0591-87585506
從1995年比爾•蓋茨首次提及物聯(lián)網(wǎng)概念到今天,物聯(lián)網(wǎng)已成為新一代信息通信技術(shù)發(fā)展的典型代表,在經(jīng)歷了“虛張聲勢”的概念炒作階段后,目前已進(jìn)入到全面實(shí)踐應(yīng)用的新階段,正深刻改變著傳統(tǒng)產(chǎn)業(yè)形態(tài)和人類生產(chǎn)生活方式。然而,隨著近年來物聯(lián)網(wǎng)安全攻擊事件日益頻發(fā),對用戶隱私、基礎(chǔ)網(wǎng)絡(luò)環(huán)境的安全沖擊影響也越來越突出。本文從物聯(lián)網(wǎng)當(dāng)前面臨的安全形勢、物聯(lián)網(wǎng)存在的安全風(fēng)險、產(chǎn)生安全問題的主要因素分析入手,進(jìn)而提出相關(guān)促進(jìn)物聯(lián)網(wǎng)健康有序發(fā)展的對策建議。
一、萬物互聯(lián)下網(wǎng)絡(luò)信息安全問題備受關(guān)注
1、 各類垂直應(yīng)用領(lǐng)域受到物聯(lián)網(wǎng)安全問題影響
物聯(lián)網(wǎng)應(yīng)用涉及國民經(jīng)濟(jì)和人類社會生活的方方面面,然而近年來多領(lǐng)域發(fā)生安全事件:在智慧城市領(lǐng)域,2014年西班牙三大主要供電服務(wù)商超過30%的智能電表被檢測發(fā)現(xiàn)存在嚴(yán)重安全漏洞,入侵者可利用該漏洞進(jìn)行電費(fèi)欺詐,甚至關(guān)閉電路系統(tǒng)。在醫(yī)療健康領(lǐng)域,早在2007年時任美國副總統(tǒng)迪克•切尼心臟病發(fā)作,調(diào)查部門懷疑緣于他的心臟除顫器無線連接功能遭暗殺者利用,這被視為物聯(lián)網(wǎng)攻擊造成人身傷害的可能案例之一。在工業(yè)物聯(lián)網(wǎng)領(lǐng)域,安全攻擊事件則危害更大,2018年臺積電生產(chǎn)基地被攻擊事件、2017年的勒索病毒事件、2015年的烏克蘭大規(guī)模停電事件都使目標(biāo)工業(yè)聯(lián)網(wǎng)設(shè)備與系統(tǒng)遭受重創(chuàng)。
2、 物聯(lián)網(wǎng)安全問題給隱私保護(hù)帶來嚴(yán)重威脅
隨著物聯(lián)網(wǎng)的應(yīng)用,涉及用戶隱私的海量數(shù)據(jù)將被各類物聯(lián)網(wǎng)設(shè)備記錄,其數(shù)據(jù)安全隱患也愈加嚴(yán)重。2015至今國內(nèi)外發(fā)生多起智能玩具、智能手表等漏洞攻擊事件,超百萬家庭和兒童信息、對話錄音信息、行動軌跡信息等被泄露;2017年7月美國某公司自動售貨機(jī)遭黑客攻擊,被竊取了數(shù)十萬用戶信用卡賬戶以及生物特征識別數(shù)據(jù)等個人信息;我國某安防公司制造的物聯(lián)網(wǎng)攝像頭被爆出多個漏洞,黑客可使用默認(rèn)憑證登錄設(shè)備訪問攝像頭的實(shí)時畫面。此外,據(jù)有關(guān)數(shù)據(jù)顯示,10000戶家庭每天大約能夠生成多達(dá)1.5億個離散數(shù)據(jù)點(diǎn)。IDC報告顯示,2020年全球物聯(lián)網(wǎng)設(shè)備將有200-250億臺。海量用戶隱私數(shù)據(jù)被龐大的物聯(lián)網(wǎng)設(shè)備所承載記錄,其安全風(fēng)險系數(shù)也被極具放大。
3、 各組織機(jī)構(gòu)紛紛關(guān)注物聯(lián)網(wǎng)安全
近兩年舉辦的RSA大會、Black Hat等安全大會都對物聯(lián)網(wǎng)安全高度關(guān)注,CES等會議也加大對物聯(lián)網(wǎng)安全的關(guān)注。在RSA 2018安全大會上,諸多關(guān)于物聯(lián)網(wǎng)安全漏洞的討論被提及,特別是物聯(lián)網(wǎng)終端設(shè)備或智能家居產(chǎn)品。2016年8月,在一年一度Black Hat大會上,物聯(lián)網(wǎng)安全成為十大值得關(guān)注的安全威脅之一,會上黑客展示了對聯(lián)網(wǎng)汽車、智能燈泡、ATM等物聯(lián)網(wǎng)設(shè)備的攻擊。在CES 2016大會上,物聯(lián)網(wǎng)安全的關(guān)注度被排在了智能家居、可穿戴設(shè)備和無人駕駛汽車之前,位居第一位。
二、物聯(lián)網(wǎng)網(wǎng)絡(luò)的安全風(fēng)險分析
當(dāng)前,物聯(lián)網(wǎng)逐漸形成了以“云、管、端”為主的3層基礎(chǔ)網(wǎng)絡(luò)架構(gòu),與傳統(tǒng)互聯(lián)網(wǎng)相比較,物聯(lián)網(wǎng)的安全問題更加復(fù)雜。
(一)“端”--終端層安全防護(hù)能力差異化較大
終端設(shè)備在物聯(lián)網(wǎng)中主要負(fù)責(zé)感知外界信息,包括采集、捕獲數(shù)據(jù)或識別物體等。其種類繁多,包括RFID芯片、讀寫掃描器、溫度壓力傳感器、網(wǎng)絡(luò)攝像頭、智能可穿戴設(shè)備、無人機(jī)、智能空調(diào)冰箱、智能汽車……體積從小到大,功能從簡單到豐富,狀態(tài)或聯(lián)網(wǎng)或斷開,且都處于白盒攻擊環(huán)境中。由于應(yīng)用場景簡單,許多終端的存儲、計算能力有限,在其上部署安全軟件或者高復(fù)雜度的加解密算法會增加運(yùn)行負(fù)擔(dān),甚至可能導(dǎo)致無法正常運(yùn)行。而移動化作為物聯(lián)網(wǎng)終端的另一大特點(diǎn),更是使得傳統(tǒng)網(wǎng)絡(luò)邊界“消失”,依托于網(wǎng)絡(luò)邊界的安全產(chǎn)品無法正常發(fā)揮作用。加之許多物聯(lián)網(wǎng)設(shè)備都部署在無人監(jiān)控場景中,攻擊者更容易對其實(shí)施攻擊。
(二)“管”--網(wǎng)絡(luò)層結(jié)構(gòu)復(fù)雜通信協(xié)議安全性差
物聯(lián)網(wǎng)網(wǎng)絡(luò)采用多種異構(gòu)網(wǎng)絡(luò),通信傳輸模型相比互聯(lián)網(wǎng)更為復(fù)雜,算法破解、協(xié)議破解、中間人攻擊等諸多攻擊方式以及Key、協(xié)議、核心算法、證書等暴力破解情況時有發(fā)生。物聯(lián)網(wǎng)數(shù)據(jù)傳輸管道自身與傳輸流量內(nèi)容安全問題也不容忽視。目前已經(jīng)有黑客通過分析、破解智能平衡車、無人機(jī)等物聯(lián)網(wǎng)設(shè)備的通信傳輸協(xié)議,實(shí)現(xiàn)對物聯(lián)網(wǎng)終端的入侵、劫持。在一些特殊物聯(lián)網(wǎng)環(huán)境里,傳輸?shù)男畔?shù)據(jù)僅采用簡單加密甚至明文傳輸,黑客通過破解通信傳輸協(xié)議,即可讀取傳輸?shù)臄?shù)據(jù),并進(jìn)行篡改、屏蔽等操作。
(三)“云”--平臺層安全風(fēng)險危及整個網(wǎng)絡(luò)生態(tài)
物聯(lián)網(wǎng)應(yīng)用通常是將智能設(shè)備通過網(wǎng)絡(luò)連接到云端,然后借助App與云端進(jìn)行信息交互,從而實(shí)現(xiàn)對設(shè)備的遠(yuǎn)程管理。云平臺能夠?qū)ξ锫?lián)網(wǎng)終端所收集的數(shù)據(jù)信息進(jìn)行分析與管理,以及對網(wǎng)絡(luò)的安全管理,如對設(shè)備終端的認(rèn)證,對攻擊的應(yīng)急響應(yīng)和監(jiān)測預(yù)警,以及對數(shù)據(jù)信息的保護(hù)和安全利用等。物聯(lián)網(wǎng)平臺未來多承載在云端,目前云安全技術(shù)水平已經(jīng)日趨成熟,而更多的安全威脅往往來自內(nèi)部管理或外部滲透。如果企業(yè)內(nèi)部管理機(jī)制不完善、系統(tǒng)安全防護(hù)不配套,那一個小小的邏輯漏洞就可能讓平臺或整個生態(tài)徹底淪陷。而外部利用社會工程學(xué)的非傳統(tǒng)網(wǎng)絡(luò)攻擊始終存在,一旦系統(tǒng)成為目標(biāo),那么再完善的防護(hù)措施都有可能由外至內(nèi)功虧一簣。
三、影響物聯(lián)網(wǎng)行業(yè)安全的主要因素
多方面的因素導(dǎo)致了物聯(lián)網(wǎng)已經(jīng)逐步成為網(wǎng)絡(luò)信息安全“重災(zāi)區(qū)”,其中既有物聯(lián)網(wǎng)技術(shù)本身技術(shù)特點(diǎn)逐步累積形成的特性,也有新興行業(yè)在高速發(fā)展過程中存在的通病。
一是產(chǎn)業(yè)結(jié)構(gòu)復(fù)雜。
物聯(lián)網(wǎng)在發(fā)展過程中逐漸形成了較為完整的生態(tài)體系,但在三層架構(gòu)的基礎(chǔ)上更涉及了眾多產(chǎn)業(yè) 鏈環(huán)節(jié),導(dǎo)致參與角色眾多、結(jié)構(gòu)復(fù)雜。從終端層的硬件芯片、傳感器、無線模組,到網(wǎng)絡(luò)層各通信運(yùn)營商,再到平臺應(yīng)用層的軟件開發(fā)、系統(tǒng)集成、平臺服務(wù),這其中各個環(huán)節(jié)都在整個產(chǎn)業(yè)鏈中不可或缺。這就需要各個環(huán)節(jié)緊密配合、統(tǒng)一認(rèn)識才能確保不出現(xiàn)大的安全問題。
二是安全意識淡薄。
Gartner發(fā)布的數(shù)據(jù)顯示,到2020年,全球物聯(lián)網(wǎng)市場規(guī)模將達(dá)1.9萬億美元。而在產(chǎn)業(yè)高速發(fā)展、規(guī)模急劇擴(kuò)張的背后,是物聯(lián)網(wǎng)廠商安全意識淡薄,安全投入不足的現(xiàn)狀。一方面,物聯(lián)網(wǎng)設(shè)備數(shù)量龐大、價格低廉,很多廠商為壓縮成本對安全投入嚴(yán)重不足。Gartner預(yù)測,2018年全球物聯(lián)網(wǎng)安全支出將達(dá)到15億美元,年增長率保持在27%左右,這跟市場規(guī)模相比甚至不足1‰,差距較大。另一方面,多數(shù)物聯(lián)網(wǎng)設(shè)備和硬件制造商無法像互聯(lián)網(wǎng)企業(yè)一樣重視安全,缺乏安全意識和人才儲備。AT&T對全球5000多家企業(yè)調(diào)查發(fā)現(xiàn),85%的企業(yè)正在或打算部署物聯(lián)網(wǎng)設(shè)備,而僅10%企業(yè)表示有信心保護(hù)設(shè)備免受黑客攻擊。
三是監(jiān)管政策及標(biāo)準(zhǔn)體系匱乏。
2013年國務(wù)院在《關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》中提出“要加強(qiáng)物聯(lián)網(wǎng)重大系統(tǒng)和應(yīng)用的安全測評、風(fēng)險評估和安全防護(hù)工作,保障物聯(lián)網(wǎng)重大基礎(chǔ)設(shè)施、重要業(yè)務(wù)系統(tǒng)和重點(diǎn)領(lǐng)域應(yīng)用的安全可控”,但目前尚未進(jìn)入實(shí)質(zhì)性階段,相關(guān)政策法規(guī)有待落地。在安全標(biāo)準(zhǔn)體系建設(shè)方面,雖然行業(yè)內(nèi)已有多個物聯(lián)網(wǎng)組織在推進(jìn)物聯(lián)網(wǎng)標(biāo)準(zhǔn)體系建設(shè),但由于物聯(lián)網(wǎng)技術(shù)更新快、應(yīng)用場景豐富,導(dǎo)致物聯(lián)網(wǎng)標(biāo)準(zhǔn)體系建設(shè)步伐滯后于物聯(lián)網(wǎng)發(fā)展,且缺乏完善的安全標(biāo)準(zhǔn)體系和成熟的安全解決方案。
四、關(guān)于進(jìn)一步加強(qiáng)物聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全的對策建議
物聯(lián)網(wǎng)發(fā)展已經(jīng)進(jìn)入快車道,規(guī)?;瘧?yīng)用部署也在提速,物聯(lián)網(wǎng)安全若沒有配套措施手段將無法跟上其發(fā)展步伐。建議我國在物聯(lián)網(wǎng)安全政策、標(biāo)準(zhǔn)、應(yīng)用和人員培訓(xùn)等方面進(jìn)一步推進(jìn),加大安全監(jiān)管力度,引導(dǎo)和促進(jìn)整個產(chǎn)業(yè)對于安全問題的關(guān)注,提高從業(yè)人員和用戶對于安全風(fēng)險的重視,保障物聯(lián)網(wǎng)產(chǎn)業(yè)持續(xù)健康發(fā)展。
在監(jiān)管層面,加強(qiáng)監(jiān)管落實(shí),推動物聯(lián)網(wǎng)領(lǐng)域的安全標(biāo)準(zhǔn)制訂。建議加強(qiáng)整體行業(yè)安全管理,建立安全性合規(guī)性檢測機(jī)制,提高行業(yè)準(zhǔn)入門檻,約束發(fā)展亂象,從安全框架體系、安全測評、風(fēng)險評估、安全防范、安全處置方案等方面推動標(biāo)準(zhǔn)規(guī)范制訂和落地。
在產(chǎn)業(yè)層面,推動構(gòu)建物聯(lián)網(wǎng)全生命周期立體防御體系。在硬件、操作系統(tǒng)、通信技術(shù)、云端服務(wù)器、數(shù)據(jù)庫等各個模塊之間做好統(tǒng)一的安全體系建設(shè),從開發(fā)到制造、集成,把安全設(shè)計融入到物聯(lián)網(wǎng)產(chǎn)品生命周期每個步驟,從芯片到硬件、軟件、系統(tǒng),將安全防護(hù)作為物聯(lián)網(wǎng)每個環(huán)節(jié)必要的配套手段,推動整個產(chǎn)業(yè)對安全需求從被動轉(zhuǎn)為主動,讓安全緊跟產(chǎn)業(yè)發(fā)展步伐。
在技術(shù)層面,加快物聯(lián)網(wǎng)安全技術(shù)發(fā)展及防范技術(shù)研究。建議設(shè)備廠商、研究機(jī)構(gòu)等加大對物聯(lián)網(wǎng)軟硬件、操作系統(tǒng)、通信協(xié)議、云平臺等方面的安全技術(shù)的關(guān)注力度,研發(fā)有效的安全威脅監(jiān)測發(fā)現(xiàn)技術(shù)和安全防護(hù)技術(shù),團(tuán)結(jié)行業(yè)力量打造物聯(lián)網(wǎng)安全生態(tài)。
在宣傳層面,普及信息安全知識,提高安全意識。建議企業(yè)樹立正確的發(fā)展觀念,同步重視網(wǎng)絡(luò)信息安全,同時對物聯(lián)網(wǎng)從業(yè)人員進(jìn)行安全知識普及和技術(shù)培訓(xùn),提高從業(yè)人員的安全意識和知識技能。此外,建議提高用戶網(wǎng)絡(luò)信息安全意識,在挑選使用物聯(lián)網(wǎng)產(chǎn)品的同時注重安全防范。