物聯網發展中的安全風險及對策研究
摘 要
分析了國內外物聯網安全政策、技術、標準、產業等形勢,重點強調了當前我國物聯網發展中存在的安全風險,包括大連接環境下的設備風險、物聯網網絡本身安全風險以及物聯網上承載的各類應用安全風險,提出了打造以密碼為核心的物聯網安全體系 , 加速新技術在物聯網安全的應用,以新基建為契機建立物聯網領域安全設備泛在化部署新體系,以多層次立體式理念確保物聯網安全,呼吁供給側需求側建立安全協同新機制,共同促進物聯網產業安全可持續發展。
00 引言
物聯網是繼計算機、互聯網和移動通信之后新一輪信息技術革命,自1999年美國麻省理工學院的凱文·阿什頓教授提出物聯網的概念以來,同時伴隨著5G、人工智能、區塊鏈等新興技術的快速發展和逐步應用,以及智慧城市、工業互聯網、車聯網等新應用的快速落地,物聯網和移動互聯網進一步深度融合,正進入“跨界融合、集成創新、規模化發展”新階段。在物聯網快速發展的同時,安全問題日益凸顯,安全事件不斷爆發。
從2007年美國副總統迪克·切尼心臟病發作、疑似心臟除顫器被模擬攻擊,到2014年360發現特斯拉Tesla Model S車型汽車應用存在設計漏洞、可致使攻擊者遠程控制車輛,以及2017年央視曝光目前智能城市的家庭攝像頭存在重大隱私泄露問題等,都不同程度反應出物聯網不同應用場景下的安全問題。可以說,在萬物互聯時代,安全正逐步成為物聯網發展的核心要素和關鍵一環。
1 物聯網及安全風險概述
1.1 物聯網介紹
根據ITU的定義,物聯網是:通過二維碼識讀設備、射頻識別 (RFID) 裝置、紅外感應器、全球定位系統和激光掃描器等信息傳感設備,按約定的協議,把任何物品與互聯網相連接, 并進行信息交換和通信,實現智能化識別、定位、跟蹤、監控和管理的一種網絡。
根據行業劃分維度,一般從感知層、網絡層和應用層描述其結構,如圖1所示。
圖1 物聯網結構
可以理解為,物聯網就是“物與物相互連接的互聯網”,包含兩方面含義:一是物聯網是在互聯網的基礎上進行延伸并擴展的網絡;二是物聯網的用戶端延伸并擴展到任何物品之間,實現萬物互聯。
因此,物聯網是建立在互聯網基礎上的一個泛在化的網絡,是發展的一個新階段,它通過各種有線和無線的網絡與互聯網融合,并在各類應用場景中利用海量傳感器、終端設備等 , 實現物與物、物與人的隨時隨地連接。
業內普遍認為,物聯網有望成為未來社會經濟發展、社會進步和科技創新的最重要的基礎設施,極大改變人們的生產生活方式。
1.2 物聯網發展形勢
當前,各國加速從政策、技術、標準、產業發展等方面加速物聯網發展。
政策層面,各國政府搶抓物聯網安全發展先機,塑造在物聯網領域的國際競爭優勢。美國2016年、2017年相繼發布《保障物聯網安全戰略原則》《2017物聯網網絡安全改進法》等戰略法律,指出要重點提升物聯網的安全防護能力,促進物聯網安全發展;英國2015年成立物聯網安全基金會,從資金投入方面支撐物聯網安全發展;歐盟2016年制定新的物聯網設備安全規范。
我國高度重視物聯網安全發展,并將物聯網納入國家戰略高度,在《“十二五”規劃綱要》中,明確指出要推動物聯網關鍵技術研發和重點領域的應用示范。2013年《國務院關于推進物聯網有序健康發展的指導意見》發布,提出要基本形成安全可控、具有國際競爭力的物聯網產業體系。
工信部2017年發布《工業和信息化部辦公廳關于全面推進移動物聯網(NB-IoT)建設發展的通知》,要求加快推動物聯網的網絡和信息安全保障體系建設。2009年、2016年、2018年物聯網三次被寫入政府工作報告,習近平總書記在2018年的中國科學院第十九次院士大會、中國工程院第十四次院士大會上提出,要加速以物聯網等為代表的新一代信息技術的應用突破,對物聯網發展高度關注。
技術層面,隨著第五代移動通訊技術(5G)、窄帶物聯網(NB-IOT)等新技術為萬物互聯提供基礎設施支撐,萬物互聯的泛在介入、高效傳輸、海量異構信息處理和設備智能控制,由此推動了信任統一化、密碼防護輕量化、安全服務化等安全技術的變革。物聯網軟硬件、操作系統、通信協議、云平臺等方面的安全技術關注力度也逐年上升,如何解決大連接下的安全問題也成為業界普遍關注的重要議題。
標準方面,我國在物聯網標準制定工作方面的組織機構主要包括發展和改革委員會、國家標準化管理委員會、工業和信息化部等。在OneM2M、3GPP、ITU、IEEE等國際主要標準化組織物聯網相關領域已經獲得多項物聯網相關標準,自主研發的物聯網安全TRAIS和NEAU標準被相繼納入RFID安全和NFC安全國際標準,在物聯網語義、物聯網大數據、物聯網網關等重要領域主導相關標準的制定工作,逐步在重要標準上確立主導優勢,和其他國家共同推進了全球移動物聯網基礎設施和業務應用的發展。
產業發展方面,據國際數據公司預計,2019年全球物聯網支出將達1.3萬億美元,較2015年6986億美元增長近一倍;Gartner發布的數據顯示,2020年全球物聯網市場規模將達1.9萬億美元。
同時,我國物聯網產業高速發展,根據《2018-2019中國物聯網發展年度報告》顯示,2018年我國物聯網產業規模已超1.2萬億元, 業務收入較上年增長72.9%,目前我國已經初步形成了覆蓋芯片、元器件、軟件、系統、集成、服務在內的較為完整的物聯網產業鏈。伴隨我國不斷加大IPV6、5G等基礎設施建設,以及智慧城市的應用推廣,預計未來5—10年,我國物聯網產業將會引來發展的爆發期。
1.3 物聯網安全風險介紹
經過多年發展,我國初步形成物聯網政策體系,在技術研發、標準研制、產業培育和行業應用等方面具備一定基礎,但也面臨關鍵核心技術待突破、行業安全產品部署不夠等突出短板。物聯網具有大連接、高并發訪問、多點接入、大規模數據量處理等特點,網絡安全邊界越來越模糊,網絡安全威脅多元化、攻擊手段多樣化。
物聯網安全問題的多樣性和復雜性,對發展物聯網技術和應用提出了更高要求,物聯網安全的發展形勢依舊嚴峻。萬物互聯使網絡安全的威脅已經超越信息安全本身,直接關系到人們的財產、人身安全甚至國家基礎設施和社會服務的安全。其存在安全威脅主要有以下幾方面:
一是物聯網終端設備更容易遭受攻擊和信息泄露。物聯網終端類型多樣、數量眾多、部署場景復雜,現有物聯網大多從滿足可用性出發,對其軟硬件平臺、通信協議等普遍缺乏完善的完整性保護、機密性保護和身份的驗證機制。終端作為物聯網感知層面和用戶廣泛交互的設備,在當前的操作環境下極易遭受非法入侵和非授權者的訪問。
并且作為物聯網安全領域最為核心的密碼設備,當前的部署規模遠遠跟不上物聯網發展速度,已有的密碼應用主要集中于輕量級密碼算法、物聯網安全芯片和模組等較為簡單的加密處理和保護,目前仍有大量設備未按國家有關要求采用密碼保護。
二是物聯網網絡本身的安全性問題突出。除傳統網絡安全問題外,物聯網在萬物互聯網環境中存在無線傳感器網絡、蜂窩移動通信網、因特網、各類專網等各類異構網絡的互聯互通的應用場景,這些網絡本身都存在著各類網絡安全問題。同時,物聯網由于存在各類異構網絡互聯互通的應用場景,異構網絡的安全問題也必將在物聯網的網絡層中進一步凸顯,各類不同網絡間協議的適配、通信機制的安全更具有挑戰性,也更容易出現安全漏洞。
三是物聯網的數據安全問題日益嚴重。當前物聯網領域設備類型多,收集的各類數據類型多。各類攝像頭、視頻監控等傳感器數據,各類單車、汽車、公交、出租車等聯網交通工具數據,智能家居和智能生活設備數據等匯聚處理難度大,多源數據的鑒別與發現、異構網絡的數據融合與處理、核心設備參數配置與更新等問題處理難度大,數據在各業務平臺和系統中容易被竊取利用。
四是物聯網上承載的各類應用安全問題。物聯網面臨各種各樣的行業應用需求,需要對各類信息進行分類處理,在這個過程中,攻擊者通過篡改、偽造用戶的信息,往往以合法身份進行短信彩信信息、用戶的健康狀況、出行線路、家居信息及消費習慣等非法交易和動作,用戶隱私安全隱患巨大。同時,目前行業應用系統的建設并沒有統一技術標準和安全措施,各種網絡互聯成為一個大的網絡平臺的融合問題以及相應的安全問題日益凸顯。
2 物聯網安全對策建議
2.1 瞄準內生安全,打造以密碼為核心的物聯網安全體系
相對于互聯網和移動通信網安全而言,物聯網安全研究處于起步階段。由于物聯網本身特點,使其研究難度增大。當前已有一些輕量級加密、認證算法,但是還沒有提出完整的適用于物聯網的整體安全方案。
圍繞物聯網的行業應用和安全需求,應加強以密碼為核心的物聯網整體安全框架設計,在物聯網芯片、模組、設備、網絡和系統等多個層次推動密碼技術融合,實現從物聯網感知、傳輸、存儲到應用的全過程密碼安全保障,以一體化、協同化、智能化物聯網安全理念,提升物聯網內生安全,明確物聯網安全目標和保障對象,描述物聯網安全角色與職責,提出物聯網安全總體要求,確保物聯網安全可持續發展。
2.2 結合物聯網業務特性,加速新技術在物聯網安全的應用
一是大力推動人工智能在物聯網安全的應用。物聯網廣泛互聯、異構特性需要智能化的發現、威脅識別和處理能力。充分利用人工智能技術,提高對物聯網各類終端自動感知,根據不同網絡進行協議自適配、連接自動化等操作;對安全威脅自動識別、安全隱患自適應分析和處理。
二是大力推動大數據技術在物聯網安全中的應用。物聯網海量部署,必然帶來海量數據計算和高速處理需求。要積極運用大數據技術開展數據分析、數據融合、數據呈現、數據預測等工作,構建基于大數據的安全防護體系。
三是加大區塊鏈技術在物聯網安全中的應用。區塊鏈本身去中心化、分布式、抗抵賴的特性,與物聯網海量節點具有天然的契合點, 能有效解決物聯網中各類偽節點的安全隱患, 降低單元內計算處理數據量,減少各類安全沖突,有力確保物聯網各類節點安全。
2.3 以新基建為契機,建立物聯網領域安全設備泛在化部署新體系
國家啟動新基建戰略部署,要求利用新一代信息技術賦能國家重要領域基礎設施。5G和物聯網作為新基建的重要內容,將迎來大規模部署新階段。在物聯網終端數量海量化、設備類型多樣化、網絡異構化、應用部署多樣化等場景下,急需建立安全設備泛在化部署新體系。加強具有自適應性、云網端協同的物聯網安全機制研究,加快在物聯網架構安全、異構網絡安全、認證與信任、隱私保護等方面突破,在物聯網應用方面重點打造專用安全(加密)芯片、安全LoRa 模塊 /NB-IoT模塊、安全物聯網網關、安全業務平臺等產品。
加大安全設備在物聯網各領域的泛在化應用和規模化部署,協調推動處理好安全和業務發展的內在關系,在網絡和系統等多個層次推動安全技術融合,在物聯網設計、開發、應用、維護等多個環節同步考慮安全要素,大力推動物聯網標識、智能裝備安全網關、司法電子取證等產品和設備在物聯網相關垂直行業的應用,實現安全設備在物聯網的泛在化部署。
2.4 加強全方位安全防護,以多層次立體式理念確保物聯網安全
一是在感知層加強感知節點物理防護和感知節點設備安全。加強對感知節點和終端進行有效的物理安全防護,要采取節點身份認證、數據加密、節點監控等安全防護手段,對標簽身份進行統一管理,有效平衡安全性和認證效率,有效保護RFID安全性和隱私。
二是在網絡層加強節點和匯聚節點之間以及節點和網絡之間的安全認證,特別是要使用標準算法、輕量級密碼算法在物聯網的終端設備和后臺系統端點或傳輸過程中進行加密;提高入侵檢測的手段,增強物聯網端點智能安全能力。加強反病毒、反蠕蟲軟件在規模異構數據場景的適配和適應性改造。重點建立完善異構網絡統一、兼容、一致的跨網認證機制和網絡安全協議。加強數據傳輸過程的機密性、完整性、可用性的保護。
三是在應用層重點開展數據智能化處理基礎上,加強數據庫訪問控制策略方面的安全。加強數據溯源能力和網絡取證能力,完善網絡犯罪取證機制。以無感方式,在不影響物聯網業務情況下,以安全服務化方式開展各項安全防護工作,有效開展物聯網環境下的安全運維服務。
此外,根據物聯網具體業務及應用相關數據、對國家、社會和個人影響程度,建立分級分類保護制度。針對不同業務和應用需求,結合等保2.0,制定不同等級、不同場景下的安全防護措施,有效利用現有資源,開展有針對性的安全防護。
2.5 強化供應鏈安全,建立供給側需求側安全協同新機制
一是加強物聯網的供應鏈安全。物聯網由于覆蓋面廣,其產業鏈涉及的行業類型多、產品更將是豐富多樣,廠商不計其數。但也應該看到,部分核心技術仍為一些國際寡頭所掌控,我國應及早培育相關企業,打造安全可靠產品,掌握基于云化的安全管理策略和技術手段,采用集中和分布式相結合的方式,構建安全可靠、可控、可管、可追溯的供應鏈管理體系。同時開展供應鏈安全審查技術的研究,加強核心關鍵產品的安全審查力度,培育供應鏈安全相關人才,從多方面保障供應鏈的安全。
二是構建物聯網安全協同新機制。物聯網產業發展和產品推廣離不開行業,要進一步加強物聯網在智能家居、工業互聯網、車聯網等行業的推廣力度,進一步聯動上游生產資料企業、中游設備生產制造商、下游個體和行業用戶,建立覆蓋行業生態鏈和全生命周期的安全協同新機制。
同時,要加強安全技術與物聯網在智能家居、智慧交通等垂直行業的有效銜接和融合,積極打造物聯網安全產業生態,聯合傳感器元器件制造商、設備生產集成商、網絡安全服務提供商、銷售商等產業鏈各方力量,共同構建開放合作的物聯網安全產業生態圈;積極建立網絡安全企業和物聯網企業、網絡安全企業與物聯網垂直行業企業的互動體驗機制, 在不斷的應用實踐中發現問題、解決問題,構建供給側、需求側的人、機、物安全協同新機制, 共同促進物聯網安全發展。
3 結 語
物聯網高速發展,呈現出前所未有的發展活力,物聯網正成為新一代信息技術革命的典型代表。而當前物聯網安全的研究尚處于初步階段,海量節點匯聚、規模化數據處理、多場景應用的安全研究需后續更多實踐和分析,也需要高校院所、行業主管、政府部門、企業和行業應用者等共同推動,參與物聯網安全的研究,共筑物聯網發展的安全防線,護航我國物聯網產業,占據在全球的發展優勢。
引用本文:黃云霞,董哲一,孟凡欣.物聯網發展中的安全風險及對策研究[J].信息安全與通信保密,2020(05):78-84.
