物联网信息安全问题研究

　从1995年比尔?盖茨首次提及物联网概念到今天，物联网已成为新一代信息通信技术发展的典型代表，在经历了“虚张声势”的概念炒作阶段后，目前已进入到全面实践应用的新阶段，正深刻改变着传统产业形态和人类生产生活方式。然而，随着近年来物联网安全攻击事件日益频发，对用户隐私、基础网络环境的安全冲击影响也越来越突出。本文从物联网当前面临的安全形势、物联网存在的安全风险、产生安全问题的主要因素分析入手，进而提出相关促进物联网健康有序发展的对策建议。

　　一、万物互联下网络信息安全问题备受关注

 

　　1. 各类垂直应用领域受到物联网安全问题影响

 

　　物联网应用涉及国民经济和人类社会生活的方方面面，然而近年来多领域发生安全事件：在智慧城市领域，2014年西班牙三大主要供电服务商超过30%的智能电表被检测发现存在严重安全漏洞，入侵者可利用该漏洞进行电费欺诈，甚至关闭电路系统。在医疗健康领域，早在2007年时任美国副总统迪克?切尼心脏病发作，调查部门怀疑缘于他的心脏除颤器无线连接功能遭暗杀者利用，这被视为物联网攻击造成人身伤害的可能案例之一。在工业物联网领域，安全攻击事件则危害更大，2018年台积电生产基地被攻击事件、2017年的勒索病毒事件、2015年的乌克兰大规模停电事件都使目标工业联网设备与系统遭受重创。

 

　　2. 物联网安全问题给隐私保护带来严重威胁

 

　　随着物联网的应用，涉及用户隐私的海量数据将被各类物联网设备记录，其数据安全隐患也愈加严重。2015至今国内外发生多起智能玩具、智能手表等漏洞攻击事件，超百万家庭和儿童信息、对话录音信息、行动轨迹信息等被泄露;2017年，某自动售货机遭黑客攻击，被窃取了数十万用户信用卡账户以及生物特征识别数据等个人信息;与此同时，也有物联网摄像头被爆出多个漏洞，黑客可使用默认凭证登录设备访问摄像头的实时画面。此外，据有关数据显示，10000户家庭每天大约能够生成多达1.5亿个离散数据点。IDC报告显示，2020年全球物联网设备将有200-250亿台。海量用户隐私数据被庞大的物联网设备所承载记录，其安全风险系数也被极具放大。

 

　　3. 各组织机构纷纷关注物联网安全

 

　　近两年举办的RSA大会、CES等安全大会都对物联网安全高度关注。在RSA 2018安全大会上，诸多关于物联网安全漏洞的讨论被提及，特别是物联网终端设备或智能家居产品。在CES 2016大会上，物联网安全的关注度被排在了智能家居、可穿戴设备和无人驾驶汽车之前，位居第一位。

 

　　二、物联网网络的安全风险分析

 

　　当前，物联网逐渐形成了以“云、管、端”为主的3层基础网络架构，与传统互联网相比较，物联网的安全问题更加复杂。

 

　　1. “端”——终端层安全防护能力差异化较大

 

　　终端设备在物联网中主要负责感知外界信息，包括采集、捕获数据或识别物体等。其种类繁多，包括RFID芯片、读写扫描器、温度压力传感器、网络摄像头、智能可穿戴设备、无人机、智能空调冰箱、智能汽车……体积从小到大，功能从简单到丰富，状态或联网或断开，且都处于白盒攻击环境中。由于应用场景简单，许多终端的存储、计算能力有限，在其上部署安全软件或者高复杂度的加解密算法会增加运行负担，甚至可能导致无法正常运行。而移动化作为物联网终端的另一大特点，更是使得传统网络边界“消失”，依托于网络边界的安全产品无法正常发挥作用。加之许多物联网设备都部署在无人监控场景中，攻击者更容易对其实施攻击。

 

　　2. “管”——网络层结构复杂通信协议安全性差

 

　　物联网网络采用多种异构网络，通信传输模型相比互联网更为复杂，算法破解、协议破解、中间人攻击等诸多攻击方式以及Key、协议、核心算法、证书等暴力破解情况时有发生。物联网数据传输管道自身与传输流量内容安全问题也不容忽视。目前已经有黑客通过分析、破解智能平衡车、无人机等物联网设备的通信传输协议，实现对物联网终端的入侵、劫持。在一些特殊物联网环境里，传输的信息数据仅采用简单加密甚至明文传输，黑客通过破解通信传输协议，即可读取传输的数据，并进行篡改、屏蔽等操作。