繆翀鶯　李麗　張玉良　周麗莎

摘要：如何實(shí)現(xiàn)物聯(lián)網(wǎng)安全成為產(chǎn)業(yè)發(fā)展的重要命題，因此從物聯(lián)網(wǎng)安全的互依賴性、泛在性、感知帶來(lái)的透明性等產(chǎn)業(yè)特性出發(fā)，從商業(yè)角度探討和分析了物聯(lián)網(wǎng)安全存在的挑戰(zhàn)，并總結(jié)出基于大數(shù)據(jù)的商業(yè)模式。

關(guān)鍵詞：物聯(lián)網(wǎng)安全 大數(shù)據(jù) 信息安全

1 引言

隨著終端智能化的發(fā)展，越來(lái)越多的終端設(shè)備接入了網(wǎng)絡(luò)，物聯(lián)網(wǎng)得到了快速的發(fā)展。根據(jù)Gartner的2015年報(bào)告預(yù)測(cè)，2020年全球可傳感設(shè)備達(dá)到2120億個(gè)，接入物聯(lián)網(wǎng)的設(shè)備數(shù)量將高達(dá)300億個(gè)。如此巨大的接入終端將帶來(lái)了極大的安全隱患，近年來(lái)不斷曝光的攻擊數(shù)量逐年增加也印證這一點(diǎn)。同時(shí)，汽車（如Jeep）、智能家居（如Nest恒溫系統(tǒng)）等涉及人生命安全的終端受到攻擊，提醒了人們物聯(lián)網(wǎng)安全的后果嚴(yán)重性，人們開(kāi)始真正關(guān)注物聯(lián)網(wǎng)的安全問(wèn)題。

惠普公司近日對(duì)市場(chǎng)上最流行的10種物聯(lián)網(wǎng)智能設(shè)備進(jìn)行檢測(cè)后，發(fā)現(xiàn)幾乎所有設(shè)備都存在高危漏洞，這些漏洞包括弱密碼、DDoS漏洞、心臟出血漏洞以及和跨站腳本漏洞等，其中80%存在隱私泄露或?yàn)E用風(fēng)險(xiǎn)，80%允許使用弱密碼，70%的設(shè)備與互聯(lián)網(wǎng)或局域網(wǎng)的通訊沒(méi)有加密，60%的Web界面存在安全漏洞，60%的下載軟件更新時(shí)沒(méi)有使用加密。

面對(duì)不斷暴露的安全問(wèn)題，從芯片廠家到設(shè)備提供商到服務(wù)提供商紛紛開(kāi)始檢討自己的物聯(lián)網(wǎng)產(chǎn)品或服務(wù)的安全性，并探討通過(guò)技術(shù)手段的解決之道，希望能一勞永逸地解決問(wèn)題，但是發(fā)現(xiàn)問(wèn)題并沒(méi)有這么簡(jiǎn)單，而這很大程度與物聯(lián)網(wǎng)自身的特性相關(guān)。因此本文接下來(lái)將對(duì)物聯(lián)網(wǎng)安全存在的挑戰(zhàn)及商業(yè)模式進(jìn)行分析。

2 物聯(lián)網(wǎng)安全的特性

與互聯(lián)網(wǎng)主要是人與人的聯(lián)結(jié)不同，物聯(lián)網(wǎng)主要是設(shè)備與設(shè)備的聯(lián)結(jié)。這些設(shè)備大都部署在無(wú)人監(jiān)控的環(huán)境下，且資源受限，防護(hù)簡(jiǎn)單，極易受到攻擊和破壞。同時(shí)物聯(lián)網(wǎng)具有將虛擬世界和現(xiàn)實(shí)世界相融合的功能，且數(shù)量龐大、設(shè)備集群、情況復(fù)雜，致使物聯(lián)網(wǎng)安全呈現(xiàn)出以下特征：

（1）互依賴性：在物聯(lián)網(wǎng)中芯片和設(shè)備實(shí)體融合在一起，物理基礎(chǔ)設(shè)施與IT軟件整合在一起，呈現(xiàn)出一種虛擬空間與實(shí)體空間相互滲透交錯(cuò)的互依賴性，造成了其不安全效應(yīng)呈現(xiàn)一種骨牌效應(yīng)，會(huì)不斷放大。當(dāng)這種骨牌效應(yīng)被網(wǎng)絡(luò)戰(zhàn)爭(zhēng)利用時(shí)，戰(zhàn)爭(zhēng)的面貌就會(huì)從大規(guī)模毀滅到大規(guī)模癱瘓轉(zhuǎn)變。

（2）泛在性：物聯(lián)網(wǎng)場(chǎng)景中的實(shí)體均具有一定的感知、計(jì)算和執(zhí)行能力，因此物聯(lián)網(wǎng)的任一環(huán)節(jié)都可能存在安全隱患，遭受安全攻擊，這種安全攻擊即可能來(lái)自于網(wǎng)絡(luò)犯罪、勒索軟件以及身份盜用等外部威脅，也可能來(lái)自于不健壯的身份認(rèn)證/授權(quán)、未受保護(hù)的文件存儲(chǔ)以及操作系統(tǒng)等存在的內(nèi)部漏洞。安全問(wèn)題延伸到人和各種領(lǐng)域，無(wú)所不在。

（3）感知帶來(lái)的透明性：物聯(lián)網(wǎng)體系的一切都將暴露在無(wú)線感知狀態(tài)下，其中人類的日常生活、生產(chǎn)活動(dòng)、家庭用品、交通工具、生產(chǎn)活動(dòng)以及國(guó)家的軍事活動(dòng)、商業(yè)活動(dòng)等一切都處于被感知環(huán)境中，整個(gè)社會(huì)的運(yùn)轉(zhuǎn)幾乎是透明的，帶來(lái)更廣泛更容易的從個(gè)人到國(guó)家各層面的安全威脅。

在這種特性下，物聯(lián)網(wǎng)安全的產(chǎn)業(yè)生態(tài)結(jié)構(gòu)也發(fā)生了變化。行業(yè)生態(tài)由客戶位于末端的線性模型轉(zhuǎn)變?yōu)榭蛻艟又?、生態(tài)組成者圍繞四周的環(huán)狀模型（如圖1所示）。在這個(gè)環(huán)境中，產(chǎn)業(yè)生態(tài)中的每一個(gè)成員都可能是帶來(lái)安全隱患的主體，都將為物聯(lián)網(wǎng)安全負(fù)責(zé)。

3 物聯(lián)網(wǎng)安全存在的挑戰(zhàn)

物聯(lián)網(wǎng)安全的骨牌效應(yīng)和泛在性使得依靠傳統(tǒng)的孤立地采用一種或幾種安全產(chǎn)品或技術(shù)部署在局部范圍內(nèi)，來(lái)識(shí)別和發(fā)現(xiàn)體系中的安全事件的方式已經(jīng)遠(yuǎn)遠(yuǎn)不能保護(hù)物聯(lián)網(wǎng)的安全。物聯(lián)網(wǎng)安全有賴于整個(gè)產(chǎn)業(yè)的認(rèn)識(shí)和真正的聯(lián)合，共同采取措施，全面部署。雖然物聯(lián)網(wǎng)安全將成為阻礙物聯(lián)網(wǎng)規(guī)模化發(fā)展的重要障礙已經(jīng)成為產(chǎn)業(yè)各方的共識(shí)，但是物聯(lián)網(wǎng)安全產(chǎn)業(yè)依然面臨著巨大的挑戰(zhàn)。主要表現(xiàn)在：

（1）在企業(yè)客戶層面，雖然調(diào)查顯示超過(guò)90%的企業(yè)對(duì)物聯(lián)網(wǎng)安全表示關(guān)注，但是真正采取措施的少之又少。一則由于企業(yè)自身缺乏有效的管理手段，二則由于企業(yè)在物聯(lián)網(wǎng)安全上的預(yù)算仍然很有限，不到整個(gè)IT安全預(yù)算的10%。據(jù)AT&T在物聯(lián)網(wǎng)方面的報(bào)告顯示，在被調(diào)查的公司中，只有14%的企業(yè)設(shè)置了正式的審計(jì)過(guò)程，以了解他們的設(shè)備是否安全；只有17%的企業(yè)在做決策時(shí)會(huì)圍繞物聯(lián)網(wǎng)的安全問(wèn)題進(jìn)行討論。

（2）在提供商層面（包括設(shè)備提供商、網(wǎng)絡(luò)提供商、服務(wù)提供商等），快速推出物聯(lián)網(wǎng)產(chǎn)品搶占市場(chǎng)先機(jī)的利益驅(qū)動(dòng)促使安全問(wèn)題被有意無(wú)意地自動(dòng)忽視。物聯(lián)網(wǎng)的快速發(fā)展為開(kāi)發(fā)供應(yīng)商帶來(lái)了巨大的發(fā)展?jié)摿?，在這種利益驅(qū)動(dòng)下，各種提供商和企業(yè)都希望成為市場(chǎng)的先行者，獲得明顯的競(jìng)爭(zhēng)優(yōu)勢(shì)，紛紛迫不及待地推出自己的物聯(lián)網(wǎng)方案或產(chǎn)品。這種重視投放市場(chǎng)的速度而輕視產(chǎn)品實(shí)質(zhì)的產(chǎn)品理念，促使了對(duì)安全問(wèn)題的忽視。

（3）在安全技術(shù)和產(chǎn)品開(kāi)發(fā)層面，雖然Gartner提出的2017～2018年的IoT十大技術(shù)中，IoT安全居于首位，但是物聯(lián)網(wǎng)安全產(chǎn)品仍然處于缺失狀態(tài)。據(jù)市場(chǎng)研究公司Forrester發(fā)布于2016年初的研究報(bào)告顯示，物聯(lián)網(wǎng)安全還處于初步階段，遠(yuǎn)遠(yuǎn)落后于物聯(lián)網(wǎng)硬件和網(wǎng)絡(luò)技術(shù)和產(chǎn)品，滯后于物聯(lián)網(wǎng)的軟件，目前市場(chǎng)上還沒(méi)有出現(xiàn)相應(yīng)的成熟產(chǎn)品。同時(shí)由于缺乏規(guī)模商用，目前安全方案實(shí)際還停留在技術(shù)驅(qū)動(dòng)層面，和用戶的實(shí)質(zhì)安全需求存在脫節(jié)。業(yè)界開(kāi)始出現(xiàn)符合生活方式的安全的呼聲。

（4）在商業(yè)模式層面，雖然物聯(lián)網(wǎng)安全存在可觀的市場(chǎng)空間增長(zhǎng)，據(jù)市場(chǎng)研究機(jī)構(gòu)Gartner預(yù)測(cè)，物聯(lián)網(wǎng)安全支出在2014年到2018年之間成長(zhǎng)了近一倍，由2.32億美元增加為5.5億美元；2020年之后的物聯(lián)網(wǎng)安全性支出將會(huì)更明顯快速成長(zhǎng)。但是由于物聯(lián)網(wǎng)安全的互依賴特性，由誰(shuí)買單成為爭(zhēng)議點(diǎn)。最終使用者認(rèn)為安全應(yīng)由服務(wù)提供商保證而不愿意付出額外的支出，傳統(tǒng)的依靠銷售安全產(chǎn)品直接盈利的商業(yè)模式有點(diǎn)舉步維艱。除了低預(yù)算，仍在初始階段尚未規(guī)模商用的物聯(lián)網(wǎng)布建也為安全性服務(wù)提供商帶來(lái)了挑戰(zhàn)。

可見(jiàn)，推動(dòng)物聯(lián)網(wǎng)安全的發(fā)展需要產(chǎn)業(yè)各方都參與到一個(gè)整體的系統(tǒng)的安全工程中，通過(guò)更加創(chuàng)新和協(xié)作來(lái)適應(yīng)不斷變化的威脅環(huán)境。其中，商業(yè)模式是物聯(lián)網(wǎng)安全良性發(fā)展的重要推動(dòng)因素，尋找符合各方利益的商業(yè)模式成為進(jìn)一步發(fā)展的關(guān)鍵。

4 物聯(lián)網(wǎng)安全商業(yè)模式分析

物聯(lián)網(wǎng)安全的總體需求主要是物理安全、信息安全（包括采集、傳輸、處理和存儲(chǔ)等安全的綜合），安全的最終目標(biāo)是確保信息的完整性、真實(shí)性和隱秘性等。由于大數(shù)據(jù)可以有效地通過(guò)分析數(shù)據(jù)的規(guī)律性，及時(shí)動(dòng)態(tài)發(fā)現(xiàn)異常變化，已經(jīng)逐步應(yīng)用到物聯(lián)網(wǎng)安全領(lǐng)域。通過(guò)對(duì)各種設(shè)備和系統(tǒng)所產(chǎn)生的海量日志信息等和安全相關(guān)的海量數(shù)據(jù)的自動(dòng)收集、處理以及分析挖掘，可以監(jiān)測(cè)終端與系統(tǒng)的安全運(yùn)行，尋找漏洞，發(fā)現(xiàn)攻擊；并通過(guò)數(shù)據(jù)融合和機(jī)器學(xué)習(xí)實(shí)現(xiàn)體系的安全態(tài)勢(shì)預(yù)知和攻擊的自動(dòng)發(fā)現(xiàn)和防護(hù)。

大數(shù)據(jù)技術(shù)的引入也帶來(lái)了新的商業(yè)模式。提供商和企業(yè)可以通過(guò)對(duì)收集到的海量數(shù)據(jù)的再利用實(shí)現(xiàn)新的服務(wù)模式和盈利來(lái)源，例如通過(guò)大數(shù)據(jù)的引入衍生出了安全裝備提供、網(wǎng)絡(luò)配套提供、數(shù)據(jù)獲取服務(wù)、數(shù)據(jù)分析服務(wù)以及數(shù)據(jù)直接變現(xiàn)等方面的收益，如圖2所示。

當(dāng)然，大數(shù)據(jù)成為物聯(lián)網(wǎng)安全領(lǐng)域的的盈利來(lái)源不是一步到位的，需要經(jīng)歷一個(gè)逐步演變成熟的過(guò)程，如圖3所示，整個(gè)過(guò)程開(kāi)始于對(duì)連接設(shè)備的數(shù)據(jù)可視化觀測(cè)，然后根據(jù)所獲取的數(shù)據(jù)類型和規(guī)模，通過(guò)建模分析以及機(jī)器學(xué)習(xí)各種手段，逐步實(shí)現(xiàn)設(shè)備安全的反應(yīng)性監(jiān)測(cè)、系統(tǒng)安全的行為監(jiān)測(cè)、業(yè)務(wù)安全的預(yù)測(cè)監(jiān)測(cè)，從而產(chǎn)生新的服務(wù)模式實(shí)現(xiàn)商業(yè)模式創(chuàng)新。

5 結(jié)束語(yǔ)

物聯(lián)網(wǎng)的安全不是一個(gè)孤立的事件，需要各方攜手共同面對(duì)。包括芯片廠家、智能設(shè)備廠家、電信運(yùn)營(yíng)商、云服務(wù)提供商、行業(yè)客戶等在內(nèi)的物聯(lián)網(wǎng)產(chǎn)業(yè)成員已經(jīng)開(kāi)始組成安全聯(lián)盟，統(tǒng)一制定安全標(biāo)準(zhǔn)和規(guī)則。針對(duì)產(chǎn)業(yè)角色，提出對(duì)應(yīng)的安全指南，嘗試防護(hù)前置，在初始設(shè)計(jì)階段就嵌入安全配置，包括硬件、固件、軟件和服務(wù)等層面上的設(shè)計(jì)。采用大數(shù)據(jù)手段開(kāi)展數(shù)據(jù)監(jiān)測(cè)和數(shù)據(jù)服務(wù)，將物聯(lián)網(wǎng)安全融入物聯(lián)網(wǎng)建設(shè)，推動(dòng)物聯(lián)網(wǎng)商用生態(tài)體系的構(gòu)建和完善。

參考文獻(xiàn)：

[1] 桂小林. 物聯(lián)網(wǎng)信息安全[M]. 北京： 機(jī)械工業(yè)出版社， 2014.

[2] AT&T. The CEOs Guide to Securing the Internet of Things， Exploring IoT Security AT&T Cybersecurity Insights Volume 2[Z]. 2016.

[3] Gartner. Top 10 IoT Technologies for 2017 and 2018[EB/OL]. [2016-10-24]. http：//www.gartner.com/webinar/3435117？fnl=rec&srcId=1-3478922244.

[4] Forrester. Internet of things security years away from being fully baked[EB/OL]. [2016-10-24]. http：//www.zdnet.com/article/internet-of-things-security-years-away-from-being-fully-baked-says-forrester/.

[5] 畢馬威. 網(wǎng)絡(luò)安全與物聯(lián)網(wǎng)生態(tài)白皮書(shū)[R]. 2016.

[6] Steve Surfaro. ROI Reinvented： The New Business Models for All Things Security[EB/OL]. （2016-07-07）. http：//www.sdmmag.com/articles/92569-roi-reinvented-the-new-business-models-for-all-things-security.

[7] Beecham. IoT Security Threat Map： A new view of attacks and essential defences[Z]. 2016.

[8] Internet of Things Security Foundation. Make it safe to connect： Establishing principles for internet of things security[Z]. 2016.

[9] Craig K Harmon. The Top 10 Challenges for the nternet of Things （IoT）[Z]. 2014.

[10] Joos Cadonau. Industrial IoT Solutions[EB/OL]. [2016-10-24]. http：//www.iquestgroup.com/en/services-solutions/industrial-iot/.

[11] 張愛(ài)清，葉新榮，謝小娟，等. 蜂窩網(wǎng)絡(luò)下終端直通安全通信關(guān)鍵技術(shù)研究[J]. 無(wú)線電通信技術(shù)， 2015，41（3）： 6-11.★