張樹紅

(國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心天津分中心，天津 300100)

0 引言

隨著數(shù)字時(shí)代的到來，物聯(lián)網(wǎng)技術(shù)被廣泛應(yīng)用于公共事業(yè)、生產(chǎn)制造、交通、能源、醫(yī)療、教育、家居等眾多領(lǐng)域。物聯(lián)網(wǎng)成為影響國家經(jīng)濟(jì)發(fā)展、社會運(yùn)行和個(gè)人生活的重要技術(shù)。預(yù)計(jì)到2025年,全球物聯(lián)網(wǎng)總連接數(shù)規(guī)模將達(dá)到246億。物聯(lián)網(wǎng)設(shè)備大量使用，隨之產(chǎn)生的安全問題也不容小覷。

1 物聯(lián)網(wǎng)安全問題

物聯(lián)網(wǎng)系統(tǒng)的一般架構(gòu)主要分為感知層、網(wǎng)絡(luò)層、應(yīng)用層3個(gè)部分[1]。物聯(lián)網(wǎng)系統(tǒng)存在許多隱患，任何環(huán)節(jié)都可能面臨安全威脅?？偨Y(jié)物聯(lián)網(wǎng)系統(tǒng)面臨的安全問題主要有以下幾個(gè)方面。

1.1 物理安全

物聯(lián)網(wǎng)接入海量設(shè)備節(jié)點(diǎn)，物理安全是首要的基礎(chǔ)安全。物聯(lián)網(wǎng)節(jié)點(diǎn)多，其維護(hù)檢查往往不足。不法分子通過拆除或破壞設(shè)備，造成系統(tǒng)不可用。物聯(lián)網(wǎng)設(shè)備若物理防護(hù)不足，可直接連接端口、內(nèi)部組件，進(jìn)而訪問設(shè)備和存儲數(shù)據(jù)，甚至連接到整個(gè)網(wǎng)絡(luò)。

1.2 身份認(rèn)證問題

物聯(lián)網(wǎng)安全離不開身份認(rèn)證，它是整個(gè)生態(tài)系統(tǒng)中各個(gè)角色間建立信任的方式，通過身份認(rèn)證確定其訪問權(quán)限，實(shí)現(xiàn)資源的訪問控制。目前常用的身份認(rèn)證方式有：RFID智能卡認(rèn)證、用戶名/密碼認(rèn)證、令牌、生物認(rèn)證、雙因素身份認(rèn)證等。目前，物聯(lián)網(wǎng)系統(tǒng)身份認(rèn)證方式各異，存在設(shè)備跨域認(rèn)證授權(quán)不完善或缺失，初始密碼為弱口令或默認(rèn)用戶名密碼，未限制用戶密碼復(fù)雜度，無登錄失敗處理功能，明文傳輸身份信息，有的甚至無身份認(rèn)證機(jī)制，這些都會給不法分子可乘之機(jī)，造成身份信息泄露或篡改等，對系統(tǒng)產(chǎn)生重大危害。

1.3 外部攻擊

威脅物聯(lián)網(wǎng)安全的外部攻擊主要包括：僵尸網(wǎng)絡(luò)、拒絕服務(wù)(DDoS)攻擊、中間人(MITM)攻擊、SQL注入攻擊、側(cè)信道攻擊、惡意代碼等[2]，物聯(lián)網(wǎng)設(shè)備數(shù)量龐大，很容易成為攻擊載體。不法分子通過攻擊、竊聽、控制物聯(lián)網(wǎng)設(shè)備或業(yè)務(wù)網(wǎng)絡(luò)，對物聯(lián)網(wǎng)安全造成嚴(yán)重威脅。

1.4 漏洞問題

物聯(lián)網(wǎng)系統(tǒng)本身存在的漏洞或缺陷，包括：操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫、協(xié)議、設(shè)備、操作、管理等安全漏洞[3]。漏洞一旦被不法分子利用，將對物聯(lián)網(wǎng)系統(tǒng)產(chǎn)生嚴(yán)重后果。

1.5 不安全通信

物聯(lián)網(wǎng)安全最大的挑戰(zhàn)之一是物聯(lián)網(wǎng)網(wǎng)絡(luò)通信過程的安全，物聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，許多物聯(lián)網(wǎng)設(shè)備多采用無線傳輸方式，信息傳輸時(shí)僅采用簡單加密甚至明文傳輸，傳輸?shù)臄?shù)據(jù)很容易被竊取、破壞或干擾。

1.6 數(shù)據(jù)安全

隨著物聯(lián)網(wǎng)應(yīng)用的普及，越來越多的數(shù)據(jù)被采集、傳輸、使用、存儲和共享。在數(shù)據(jù)的全生命周期，隱私數(shù)據(jù)的保護(hù)、數(shù)據(jù)合法合規(guī)的使用和共享也是物聯(lián)網(wǎng)安全面臨的一大難題。

1.7 更新機(jī)制

目前相當(dāng)一部分物聯(lián)網(wǎng)設(shè)備更新機(jī)制不健全，存在無更新機(jī)制、無法遠(yuǎn)程更新加固、無法自動更新等問題。用戶安全意識淡薄，設(shè)備更新不及時(shí)。不健全的更新機(jī)制將影響物聯(lián)網(wǎng)設(shè)備的升級更新和安全加固，加大安全風(fēng)險(xiǎn)隱患。

2 物聯(lián)網(wǎng)安全問題帶來的危害

物聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)了萬物互聯(lián)，廣泛應(yīng)用于各行各業(yè)，促進(jìn)了社會經(jīng)濟(jì)發(fā)展，為生產(chǎn)生活帶來了極大便利。同時(shí)，物聯(lián)網(wǎng)系統(tǒng)面臨的諸多安全問題，可能給國家安全、社會穩(wěn)定和生產(chǎn)生活帶來重大危害。

2.1 國家安全

入侵重要領(lǐng)域物聯(lián)網(wǎng)系統(tǒng)，危害國家安全。物聯(lián)網(wǎng)技術(shù)應(yīng)用于諸多領(lǐng)域，有些與國家安全、經(jīng)濟(jì)發(fā)展息息相關(guān)。若不法分子通過入侵相關(guān)物聯(lián)網(wǎng)系統(tǒng)，從中竊取或篡改重要數(shù)據(jù)，很有可能會危害國家安全和經(jīng)濟(jì)發(fā)展。

2.2 社會公共安全

攻擊社會公共物聯(lián)網(wǎng)系統(tǒng)，擾亂社會秩序。物聯(lián)網(wǎng)技術(shù)在城市管理、城市監(jiān)測、公共衛(wèi)生、公共安全、電力等的應(yīng)用成果顯著，若不法分子攻擊相關(guān)物聯(lián)網(wǎng)系統(tǒng)，不僅可以竊取數(shù)據(jù)，更有甚者會通過控制指令，影響系統(tǒng)的正常運(yùn)行，嚴(yán)重威脅公眾安全。比如交通系統(tǒng)被攻擊，有可能引起交通信號燈紊亂，造成交通堵塞，發(fā)生交通事故，造成人員傷亡；電力系統(tǒng)被破壞，會嚴(yán)重影響生產(chǎn)、生活，甚至引發(fā)安全事故。

2.3 用戶安全

竊取用戶數(shù)據(jù)，侵犯用戶隱私甚至威脅用戶生命財(cái)產(chǎn)安全。不法分子通過攻擊使用物聯(lián)網(wǎng)系統(tǒng)的企業(yè)或個(gè)人用戶，獲取用戶數(shù)據(jù)，還可能在未經(jīng)用戶授權(quán)情況下非法收集、共享用戶數(shù)據(jù)，非法經(jīng)營或牟利，導(dǎo)致用戶數(shù)據(jù)泄露，侵犯用戶隱私，嚴(yán)重的會導(dǎo)致生產(chǎn)經(jīng)營或生命財(cái)產(chǎn)損失。比如在醫(yī)療領(lǐng)域，體外物聯(lián)網(wǎng)工具，如輸液泵、患者監(jiān)控系統(tǒng)，和以無線方式連接的體內(nèi)植入設(shè)備，如心臟除顫器、起搏器等經(jīng)常被使用，不法分子通過攻擊和控制設(shè)備，會對患者造成傷害甚至奪去患者生命。

3 應(yīng)對策略

面對形勢嚴(yán)峻的物聯(lián)網(wǎng)安全問題，必須采取有力舉措，增強(qiáng)物聯(lián)網(wǎng)安全，建議從以下方面采取應(yīng)對策略。

3.1 加強(qiáng)立法、標(biāo)準(zhǔn)制訂和監(jiān)管

制訂物聯(lián)網(wǎng)領(lǐng)域法律法規(guī)，構(gòu)建完善的標(biāo)準(zhǔn)體系，加大對物聯(lián)網(wǎng)系統(tǒng)涉及國家安全、社會公共安全、用戶安全的保護(hù)力度，建立完善的保護(hù)機(jī)制，規(guī)范物聯(lián)網(wǎng)市場競爭，推動物聯(lián)網(wǎng)安全水平提升。嚴(yán)厲打擊攻擊破壞物聯(lián)網(wǎng)設(shè)備和信息系統(tǒng)的不法行為，加強(qiáng)懲處力度。

強(qiáng)化物聯(lián)網(wǎng)行業(yè)監(jiān)管，完善監(jiān)管組織體系，加強(qiáng)等級保護(hù)、風(fēng)險(xiǎn)檢測評估、數(shù)據(jù)安全保護(hù)和個(gè)人信息保護(hù)等多方面監(jiān)管。

建立有效的物聯(lián)網(wǎng)安全監(jiān)測預(yù)警和信息通報(bào)機(jī)制。建立物聯(lián)網(wǎng)安全信息收集、分析、監(jiān)測、預(yù)警、風(fēng)險(xiǎn)評估、應(yīng)急處置、信息通報(bào)等工作機(jī)制，增強(qiáng)防范和化解物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的能力。

3.2 切實(shí)履行網(wǎng)絡(luò)安全主體責(zé)任

物聯(lián)網(wǎng)設(shè)備開發(fā)商、服務(wù)提供商、網(wǎng)絡(luò)運(yùn)營商、用戶和相關(guān)企業(yè)應(yīng)嚴(yán)格履行網(wǎng)絡(luò)安全主體責(zé)任，加強(qiáng)與科研機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)的合作,共同打造物聯(lián)網(wǎng)安全生態(tài)。物聯(lián)網(wǎng)系統(tǒng)的整個(gè)生命周期都要將安全性考慮其中,在物理安全、軟件、硬件、通信技術(shù)、操作系統(tǒng)、云平臺服務(wù)、數(shù)據(jù)保護(hù)等方面,不斷提升安全技術(shù)[4]。

構(gòu)建有效的安全防護(hù)機(jī)制，通過認(rèn)證授權(quán)、訪問控制、入侵檢測、態(tài)勢感知、防火墻、隔離網(wǎng)絡(luò)等多種技術(shù)手段，保障物聯(lián)網(wǎng)系統(tǒng)的安全。建立健全設(shè)備安全升級、加固機(jī)制，及時(shí)發(fā)現(xiàn)并修復(fù)設(shè)備和系統(tǒng)漏洞。

技術(shù)創(chuàng)新推動物聯(lián)網(wǎng)安全，研究創(chuàng)新安全高效的加密技術(shù)和通信技術(shù)，保障信息傳輸?shù)陌踩咝АＬ剿鲄^(qū)塊鏈、人工智能、IPv6等技術(shù)應(yīng)用于物聯(lián)網(wǎng)。關(guān)鍵核心技術(shù)國產(chǎn)化、自主化，推動物聯(lián)網(wǎng)領(lǐng)域做大做強(qiáng)。

3.3 提升用戶網(wǎng)絡(luò)安全意識

加強(qiáng)網(wǎng)絡(luò)安全宣傳、教育和培訓(xùn)，企業(yè)用戶不僅要注重技術(shù)安全，也要加強(qiáng)制度管理和人員管理，提升從業(yè)人員技能水平和網(wǎng)絡(luò)安全意識。個(gè)人消費(fèi)者要選擇安全性高、口碑好的產(chǎn)品，密切關(guān)注設(shè)備登陸、設(shè)置情況，減少不必要的授權(quán)，及時(shí)更新升級產(chǎn)品。通過提升網(wǎng)絡(luò)安全意識促進(jìn)行業(yè)的安全發(fā)展。

4 結(jié)束語

物聯(lián)網(wǎng)是一個(gè)不斷發(fā)展的領(lǐng)域，應(yīng)用廣泛，在給社會帶來便利的同時(shí)，安全威脅也十分嚴(yán)峻，本文分析了物聯(lián)網(wǎng)的安全問題、可能產(chǎn)生的危害以及應(yīng)對策略。因此，數(shù)字化時(shí)代背景下，物聯(lián)網(wǎng)安全必須被提升到一個(gè)更高的位置，只有多方共同協(xié)作，才能促進(jìn)物聯(lián)網(wǎng)行業(yè)健康蓬勃發(fā)展，更好地造福人類社會。