中國嵌入式產業聯盟秘書長助理 申子熹
物聯網概念被炒了幾年,經過幾年的沉淀,泡沫慢慢散去。目前的物聯網更加務實,更加貼近民生。物聯網的應用也逐漸豐富起來,應用領域之廣、技術手段之多樣也得到各行業的青睞。
但是物聯網應用發展的同時,物聯網安全也應得到足夠的重視。互聯網存在的安全隱患只是在用戶數據、業務實現、系統穩定性等層面存在一定的風險,而物聯網安全卻與工業控制化系統、社會的基礎應用以及人身安全密切相關,一旦受到攻擊,我國的公共服務、社會服務以及人身安全將會遭受嚴重損失。
物聯網安全和
國家利益、人身安全緊密相關
物聯網對互聯網高度依賴,一旦攻擊者通過互聯網入侵物聯網,就可能給用戶人身、財產和隱私帶來直接損失。
由于物聯網對互聯網的高度依賴性,互聯網中存在的病毒攻擊、黑客入侵和非法訪問等安全問題也會在物聯網中發生,甚至危害更大。一旦攻擊者成功入侵物聯網安全中心或數據中心,就可能竊取或破壞與生命、健康、財產安全密切相關的重要信息,給用戶人身、財產和隱私帶來直接損失。
例如,如果攻擊者破解了用戶手機的住宅密鑰,就可以通過物聯網打開用戶的家門,達到攻擊者相應的目的。如果沒有破解成功,無法進入家門,攻擊者可通過房間內無線信號源破解,成功控制整個房間的家電,這時候釋放天然氣并控制微波爐等加熱設備的開啟時間,將會成為操控性能極強的“詭雷”。
另外,攻擊者通過病毒、木馬遠程控制用戶的移動終端,可實時獲取終端傳輸數據,如標書文件、手機支付、郵件信息等重要數據。如果移動終端內存儲大量的商業秘密、機要信息,后果是顛覆性的。
2009年7月8日,哈醫大一院啟用了用于心臟保護的遠程監控起搏器,成為物聯網技術在智能醫療領域的一次典型應用,一時間智能醫療技術被更多物聯網廠商關注起來,對智能醫療設備和解決方案的投入也日益增多。
但2012年10月19日國內外媒體刊登了一則題為《國外黑客成功控制起搏器,可遠程執行致命電擊》的新聞,內容大致為心臟起搏器容易被“黑”。新聞里提到,安全研究人員Barnaby Jack對起搏器發射機做出逆向工程指令,發現攻擊者可以在30英尺內重寫固件,發送致命電擊。在一個未公開的視頻演示中,Barnaby Jack使用筆記本向起搏器發出了一系列830伏特的電擊。
由此可見物聯網未來與受眾的工作、生活、健康甚至生命息息相關,如果安全性得不到足夠的重視,無論是物聯網廠商還是物聯網用戶,都會面臨極大的安全威脅。
物聯網安全的核心三元
移動終端/固定終端安全,傳輸線路/專線安全,以及承載物聯網的業務安全是物聯網安全的核心三元。
傳統的物聯網架構分為三層:感知層、網絡層、應用層。隨著物聯網十大領域應用的推廣,物聯網應用的概念慢慢被終端層、傳輸層、業務層所取代,而安全防范也更具有針對性,如移動終端/固定終端安全、傳輸線路/專線安全,以及承載物聯網的業務安全,這三層被作為物聯網安全的核心三元。
業務系統安全威脅包括盜用/破壞設備信息,信息修改、隱私泄漏,核心權限泄漏。承載鏈路安全威脅包括篡改、盜取信息,對完整性的攻擊,拒絕服務。終端安全威脅包括病毒、木馬,欺詐、盜取信息和拒絕服務。
承載鏈路安全大部分問題由運營商來解決,業務系統安全及終端安全卻與物聯網廠商息息相關。大致羅列業務系統安全威脅TOP10與終端安全威脅TOP10如下表。
目前,物聯網的攻擊方法多種多樣,大致分為以下幾類:RFID數據讀寫修改金額;物聯網承載網絡數據劫持;交互過程偽造身份欺騙驗證服務器;遠程讀取數據造成客戶隱私泄漏;攻擊數據中心“拖庫” 客戶隱私泄漏;攻擊后臺系統控制終端&行為操作;二維碼應用中的數據泄密;物聯網系統中的業務邏輯漏洞;手持終端的病毒&木馬;嵌入式系統開發的后門及漏洞。
物聯網通信網關是安全熱點
可信智能網關將會成為日后物聯網領域中最關鍵的安全設備,有著巨大的市場空間。
物聯網業務發展速度應與安全狀態成正比。物聯網安全與互聯網安全最大的區別在于,安全解決方案不可逆。應該在物聯網的頂層架構中體現物聯網安全的重視程度,如果在建設中期加入安全解決方案,之前所做的硬件部署只能推倒重來。安全整改成本之巨大,讓安全廠商汗顏。
隨著物聯網應用的發展,傳統信息安全領域的專家與從業人員開始越來越多地重視物聯網應用的安全。隨著XP“退役”,權威的專家學者提出,應建立我國自主可控的嵌入式操作系統,以提升我國在物聯網、工業控制化、航天、電力、能源等領域的核心控制力,同時也提高我國的基礎運營網絡的信息安全基線。專家學者呼吁windows7/8禁止進入政府采購名單,主要原因是因為tpm可信根在國外,如果政府大量使用windows7/8,信息無法得到根本保護。此舉為我國國產化操作系統在應用領域爭取到足夠的發展時間與空間,為物聯網安全應用領域開辟了新的市場空間。
在傳感網與通信單元領域,各大互聯網廠商都明白入口是未來的新戰場,紛紛推出智能WiFi等控制用戶入口的產品及應用,以便能日后掌握龐大的客戶資源,為日后平臺化運作商業目的做好準備。同樣,攻擊者的所有操作行為也會將物聯網的通信網關作為第一目標。目前幾乎所有的攻擊行為,都是通過入口達到攻擊目的,如冰箱發郵件、控制攝像頭等等。因為控制身份的唯一性,如何在入口加一道門鎖,如何建立傳感網絡與互聯網網絡的認證機制,是各安全廠商關注的重點。可信智能網關將成為日后物聯網領域中最關鍵的安全設備,有著巨大的市場空間。
解決物聯網安全問題雖然有臨時的解決方案,能解決一些應用層面的安全問題,但是要大幅度提升物聯網安全系數,需要有國家政策層面的輔助、民眾的自我安全意識,以及各企業對安全深入的理解。只有各方達成共識,才能真正意義上降低物聯網安全問題帶給社會的嚴重威脅,給物聯網領域健康、良性的發展空間。
