《与非大视野》系列
物联网的发展
二十年前,小伙伴们会问 IoT 是什么?没听说过啊,难道是 IT 的朋友?毕竟只是多了一个“o”,大家不清楚是正常现象,因为不是每个人都走在世界科技理论的前沿,不过早在 1999 年世界刚提出“物联网”概念的时候,中国就已经开始对其展开研究,并取得了一定的成果,那时候“物联网”还用着她的曾用名“传感网”,也就是说中国对物联网的研究与发达国家是同步启动的。
十年前,在学校上学的时候有幸接触到一些物联网的应用研发,当时基于 2G、Zigbee、WiFi 的智能家居也刚刚起步。
在 2019 年的今天,IoT 高速发展,得益于芯片行业的高速发展、解决方案的不断完善以及电信等无线网络实体的建立。
物联网就像是弥漫在空气中的水蒸气一般无处不在,我们似乎进入了“大跃进”时代,白天我们见识了各式各样的物联网产品,感叹其带来的变革,黑夜我们睡去,脉搏检测手环还形影不离,在我们的美梦中继续默默工作。
物联网合规性问题的出现
物联网带来了机遇,也带来了挑战,出现的各式各样的问题是挑战的有机组成部分,但是为什么在物联网相关问题调查中,合规性问题总是居于首位呢?
二十一世纪,各大科研机构、厂商都在摩拳擦掌,在技术上赶超竞争对手都是志在必得,但即使努力守法,所有的设计、研发、运营都是基于现有的法律法规,新生领域对原法规条款的复杂性维度发起了挑战,有时候甚至基本没有相应法律边界可以约束。这样发展下去,IoT 会不会成为打开潘多拉盒子的那双手,一发不可收拾?
答案是:坚决不允许这种事情发生。
物联网标准现状
随着物联网的不断发展,各项法律法规也在紧锣密鼓的制定当中,下图中展示了当前物联网的标准体系:
目前全球范围最广的物联网标准是由美国的电气和电子工程师协会推出的一系列协议标准与行业准则(赶快找找有没有你的行业?):
除了 IEEE,全球还有数以百计的标准指定协会或机构,比如 ISO/IEC、PCI DSS 等。
看了以上长长的行业标准,似乎没有找到中国的影子,这是真的吗?
当然不是,欧美发达国家凭借工业基础雄厚、美国凭借信息技术的发达,走在了全球物联网探索和应用的前沿。但中国也在调快步伐,下面我们细数几项中国在国际物联网标准制定领域的贡献。
2015 年由中国电信主导的 IEEE1888 成功转化为《ISO/IEC/IEEE 188880:2015》国际标准。
2016 年由中国电信主导的 IEEE1888.1 被正式发布为《ISO /IEC/IEEE 188881:2016》标准,IEEE1888.3被正式发布为《ISO/IEC/IEEE 188883:2016》标准。
2017 年国际标准组织 ISO/IEC JTC1 正式通过了由中国技术专家牵头提交的物联网参考架构国际标准项目。
2018 年由我国主导的 ISO/IEC 30141:2018《物联网 参考体系结构》国际标准正式发布。
物联网标准化的路上还能做点什么?
无论是国际标准还是行业标准,都是远远不能满足行业领军者的需求,他们会在自身企业发展的同时制定出一系列企业标准,有的企业标准甚至会被推广至公认行业标准的行列,比如苹果公司的 Apple HomeKit、谷歌的 Google Wave、高通的 AllJoyn、IBM 的 MQTT。在中国也不乏这样的企业存在,比如华为的 Hi-Link 标准、阿里的物联网 ICA、中国移动的 OneNet、小米的《关于布局 5G 应用、推动物联网创新发展”的建议》等,都为物联网行业的茁壮成长、构建健康的生态圈出了一份力。
当然,目前的这些相关法律法规还不够完善,那么我们要怎样才能减少 IoT 因新设备类型以不合规的方式访问、共享数据,或是因 IoT 设备引入漏洞使得合规性管理的数据被窃取等现象的发生呢?
下面从设备、数据、用户等多方面提出一些见解:
产品生命周期:建立健全的合规性框架,合规性建设要贯穿整个产品的生命周期,尤其是设计阶段,从解决方案出发,提高合规性在研发阶段的优先级,将问题扼杀早摇篮里;
授权、身份验证以及完善的审查流程;
“假设违规”模拟测试:包括物理测试、数字测试、第三方测试与老化测试,从而提高所选安全框架的效率;
库存的准确性:包括硬件与软件两方面,确保硬件设备的类型、版本、序列号、追踪码等的准确性,无丢失或无故增加的情况,采用软件自动更新机制,可远程进行问题修补,省时省力,减少用户验证、发现问题的可能性,提高用户体验的舒适性;
数据保护:数据保护包括减少不必要的数据采集,进行数据可见性设置,对于医疗保障等特殊行业注意隐私的保护,在启用云服务的项目中,各个客户的数据进行隔离存储,建立云数据合规性策略;
入侵检测:实行单个应用程序流量异常检测,并在“5W”的基础上,关联跨多个应用程序的访问事件,有助于识别未知的违规问题;(5W:谁需要访问应用程序和数据“Who”、他们使用什么设备在访问“What”、在哪里访问 “Where”、何时需要访问“When”、为什么要访问“Why”)
遵守安全策略,定期接受政府、行业的合规性审查(政府与行业当然要尽快制定完善的法律条款),同时增加自审环节;
用户教育:从源头抓起,减少违规行为的发生;
响应事件的能力:当发生了违规性问题带来的不良后果,要建立完善、快速的响应机制,以求影响范围的缩小与损失的降低。
总之无论是制造业、零售业、智慧城市、智慧农业、智慧交通还是智慧医疗保障行业,每家厂商都必须严格遵守其安全性和合规性标准,只有这样,他们才能在符合国际、国家和行业标准的轨道上成功运营其日常业务。当然,当一个公司做到了行业领先水平,那么就需要制定超越强制或推荐标准外的企业标准,为这个行业的规范化建设、健康发展做出贡献。
- END -
领取专属 10元无门槛券
私享最新 技术干货