物联网是继计算机、互联网、移动通信之后的新一轮信息技术革命。自1999年麻省理工学院KevinAshton教授提出物联网以来,随着5G、人工智能、区块链等新兴技术的快速发展和逐步应用,以及新智慧城市、工业互联网、车联网、物联网、移动互联网等应用进一步融合。正在进入“跨界融合、集成创新、规模化发展”的新阶段。随着物联网的快速发展,安全问题日益突出,安全事件不断爆发。从2007年美国副总统迪克·切尼心脏病发作疑似心脏除颤器被模拟袭击,到2014年360发现特斯拉ModelS汽车应用存在设计漏洞,允许攻击者远程控制车辆,到2017年,央视曝光的目前智慧城市的家庭摄像头存在重大隐私泄露等情况,都不同程度地反映出物联网在不同应用场景中存在的安全问题。可以说,在万物互联的时代,安全正逐渐成为物联网发展的核心要素和关键环节。物联网概述及安全风险一、物联网简介根据国际电联的定义,物联网是:通过二维码读取设备、射频识别(RFID)设备、红外传感器、全球定位系统和激光扫描仪等信息传感设备,按照约定的协议,将任何物品接入互联网,进行信息交换和通信,实现智能识别、定位、跟踪、监控和管理的网络化。按照行业划分维度,其结构一般从感知层、网络层和应用层来描述,如图1所示。图1 物联网的结构可以理解为物联网是“万物互联”,包含两层含义:一是物联网是在互联网基础上延伸和扩展的网络;联网的客户端向任何物品延伸和扩展,实现万物互联。因此,物联网是以互联网为基础的泛在网络。这是一个新的发展阶段。它通过各种有线和无线网络与互联网相融合,在各种应用场景中使用海量传感器和终端设备等,随时随地实现物与物、物与人的连接。业内普遍认为,物联网有望成为未来社会经济发展、社会进步和科技创新最重要的基础设施,将极大改变人们的生产和生活方式。2、物联网的发展现状,各国在政策、技术、标准、产业发展等方面都在加速物联网的发展。在政策层面,各国政府抓住物联网安全发展机遇,塑造各自在物联网领域的国际竞争优势。2016年、2017年,美国先后出台《保障物联网安全战略原则》《2017物联网网络安全改进法》等战略法,指出要着力提升物联网安全防护能力,促进物联网安全发展;英国于2015年成立物联网安全基金会,从资金投入的角度支持物联网安全发展;欧盟在2016年制定了新的物联网设备安全规范,我国高度重视物联网的安全发展,将物联网纳入国家战略高度。《“十二五”规划纲要》中明确指出,要推进物联网关键技术研发和重点领域应用示范。《国务院关于推进物联网有序健康发展的指导意见》于2013年发布,提出要基本形成安全可控、具有国际竞争力的物联网产业体系。工信部2017年发布《工业和信息化部办公厅关于全面推进移动物联网(NB-IoT)建设发展的通知》,要求加快物联网网络和信息安全体系建设。2009年、2016年、2018年,物联网3次写入政府工作报告。习近平总书记在2018年中国科学院第十九次院士大会和中国工程院第十四次院士大会上提出,要加快推进物联网。以物联网等为代表的新一代信息技术应用的突破,密切关注物联网的发展。在技??术层面,以第五代移动通信技术(5G)、窄带物联网(NB-IOT)等新技术为万物互联提供基础设施支撑,泛在介入、高效传输、海量异构信息处理设备的智能化管控,推动了统一信任、轻量级密码保护、安全即服务等安全技术的变革。物联网软硬件、操作系统、通信协议、云平台等方面对安全技术的关注度也逐年上升。如何解决大连接下的安全问题也成为业界普遍关注的重要话题。在标准方面,我国物联网标准制定机构主要有发改委、国家标准化管理委员会、工信部等。OneM2M、3GPP、ITU、IEEE等国际主要标准化组织物联网相关领域已经取得多项物联网相关标准。自主研发的物联网安全TRAIS、NEAU标准先后被纳入RFID安全、NFC安全国际标准。语义、物联网大数据、物联网网关等重要领域牵头制定相关标准,逐步确立重要标准领先优势,与各国共同推动全球移动物联网基础设施和业务应用发展。在产业发展方面,据国际数据公司预测,2019年全球物联网支出将达到1.3万亿美元,较2015年的6986亿美元增长近一倍;根据Gartner发布的数据,2020年全球物联网市场规模将达到1.9万亿美元。与此同时,我国物联网产业发展迅猛。据《2018-2019中国物联网发展年度报告》了解,2018年我国物联网产业规模已突破1.2万亿元,营业收入同比增长72.9%。目前,我国已初步形成涵盖芯片、元器件、软件、系统、集成、服务等较为完整的物联网产业链。随着我国IPV6、5G等基础设施建设的不断加大,以及智慧城市的应用推广,预计未来5-10年,我国物联网产业将迎来爆发期发展。三、物联网安全风险介绍经过多年发展,我国初步形成了物联网政策体系,在技术研发、标准制定、产业培育、行业应用等方面具有一定的基础。不足以凸显缺点。物联网具有大连接、高并发访问、多点访问、大规模数据处理等特点。网络安全边界越来越模糊,网络安全威胁多样化,攻击手段多样化。物联网安全问题的多样性和复杂性对物联网技术和应用的发展提出了更高的要求,物联网安全发展形势依然严峻。万物互联使得网络安全的威胁已经超越了信息安全本身,直接关系到人们的财产、人身安全乃至国家基础设施和社会服务的安全。其安全威胁主要包括以下几个方面:一是物联网终端设备更容易受到攻击和信息泄露。物联网终端种类繁多,数量众多,部署场景复杂。现有物联网大多以可用性为基础,其软硬件平台、通信协议等普遍缺乏完备的完整性保护、机密性保护和身份验证机制。终端作为物联网感知层面与用户进行广泛交互的设备,在当前运行环境下极易受到非法入侵和非授权访问。而作为物联网安全领域最核心的密码设备,目前的部署规模远远跟不上物联网的发展速度。现有的密码应用主要集中在轻量级密码算法、物联网安全芯片和模块等加密处理和保护方面,仍有大量设备没有按照国家相关要求采用密码保护。二是物联网网络自身安全问题突出。除了传统的网络安全问题外,物联网还有无线传感器网络、蜂窝移动通信网络、互联网以及万物互联环境下的各种私有网络等各种异构网络互联互通的应用场景。网络安全问题。同时,由于物联网中各种异构网络的互联互通应用场景,异构网络的安全问题也将在物联网网络层得到进一步凸显。不同网络之间协议的适配和通信机制的安全性更具挑战性,更容易出现安全漏洞。三是物联网数据安全问题日趋严重。目前,物联网领域的设备种类繁多,采集的数据种类繁多。来自各种摄像头和视频监控的传感器数据,来自自行车、汽车、公交车和出租车等各种联网车辆的数据,以及来自智能家居和智能生活设备的数据难以聚合和处理。多源数据、异构网络的识别与发现数据融合与处理、核心设备参数配置与更新等问题难以处理,数据容易被窃取并在各种业务平台和系统中使用。四是物联网承载的各种应用安全问题。物联网面临着多种多样的行业应用需求,需要对各类信息进行分类处理。在此过程中,攻击者篡改伪造用户信息,并经常利用合法身份发送短信、彩信、用户健康状况等,出行路线、家庭信息、消费习惯等不法交易和行为给用户带来巨大隐患隐私和安全。同时,目前行业应用系统的建设还没有统一的技术标准和安全措施,各种网络互联融合成一个大的网络平台,相应的安全问题也日益突出。物联网安全对策建议1、以内生安全为目标,构建以密码为核心的物联网安全体系。与互联网和移动通信网络安全相比,物联网安全研究还处于起步阶段。由于物联网的特点,其研究难度较大。目前已有一些轻量级的加密和认证算法,但尚未提出适合物联网的完整整体安全解决方案。围绕物联网行业应用和安全需求,加强以加密为核心的物联网整体安全架构设计,在物联网等多个层面推进加密技术融合芯片、模块、设备、网络、系统,实现物联网的安全。以融合、协同、智能的物联网安全理念,保障密码从感知、传输、存储到应用的全过程安全,增强物联网内生安全性,明确物联网的安全目标和保护对象,描述安全性物联网角色与职责,提出物联网安全总体要求,保障物联网安全可持续发展。2.结合物联网业务特点,加快物联网安全新技术应用。一是大力推进人工智能在物联网安全领域的应用。物联网的广泛互联和异构特性需要智能发现、威胁识别和处理能力。充分利用人工智能技术,提高物联网各类终端的自动感知能力,根据不同网络进行协议自适应、连接自动化等操作;自动识别安全威胁,自适应分析处理安全风险。二是大力推进大数据技术在物联网安全领域的应用。物联网的大规模部署必然带来海量数据计算和高速处理的需求。要积极运用大数据技术,开展数据分析、数据融合、数据呈现、数据预测等,构建基于大数据的安全防护体系。三是加大区块链技术在物联网安全领域的应用。区块链本身的去中心化、分布式、不可否认性等特性与物联网海量节点有着天然的契合,可以有效解决物联网中各种伪节点的安全风险,减少物联网的数量。在单元内计算和处理数据,减少各种安全冲突,有效保证物联网各个节点的安全。3、以新基建为契机,建立物联网领域安全设备泛在部署新体系。国家启动新的基础设施建设战略部署,要求利用新一代信息技术为国家重要领域的基础设施赋能。作为新基建的重要组成部分,5G和物联网将迎来大规模部署的新阶段。在物联网终端数量庞大、设备类型多样化、网络异构、应用部署多样化等场景下,迫切需要建立新的安全设备泛在部署体系。加强物联网自适应、云网端协同的安全机制研究,加快突破物联网架构安全、异构网络安全、认证信任、隐私保护等,着力打造物联网应用专用安全(加密).)芯片、安全LoRa模组/NB-IoT模组、安全物联网网关、安全业务平台等产品。加大安全设备在物联网各领域的泛在应用和规模部署,协调和促进安全与业务发展的内在联系,推动安全技术在网络、系统等多个层面的融合,设计并在物联网发展中同步考虑应用、维护等多个环节的安全要素,大力推广物联网标识、智能设备安全网关、司法电子取证等产品和设备在相关垂直行业的应用到物联网,实现安全设备在物联网部署中的无处不在。4、加强全方位安全防护,以多层次立体理念保障物联网安全。一是加强感知节点物理防护和感知层感知节点设备安全。为加强对传感节点和终端的有效物理安全保护,需要采用节点身份认证、数据加密、节点监控等安全保护措施,对标签身份进行统一管理,有效平衡安全性和认证效率,有效保护RFID安全和隐私。二是在网络层加强节点与汇聚节点之间、节点与网络之间的安全认证,特别是采用标准算法和轻量级密码算法对物联网中的终端设备和后台系统端点或传输过程进行加密;完善入侵检测手段,提升物联网端点智能安全能力。加强防病毒、防蠕虫软件在大规模异构数据场景下的适配和自适应改造。重点建立健全异构网络统一、兼容、一致的跨网络认证机制和网络安全协议。加强对数据传输过程的机密性、完整性和可用性的保护。三是在应用层数据智能化处理的基础上,加强数据库访问控制策略的安全性。加强数据溯源和网络取证能力建设,完善网络犯罪取证机制。以无感的方式,在不影响物联网业务的情况下,以安全服务化的方式开展各项安全防护工作,有效开展物联网环境下的安全运维服务。此外,根据物联网具体业务和应用相关数据,以及对国家、社会和个人的影响程度,建立分级分类保护体系。根据不同业务和应用需求,结合安全2.0,制定分层次、分场景的安全防护措施,有效利用现有资源,有针对性地进行安全防护。五、加强供应链安全,建立供需侧安全协同新机制一是加强物联网供应链安全。由于物联网的覆盖范围广,其产业链涉及的行业种类多,产品会丰富多样,生产厂商更是数不胜数。但也应该看到,一些核心技术仍然掌握在一些国际寡头手中。我国应尽快培育相关企业,打造安全可靠的产品,掌握基于云的安全管理策略和技术手段,采用集中式和分布式相结合的方式,构建安全可靠、可控、可管理、可追溯的供应链。链管理系统。同时,开展供应链安全审查技术研究,加强核心关键产品安全审查,培养供应链安全相关人才,多方位保障供应链安全。二是构建物联网安全协同新机制。物联网行业的发展和产品推广都离不开行业。要进一步加强物联网在智能家居、工业互联网、车联网等行业的推广,进一步链接上游生产材料企业、中游设备制造商、下游个人和行业用户,建立新的安全协同机制覆盖行业生态链和全生命周期的机制。同时,要在智能家居、智能交通等垂直行业加强安防技术与物联网的有效连接和融合,积极打造物联网安防产业生态圈,联合传感器元器件制造商、设备生产商集成商、网络安全服务商、厂商等产业链力量共同构建开放合作的物联网安全产业生态;积极建立网络安全企业与物联网企业、网络安全企业与物联网垂直行业企业的互动体验机制。识别和解决物联网问题,构建供给侧和需求侧人机物安全协同新机制,共同推动物联网安全发展。结束语物联网的迅猛发展,显示出前所未有的发展活力。物联网正在成为新一代信息技术革命的典型代表。然而,目前对物联网安全的研究还处于初级阶段。海量节点聚合、大规模数据处理、多场景应用的安全研究需要更多的后续实践和分析,以及高校、研究所、行业高管、政府部门、企业和行业。应用者等共同推动和参与物联网安全研究,共同构筑物联网发展的安全防线,为我国物联网产业保驾护航,占据全球发展优势。
