歡迎光臨輝和(hé)科技

物聯網新聞

物聯網網絡信息安全問題淺析

        從1995年(nián)比爾•蓋茨首次提及物聯網概念到今天,物聯網已成為(wèi)新一(yī)代信息通信技術發展的(de)典型代表,在經曆了“虛張聲勢”的(de)概念炒作階段後,目前已進入到全面實踐應用的(de)新階段,正深刻改變着傳統産業形态和(hé)人類生産生活方式。然而,随着近年(nián)來物聯網安全攻擊事件日益頻發,對用戶隐私、基礎網絡環境的(de)安全沖擊影響也越來越突出。本文從物聯網當前面臨的(de)安全形勢、物聯網存在的(de)安全風險、産生安全問題的(de)主要因素分析入手,進而提出相關促進物聯網健康有序發展的(de)對策建議。

一(yī)、萬物互聯下網絡信息安全問題備受關注

1、 各類垂直應用領域受到物聯網安全問題影響

        物聯網應用涉及國民經濟和(hé)人類社會生活的(de)方方面面,然而近年(nián)來多領域發生安全事件:在智慧城市領域,2014年(nián)西班牙三大主要供電服務商超過30%的(de)智能電表被檢測發現存在嚴重安全漏洞,入侵者可(kě)利用該漏洞進行電費欺詐,甚至關閉電路系統。在醫療健康領域,早在2007年(nián)時任美國副總統迪克•切尼心髒病發作,調查部門懷疑緣于他的(de)心髒除顫器無線連接功能遭暗殺者利用,這被視(shì)為(wèi)物聯網攻擊造成人身傷害的(de)可(kě)能案例之一(yī)。在工業物聯網領域,安全攻擊事件則危害更大,2018年(nián)台積電生産基地(dì)被攻擊事件、2017年(nián)的(de)勒索病毒事件、2015年(nián)的(de)烏克蘭大規模停電事件都使目标工業聯網設備與系統遭受重創。

2、 物聯網安全問題給隐私保護帶來嚴重威脅

        随着物聯網的(de)應用,涉及用戶隐私的(de)海量數據将被各類物聯網設備記錄,其數據安全隐患也愈加嚴重。2015至今國內(nèi)外發生多起智能玩具、智能手表等漏洞攻擊事件,超百萬家庭和(hé)兒童信息、對話錄音信息、行動軌迹信息等被洩露;2017年(nián)7月美國某公司自(zì)動售貨機遭黑客攻擊,被竊取了數十萬用戶信用卡賬戶以及生物特征識别數據等個人信息;我國某安防公司制造的(de)物聯網攝像頭被爆出多個漏洞,黑客可(kě)使用默認憑證登錄設備訪問攝像頭的(de)實時畫面。此外,據有關數據顯示,10000戶家庭每天大約能夠生成多達1.5億個離(lí)散數據點。IDC報告顯示,2020年(nián)全球物聯網設備将有200-250億台。海量用戶隐私數據被龐大的(de)物聯網設備所承載記錄,其安全風險系數也被極具放大。

3、 各組織機構紛紛關注物聯網安全

        近兩年(nián)舉辦的(de)RSA大會、Black Hat等安全大會都對物聯網安全高(gāo)度關注,CES等會議也加大對物聯網安全的(de)關注。在RSA 2018安全大會上,諸多關于物聯網安全漏洞的(de)讨論被提及,特别是物聯網終端設備或智能家居産品。2016年(nián)8月,在一(yī)年(nián)一(yī)度Black Hat大會上,物聯網安全成為(wèi)十大值得關注的(de)安全威脅之一(yī),會上黑客展示了對聯網汽車、智能燈泡、ATM等物聯網設備的(de)攻擊。在CES 2016大會上,物聯網安全的(de)關注度被排在了智能家居、可(kě)穿戴設備和(hé)無人駕駛汽車之前,位居第一(yī)位。

二、物聯網網絡的(de)安全風險分析

       當前,物聯網逐漸形成了以“雲、管、端”為(wèi)主的(de)3層基礎網絡架構,與傳統互聯網相比較,物聯網的(de)安全問題更加複雜。

(一(yī))“端”--終端層安全防護能力差異化較大

        終端設備在物聯網中主要負責感知外界信息,包括采集、捕獲數據或識别物體等。其種類繁多,包括RFID芯片、讀寫掃描器、溫度壓力傳感器、網絡攝像頭、智能可(kě)穿戴設備、無人機、智能空調冰箱、智能汽車……體積從小到大,功能從簡單到豐富,狀态或聯網或斷開,且都處于白盒攻擊環境中。由于應用場景簡單,許多終端的(de)存儲、計算能力有限,在其上部署安全軟件或者高(gāo)複雜度的(de)加解密算法會增加運行負擔,甚至可(kě)能導緻無法正常運行。而移動化作為(wèi)物聯網終端的(de)另一(yī)大特點,更是使得傳統網絡邊界“消失”,依托于網絡邊界的(de)安全産品無法正常發揮作用。加之許多物聯網設備都部署在無人監控場景中,攻擊者更容易對其實施攻擊。

(二)“管”--網絡層結構複雜通信協議安全性差

       物聯網網絡采用多種異構網絡,通信傳輸模型相比互聯網更為(wèi)複雜,算法破解、協議破解、中間人攻擊等諸多攻擊方式以及Key、協議、核心算法、證書等暴力破解情況時有發生。物聯網數據傳輸管道(dào)自(zì)身與傳輸流量內(nèi)容安全問題也不容忽視(shì)。目前已經有黑客通過分析、破解智能平衡車、無人機等物聯網設備的(de)通信傳輸協議,實現對物聯網終端的(de)入侵、劫持。在一(yī)些特殊物聯網環境裏,傳輸的(de)信息數據僅采用簡單加密甚至明文傳輸,黑客通過破解通信傳輸協議,即可(kě)讀取傳輸的(de)數據,并進行篡改、屏蔽等操作。

(三)“雲”--平台層安全風險危及整個網絡生态

        物聯網應用通常是将智能設備通過網絡連接到雲端,然後借助App與雲端進行信息交互,從而實現對設備的(de)遠程管理(lǐ)。雲平台能夠對物聯網終端所收集的(de)數據信息進行分析與管理(lǐ),以及對網絡的(de)安全管理(lǐ),如(rú)對設備終端的(de)認證,對攻擊的(de)應急響應和(hé)監測預警,以及對數據信息的(de)保護和(hé)安全利用等。物聯網平台未來多承載在雲端,目前雲安全技術水平已經日趨成熟,而更多的(de)安全威脅往往來自(zì)內(nèi)部管理(lǐ)或外部滲透。如(rú)果企業內(nèi)部管理(lǐ)機制不完善、系統安全防護不配套,那一(yī)個小小的(de)邏輯漏洞就可(kě)能讓平台或整個生态徹底淪陷。而外部利用社會工程學(xué)的(de)非傳統網絡攻擊始終存在,一(yī)旦系統成為(wèi)目标,那麽再完善的(de)防護措施都有可(kě)能由外至內(nèi)功虧一(yī)篑。

三、影響物聯網行業安全的(de)主要因素

        多方面的(de)因素導緻了物聯網已經逐步成為(wèi)網絡信息安全“重災區”,其中既有物聯網技術本身技術特點逐步累積形成的(de)特性,也有新興行業在高(gāo)速發展過程中存在的(de)通病。

一(yī)是産業結構複雜。

        物聯網在發展過程中逐漸形成了較為(wèi)完整的(de)生态體系,但在三層架構的(de)基礎上更涉及了衆多産業 鏈環節,導緻參與角色衆多、結構複雜。從終端層的(de)硬件芯片、傳感器、無線模組,到網絡層各通信運營商,再到平台應用層的(de)軟件開發、系統集成、平台服務,這其中各個環節都在整個産業鏈中不可(kě)或缺。這就需要各個環節緊密配合、統一(yī)認識才能确保不出現大的(de)安全問題。

二是安全意識淡薄。

        Gartner發布的(de)數據顯示,到2020年(nián),全球物聯網市場規模将達1.9萬億美元。而在産業高(gāo)速發展、規模急劇擴張的(de)背後,是物聯網廠商安全意識淡薄,安全投入不足的(de)現狀。一(yī)方面,物聯網設備數量龐大、價格低(dī)廉,很多廠商為(wèi)壓縮成本對安全投入嚴重不足。Gartner預測,2018年(nián)全球物聯網安全支出将達到15億美元,年(nián)增長(cháng)率保持在27%左右,這跟市場規模相比甚至不足1‰,差距較大。另一(yī)方面,多數物聯網設備和(hé)硬件制造商無法像互聯網企業一(yī)樣重視(shì)安全,缺乏安全意識和(hé)人才儲備。AT&T對全球5000多家企業調查發現,85%的(de)企業正在或打算部署物聯網設備,而僅10%企業表示有信心保護設備免受黑客攻擊。

三是監管政策及标準體系匮乏。

        2013年(nián)國務院在《關于推進物聯網有序健康發展的(de)指導意見》中提出“要加強物聯網重大系統和(hé)應用的(de)安全測評、風險評估和(hé)安全防護工作,保障物聯網重大基礎設施、重要業務系統和(hé)重點領域應用的(de)安全可(kě)控”,但目前尚未進入實質性階段,相關政策法規有待落地(dì)。在安全标準體系建設方面,雖然行業內(nèi)已有多個物聯網組織在推進物聯網标準體系建設,但由于物聯網技術更新快、應用場景豐富,導緻物聯網标準體系建設步伐滞後于物聯網發展,且缺乏完善的(de)安全标準體系和(hé)成熟的(de)安全解決方案。

四、關于進一(yī)步加強物聯網網絡信息安全的(de)對策建議

        物聯網發展已經進入快車道(dào),規模化應用部署也在提速,物聯網安全若沒有配套措施手段将無法跟上其發展步伐。建議我國在物聯網安全政策、标準、應用和(hé)人員培訓等方面進一(yī)步推進,加大安全監管力度,引導和(hé)促進整個産業對于安全問題的(de)關注,提高(gāo)從業人員和(hé)用戶對于安全風險的(de)重視(shì),保障物聯網産業持續健康發展。

        在監管層面,加強監管落實,推動物聯網領域的(de)安全标準制訂。建議加強整體行業安全管理(lǐ),建立安全性合規性檢測機制,提高(gāo)行業準入門檻,約束發展亂象,從安全框架體系、安全測評、風險評估、安全防範、安全處置方案等方面推動标準規範制訂和(hé)落地(dì)。

        在産業層面,推動構建物聯網全生命周期立體防禦體系。在硬件、操作系統、通信技術、雲端服務器、數據庫等各個模塊之間做(zuò)好統一(yī)的(de)安全體系建設,從開發到制造、集成,把安全設計融入到物聯網産品生命周期每個步驟,從芯片到硬件、軟件、系統,将安全防護作為(wèi)物聯網每個環節必要的(de)配套手段,推動整個産業對安全需求從被動轉為(wèi)主動,讓安全緊跟産業發展步伐。

        在技術層面,加快物聯網安全技術發展及防範技術研究。建議設備廠商、研究機構等加大對物聯網軟硬件、操作系統、通信協議、雲平台等方面的(de)安全技術的(de)關注力度,研發有效的(de)安全威脅監測發現技術和(hé)安全防護技術,團結行業力量打造物聯網安全生态。

        在宣傳層面,普及信息安全知識,提高(gāo)安全意識。建議企業樹立正确的(de)發展觀念,同步重視(shì)網絡信息安全,同時對物聯網從業人員進行安全知識普及和(hé)技術培訓,提高(gāo)從業人員的(de)安全意識和(hé)知識技能。此外,建議提高(gāo)用戶網絡信息安全意識,在挑選使用物聯網産品的(de)同時注重安全防範。

咨詢熱線 0591-87585506

微信搜索:
物聯智能雲平台

掃一(yī)掃官方微信