。

提问环节

提问一：一旦发生大规模的漏洞爆发，深信服会怎么去响应？

答：如果爆发病毒，深信服会先发出预警的通知，比如从该怎么防御漏洞向用户发出指导，WAF、边界设备，一些端口该封的封掉等，包括业务的处理、数字化的内容，深信服都具有比较成熟的体系，其基本上都是私有化的部署。

众安科技致力于成为领先的数字化转型服务商，基于人工智能、大数据、云计算等前沿技术的探索与研发，融合众安生态优势，经过实际业务验证，打造了“科技+服务”的价值交付体系。

团队致力于打造网络安全保险科技的新生态，主动风险管理体系 （A R M S） Active Risk Management System 是以网络安全风险量化评估技术为核心，凭借海量网络风险数据的积累和动态监测，赋能企业洞察风险、量化风险和管理风险的主动风险管理能力。

20世纪90年代 ，全球网络安全保险市场开始崭露头角，确立了保险公司合作安全企业的模式，但仍存在认可度与获客渠道的限制。

网络安全有三道防线，第一道，企业花费90%的钱购买网络安全产品，抵御大部分基础网络安全风险；第二道，企业花费9%的钱开展安全运营，有效配置和合理使用网络安全产品，及时为操作系统和应用软件升级持续增加安全投入；第三道，在安全运营上所付出的增量部分，可能抵消不了所挽救的预期损失的情况下，花费1%的钱购买网络安全保险，以转移残余风险，真正做到100%的安全保障。

网络安全保险是指投保人因使用互联网络而遭遇网络安全问题，由此造成的损失由保险人负责赔偿的一类保险。网络安全保险就是对网络安全的不确定性进行保险。一般的商业保险并不承保网络损失，而网络安全保险则是针对网络经济的特定风险所设计的新险种。也可以说，网络安全保险是一种经济的解决手段，保险公司通过承担其他风险管理手段无法处置的风险来为企业提供风险管理服务。

网络保险分为第一方责任和第三方责任。第一方责任包含应急响应、营业中断、勒索攻击、数据修复。其中勒索保险赔付相对简单，理论上勒索多少赔付多少，但超过企业应得保险额。

第三方责任包含信息和隐私泄露责任险、网络安全责任险。需要注意的是赔付对象需以法院判决的金额为准。详细条款可看下图。

众安推出了赠险，普惠版赠险适合于特别小的企业，企业官网只要有个WAF就行，众安免费送出这份保险六个月，内容很简单，网页被篡改了，众安负责修复和损失补偿，总计是5万元的保障额度；综合版赠险要求企业的互联网系统必须拥有等保测评证书，每次能赔5万块钱。

众安还有和安全厂商合作的标准版产品，以及针对大客户的定制产品。

众安会给企业提供风险评估，主要针对一些特别高危的漏洞，这相当于在保险这独到的领域里做出最合适的评估，虽不全面但实用。投保人或由其指定的安服公司需每季度提交每个等保系统的漏扫报告，漏扫范围和等保测评的扫描范围相同；有勒索保障的，还需要提供防病毒软件的管理日志。投保人应及时修补漏洞，以厂商发布补丁之日起90日之后尚未修补的漏洞，黑客或病毒通过该漏洞造成的损失，不予赔付。投保人应当确保保险范围内的主机均安装了防病毒软件，并及时更新特征库。对于未安装防病毒软件，或虽然安装但病毒库超过30日未更新的，感染病毒造成损失，不予赔付。

众安全链路网络安全保险科技能力主要分为六块，第一是产品设计，对投保用户的数据收集及分析，形成行业风险模型、风险场景模型、企业用户画像。第二是定价支撑，众安会和一些数据源、模型、算法一起合作，这也是众安最核心的科技。第三是核保评估，基于不同场景的风险评估及量化服务，帮助客户掌握潜在网络安全风险及损失，解决”是否可保” 、“如何承保”的问题。第四是承保监测，提供7*24小时的监测服务，管理数字资产安全情况，赋能风险预警和告警处置能力。第五是应急取证，对接专业安全厂商，提供专业系统、数据应急恢复服务，帮助企业快速恢复业务，并通过标准化采集的理赔数据，协助企业快速理赔。第六是运营服务，通过自研产品ARMS平台的六大引擎，提供客户交互、增值服务和主动风险管理服务。

众安科技还自研了2款产品，一款是等保一体机，其优势有三点，其一是保证能过等保；第二是保证稳定运行；第三是价格有优势。

还有一款品是DLP，对重视数据安全的企业很有帮助，欢迎联系进一步了解。

提问环节

提问一：安全保险怎么买？

答：通常企业需要确定自己需要保障的信息系统是哪些，并确定赔付金额需要多少才能弥补攻击的损失，从而算出保费。我们根据企业的行业属性和防护水平，给出费率。比如费率是30倍，企业买了10万保险，那就等于有了300万的保障，实际损失小于300万全赔，高于300万赔300万，和车险是类似的。

现场花絮：

齐心抗疫 与你同在