2.1 物联网安全需求及目标

当定义物联网的安全防护区域、部署信息安全防护技术时，首先必须评估明确安全需求（安全目标）；然后确定具体的物联网资产是在安全防护区域内考虑还是在外部区域考虑。

物联网的安全需求可以划分为以下几种类型。

1．接入与访问

对于信息安全边界内可以提供价值的、一个机构/组织内的资产而言，必然有来自信息安全边界外部的资产与其相连。这些资产可以有多种形式存在，包括可流动性物理资产（产品）和人（员工和供应商）或与信息安全区域以外的实体进行电子信息通信。

远程接入与访问是指与那些安全区域保护边界之外的资产进行通信。本地接入与访问通常是指一个独立的安全区域内的各种资产之间的通信。

2．物理访问与接入

物理安全区域通常用来限制对一些特定区域的接入，因为该区域内的所有系统需要对其操作人员、维护人员和开发人员拥有相同级别的信任。这并不排除具有更高级别的物理安全区域嵌入到一个较低级别的物理安全区域内；或者一个更高级别的通信接入区域内一个较低级别的物理安全区域。对于物理区域而言，可以使用给门上锁或其他物理方法防止未经授权的访问，这些边界可以是用于限制访问的墙或机架等。物理区域必须有与所需的安全水平相称的物理边界，并与其他资产的安全计划保持一致。

物联网系统信息安全边界内的资产是那些必须受到给定的安全级别或策略保护的资产。信息安全边界内的所有设备必须共享相同的、最低级别的安全性要求。另外，信息安全边界内的所有设备必须受到严格的保护，并满足相同的安全策略要求。不同的资产需要不同的保护机制进行保护。

物联网系统信息安全区域之外的资产，理论上需要更低级别或不同的安全防护水平。这些资产并不需要与区域内的资产相同的安全保护机制，而且根据定义不能被相同的信息安全水平或策略信任。

从企业管理、工程建设、物联网建设项目角度来看，物联网系统信息安全需求包括：开展重点企业内部物联网系统信息安全风险评估，建设全面的信息安全管理机制；实现安全域的划分与隔离，网络接口遵从清晰的安全规范；部署集成安全措施的保护基于PC的控制系统；保护物联网系统控制级，防御安全攻击；实现对物联网系统通信的可感知与可控制。