从1995年比尔盖茨提到物联网的概念到今天,物联网已经成为新一代信息通信技术发展的典型代表,现已进入综合实际应用的新阶段,正在深刻改变着传统的产业形态和人类的生产生活方式。然而,随着近年来物联网安全事件频发,对用户隐私的影响和对基础网络环境的安全影响越来越突出。本文从当前物联网面临的安全形势、物联网存在的安全风险、引发安全问题的主要因素入手,进而提出相关对策建议,促进物联网健康有序发展。物联网。一、万物互联下的网络信息安全问题备受关注1、各垂直应用领域都受到物联网安全问题的影响。物联网的应用涉及国民经济和人类社会生活的方方面面。然而近年来,安全事件在多个领域时有发生:在智慧城市,2014年,西班牙三大供电服务商超过30%的智能电表被检测出存在严重安全漏洞,可被黑客利用骗取电费,甚至关闭电路系统。在医疗保健领域,早在2007年,时任美国副总统切尼就突发心脏病。侦查部门怀疑他的心脏除颤器的无线连接功能被刺客利用。可能的伤害案例之一。在工业物联网领域,安全事件危害更大。2018年的台积电生产基地事件、2017年的勒索软件事件、2015年的乌克兰大面积停电事件,都对目标工业网络设备和系统造成了严重破坏。2、物联网安全问题对隐私保护构成严重威胁随着物联网的应用,涉及用户隐私的海量数据将被各种物联网设备记录下来,其数据安全隐患越来越严重.2015年以来,国内外出现智能玩具、智能手表等多起漏洞威胁,超过百万家庭及儿童信息、通话录音信息、行动轨迹信息等被泄露;2017年,一台自动售货机被黑客盗走。用户信用卡账户和生物识别数据等个人信息;同时,物联网摄像头也暴露出多个漏洞,黑客可以使用默认凭证登录设备,获取摄像头的实时图像。此外,据相关数据显示,1万户家庭每天可产生多达1.5亿个离散数据点。据IDC报告,2020年全球物联网设备将达到20-250亿台,庞大的物联网设备承载和记录了大量用户隐私数据,其安全风险系数也被放大。3、各组织重视物联网安全。近两年举办的RSAConference、CES等安全会议都非常关注物联网的安全问题。在RSA2018安全大会上,有很多关于物联网安全漏洞的讨论,尤其是物联网终端设备或智能家居产品。在2016年CES上,物联网安全排名领先于智能家居、可穿戴设备和无人驾驶汽车。2.物联网网络安全风险分析目前,物联网已逐步形成以“云、管道、端”为基础的三层基础网络架构。与传统互联网相比,物联网的安全问题更为复杂。1、“端”——终端层的安全防护能力差异较大。在物联网中,终端设备主要负责感知外部信息,包括收集和捕获数据或识别物体。种类繁多,RFID芯片、读写扫描仪、温度压力传感器、网络摄像头、智能穿戴设备、无人机、智能空调冰箱、智能汽车……从小到大,从简单到丰富的功能,状态或联网或断开连接,都在一个白盒环境中。由于应用场景简单,很多终端的存储和计算能力有限。在其上部署安全软件或高度复杂的加解密算法,会增加运营负担,甚至可能导致无法正常运行。移动性作为物联网终端的另一大特性,使得传统的网络边界“消失”,依赖网络边界的安全产品无法正常发挥作用。此外,许多物联网设备部署在无人值守的场景中,黑客更容易实施。2、“管理”——网络层级结构复杂,通信协议安全性差,物联网网络采用多种异构网络,通信传输模型比互联网复杂,算法破解、协议破解等多种方法,以及Key、协议、核心算法、证书等。暴力破解时有发生。物联网数据传输管道本身和传输流量内容的安全问题不容忽视。目前,黑客通过分析破解智能平衡车、无人机等物联网设备的通信传输协议,劫持了物联网终端。在一些特殊的物联网环境中,传输的信息数据只是简单加密甚至明文传输。黑客可以通过破解通信传输协议来读取传输的数据,进行篡改、屏蔽等操作。3、“云”——平台层安全隐患危及全网生态物联网应用通常通过网络将智能设备连接到云端,再通过App与云端进行信息交换,从而实现对设备的远程管理。云平台可以对物联网终端采集的数据信息进行分析和管理,以及网络的安全管理,如设备终端的认证、应急响应和威胁的监控预警,以及网络安全管理。数据信息的保护和安全利用。未来,物联网平台将主要托管在云端。目前,云安全技术水平日趋成熟,更多的安全威胁往往来自内部管理或外部渗透。如果企业内部管理机制不完善,系统安全防护不配套,那么一个小小的逻辑漏洞就可能让平台乃至整个生态彻底沉没。然而,使用外部社会工程的非传统网络威胁始终存在。一旦系统成为靶子,再完善的防护措施也可能从外到内都力不从心。三、影响物联网行业安全的主要因素诸多因素导致物联网逐渐成为网络信息安全的“重灾区”。其中,既有物联网技术本身技术特征逐渐积累的特点,也有新兴产业的快速发展。过程中的常见问题。1、产业结构复杂物联网在发展过程中逐渐形成了较为完整的生态体系,但在三层结构的基础上,又涉及到产业链的诸多环节,导致参与角色众多,复杂的结构。从终端层的硬件芯片、传感器、无线模块,到网络层的通信运营商,再到平台应用层的软件开发、系统集成、平台服务,整个产业链各个环节缺一不可。这需要密切配合,统一认识各个环节,确保不出现重大安全问题。2、安全意识薄弱根据Gartner发布的数据,到2020年,全球物联网市场规模将达到1.9万亿美元。行业快速发展、规模快速扩张的背后,是物联网厂商安全意识淡薄、安全投入不足的现状。一方面,物联网设备数量庞大,价格低廉。许多厂商为了降低成本,在安全方面的投入严重不足。Gartner预测,2018年全球物联网安全支出将达到15亿美元,年增长率在27%左右,与市场规模相比甚至不足1‰,差距较大。另一方面,大多数物联网设备和硬件厂商对安全的重视程度不如互联网公司,缺乏安全意识和人才储备。AT&T对全球5000多家公司的调查发现,85%的公司正在部署或计划部署物联网设备,而只有10%的公司表示有信心保护设备免受黑客威胁。3、监管政策和标准体系缺失2013年《关于推进物联网有序健康发展的指导意见》,提出“加强物联网重大系统和应用的安全评估、风险评估和安全防护,确保物联网重大基础设施、重要业务系统安全和关键领域的应用。安全可控”,但尚未进入实质阶段,相关政策法规尚待落实。在安全标准体系建设方面,虽然业内多家物联网组织都在推进物联网标准体系建设,但由于物联网技术更新快、应用场景丰富,物联网建设步伐标准体系滞后于物联网的发展。缺乏完整的安全标准体系和成熟的安全解决方案。四、进一步加强物联网网络信息安全的对策建议物联网发展进入快车道,规模化应用也在加速部署。如果没有对物联网安全的配套措施,将无法跟上其发展的步伐。建议我国进一步推进物联网安全政策、标准、应用和人员培训,加大安全监管力度,引导和推动全行业对安全问题的重视,提高从业人员和用户对安全的关注度风险,确保物联网安全。行业持续健康发展。在监管层面,加强监管实施,推动物联网领域安全标准制定。建议加强全行业安全管理,建立安全合规检测机制,提高行业准入门槛,抑制乱象发展,从安全框架体系、安全评价等方面推动标准法规制定、风险评估、安全防范、安全处置方案等并落地。在产业层面,推动物联网全生命周期立体防御体系建设。在硬件、操作系统、通信技术、云服务器、数据库等各个模块之间构建统一的安全体系。从开发到制造和集成,将安全设计融入物联网产品生命周期的每一个环节,从芯片到硬件、软件、系统,将安全防护作为物联网各个环节的必要支撑手段,促进整个行业的安全需求由被动转为主动,让安全跟上产业发展的步伐。在技??术层面,加快发展物联网安全技术和防范技术研究。建议设备制造商和研究机构加大对物联网软硬件、操作系统、通信协议、云平台等方面安全技术的关注,开发行之有效的安全威胁监测发现技术和安全防护技术,凝聚产业力量创建物联网安全技术。互联网安全生态。在宣传层面,普及信息安全知识,提高安全意识。建议企业树立正确的发展理念,在重视网络信息安全的同时,对物联网从业人员进行安全知识普及和技术培训,提高安全意识和知识技能。此外,建议用户提高网络信息安全意识,在选择和使用物联网产品时注意安全防范。
