张树红
(国家计算机网络应急技术处理协调中心天津分中心,天津 300100)
随着数字时代的到来,物联网技术被广泛应用于公共事业、生产制造、交通、能源、医疗、教育、家居等众多领域。物联网成为影响国家经济发展、社会运行和个人生活的重要技术。预计到2025年,全球物联网总连接数规模将达到246亿。物联网设备大量使用,随之产生的安全问题也不容小觑。
物联网系统的一般架构主要分为感知层、网络层、应用层3个部分[1]。物联网系统存在许多隐患,任何环节都可能面临安全威胁。总结物联网系统面临的安全问题主要有以下几个方面。
物联网接入海量设备节点,物理安全是首要的基础安全。物联网节点多,其维护检查往往不足。不法分子通过拆除或破坏设备,造成系统不可用。物联网设备若物理防护不足,可直接连接端口、内部组件,进而访问设备和存储数据,甚至连接到整个网络。
物联网安全离不开身份认证,它是整个生态系统中各个角色间建立信任的方式,通过身份认证确定其访问权限,实现资源的访问控制。目前常用的身份认证方式有:RFID智能卡认证、用户名/密码认证、令牌、生物认证、双因素身份认证等。目前,物联网系统身份认证方式各异,存在设备跨域认证授权不完善或缺失,初始密码为弱口令或默认用户名密码,未限制用户密码复杂度,无登录失败处理功能,明文传输身份信息,有的甚至无身份认证机制,这些都会给不法分子可乘之机,造成身份信息泄露或篡改等,对系统产生重大危害。
威胁物联网安全的外部攻击主要包括:僵尸网络、拒绝服务(DDoS)攻击、中间人(MITM)攻击、SQL注入攻击、侧信道攻击、恶意代码等[2],物联网设备数量庞大,很容易成为攻击载体。不法分子通过攻击、窃听、控制物联网设备或业务网络,对物联网安全造成严重威胁。
物联网系统本身存在的漏洞或缺陷,包括:操作系统、应用软件、数据库、协议、设备、操作、管理等安全漏洞[3]。漏洞一旦被不法分子利用,将对物联网系统产生严重后果。
物联网安全最大的挑战之一是物联网网络通信过程的安全,物联网网络结构复杂,许多物联网设备多采用无线传输方式,信息传输时仅采用简单加密甚至明文传输,传输的数据很容易被窃取、破坏或干扰。
随着物联网应用的普及,越来越多的数据被采集、传输、使用、存储和共享。在数据的全生命周期,隐私数据的保护、数据合法合规的使用和共享也是物联网安全面临的一大难题。
目前相当一部分物联网设备更新机制不健全,存在无更新机制、无法远程更新加固、无法自动更新等问题。用户安全意识淡薄,设备更新不及时。不健全的更新机制将影响物联网设备的升级更新和安全加固,加大安全风险隐患。
物联网技术实现了万物互联,广泛应用于各行各业,促进了社会经济发展,为生产生活带来了极大便利。同时,物联网系统面临的诸多安全问题,可能给国家安全、社会稳定和生产生活带来重大危害。
入侵重要领域物联网系统,危害国家安全。物联网技术应用于诸多领域,有些与国家安全、经济发展息息相关。若不法分子通过入侵相关物联网系统,从中窃取或篡改重要数据,很有可能会危害国家安全和经济发展。
攻击社会公共物联网系统,扰乱社会秩序。物联网技术在城市管理、城市监测、公共卫生、公共安全、电力等的应用成果显著,若不法分子攻击相关物联网系统,不仅可以窃取数据,更有甚者会通过控制指令,影响系统的正常运行,严重威胁公众安全。比如交通系统被攻击,有可能引起交通信号灯紊乱,造成交通堵塞,发生交通事故,造成人员伤亡;电力系统被破坏,会严重影响生产、生活,甚至引发安全事故。
窃取用户数据,侵犯用户隐私甚至威胁用户生命财产安全。不法分子通过攻击使用物联网系统的企业或个人用户,获取用户数据,还可能在未经用户授权情况下非法收集、共享用户数据,非法经营或牟利,导致用户数据泄露,侵犯用户隐私,严重的会导致生产经营或生命财产损失。比如在医疗领域,体外物联网工具,如输液泵、患者监控系统,和以无线方式连接的体内植入设备,如心脏除颤器、起搏器等经常被使用,不法分子通过攻击和控制设备,会对患者造成伤害甚至夺去患者生命。
面对形势严峻的物联网安全问题,必须采取有力举措,增强物联网安全,建议从以下方面采取应对策略。
制订物联网领域法律法规,构建完善的标准体系,加大对物联网系统涉及国家安全、社会公共安全、用户安全的保护力度,建立完善的保护机制,规范物联网市场竞争,推动物联网安全水平提升。严厉打击攻击破坏物联网设备和信息系统的不法行为,加强惩处力度。
强化物联网行业监管,完善监管组织体系,加强等级保护、风险检测评估、数据安全保护和个人信息保护等多方面监管。
建立有效的物联网安全监测预警和信息通报机制。建立物联网安全信息收集、分析、监测、预警、风险评估、应急处置、信息通报等工作机制,增强防范和化解物联网安全风险的能力。
物联网设备开发商、服务提供商、网络运营商、用户和相关企业应严格履行网络安全主体责任,加强与科研机构、网络安全企业的合作,共同打造物联网安全生态。物联网系统的整个生命周期都要将安全性考虑其中,在物理安全、软件、硬件、通信技术、操作系统、云平台服务、数据保护等方面,不断提升安全技术[4]。
构建有效的安全防护机制,通过认证授权、访问控制、入侵检测、态势感知、防火墙、隔离网络等多种技术手段,保障物联网系统的安全。建立健全设备安全升级、加固机制,及时发现并修复设备和系统漏洞。
技术创新推动物联网安全,研究创新安全高效的加密技术和通信技术,保障信息传输的安全高效。探索区块链、人工智能、IPv6等技术应用于物联网。关键核心技术国产化、自主化,推动物联网领域做大做强。
加强网络安全宣传、教育和培训,企业用户不仅要注重技术安全,也要加强制度管理和人员管理,提升从业人员技能水平和网络安全意识。个人消费者要选择安全性高、口碑好的产品,密切关注设备登陆、设置情况,减少不必要的授权,及时更新升级产品。通过提升网络安全意识促进行业的安全发展。
物联网是一个不断发展的领域,应用广泛,在给社会带来便利的同时,安全威胁也十分严峻,本文分析了物联网的安全问题、可能产生的危害以及应对策略。因此,数字化时代背景下,物联网安全必须被提升到一个更高的位置,只有多方共同协作,才能促进物联网行业健康蓬勃发展,更好地造福人类社会。