趙 潔

（江蘇第二師范學院 數(shù)學與信息技術學院，江蘇 南京 210013）

0 引 言

物聯(lián)網(wǎng)作為全球戰(zhàn)略新興產(chǎn)業(yè)受到各國的高度重視，在工業(yè)控制、農(nóng)業(yè)生產(chǎn)、智能家居、物流、安防，甚至教育、養(yǎng)老等領域持續(xù)快速增長。物聯(lián)網(wǎng)已與社會民生、政治經(jīng)濟緊密相連，一旦出現(xiàn)安全問題，可能危及人身、公共和國家安全。在大力推進物聯(lián)網(wǎng)技術創(chuàng)新的同時，應該重視培養(yǎng)和提升物聯(lián)網(wǎng)用戶的信息安全素養(yǎng)。

1 物聯(lián)網(wǎng)的安全形勢

GSMA（全球移動通信系統(tǒng)協(xié)會）預測[1]，2025年全球物聯(lián)網(wǎng)設備將超過250億個。人們在工作生活中將使用更多的物聯(lián)網(wǎng)設備，而物聯(lián)網(wǎng)用戶的安全意識普遍較弱，固件、補丁等基礎安全能力匱乏，一旦出現(xiàn)有效的惡意控制方式，影響將迅速擴散，再加上設備數(shù)量龐大，其作為網(wǎng)絡武器的威力不可小覷。

2016年10月，一場超大規(guī)模的DDoS攻擊導致美國長達5 h的大面積斷網(wǎng)，此次攻擊恰是利用了約150萬臺網(wǎng)絡攝像頭組建的“僵尸網(wǎng)絡”[2]。2017年11月，某品牌智能家居被爆出嚴重的安全漏洞，攻擊者能遠程劫持該品牌掃地機器人，將設備的內置攝像頭變成網(wǎng)絡監(jiān)視器[3]。2020年7月初，以色列網(wǎng)絡安全公司JSOF的研究人員在Treck，Inc.開發(fā)的TCP/IP軟件庫中發(fā)現(xiàn)了19個0day漏洞。該漏洞在整個供應鏈行業(yè)中產(chǎn)生連鎖反應，可導致高達數(shù)億的IoT設備受到拒絕服務和遠程命令執(zhí)行等攻擊的影響[4]。卡巴斯基實驗室的安全部門發(fā)現(xiàn)，單是2019年上半年就檢測到超過1億起對物聯(lián)網(wǎng)終端的攻擊[5]。物聯(lián)網(wǎng)的安全問題已成為阻礙物聯(lián)網(wǎng)發(fā)展的一大重要因素。

2 物聯(lián)網(wǎng)的安全特性

與傳統(tǒng)網(wǎng)絡不同，物聯(lián)網(wǎng)不是簡單的互聯(lián)網(wǎng)的延伸，其信息交換擴展到了任何物體與物體之間，它涵蓋了互聯(lián)網(wǎng)、移動通信網(wǎng)、車聯(lián)網(wǎng)、智能家居網(wǎng)、工業(yè)控制網(wǎng)等。體系結構上，物聯(lián)網(wǎng)的感知層是互聯(lián)網(wǎng)不具備的，它通過感知自動采集數(shù)據(jù)。感知節(jié)點分散、數(shù)量龐大，一般屬無人值守作業(yè)，安全性和數(shù)據(jù)完整性都易遭到破壞。

互聯(lián)網(wǎng)終端一般是計算機或智能手機，其操作系統(tǒng)主流品種相對集中，而物聯(lián)網(wǎng)環(huán)境中硬件種類繁雜，嵌入式操作系統(tǒng)多種多樣，增加了維護管理的難度和安全復雜度；互聯(lián)網(wǎng)主要進行人與人之間的信息傳遞與溝通，一般允許系統(tǒng)重啟進行恢復，信息延遲并不對溝通帶來太大影響；而物聯(lián)網(wǎng)網(wǎng)絡傳輸多數(shù)有較高的實時性要求，在能源控制、遠程醫(yī)療、智能安防等領域一旦發(fā)生時延，其可靠性將受到嚴重威脅。

從網(wǎng)絡形態(tài)來說，互聯(lián)網(wǎng)的終端大多處于受保護的環(huán)境中，而物聯(lián)網(wǎng)終端的傳輸網(wǎng)絡大多處于未受保護的環(huán)境之中；互聯(lián)網(wǎng)TCP/IP通信協(xié)議是國際規(guī)范，而物聯(lián)網(wǎng)尚未形成統(tǒng)一的國際標準和行業(yè)規(guī)范。

物聯(lián)網(wǎng)設備的多樣性與軟件的脆弱性、感知節(jié)點的分散性、數(shù)據(jù)采集的規(guī)模性、網(wǎng)絡形態(tài)的多樣性都面臨著前所未有的安全挑戰(zhàn)。

3 物聯(lián)網(wǎng)信息安全素養(yǎng)研究的意義

層出不窮的安全事件已經(jīng)證明，系統(tǒng)最大的安全漏洞往往不是系統(tǒng)本身，而是人。如果人不具備相應的信息安全素養(yǎng)，再先進的系統(tǒng)也不堪一擊。物聯(lián)網(wǎng)雖然是物物相連，但人的參與和管控將決定著整個體系的良性運作。物聯(lián)網(wǎng)的安全問題不僅僅是技術問題，很多因素難以通過技術手段實現(xiàn)。只有通過用戶教育，進行科學嚴謹?shù)墓芾?，讓用戶意識到物聯(lián)網(wǎng)各環(huán)節(jié)信息安全的重要性、具備一定的物聯(lián)網(wǎng)安全技能，才能正確使用好物聯(lián)網(wǎng)，減少被利用和被泄密的幾率，使信息安全隱患降到最低。

在各國搶占物聯(lián)網(wǎng)研究高地的契機，聚焦物聯(lián)網(wǎng)重要環(huán)節(jié)的“人”的信息安全素養(yǎng)教育，不僅有利于鞏固物聯(lián)網(wǎng)的發(fā)展成果，更有利于構建完善的物聯(lián)網(wǎng)體系，是保障物聯(lián)網(wǎng)良性發(fā)展的“精神”和“靈魂”。

物聯(lián)網(wǎng)用戶信息安全素養(yǎng)的培養(yǎng)區(qū)別于傳統(tǒng)的互聯(lián)網(wǎng)時代。筆者在知網(wǎng)上檢索主題為“物聯(lián)網(wǎng)”加上“信息安全”的結果為2 322篇，與物聯(lián)網(wǎng)技術規(guī)范、行業(yè)標準、法律法規(guī)和發(fā)展應用的研究熱潮相比，物聯(lián)網(wǎng)中重要因素的參與者“人”的教育研究僅有8篇。檢索主題為“信息安全素養(yǎng)”的論文有148篇，加上“物聯(lián)網(wǎng)”后，檢索結果為0篇。因此，在物聯(lián)網(wǎng)環(huán)境下聚焦信息安全素養(yǎng)的研究具有一定的前瞻性和現(xiàn)實意義。

4 物聯(lián)網(wǎng)信息安全素養(yǎng)的提升策略研究

國內學者認為信息素養(yǎng)包括信息意識、信息知識、信息能力和信息道德四個方面[6]?？陀^分析物聯(lián)網(wǎng)的特征、物聯(lián)網(wǎng)的安全需求，本著可操作性的原則，本文提出物聯(lián)網(wǎng)環(huán)境下提升信息安全素養(yǎng)的策略。在此，將物聯(lián)網(wǎng)的信息安全素養(yǎng)分為物聯(lián)網(wǎng)信息安全意識、物聯(lián)網(wǎng)信息安全知識、物聯(lián)網(wǎng)信息安全技能和物聯(lián)網(wǎng)信息安全道德4個部分。

4.1 物聯(lián)網(wǎng)信息安全意識

物聯(lián)網(wǎng)信息安全意識是具備物聯(lián)網(wǎng)信息安全素養(yǎng)的基本前提。物聯(lián)網(wǎng)時代，普通大眾的生產(chǎn)生活與物聯(lián)網(wǎng)緊密相連，人們隨身攜帶的手機、智能手環(huán)、門禁鑰匙，隨時使用的移動支付、定位導航、健康管理等，任何物品都可以通過射頻識別、傳感器、紅外感應器、全球定位系統(tǒng)、激光掃描器等信息采集設備，進行信息的交換和通信。這個過程必定會產(chǎn)生大量的關于誰、什么時間、在哪里、與誰、如何、進行了哪些交互的數(shù)據(jù)，這些數(shù)據(jù)包含了大量的系統(tǒng)管理信息和大量的個人隱私信息，如果處理不當，在數(shù)據(jù)交互時會遭到惡意收集、惡意利用，威脅到系統(tǒng)、設備甚至人身的安全。

7.牛腺病毒病。犢牛接種腺病毒后，10～14 d能產(chǎn)生中和抗體，中和抗體至少可以保持10周。當前還沒有很好的免疫預防方法。

人們對于物聯(lián)網(wǎng)使用環(huán)節(jié)中各安全要素的認識水平，決定了物聯(lián)網(wǎng)信息安全與人之間的風險關系。只有當人們意識到可能發(fā)生的危害、感知到其重要性，才有可能自覺履行維護物聯(lián)網(wǎng)安全的行為規(guī)范，主動關心物聯(lián)網(wǎng)信息安全的發(fā)展形勢，甚至能達到主動學習物聯(lián)網(wǎng)信息安全知識的目標。

物聯(lián)網(wǎng)信息安全意識的提升不能僅依賴于個人自發(fā)行為，物聯(lián)網(wǎng)用戶教育也不能僅依靠產(chǎn)品說明書進行單向告知。物聯(lián)網(wǎng)設備提供方往往強調的是設備的功能與效果，忽視或回避可能存在的安全隱患。建議制定相應的行業(yè)規(guī)范，提倡設備研發(fā)和推廣方充分測試和收集設備的安全問題，在技術手段無法解決時，重視必要的用戶提醒和培訓，將用戶安全意識提高到必要的水平。對于無法測試和預見的隱患，辦好“國家網(wǎng)絡安全宣傳周”這樣的活動，增加物聯(lián)網(wǎng)安全宣傳內容，擴大受眾面，對于增加物聯(lián)網(wǎng)用戶的安全意識有積極作用。

4.2 物聯(lián)網(wǎng)信息安全知識

物聯(lián)網(wǎng)信息安全知識是具備物聯(lián)網(wǎng)信息安全素養(yǎng)的基礎。用戶要了解基本的物聯(lián)網(wǎng)信息安全知識，了解各種網(wǎng)絡攻擊形式如病毒、木馬、拒絕服務攻擊的危害，了解數(shù)據(jù)竊聽、數(shù)據(jù)劫持、中間人攻擊、重放攻擊等常見的物聯(lián)網(wǎng)信息安全隱患，了解信息加密、隱私保護、身份認證、安全管理的意義，掌握基本的信息安全防護知識。

目前中小學和大學課程中，均有信息安全相關內容的設置。如《普通高中信息技術課程標準（2017年版）》中提到：學生要具備信息安全的基礎知識與基本技能，理解信息社會倫理道德和法律法規(guī)，成為合格的、具有信息素養(yǎng)的信息社會公民。在“信息系統(tǒng)與社會”模塊中設置了“信息安全與信息社會責任”的學習內容，時長為2課時[7]。以江蘇省普通高校人才培養(yǎng)目標中“大學計算機”課程為例，有兩節(jié)內容與培養(yǎng)信息安全相關，分別是“信息安全與網(wǎng)絡空間安全”和“網(wǎng)絡安全技術”，一般占用2課時。筆者認為此類內容課時偏少，還未能引起普遍的重視，應適當增加該環(huán)節(jié)的授課課時，通過安排講座和豐富有趣的活動，提高在校學生的物聯(lián)網(wǎng)信息安全知識水平。

各級單位的信息化水平不斷提高，物聯(lián)網(wǎng)的應用場景不斷增加，各級部門應該定期就物聯(lián)網(wǎng)信息安全形勢和本行業(yè)信息化特點進行主題培訓。一方面物聯(lián)網(wǎng)的發(fā)展變化非常迅速，另一方面新型的黑客攻擊也在不斷的變化形式，信息安全知識日新月異，物聯(lián)網(wǎng)用戶的知識儲備需要與時俱進。

4.3 物聯(lián)網(wǎng)信息安全技能

這是培養(yǎng)物聯(lián)網(wǎng)信息安全素養(yǎng)的目標。主要培養(yǎng)面對物聯(lián)網(wǎng)信息安全問題時的分析、判斷、防范和處理能力。了解正確配置、使用和管理物聯(lián)網(wǎng)軟、硬件的基本步驟，發(fā)現(xiàn)安全問題時的應急處理步驟等實際操作技能。

對于物聯(lián)網(wǎng)應用行業(yè)而言，須結合實際的應用場景進行定期的、專業(yè)的培訓和演練。技能包括能正確使用掃描工具發(fā)現(xiàn)系統(tǒng)或設備的漏洞，進行主動修復；能正確配置防火墻，進行內外網(wǎng)的隔離防御；能使用數(shù)據(jù)備份工具進行日常業(yè)務數(shù)據(jù)的備份，在遇到數(shù)據(jù)丟失時能夠及時還原。能根據(jù)業(yè)務需要，進行既嚴密又靈活的安全管理；在系統(tǒng)或設備被惡意侵占后，能夠及時發(fā)現(xiàn)問題并做出正確的處理等。

目前普遍存在的問題是，暫時還沒有專門針對物聯(lián)網(wǎng)的信息安全技能提升平臺。物聯(lián)網(wǎng)安全與傳統(tǒng)的網(wǎng)絡安全、系統(tǒng)安全、數(shù)據(jù)安全、隱私安全等有共通之處，但因為其感知層網(wǎng)絡節(jié)點的多樣性、低處理能力、無人值守等特點，節(jié)點本身可能被惡意控制、感知信息可能被非法獲取、節(jié)點與外部設備的互相識別和認證等問題均與傳統(tǒng)網(wǎng)絡存在差異。因此，專門的物聯(lián)網(wǎng)信息安全技能提升平臺將亟待有助于廣大物聯(lián)網(wǎng)用戶的信息安全素養(yǎng)提升。

4.4 物聯(lián)網(wǎng)信息安全道德

這是培養(yǎng)物聯(lián)網(wǎng)信息安全素養(yǎng)的方向。主要研究物聯(lián)網(wǎng)信息保護的法律法規(guī)，了解物聯(lián)網(wǎng)信息安全保護的責任和義務，從而形成物聯(lián)網(wǎng)行為的道德規(guī)范和普遍認同的倫理標準。物聯(lián)網(wǎng)用戶規(guī)模不斷擴大，每個人在享用技術便利的同時，都有義務維護物聯(lián)網(wǎng)生態(tài)平衡，以法律法規(guī)為道德和行為準繩進行自我約束和自我保護。

物聯(lián)網(wǎng)作為快速發(fā)展的新生事物，相關法律法規(guī)的健全明顯滯后于技術的創(chuàng)新。兒童智能玩具成為竊聽幫兇、物聯(lián)網(wǎng)智能手表泄露用戶隱私、智能門鎖被越權打開、惡意軟件攻擊大量的物聯(lián)網(wǎng)設備等，因為缺乏行業(yè)約束、沒有行之有效的制裁手段，惡意事件不斷出現(xiàn)。

近兩年各國不斷推進物聯(lián)網(wǎng)安全立法。日本在2019年初對《電氣通信事業(yè)法》進行修訂，要求2020年4月起物聯(lián)網(wǎng)終端設備必須具有防止非法登錄功能[8]。2020年初美國加州頒布《加利福尼亞州的物聯(lián)網(wǎng)安全法案》要求所有連接設備要保護用戶數(shù)據(jù)免遭非授權訪問[9]。2020年1月英國立法加強物聯(lián)網(wǎng)安全，要求制造商必須為每臺物聯(lián)網(wǎng)設備設置獨一無二的密碼，而非默認的出廠設置等[10]。

我國對于信息安全的重視在逐漸上升。2017年6月我國頒布實施《中華人民共和國網(wǎng)絡安全法》；2019年12月正式發(fā)布實施《信息安全技術網(wǎng)絡安全等級保護基本要求》《信息安全技術網(wǎng)絡安全等級保護測評要求》等國家標準；2020年7月《中華人民共和國數(shù)據(jù)安全法（草案）》公布，公開征求意見。而物聯(lián)網(wǎng)信息安全保護立法目前分布在多部法律法規(guī)中，沒有形成完整的法律體系。要通過法律手段營造物聯(lián)網(wǎng)健康發(fā)展的優(yōu)質環(huán)境，推進“物聯(lián)網(wǎng)安全”立法，是未來物聯(lián)網(wǎng)發(fā)展的必經(jīng)之路。

5 結 語

物聯(lián)網(wǎng)發(fā)展迅速，物聯(lián)網(wǎng)的安全問題成為制約物聯(lián)網(wǎng)全面發(fā)展不可回避的因素。與互聯(lián)網(wǎng)時代的安全相比，物聯(lián)網(wǎng)安全更具有大眾性，與所有人的日常生活密切相關。在加快推進物聯(lián)網(wǎng)技術創(chuàng)新的同時，不能忽視廣大物聯(lián)網(wǎng)用戶的認知教育和技能培養(yǎng)。物聯(lián)網(wǎng)用戶的信息安全素養(yǎng)是推進物聯(lián)網(wǎng)全面健康發(fā)展的重要因素。