從1995年比爾?蓋茨首次提及物聯網概念到今天,物聯網已成為新一代信息通信技術發展的典型代表,在經歷了“虛張聲勢”的概念炒作階段后,目前已進入到全面實踐應用的新階段,正深刻改變著傳統產業形態和人類生產生活方式。然而,隨著近年來物聯網安全攻擊事件日益頻發,對用戶隱私、基礎網絡環境的安全沖擊影響也越來越突出。本文從物聯網當前面臨的安全形勢、物聯網存在的安全風險、產生安全問題的主要因素分析入手,進而提出相關促進物聯網健康有序發展的對策建議。
一、萬物互聯下網絡信息安全問題備受關注
1、 各類垂直應用領域受到物聯網安全問題影響
物聯網應用涉及國民經濟和人類社會生活的方方面面,然而近年來多領域發生安全事件:在智慧城市領域,2014年西班牙三大主要供電服務商超過30%的智能電表被檢測發現存在嚴重安全漏洞,入侵者可利用該漏洞進行電費欺詐,甚至關閉電路系統。在醫療健康領域,早在2007年時任美國副總統迪克?切尼心臟病發作,調查部門懷疑緣于他的心臟除顫器無線連接功能遭暗殺者利用,這被視為物聯網攻擊造成人身傷害的可能案例之一。在工業物聯網領域,安全攻擊事件則危害更大,2018年臺積電生產基地被攻擊事件、2017年的勒索病毒事件、2015年的烏克蘭大規模停電事件都使目標工業聯網設備與系統遭受重創。
2、 物聯網安全問題給隱私保護帶來嚴重威脅
隨著物聯網的應用,涉及用戶隱私的海量數據將被各類物聯網設備記錄,其數據安全隱患也愈加嚴重。2015至今國內外發生多起智能玩具、智能手表等漏洞攻擊事件,超百萬家庭和兒童信息、對話錄音信息、行動軌跡信息等被泄露;2017年7月美國某公司自動售貨機遭黑客攻擊,被竊取了數十萬用戶信用卡賬戶以及生物特征識別數據等個人信息;我國某安防公司制造的物聯網攝像頭被爆出多個漏洞,黑客可使用默認憑證登錄設備訪問攝像頭的實時畫面。此外,據有關數據顯示,10000戶家庭每天大約能夠生成多達1.5億個離散數據點。IDC報告顯示,2020年全球物聯網設備將有200-250億臺。海量用戶隱私數據被龐大的物聯網設備所承載記錄,其安全風險系數也被極具放大。
3、 各組織機構紛紛關注物聯網安全
近兩年舉辦的RSA大會、Black Hat等安全大會都對物聯網安全高度關注,CES等會議也加大對物聯網安全的關注。在RSA 2018安全大會上,諸多關于物聯網安全漏洞的討論被提及,特別是物聯網終端設備或智能家居產品。2016年8月,在一年一度Black Hat大會上,物聯網安全成為十大值得關注的安全威脅之一,會上黑客展示了對聯網汽車、智能燈泡、ATM等物聯網設備的攻擊。在CES 2016大會上,物聯網安全的關注度被排在了智能家居、可穿戴設備和無人駕駛汽車之前,位居第一位。
二、物聯網網絡的安全風險分析
當前,物聯網逐漸形成了以“云、管、端”為主的3層基礎網絡架構,與傳統互聯網相比較,物聯網的安全問題更加復雜。
(一)“端”——終端層安全防護能力差異化較大
終端設備在物聯網中主要負責感知外界信息,包括采集、捕獲數據或識別物體等。其種類繁多,包括RFID芯片、讀寫掃描器、溫度壓力傳感器、網絡攝像頭、智能可穿戴設備、無人機、智能空調冰箱、智能汽車……體積從小到大,功能從簡單到豐富,狀態或聯網或斷開,且都處于白盒攻擊環境中。由于應用場景簡單,許多終端的存儲、計算能力有限,在其上部署安全軟件或者高復雜度的加解密算法會增加運行負擔,甚至可能導致無法正常運行。而移動化作為物聯網終端的另一大特點,更是使得傳統網絡邊界“消失”,依托于網絡邊界的安全產品無法正常發揮作用。加之許多物聯網設備都部署在無人監控場景中,攻擊者更容易對其實施攻擊。
(二)“管”——網絡層結構復雜通信協議安全性差
物聯網網絡采用多種異構網絡,通信傳輸模型相比互聯網更為復雜,算法破解、協議破解、中間人攻擊等諸多攻擊方式以及Key、協議、核心算法、證書等暴力破解情況時有發生。物聯網數據傳輸管道自身與傳輸流量內容安全問題也不容忽視。目前已經有黑客通過分析、破解智能平衡車、無人機等物聯網設備的通信傳輸協議,實現對物聯網終端的入侵、劫持。在一些特殊物聯網環境里,傳輸的信息數據僅采用簡單加密甚至明文傳輸,黑客通過破解通信傳輸協議,即可讀取傳輸的數據,并進行篡改、屏蔽等操作。
(三)“云”——平臺層安全風險危及整個網絡生態
物聯網應用通常是將智能設備通過網絡連接到云端,然后借助App與云端進行信息交互,從而實現對設備的遠程管理。云平臺能夠對物聯網終端所收集的數據信息進行分析與管理,以及對網絡的安全管理,如對設備終端的認證,對攻擊的應急響應和監測預警,以及對數據信息的保護和安全利用等。物聯網平臺未來多承載在云端,目前云安全技術水平已經日趨成熟,而更多的安全威脅往往來自內部管理或外部滲透。如果企業內部管理機制不完善、系統安全防護不配套,那一個小小的邏輯漏洞就可能讓平臺或整個生態徹底淪陷。而外部利用社會工程學的非傳統網絡攻擊始終存在,一旦系統成為目標,那么再完善的防護措施都有可能由外至內功虧一簣。
三、影響物聯網行業安全的主要因素
多方面的因素導致了物聯網已經逐步成為網絡信息安全“重災區”,其中既有物聯網技術本身技術特點逐步累積形成的特性,也有新興行業在高速發展過程中存在的通病。
一是產業結構復雜。物聯網在發展過程中逐漸形成了較為完整的生態體系,但在三層架構的基礎上更涉及了眾多產業鏈環節,導致參與角色眾多、結構復雜。從終端層的硬件芯片、傳感器、無線模組,到網絡層各通信運營商,再到平臺應用層的軟件開發、系統集成、平臺服務,這其中各個環節都在整個產業鏈中不可或缺。這就需要各個環節緊密配合、統一認識才能確保不出現大的安全問題。
二是安全意識淡薄。Gartner發布的數據顯示,到2020年,全球物聯網市場規模將達1.9萬億美元。而在產業高速發展、規模急劇擴張的背后,是物聯網廠商安全意識淡薄,安全投入不足的現狀。一方面,物聯網設備數量龐大、價格低廉,很多廠商為壓縮成本對安全投入嚴重不足。Gartner預測,2018年全球物聯網安全支出將達到15億美元,年增長率保持在27%左右,這跟市場規模相比甚至不足1‰,差距較大。另一方面,多數物聯網設備和硬件制造商無法像互聯網企業一樣重視安全,缺乏安全意識和人才儲備。AT&T對全球5000多家企業調查發現,85%的企業正在或打算部署物聯網設備,而僅10%企業表示有信心保護設備免受黑客攻擊。
三是監管政策及標準體系匱乏。2013年國務院在《關于推進物聯網有序健康發展的指導意見》中提出“要加強物聯網重大系統和應用的安全測評、風險評估和安全防護工作,保障物聯網重大基礎設施、重要業務系統和重點領域應用的安全可控”,但目前尚未進入實質性階段,相關政策法規有待落地。在安全標準體系建設方面,雖然行業內已有多個物聯網組織在推進物聯網標準體系建設,但由于物聯網技術更新快、應用場景豐富,導致物聯網標準體系建設步伐滯后于物聯網發展,且缺乏完善的安全標準體系和成熟的安全解決方案。
四、關于進一步加強物聯網網絡信息安全的對策建議
物聯網發展已經進入快車道,規模化應用部署也在提速,物聯網安全若沒有配套措施手段將無法跟上其發展步伐。建議我國在物聯網安全政策、標準、應用和人員培訓等方面進一步推進,加大安全監管力度,引導和促進整個產業對于安全問題的關注,提高從業人員和用戶對于安全風險的重視,保障物聯網產業持續健康發展。
在監管層面,加強監管落實,推動物聯網領域的安全標準制訂。建議加強整體行業安全管理,建立安全性合規性檢測機制,提高行業準入門檻,約束發展亂象,從安全框架體系、安全測評、風險評估、安全防范、安全處置方案等方面推動標準規范制訂和落地。
在產業層面,推動構建物聯網全生命周期立體防御體系。在硬件、操作系統、通信技術、云端服務器、數據庫等各個模塊之間做好統一的安全體系建設,從開發到制造、集成,把安全設計融入到物聯網產品生命周期每個步驟,從芯片到硬件、軟件、系統,將安全防護作為物聯網每個環節必要的配套手段,推動整個產業對安全需求從被動轉為主動,讓安全緊跟產業發展步伐。
在技術層面,加快物聯網安全技術發展及防范技術研究。建議設備廠商、研究機構等加大對物聯網軟硬件、操作系統、通信協議、云平臺等方面的安全技術的關注力度,研發有效的安全威脅監測發現技術和安全防護技術,團結行業力量打造物聯網安全生態。
在宣傳層面,普及信息安全知識,提高安全意識。建議企業樹立正確的發展觀念,同步重視網絡信息安全,同時對物聯網從業人員進行安全知識普及和技術培訓,提高從業人員的安全意識和知識技能。此外,建議提高用戶網絡信息安全意識,在挑選使用物聯網產品的同時注重安全防范。
作者簡介
張昊星,中國信息通信研究院安全研究所信息安全研究部工程師,長期從事互聯網信息安全管理政策標準研究、信息安全管理技術手段研究以及物聯網等融合網絡信息安全管理技術研究工作。
聯系方式:zhanghaoxing@caict.ac.cn
柳青,中國信息通信研究院安全研究所信息安全研究部主任工程師、高級工程師,長期從事互聯網安全管理、技術保障措施以及物聯網等融合網絡信息安全解決方案等方面的研究。
聯系方式:liuqing@caict.ac.cn