摘 要
分析了国内外物联网安全政策、技术、标准、产业等形势,重点强调了当前我国物联网发展中存在的安全风险,包括大连接环境下的设备风险、物联网网络本身安全风险以及物联网上承载的各类应用安全风险,提出了打造以密码为核心的物联网安全体系 , 加速新技术在物联网安全的应用,以新基建为契机建立物联网领域安全设备泛在化部署新体系,以多层次立体式理念确保物联网安全,呼吁供给侧需求侧建立安全协同新机制,共同促进物联网产业安全可持续发展。
0 引 言
物联网是继计算机、互联网和移动通信之后新一轮信息技术革命,自1999年美国麻省理工学院的凯文·阿什顿教授提出物联网的概念以来,同时伴随着5G、人工智能、区块链等新兴技术的快速发展和逐步应用,以及智慧城市、工业互联网、车联网等新应用的快速落地,物联网和移动互联网进一步深度融合,正进入“跨界融合、集成创新、规模化发展”新阶段。在物联网快速发展的同时,安全问题日益凸显,安全事件不断爆发。
从2007年美国副总统迪克·切尼心脏病发作、疑似心脏除颤器被模拟攻击,到2014年360发现特斯拉Tesla Model S车型汽车应用存在设计漏洞、可致使攻击者远程控制车辆,以及2017年央视曝光目前智能城市的家庭摄像头存在重大隐私泄露问题等,都不同程度反应出物联网不同应用场景下的安全问题。可以说,在万物互联时代,安全正逐步成为物联网发展的核心要素和关键一环。
1 物联网及安全风险概述
1.1 物联网介绍
根据ITU的定义,物联网是:通过二维码识读设备、射频识别 (RFID) 装置、红外感应器、全球定位系统和激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网相连接, 并进行信息交换和通信,实现智能化识别、定位、跟踪、监控和管理的一种网络。
根据行业划分维度,一般从感知层、网络层和应用层描述其结构,如图1所示。
图1 物联网结构
可以理解为,物联网就是“物与物相互连接的互联网”,包含两方面含义:一是物联网是在互联网的基础上进行延伸并扩展的网络;二是物联网的用户端延伸并扩展到任何物品之间,实现万物互联。
因此,物联网是建立在互联网基础上的一个泛在化的网络,是发展的一个新阶段,它通过各种有线和无线的网络与互联网融合,并在各类应用场景中利用海量传感器、终端设备等 , 实现物与物、物与人的随时随地连接。
业内普遍认为,物联网有望成为未来社会经济发展、社会进步和科技创新的最重要的基础设施,极大改变人们的生产生活方式。
1.2 物联网发展形势
当前,各国加速从政策、技术、标准、产业发展等方面加速物联网发展。
政策层面,各国政府抢抓物联网安全发展先机,塑造在物联网领域的国际竞争优势。美国2016年、2017年相继发布《保障物联网安全战略原则》《2017物联网网络安全改进法》等战略法律,指出要重点提升物联网的安全防护能力,促进物联网安全发展;英国2015年成立物联网安全基金会,从资金投入方面支撑物联网安全发展;欧盟2016年制定新的物联网设备安全规范。
我国高度重视物联网安全发展,并将物联网纳入国家战略高度,在《“十二五”规划纲要》中,明确指出要推动物联网关键技术研发和重点领域的应用示范。2013年《国务院关于推进物联网有序健康发展的指导意见》发布,提出要基本形成安全可控、具有国际竞争力的物联网产业体系。
工信部2017年发布《工业和信息化部办公厅关于全面推进移动物联网(NB-IoT)建设发展的通知》,要求加快推动物联网的网络和信息安全保障体系建设。2009年、2016年、2018年物联网三次被写入政府工作报告,习近平总书记在2018年的中国科学院第十九次院士大会、中国工程院第十四次院士大会上提出,要加速以物联网等为代表的新一代信息技术的应用突破,对物联网发展高度关注。
技术层面,随着第五代移动通讯技术(5G)、窄带物联网(NB-IOT)等新技术为万物互联提供基础设施支撑,万物互联的泛在介入、高效传输、海量异构信息处理和设备智能控制,由此推动了信任统一化、密码防护轻量化、安全服务化等安全技术的变革。物联网软硬件、操作系统、通信协议、云平台等方面的安全技术关注力度也逐年上升,如何解决大连接下的安全问题也成为业界普遍关注的重要议题。
标准方面,我国在物联网标准制定工作方面的组织机构主要包括发展和改革委员会、国家标准化管理委员会、工业和信息化部等。在OneM2M、3GPP、ITU、IEEE等国际主要标准化组织物联网相关领域已经获得多项物联网相关标准,自主研发的物联网安全TRAIS和NEAU标准被相继纳入RFID安全和NFC安全国际标准,在物联网语义、物联网大数据、物联网网关等重要领域主导相关标准的制定工作,逐步在重要标准上确立主导优势,和其他国家共同推进了全球移动物联网基础设施和业务应用的发展。
产业发展方面,据国际数据公司预计,2019年全球物联网支出将达1.3万亿美元,较2015年6986亿美元增长近一倍;Gartner发布的数据显示,2020年全球物联网市场规模将达1.9万亿美元。
同时,我国物联网产业高速发展,根据《2018-2019中国物联网发展年度报告》显示,2018年我国物联网产业规模已超1.2万亿元, 业务收入较上年增长72.9%,目前我国已经初步形成了覆盖芯片、元器件、软件、系统、集成、服务在内的较为完整的物联网产业链。伴随我国不断加大IPV6、5G等基础设施建设,以及智慧城市的应用推广,预计未来5—10年,我国物联网产业将会引来发展的爆发期。
1.3 物联网安全风险介绍
经过多年发展,我国初步形成物联网政策体系,在技术研发、标准研制、产业培育和行业应用等方面具备一定基础,但也面临关键核心技术待突破、行业安全产品部署不够等突出短板。物联网具有大连接、高并发访问、多点接入、大规模数据量处理等特点,网络安全边界越来越模糊,网络安全威胁多元化、攻击手段多样化。
物联网安全问题的多样性和复杂性,对发展物联网技术和应用提出了更高要求,物联网安全的发展形势依旧严峻。万物互联使网络安全的威胁已经超越信息安全本身,直接关系到人们的财产、人身安全甚至国家基础设施和社会服务的安全。其存在安全威胁主要有以下几方面:
一是物联网终端设备更容易遭受攻击和信息泄露。物联网终端类型多样、数量众多、部署场景复杂,现有物联网大多从满足可用性出发,对其软硬件平台、通信协议等普遍缺乏完善的完整性保护、机密性保护和身份的验证机制。终端作为物联网感知层面和用户广泛交互的设备,在当前的操作环境下极易遭受非法入侵和非授权者的访问。
并且作为物联网安全领域最为核心的密码设备,当前的部署规模远远跟不上物联网发展速度,已有的密码应用主要集中于轻量级密码算法、物联网安全芯片和模组等较为简单的加密处理和保护,目前仍有大量设备未按国家有关要求采用密码保护。
二是物联网网络本身的安全性问题突出。除传统网络安全问题外,物联网在万物互联网环境中存在无线传感器网络、蜂窝移动通信网、因特网、各类专网等各类异构网络的互联互通的应用场景,这些网络本身都存在着各类网络安全问题。同时,物联网由于存在各类异构网络互联互通的应用场景,异构网络的安全问题也必将在物联网的网络层中进一步凸显,各类不同网络间协议的适配、通信机制的安全更具有挑战性,也更容易出现安全漏洞。
三是物联网的数据安全问题日益严重。当前物联网领域设备类型多,收集的各类数据类型多。各类摄像头、视频监控等传感器数据,各类单车、汽车、公交、出租车等联网交通工具数据,智能家居和智能生活设备数据等汇聚处理难度大,多源数据的鉴别与发现、异构网络的数据融合与处理、核心设备参数配置与更新等问题处理难度大,数据在各业务平台和系统中容易被窃取利用。
四是物联网上承载的各类应用安全问题。物联网面临各种各样的行业应用需求,需要对各类信息进行分类处理,在这个过程中,攻击者通过篡改、伪造用户的信息,往往以合法身份进行短信彩信信息、用户的健康状况、出行线路、家居信息及消费习惯等非法交易和动作,用户隐私安全隐患巨大。同时,目前行业应用系统的建设并没有统一技术标准和安全措施,各种网络互联成为一个大的网络平台的融合问题以及相应的安全问题日益凸显。
2 物联网安全对策建议
2.1 瞄准内生安全,打造以密码为核心的物联网安全体系
相对于互联网和移动通信网安全而言,物联网安全研究处于起步阶段。由于物联网本身特点,使其研究难度增大。当前已有一些轻量级加密、认证算法,但是还没有提出完整的适用于物联网的整体安全方案。
围绕物联网的行业应用和安全需求,应加强以密码为核心的物联网整体安全框架设计,在物联网芯片、模组、设备、网络和系统等多个层次推动密码技术融合,实现从物联网感知、传输、存储到应用的全过程密码安全保障,以一体化、协同化、智能化物联网安全理念,提升物联网内生安全,明确物联网安全目标和保障对象,描述物联网安全角色与职责,提出物联网安全总体要求,确保物联网安全可持续发展。
2.2 结合物联网业务特性,加速新技术在物联网安全的应用
一是大力推动人工智能在物联网安全的应用。物联网广泛互联、异构特性需要智能化的发现、威胁识别和处理能力。充分利用人工智能技术,提高对物联网各类终端自动感知,根据不同网络进行协议自适配、连接自动化等操作;对安全威胁自动识别、安全隐患自适应分析和处理。
二是大力推动大数据技术在物联网安全中的应用。物联网海量部署,必然带来海量数据计算和高速处理需求。要积极运用大数据技术开展数据分析、数据融合、数据呈现、数据预测等工作,构建基于大数据的安全防护体系。
三是加大区块链技术在物联网安全中的应用。区块链本身去中心化、分布式、抗抵赖的特性,与物联网海量节点具有天然的契合点, 能有效解决物联网中各类伪节点的安全隐患, 降低单元内计算处理数据量,减少各类安全冲突,有力确保物联网各类节点安全。
2.3 以新基建为契机,建立物联网领域安全设备泛在化部署新体系
国家启动新基建战略部署,要求利用新一代信息技术赋能国家重要领域基础设施。5G和物联网作为新基建的重要内容,将迎来大规模部署新阶段。在物联网终端数量海量化、设备类型多样化、网络异构化、应用部署多样化等场景下,急需建立安全设备泛在化部署新体系。加强具有自适应性、云网端协同的物联网安全机制研究,加快在物联网架构安全、异构网络安全、认证与信任、隐私保护等方面突破,在物联网应用方面重点打造专用安全(加密)芯片、安全LoRa 模块 /NB-IoT模块、安全物联网网关、安全业务平台等产品。
加大安全设备在物联网各领域的泛在化应用和规模化部署,协调推动处理好安全和业务发展的内在关系,在网络和系统等多个层次推动安全技术融合,在物联网设计、开发、应用、维护等多个环节同步考虑安全要素,大力推动物联网标识、智能装备安全网关、司法电子取证等产品和设备在物联网相关垂直行业的应用,实现安全设备在物联网的泛在化部署。
2.4 加强全方位安全防护,以多层次立体式理念确保物联网安全
一是在感知层加强感知节点物理防护和感知节点设备安全。加强对感知节点和终端进行有效的物理安全防护,要采取节点身份认证、数据加密、节点监控等安全防护手段,对标签身份进行统一管理,有效平衡安全性和认证效率,有效保护RFID安全性和隐私。
二是在网络层加强节点和汇聚节点之间以及节点和网络之间的安全认证,特别是要使用标准算法、轻量级密码算法在物联网的终端设备和后台系统端点或传输过程中进行加密;提高入侵检测的手段,增强物联网端点智能安全能力。加强反病毒、反蠕虫软件在规模异构数据场景的适配和适应性改造。重点建立完善异构网络统一、兼容、一致的跨网认证机制和网络安全协议。加强数据传输过程的机密性、完整性、可用性的保护。
三是在应用层重点开展数据智能化处理基础上,加强数据库访问控制策略方面的安全。加强数据溯源能力和网络取证能力,完善网络犯罪取证机制。以无感方式,在不影响物联网业务情况下,以安全服务化方式开展各项安全防护工作,有效开展物联网环境下的安全运维服务。
此外,根据物联网具体业务及应用相关数据、对国家、社会和个人影响程度,建立分级分类保护制度。针对不同业务和应用需求,结合等保2.0,制定不同等级、不同场景下的安全防护措施,有效利用现有资源,开展有针对性的安全防护。
2.5 强化供应链安全,建立供给侧需求侧安全协同新机制
一是加强物联网的供应链安全。物联网由于覆盖面广,其产业链涉及的行业类型多、产品更将是丰富多样,厂商不计其数。但也应该看到,部分核心技术仍为一些国际寡头所掌控,我国应及早培育相关企业,打造安全可靠产品,掌握基于云化的安全管理策略和技术手段,采用集中和分布式相结合的方式,构建安全可靠、可控、可管、可追溯的供应链管理体系。同时开展供应链安全审查技术的研究,加强核心关键产品的安全审查力度,培育供应链安全相关人才,从多方面保障供应链的安全。
二是构建物联网安全协同新机制。物联网产业发展和产品推广离不开行业,要进一步加强物联网在智能家居、工业互联网、车联网等行业的推广力度,进一步联动上游生产资料企业、中游设备生产制造商、下游个体和行业用户,建立覆盖行业生态链和全生命周期的安全协同新机制。
同时,要加强安全技术与物联网在智能家居、智慧交通等垂直行业的有效衔接和融合,积极打造物联网安全产业生态,联合传感器元器件制造商、设备生产集成商、网络安全服务提供商、销售商等产业链各方力量,共同构建开放合作的物联网安全产业生态圈;积极建立网络安全企业和物联网企业、网络安全企业与物联网垂直行业企业的互动体验机制, 在不断的应用实践中发现问题、解决问题,构建供给侧、需求侧的人、机、物安全协同新机制, 共同促进物联网安全发展。
3 结 语
物联网高速发展,呈现出前所未有的发展活力,物联网正成为新一代信息技术革命的典型代表。而当前物联网安全的研究尚处于初步阶段,海量节点汇聚、规模化数据处理、多场景应用的安全研究需后续更多实践和分析,也需要高校院所、行业主管、政府部门、企业和行业应用者等共同推动,参与物联网安全的研究,共筑物联网发展的安全防线,护航我国物联网产业,占据在全球的发展优势。
作者简介
黄云霞(1985—),女,硕士,工程师,主要研究方向为政策与战略研究、网络安全、通信与信息系统;
董哲一(1988—),男,硕士,工程师、经济师,主要研究方向为网络安全、自主可控、产业经济学;
孟凡欣(1982—),男,本科,主要研究方向为通信与信息系统、网络安全。
选自《信息安全与通信保密》2020年第五期 (为便于排版,已省去原文参考文献)
引用本文:黄云霞,董哲一,孟凡欣.物联网发展中的安全风险及对策研究[J].信息安全与通信保密,2020(05):78-84.
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。