高度重视物联网网络信息安全问题

从1995年比尔.盖茨首次提及物联网概念到今天,物联网已成为新一代信息通信技术发展的典型代表,在经历了“虚张声势”的概念炒作阶段后,目前已进入到全面实践应用的新阶段,正深刻改变着传统产业形态和人类生产生活方式。然而,随着近年来物联网安全攻击事件日益频发,对用户隐私、基础网络环境的安全冲击也越来越突出。

万物互联下信息安全问题凸显

各类垂直应用领域受到物联网安全问题影响。物联网应用涉及国民经济和人类社会生活的方方面面,然而,近年来多领域发生安全事件:在智慧城市领域,2014年西班牙三大主要供电服务商超过30%的智能电表被检测发现存在严重安全漏洞,入侵者可利用该漏洞进行电费欺诈,甚至关闭电路系统;在工业物联网领域,安全攻击事件则危害更大,2018年台积电生产基地被攻击事件、2017年的勒索病毒事件、2015年的乌克兰大规模停电事件都使目标工业联网设备与系统遭受重创。

物联网安全问题给隐私保护带来严重威胁。随着物联网的应用,涉及用户隐私的海量数据将被各类物联网设备记录,其数据安全隐患也愈加严重。2015年至今,国内外发生多起智能玩具、智能手表等漏洞攻击事件,超百万家庭和儿童信息、对话录音信息、行动轨迹信息等被泄露;我国某安防公司制造的物联网摄像头被揭有多个漏洞,黑客可使用默认凭证登录设备访问摄像头的实时画面。此外,据有关数据显示,10000户家庭每天大约能生成多达1.5亿个离散数据点。IDC报告显示,2020年全球物联网设备将有200亿~250亿台。海量用户隐私数据被庞大的物联网设备所承载记录,其安全风险系数也被极具放大。

从“端、管、云”看安全风险

当前,物联网逐渐形成了以“端、管、云”为主的三层基础网络架构,与传统互联网相比较,物联网的安全问题更加复杂。

“端”——终端层安全防护能力差异化较大

终端设备在物联网中主要负责感知外界信息,包括采集、捕获数据或识别物体等。物联网终端的种类繁多,包括RFID芯片、读写扫描器、温度压力传感器、网络摄像头等,由于应用场景简单,许多终端的存储、计算能力有限,在其上部署安全软件或者高复杂度的加解密算法会增加运行负担,甚至可能导致无法正常运行。而移动化作为物联网终端的另一大特点,更使得传统网络边界“消失”,依托于网络边界的安全产品无法正常发挥作用,加之许多物联网设备都部署在无人监控场景中,攻击者更容易对其实施攻击。

“管”——网络层结构复杂通信协议安全性差

物联网网络采用多种异构网络,通信传输模型相比互联网更为复杂,算法破解、协议破解、中间人攻击等诸多攻击方式,以及Key、协议、核心算法、证书等暴力破解情况时有发生。物联网数据传输管道自身与传输流量内容安全问题不容忽视。

“云”——平台层安全风险危及整个网络生态

物联网应用通常是将智能设备通过网络连接到云端,然后借助App与云端进行信息交互,从而实现对设备的远程管理。物联网平台未来多承载在云端,目前,云安全技术水平已经日趋成熟,而更多的安全威胁往往来自内部管理或外部渗透。如果企业内部管理机制不完善、系统安全防护不配套,那一个小小的逻辑漏洞就可能让平台或整个生态彻底沦陷。而外部利用社会工程学的非传统网络攻击始终存在,一旦系统成为目标,那么再完善的防护措施都有可能由外至内功亏一篑。

三大因素催生安全“重灾区”

多方面的因素导致了物联网已经逐步成为网络信息安全的“重灾区”,其中既有物联网技术本身特点逐步累积形成的特性,也有新兴行业在高速发展过程中存在的通病。

一是产业结构复杂。

物联网在发展过程中逐渐形成了较为完整的生态体系,但在三层架构的基础上涉及了众多产业链环节,导致参与角色众多、结构复杂。从终端层的硬件芯片、传感器、无线模组,到网络层各通信运营商,再到平台应用层的软件开发、系统集成、平台服务,其中各个环节都在整个产业链中不可或缺。这就需要各个环节紧密配合、统一认识才能确保不出现大的安全问题。

二是安全意识淡薄。

据Gartner发布的数据显示,到2020年,全球物联网市场规模将达1.9万亿美元。而在产业高速发展、规模急剧扩张的背后,是物联网厂商安全意识淡薄,安全投入不足的现状。一方面,物联网设备数量庞大、价格低廉,很多厂商为压缩成本对安全投入严重不足。另一方面,多数物联网设备和硬件制造商无法像互联网企业一样重视安全,缺乏安全意识和人才储备。

三是监管政策及标准体系匮乏。

2013年国务院在《关于推进物联网有序健康发展的指导意见》中提出:“要加强物联网重大系统和应用的安全测评、风险评估和安全防护工作,保障物联网重大基础设施、重要业务系统和重点领域应用的安全可控。”但目前尚未进入实质性阶段,相关政策法规有待落地。在安全标准体系建设方面,虽然行业内已有多个物联网组织在推进物联网标准体系建设,但由于物联网技术更新快、应用场景丰富,导致物联网标准体系建设步伐滞后于物联网发展,且缺乏完善的安全标准体系和成熟的安全解决方案。

如何加强物联网信息安全

物联网发展已经进入快车道,下一步,我国应在物联网安全政策、标准、应用和人员培训等方面进一步推进,加大安全监管力度,引导和促进整个产业对于安全问题的关注,保障物联网产业持续健康发展。

在监管层面,加强监管落实,推动物联网领域的安全标准制订。建议加强整体行业安全管理,建立安全性合规性检测机制,提高行业准入门槛,约束发展乱象,从安全框架体系、安全测评、风险评估、安全防范、安全处置方案等方面推动标准规范制订和落地。

在产业层面,推动构建物联网全生命周期立体防御体系。在硬件、操作系统、通信技术、云端服务器、数据库等各个模块之间做好统一的安全体系建设,从开发到制造、集成,把安全设计融入物联网产品生命周期的每个步骤,从芯片到硬件、软件、系统,将安全防护作为物联网每个环节必要的配套手段,推动整个产业对安全需求从被动转为主动。

在技术层面,加快物联网安全技术发展及防范技术研究。建议设备厂商、研究机构加大对物联网软硬件、操作系统、通信协议、云平台等方面安全技术的关注力度,研发有效的安全威胁监测发现技术和安全防护技术,团结行业力量打造物联网安全生态。

在宣传层面,普及信息安全知识,提高安全意识。建议企业树立正确的发展观念,同步重视网络信息安全,同时对物联网从业人员进行安全知识普及和技术培训,提高从业人员的安全意识和知识技能。此外,建议提高用户网络信息安全意识,在挑选使用物联网产品的同时注重安全防范。

来源:人民邮电报

推荐阅读