赵 洁
(江苏第二师范学院 数学与信息技术学院,江苏 南京 210013)
物联网作为全球战略新兴产业受到各国的高度重视,在工业控制、农业生产、智能家居、物流、安防,甚至教育、养老等领域持续快速增长。物联网已与社会民生、政治经济紧密相连,一旦出现安全问题,可能危及人身、公共和国家安全。在大力推进物联网技术创新的同时,应该重视培养和提升物联网用户的信息安全素养。
GSMA(全球移动通信系统协会)预测[1],2025年全球物联网设备将超过250亿个。人们在工作生活中将使用更多的物联网设备,而物联网用户的安全意识普遍较弱,固件、补丁等基础安全能力匮乏,一旦出现有效的恶意控制方式,影响将迅速扩散,再加上设备数量庞大,其作为网络武器的威力不可小觑。
2016年10月,一场超大规模的DDoS攻击导致美国长达5 h的大面积断网,此次攻击恰是利用了约150万台网络摄像头组建的“僵尸网络”[2]。2017年11月,某品牌智能家居被爆出严重的安全漏洞,攻击者能远程劫持该品牌扫地机器人,将设备的内置摄像头变成网络监视器[3]。2020年7月初,以色列网络安全公司JSOF的研究人员在Treck,Inc.开发的TCP/IP软件库中发现了19个0day漏洞。该漏洞在整个供应链行业中产生连锁反应,可导致高达数亿的IoT设备受到拒绝服务和远程命令执行等攻击的影响[4]。卡巴斯基实验室的安全部门发现,单是2019年上半年就检测到超过1亿起对物联网终端的攻击[5]。物联网的安全问题已成为阻碍物联网发展的一大重要因素。
与传统网络不同,物联网不是简单的互联网的延伸,其信息交换扩展到了任何物体与物体之间,它涵盖了互联网、移动通信网、车联网、智能家居网、工业控制网等。体系结构上,物联网的感知层是互联网不具备的,它通过感知自动采集数据。感知节点分散、数量庞大,一般属无人值守作业,安全性和数据完整性都易遭到破坏。
互联网终端一般是计算机或智能手机,其操作系统主流品种相对集中,而物联网环境中硬件种类繁杂,嵌入式操作系统多种多样,增加了维护管理的难度和安全复杂度;互联网主要进行人与人之间的信息传递与沟通,一般允许系统重启进行恢复,信息延迟并不对沟通带来太大影响;而物联网网络传输多数有较高的实时性要求,在能源控制、远程医疗、智能安防等领域一旦发生时延,其可靠性将受到严重威胁。
从网络形态来说,互联网的终端大多处于受保护的环境中,而物联网终端的传输网络大多处于未受保护的环境之中;互联网TCP/IP通信协议是国际规范,而物联网尚未形成统一的国际标准和行业规范。
物联网设备的多样性与软件的脆弱性、感知节点的分散性、数据采集的规模性、网络形态的多样性都面临着前所未有的安全挑战。
层出不穷的安全事件已经证明,系统最大的安全漏洞往往不是系统本身,而是人。如果人不具备相应的信息安全素养,再先进的系统也不堪一击。物联网虽然是物物相连,但人的参与和管控将决定着整个体系的良性运作。物联网的安全问题不仅仅是技术问题,很多因素难以通过技术手段实现。只有通过用户教育,进行科学严谨的管理,让用户意识到物联网各环节信息安全的重要性、具备一定的物联网安全技能,才能正确使用好物联网,减少被利用和被泄密的几率,使信息安全隐患降到最低。
在各国抢占物联网研究高地的契机,聚焦物联网重要环节的“人”的信息安全素养教育,不仅有利于巩固物联网的发展成果,更有利于构建完善的物联网体系,是保障物联网良性发展的“精神”和“灵魂”。
物联网用户信息安全素养的培养区别于传统的互联网时代。笔者在知网上检索主题为“物联网”加上“信息安全”的结果为2 322篇,与物联网技术规范、行业标准、法律法规和发展应用的研究热潮相比,物联网中重要因素的参与者“人”的教育研究仅有8篇。检索主题为“信息安全素养”的论文有148篇,加上“物联网”后,检索结果为0篇。因此,在物联网环境下聚焦信息安全素养的研究具有一定的前瞻性和现实意义。
国内学者认为信息素养包括信息意识、信息知识、信息能力和信息道德四个方面[6]。客观分析物联网的特征、物联网的安全需求,本着可操作性的原则,本文提出物联网环境下提升信息安全素养的策略。在此,将物联网的信息安全素养分为物联网信息安全意识、物联网信息安全知识、物联网信息安全技能和物联网信息安全道德4个部分。
物联网信息安全意识是具备物联网信息安全素养的基本前提。物联网时代,普通大众的生产生活与物联网紧密相连,人们随身携带的手机、智能手环、门禁钥匙,随时使用的移动支付、定位导航、健康管理等,任何物品都可以通过射频识别、传感器、红外感应器、全球定位系统、激光扫描器等信息采集设备,进行信息的交换和通信。这个过程必定会产生大量的关于谁、什么时间、在哪里、与谁、如何、进行了哪些交互的数据,这些数据包含了大量的系统管理信息和大量的个人隐私信息,如果处理不当,在数据交互时会遭到恶意收集、恶意利用,威胁到系统、设备甚至人身的安全。
7.牛腺病毒病。犊牛接种腺病毒后,10~14 d能产生中和抗体,中和抗体至少可以保持10周。当前还没有很好的免疫预防方法。
人们对于物联网使用环节中各安全要素的认识水平,决定了物联网信息安全与人之间的风险关系。只有当人们意识到可能发生的危害、感知到其重要性,才有可能自觉履行维护物联网安全的行为规范,主动关心物联网信息安全的发展形势,甚至能达到主动学习物联网信息安全知识的目标。
物联网信息安全意识的提升不能仅依赖于个人自发行为,物联网用户教育也不能仅依靠产品说明书进行单向告知。物联网设备提供方往往强调的是设备的功能与效果,忽视或回避可能存在的安全隐患。建议制定相应的行业规范,提倡设备研发和推广方充分测试和收集设备的安全问题,在技术手段无法解决时,重视必要的用户提醒和培训,将用户安全意识提高到必要的水平。对于无法测试和预见的隐患,办好“国家网络安全宣传周”这样的活动,增加物联网安全宣传内容,扩大受众面,对于增加物联网用户的安全意识有积极作用。
物联网信息安全知识是具备物联网信息安全素养的基础。用户要了解基本的物联网信息安全知识,了解各种网络攻击形式如病毒、木马、拒绝服务攻击的危害,了解数据窃听、数据劫持、中间人攻击、重放攻击等常见的物联网信息安全隐患,了解信息加密、隐私保护、身份认证、安全管理的意义,掌握基本的信息安全防护知识。
目前中小学和大学课程中,均有信息安全相关内容的设置。如《普通高中信息技术课程标准(2017年版)》中提到:学生要具备信息安全的基础知识与基本技能,理解信息社会伦理道德和法律法规,成为合格的、具有信息素养的信息社会公民。在“信息系统与社会”模块中设置了“信息安全与信息社会责任”的学习内容,时长为2课时[7]。以江苏省普通高校人才培养目标中“大学计算机”课程为例,有两节内容与培养信息安全相关,分别是“信息安全与网络空间安全”和“网络安全技术”,一般占用2课时。笔者认为此类内容课时偏少,还未能引起普遍的重视,应适当增加该环节的授课课时,通过安排讲座和丰富有趣的活动,提高在校学生的物联网信息安全知识水平。
各级单位的信息化水平不断提高,物联网的应用场景不断增加,各级部门应该定期就物联网信息安全形势和本行业信息化特点进行主题培训。一方面物联网的发展变化非常迅速,另一方面新型的黑客攻击也在不断的变化形式,信息安全知识日新月异,物联网用户的知识储备需要与时俱进。
这是培养物联网信息安全素养的目标。主要培养面对物联网信息安全问题时的分析、判断、防范和处理能力。了解正确配置、使用和管理物联网软、硬件的基本步骤,发现安全问题时的应急处理步骤等实际操作技能。
对于物联网应用行业而言,须结合实际的应用场景进行定期的、专业的培训和演练。技能包括能正确使用扫描工具发现系统或设备的漏洞,进行主动修复;能正确配置防火墙,进行内外网的隔离防御;能使用数据备份工具进行日常业务数据的备份,在遇到数据丢失时能够及时还原。能根据业务需要,进行既严密又灵活的安全管理;在系统或设备被恶意侵占后,能够及时发现问题并做出正确的处理等。
目前普遍存在的问题是,暂时还没有专门针对物联网的信息安全技能提升平台。物联网安全与传统的网络安全、系统安全、数据安全、隐私安全等有共通之处,但因为其感知层网络节点的多样性、低处理能力、无人值守等特点,节点本身可能被恶意控制、感知信息可能被非法获取、节点与外部设备的互相识别和认证等问题均与传统网络存在差异。因此,专门的物联网信息安全技能提升平台将亟待有助于广大物联网用户的信息安全素养提升。
这是培养物联网信息安全素养的方向。主要研究物联网信息保护的法律法规,了解物联网信息安全保护的责任和义务,从而形成物联网行为的道德规范和普遍认同的伦理标准。物联网用户规模不断扩大,每个人在享用技术便利的同时,都有义务维护物联网生态平衡,以法律法规为道德和行为准绳进行自我约束和自我保护。
物联网作为快速发展的新生事物,相关法律法规的健全明显滞后于技术的创新。儿童智能玩具成为窃听帮凶、物联网智能手表泄露用户隐私、智能门锁被越权打开、恶意软件攻击大量的物联网设备等,因为缺乏行业约束、没有行之有效的制裁手段,恶意事件不断出现。
近两年各国不断推进物联网安全立法。日本在2019年初对《电气通信事业法》进行修订,要求2020年4月起物联网终端设备必须具有防止非法登录功能[8]。2020年初美国加州颁布《加利福尼亚州的物联网安全法案》要求所有连接设备要保护用户数据免遭非授权访问[9]。2020年1月英国立法加强物联网安全,要求制造商必须为每台物联网设备设置独一无二的密码,而非默认的出厂设置等[10]。
我国对于信息安全的重视在逐渐上升。2017年6月我国颁布实施《中华人民共和国网络安全法》;2019年12月正式发布实施《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》等国家标准;2020年7月《中华人民共和国数据安全法(草案)》公布,公开征求意见。而物联网信息安全保护立法目前分布在多部法律法规中,没有形成完整的法律体系。要通过法律手段营造物联网健康发展的优质环境,推进“物联网安全”立法,是未来物联网发展的必经之路。
物联网发展迅速,物联网的安全问题成为制约物联网全面发展不可回避的因素。与互联网时代的安全相比,物联网安全更具有大众性,与所有人的日常生活密切相关。在加快推进物联网技术创新的同时,不能忽视广大物联网用户的认知教育和技能培养。物联网用户的信息安全素养是推进物联网全面健康发展的重要因素。