安全能力開放和安全服務前景展望

　　（1）信息安全能力開放成為一種全新的業務模式和安全趨勢。物聯網業務信息安全問題涉及兩個領域，一個是內部業務平臺的信息安全保障，即解決企業信息化的信息安全問題；另一個是把第三方用戶納入到信息安全保障范圍的信息安全服務，即在怎樣為用戶提供具有安全保障的業務服務之外，向用戶或第三方信息服務提供商開放針對用戶和業務的安全服務。

　　兩個領域的內涵和外延不同，對安全體系的建設的要求也不同。內部業務平臺的信息安全保障從傳統的信息安全角度出發，解決業務平臺本身的安全問題；而信息安全服務，在考慮用戶服務的業務平臺本身安全的同時，還需要考慮用戶信息業務服務所處環境的安全保障、不同服務提供商提供的信息業務服務的信息安全保障。

　　從信息安全服務的角度分析，信息安全服務把信息安全從一個內部成本模式轉變為一種具有服務能力的業務模式，帶來的變革不僅是技術領域的革命，還在于贏利模式建立過程中帶來思維方式的突破，以及業務模式和服務模式的建立。

　　從運營商推動移動信息安全服務體系的優勢來說，運營商作為信息業務基礎設施提供商，用戶對移動運營商的依賴天然形成，面對信息安全問題，首先想到的是移動運營商。因此，用戶選擇信息安全服務提供商時，運營商具有天然的優勢和品牌認知價值，更能獲得用戶的認可。

　　（2）信息安全能力開放業務的價值和意義。建立信息安全能力開放體系對運營商而言具有雙重意義，首先，可以為內部信息系統安全提供支撐服務，形成運營商對移動信息安全的核心管控能力，降低運營商內部信息系統信息安全風險，減少信息安全風險暴露帶來的損失；其次，對外向用戶和移動互聯網服務提供商提供信息安全保障的能力，實現信息安全運營服務，具體如下。

　　·信息安全能力庫可以對外開放安全能力API，可以為物聯網業務提供商和用戶提供業務安全服務；

　　·信息安全基礎能力運營服務，可以與物聯網服務提供商、大中型企業合作，提供保障網絡和業務運營的安全基礎能力服務。

　　建立信息安全能力開放體系，開放運營商信息安全能力，為用戶和物聯網提供商提供基礎的信息安全服務，具有深遠的社會價值和經濟價值。運營商通過信息安全問題的管控能力建設提供關鍵的核心能力，通過開放的信息安全能力體系建設帶動整個產業鏈的價值提升，通過信息安全能力庫的開放共享有利于快速提高整個行業的安全保障能力和水平，為物聯網信息化建設提供基礎的保障和支撐。

　　物聯網開放平臺安全需求

　　物聯網開放平臺致力搭建開放、共贏的平臺，為各種跨平臺物聯網應用提供簡便的云端接入、存儲和展現。在開放平臺的業務運營和發展中，同樣面臨著安全能力開放和服務化的安全需求。

　　首先，物聯網業務傳感器大部分都是無人值守并且長期持續工作的，開放平臺需要對傳感器的安全性進行即時監測。

　　·對傳感器自身的健康程度進檢測并及時告警；

　　·保證傳感器與業務系統間信息交互的安全性。

　　其次，在接入方面，開放平臺需要統一的接入機制和協議，將多個行業和多個廠家的傳感器終端統一接入運營商的網絡及業務平臺，實現傳感終端的統一認證和管理。

　　同時，物聯網業務提供者希望專注于業務應用的開發，關注業務數據和業務流程的處理，期望簡單、快速的業務開發環境，不希望分散精力處理不同能力中心間的交互、安全保障等。因此，開放平臺需要將安全功能進行能力化，以及將安全防護手段進行服務化。在此基礎上，開放平臺可實現：

　　·構建安全能力開放平臺，基于開放API，降低開發門檻，提升業務安全；

　　·建設安全服務平臺，提供網絡、應用環境安全防護，保障運營安全。

　　構建安全能力開放平臺

　　安全能力開放平臺作為物聯網開放平臺PaaS層的一部分，針對物聯網開放平臺所承載物聯網業務提供安全能力API接口，并實現對接口調用的安全管控，方便物聯網應用快速、便捷、安全地開發和部署，助力物聯網應用的發展。

　　構建安全服務平臺

　　安全服務平臺作為物聯網開放云平臺IaaS層的一部分，針對物聯網開放平臺網絡及所承載物聯網業務提供Web漏洞檢測、抗DDOS、Web應用防護（WAF）、網絡入侵檢測、Web服務器日志分析等安全服務，保證物聯網開放平臺及業務的安全運營。其中，對于物聯網應用開發者：

　　·進行Web漏洞檢測、抗DDOS、WAF和Web服務器日志分析等安全服務訂購；

　　·配置安全防護的資產信息；

　　·查看或訂閱安全服務報告。

　　對于安全運維人員：

　　·通過平臺采集分析能力監控可發現安全告警；

　　·對用戶服務報告進行審核，并對服務計量；

　　·用戶訂購服務可自動開通和退訂，用戶服務可請求幫助；

　　·對安全資源的配置維護管理。

　　基于物聯網開放平臺中，安全組網部署設備作為安全服務能力層，實現對安全設備策略的統一管理，安全事件/告警信息的統一收集、分析、關聯，實現安全能力服務化。