(CWW)物聯(lián)網(wǎng)是信息產(chǎn)業(yè)第三次浪潮和第四次工業(yè)革命的核心支撐,在與各行各業(yè)的深度融合中催生出眾多產(chǎn)業(yè)及業(yè)務(wù),如車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、智慧電網(wǎng)、智慧城市、智慧農(nóng)業(yè)、智慧醫(yī)療、智慧物流、智能家居、智能穿戴等,改變了人們的生活方式,更為人們的日常生活帶來了極大便利。當(dāng)前,全球物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅猛,GSMA發(fā)布的《The Mobile Economy 2022》預(yù)測,2023年全球授權(quán)蜂窩物聯(lián)網(wǎng)連接數(shù)將達(dá)到25億,預(yù)計(jì)到2030年,全球授權(quán)蜂窩物聯(lián)網(wǎng)連接數(shù)將達(dá)到53億。
我國物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展居全球前列,移動物聯(lián)網(wǎng)建設(shè)全球領(lǐng)先。截至2022年底,我國移動網(wǎng)絡(luò)的終端連接總數(shù)已達(dá)35.28億,其中代表“物”連接數(shù)的蜂窩物聯(lián)網(wǎng)終端用戶達(dá)18.45億戶,自2022年8月底“物”連接數(shù)超越“人”連接數(shù)后,“物”連接數(shù)占比已升至52.3%。萬物互聯(lián)賦能千行百業(yè),蜂窩物聯(lián)網(wǎng)終端應(yīng)用于公共服務(wù)、車聯(lián)網(wǎng)、智慧零售、智慧家居等領(lǐng)域的規(guī)模分別達(dá)4.96億戶、3.75億戶、2.5億戶和1.92億戶。
隨著萬物互聯(lián)時代的到來,我們感受到廣泛互聯(lián)、全域感知、遠(yuǎn)程控制所帶來的方便和快捷,但物聯(lián)網(wǎng)技術(shù)的應(yīng)用也帶來了新的網(wǎng)絡(luò)安全風(fēng)險。近年來,針對物聯(lián)網(wǎng)設(shè)備、系統(tǒng)、網(wǎng)絡(luò)和平臺的網(wǎng)絡(luò)攻擊事件不斷增多,對個人隱私、企業(yè)生產(chǎn)、城市運(yùn)行乃至國家安全都產(chǎn)生了巨大影響。
(資料圖片)
物聯(lián)網(wǎng)安全面臨新形勢新風(fēng)險、新挑戰(zhàn)
一是物聯(lián)網(wǎng)設(shè)備自身安全隱患突出。物聯(lián)網(wǎng)設(shè)備面臨硬件設(shè)計(jì)缺陷、軟件及固件漏洞、身份驗(yàn)證機(jī)制缺失等安全風(fēng)險。廠商為控制物聯(lián)網(wǎng)設(shè)備成本,往往會選擇低功耗且廉價的硬件及芯片,這些硬件的計(jì)算性能和安全功能往往較弱,無法提供堅(jiān)實(shí)的安全支撐,如無法進(jìn)行加密處理、不具備防篡改設(shè)計(jì)等。物聯(lián)網(wǎng)設(shè)備軟件代碼質(zhì)量參差不齊,產(chǎn)生大量軟件漏洞,常見漏洞包括緩沖區(qū)溢出漏洞、命令注入漏洞等,攻擊者可以利用這些漏洞遠(yuǎn)程獲取設(shè)備控制權(quán),繼而發(fā)動網(wǎng)絡(luò)攻擊。物聯(lián)網(wǎng)設(shè)備的身份驗(yàn)證、訪問控制機(jī)制不夠完善,導(dǎo)致大量物聯(lián)網(wǎng)設(shè)備可以被匿名訪問,甚至被攻擊者破解簡單口令獲取控制權(quán)限,如目前大量物聯(lián)網(wǎng)攝像頭存在弱口令被破解后越權(quán)訪問的問題,極易引發(fā)惡意控制、DDoS攻擊、數(shù)據(jù)泄露等安全事件,危害網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施正常運(yùn)行。
二是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障不足。物聯(lián)網(wǎng)與傳統(tǒng)固網(wǎng)、移動互聯(lián)網(wǎng)等進(jìn)行連接,形成多網(wǎng)融合的新型異構(gòu)網(wǎng)絡(luò),在數(shù)據(jù)采集、數(shù)據(jù)傳輸?shù)冗^程中均面臨網(wǎng)絡(luò)入侵、數(shù)據(jù)泄露等安全風(fēng)險。感知層是物聯(lián)網(wǎng)全面感知的技術(shù)基礎(chǔ),主要通過各種傳感器收集物體的各類信息,然后通過NB-IoT、3G、4G、5G等接入技術(shù)將數(shù)據(jù)傳輸至上層。但感知層節(jié)點(diǎn)數(shù)據(jù)龐大、協(xié)議多樣,且功能單一、計(jì)算存儲資源有限,無法提供復(fù)雜的信息安全保護(hù)能力,在數(shù)據(jù)采集過程中容易受到惡意攻擊和破壞,影響系統(tǒng)正常運(yùn)行。網(wǎng)絡(luò)層主要負(fù)責(zé)將感知層采集的數(shù)據(jù)準(zhǔn)確傳輸出去,但由于物聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境復(fù)雜,物聯(lián)網(wǎng)節(jié)點(diǎn)資源有限,數(shù)據(jù)在傳輸過程中缺乏加密技術(shù)防護(hù),極易遭到中間人攻擊。攻擊者可以在通信路徑中非法獲取數(shù)據(jù)包,直接讀取明文數(shù)據(jù)或修改數(shù)據(jù)包破壞數(shù)據(jù)完整性,這種攻擊手段易實(shí)現(xiàn)但難于防范,會導(dǎo)致大量敏感數(shù)據(jù)泄露。同時,由于物聯(lián)網(wǎng)網(wǎng)絡(luò)邊界定義不清,攻擊者可以通過偽裝成網(wǎng)關(guān)或者用戶節(jié)點(diǎn)的方式接入網(wǎng)絡(luò),在獲取網(wǎng)絡(luò)訪問權(quán)限后針對網(wǎng)絡(luò)組件和設(shè)備發(fā)動進(jìn)一步攻擊。
三是物聯(lián)網(wǎng)數(shù)據(jù)安全問題頻頻爆發(fā)。物聯(lián)網(wǎng)基于自身互聯(lián)屬性會產(chǎn)生并共享海量數(shù)據(jù),這些數(shù)據(jù)在存儲、使用、共享過程中皆存在大量安全風(fēng)險。數(shù)據(jù)存儲在安全防護(hù)不足的設(shè)備及平臺時,會直接被攻擊者竊取。當(dāng)數(shù)據(jù)使用和數(shù)據(jù)共享過程中缺乏嚴(yán)格訪問控制機(jī)制時,他人在未經(jīng)許可的情況下可獲取甚至使用用戶敏感數(shù)據(jù),影響用戶正常的生產(chǎn)生活。Unite 42威脅情報團(tuán)隊(duì)對美國120萬個物聯(lián)網(wǎng)設(shè)備進(jìn)行監(jiān)測發(fā)現(xiàn),98%的IoT設(shè)備未加密,存在個人隱私及數(shù)據(jù)泄露風(fēng)險。近年來,類似的網(wǎng)絡(luò)安全事件還有很多,如大量家庭攝像頭采集的圖像被掛在網(wǎng)上出售、智能音箱泄露用戶隱私等。
四是物聯(lián)網(wǎng)平臺安全應(yīng)引起重視。物聯(lián)網(wǎng)設(shè)備與云平臺、應(yīng)用平臺之間時時刻刻都在進(jìn)行數(shù)據(jù)交互,這些平臺一旦被入侵,將導(dǎo)致整個物聯(lián)網(wǎng)系統(tǒng)遭到破壞。當(dāng)云平臺、應(yīng)用平臺存在軟件漏洞或配置錯誤時,極易引發(fā)應(yīng)用層DDoS攻擊造成服務(wù)中斷。同時,物聯(lián)網(wǎng)平臺也面臨代理商安全管理不足、供應(yīng)鏈污染等風(fēng)險。物聯(lián)網(wǎng)設(shè)備供應(yīng)鏈復(fù)雜,平臺如果對供應(yīng)商的安全控制管理不足,容易在硬件制造和軟件開發(fā)過程中被植入“后門”,這種“后門”極其隱蔽,在設(shè)備交付使用后依然難以發(fā)現(xiàn),一旦啟用將造成不可估量的風(fēng)險。因此,平臺管理者應(yīng)完善供應(yīng)鏈監(jiān)控和安全管理流程以降低風(fēng)險。
物聯(lián)網(wǎng)安全風(fēng)險應(yīng)對工作推進(jìn)情況
近年來,中國信息通信研究院在工業(yè)和信息化部支持指導(dǎo)下,協(xié)同行業(yè)相關(guān)單位,積極穩(wěn)妥推進(jìn)物聯(lián)網(wǎng)安全風(fēng)險應(yīng)對工作。
一是發(fā)揮行業(yè)組織引領(lǐng)作用,積極推進(jìn)物聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)編制工作。加快構(gòu)建物聯(lián)網(wǎng)安全監(jiān)測標(biāo)準(zhǔn)體系,開展物聯(lián)網(wǎng)安全監(jiān)測系列標(biāo)準(zhǔn)研制,推動《物聯(lián)網(wǎng)流量篩選技術(shù)要求和測試方法》《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測與管理系統(tǒng)技術(shù)要求》《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測與管理系統(tǒng)接口技術(shù)要求》《物聯(lián)網(wǎng)終端網(wǎng)絡(luò)安全風(fēng)險分類分級評估方法》等行業(yè)標(biāo)準(zhǔn)立項(xiàng),構(gòu)建清晰明確的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)技術(shù)要求、測試方法等,助力物聯(lián)網(wǎng)產(chǎn)業(yè)良性發(fā)展。
二是依托行業(yè)網(wǎng)絡(luò)資源和技術(shù)優(yōu)勢,初步構(gòu)建覆蓋基礎(chǔ)電信企業(yè)物聯(lián)網(wǎng)基地的安全監(jiān)測體系。建成政企聯(lián)動的物聯(lián)網(wǎng)基礎(chǔ)安全接入監(jiān)測平臺,具備采集、監(jiān)測、研判、響應(yīng)等功能,已對接三大基礎(chǔ)電信企業(yè)側(cè)平臺,對公共服務(wù)、車聯(lián)網(wǎng)、零售服務(wù)等8個行業(yè)領(lǐng)域的億級終端實(shí)現(xiàn)監(jiān)測,形成物聯(lián)網(wǎng)整體安全態(tài)勢感知及分析能力。同時,平臺建立了物聯(lián)網(wǎng)漏洞、惡意網(wǎng)絡(luò)資源、安全規(guī)則等威脅情報庫,累計(jì)積累萬余條安全事件規(guī)則及惡意資源,具備物聯(lián)網(wǎng)發(fā)展態(tài)勢、安全態(tài)勢、專題分析等功能。
三是持續(xù)開展專項(xiàng)研究,探索建設(shè)物聯(lián)網(wǎng)安全威脅檢測評估技術(shù)能力。聚焦物聯(lián)網(wǎng)感知層、網(wǎng)絡(luò)層、應(yīng)用層面臨的安全風(fēng)險,開展物聯(lián)網(wǎng)安全威脅檢測系統(tǒng)效能評估指標(biāo)體系研究,夯實(shí)物聯(lián)網(wǎng)威脅檢測工具及檢測方法相關(guān)理論儲備,積極指導(dǎo)相關(guān)企業(yè)開展物聯(lián)網(wǎng)終端產(chǎn)品先進(jìn)能力評價活動,完善硬件安全、軟件安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全測評能力,初步形成物聯(lián)網(wǎng)安全威脅檢測評估技術(shù)能力。
基于物聯(lián)網(wǎng)安全風(fēng)險的思考和建議
一是加快推動物聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)研制和落地。開展物聯(lián)網(wǎng)終端安全、網(wǎng)絡(luò)安全、平臺安全等標(biāo)準(zhǔn)研制,推進(jìn)物聯(lián)網(wǎng)家庭網(wǎng)關(guān)、網(wǎng)關(guān)安全測試標(biāo)準(zhǔn)規(guī)范修訂,加快構(gòu)建物聯(lián)網(wǎng)安全監(jiān)測標(biāo)準(zhǔn)體系,指導(dǎo)開展物聯(lián)網(wǎng)產(chǎn)品安全測評工作,引導(dǎo)物聯(lián)網(wǎng)安全向更加科學(xué)化、體系化的方向發(fā)展。
二是持續(xù)提升物聯(lián)網(wǎng)安全監(jiān)測技術(shù)能力。構(gòu)建基礎(chǔ)電信企業(yè)物聯(lián)網(wǎng)安全監(jiān)測技術(shù)體系,強(qiáng)化車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、智慧城市等典型物聯(lián)網(wǎng)應(yīng)用場景的流量篩選能力,從監(jiān)測覆蓋度、功能完備度、業(yè)務(wù)成熟度等方面提升數(shù)據(jù)上報質(zhì)量,推進(jìn)5G物聯(lián)網(wǎng)安全監(jiān)測試點(diǎn)建設(shè),不斷完善物聯(lián)網(wǎng)專網(wǎng)網(wǎng)絡(luò)安全監(jiān)測體系,提升行業(yè)物聯(lián)網(wǎng)安全態(tài)勢感知、風(fēng)險預(yù)警、應(yīng)急處置等綜合技術(shù)保障能力。
三是加速構(gòu)建物聯(lián)網(wǎng)安全檢測評估技術(shù)體系。建設(shè)智能家居、數(shù)字生產(chǎn)等典型場景安全仿真驗(yàn)證環(huán)境,面向物聯(lián)網(wǎng)終端、網(wǎng)絡(luò)、平臺等,開展代碼安全審計(jì)、高危漏洞掃描、訪問控制機(jī)制驗(yàn)證、數(shù)據(jù)傳輸安全測試、網(wǎng)絡(luò)節(jié)點(diǎn)身份認(rèn)證評估等測評工作,打造漏洞挖掘、模擬攻擊、情報收集等技術(shù)能力,定期開展物聯(lián)網(wǎng)安全合規(guī)性評估測試活動,及時發(fā)現(xiàn)安全風(fēng)險隱患,促進(jìn)物聯(lián)網(wǎng)相關(guān)企業(yè)增強(qiáng)自身安全防護(hù)能力。
四是不斷加強(qiáng)物聯(lián)網(wǎng)安全企業(yè)協(xié)同創(chuàng)新。聚焦物聯(lián)網(wǎng)終端安全、網(wǎng)絡(luò)安全、平臺安全的“能力短板”和技術(shù)發(fā)展方向,增加物聯(lián)網(wǎng)安全專項(xiàng)資金投入,開展物聯(lián)網(wǎng)安全創(chuàng)新創(chuàng)業(yè)大賽及會議,整合產(chǎn)業(yè)上下游資源,凝聚“政產(chǎn)學(xué)研”各方力量,培育推廣一批物聯(lián)網(wǎng)安全產(chǎn)品和解決方案,推動提升物聯(lián)網(wǎng)終端、網(wǎng)絡(luò)、平臺及數(shù)據(jù)的安全防護(hù)水平,促進(jìn)物聯(lián)網(wǎng)安全產(chǎn)業(yè)高質(zhì)量發(fā)展。
*本文刊載于《通信世界》
總第925期 2023年8月10日 第15期
原文標(biāo)題:《萬物互聯(lián)時代物聯(lián)網(wǎng)安全風(fēng)險分析及應(yīng)對措施研究》
關(guān)鍵詞: