近年來,物聯網創新應用層出不窮,智慧終端的應用場景不斷拓展。5G商用的加速推進,更進一步促進物聯網終端連接數的爆炸性增長。如此多的終端在為我們生產生活提供便利的同時,也帶來了更多安全隱患:智慧服務的中斷(樓宇安防、智慧醫療等)、殭屍網絡的形成(破壞國家電網、交通控制系統、網絡服務等),對關鍵基礎設施和國家安全構成嚴重威脅。
2017年,美國自動售貨機遭遇黑客入侵,160多萬條用戶個人隱私數據泄露,包括信用卡帳戶、生物特徵識別等;2018年,我國藥監局發布大批醫療器械召回公告,共計24萬多台麻醉系統、人工心肺機等關鍵醫療設備存在安全漏洞,可被遠程操控;美國中央情報局資料顯示,網絡電視被用來秘密監視用戶和錄製監控視頻;2007年,德國曾就「遠程殺人晶片」申請專利,將晶片隨關鍵設備植入被控人體,一旦被控目標反抗便可觸發裝置,殺掉此人……物聯網安全問題不再僅僅停留在企業和產業的發展討論上,已聚焦到了每一個消費個體的生命財產安全上。
安全問題涉及層面更多元
物聯網安全問題不同於傳統的網際網路安全,物聯網安全是全方面、立體化的,涉及物聯網感知終端、傳輸網絡、服務平台和移動應用等多個方面,任何一個層面的入侵都可能引起系統性的嚴重後果。
首先是物聯網終端與人解耦後引發物理層面的安全問題。2018年,鄭州市電動自行車防盜車牌被批量暴力拆解,風靡一時的共享單車頻繁被盜竊……由於感知終端或節點缺乏人員的看護和管理,處於不安全的物理環境,極有可能被偷盜、非法移動、人為破壞,加上自然環境引發的安全威脅,造成感知終端或節點的丟失和工作異常,嚴重影響物聯網設備的功能特性和智能服務提供。
最後是物聯網終端全連接數的指數級增長和接入方式的異構化、泛在化,增加了物聯網網絡的脆弱性和數據泄露風險。物聯網設備經常需要滿足實驗室、廠房、設備等多場景的連接需求,訪問授權或認證機制多種多樣,不健全、不規範問題突出。這不僅造成終端自身的服務不穩定,更加重了整個物聯網的安全風險。一方面,受攻擊後的終端可向行業應用服務平台回傳偽造的數據,帶來源數據污染風險和數據泄露風險。另一方面,終端之間也存在數據泄露渠道,在同一網段或相鄰網段的終端可能會查看到其他終端的信息,比如屋主名字、精確的地理位置,甚至消費者購買的商品等。2018年繼爆發出怪異笑聲後,美國科技巨頭亞馬遜的人工智慧助手Alexa又被指控竊聽、監聽用戶生活。
提升終端安全能力是關鍵
物聯網終端作為物聯網的神經末梢,承擔著對物理世界真實信息的採集、模式識別和實體控制功能。同時,終端的通信接入模塊將採集到的數據信息傳輸至決策服務端,並接收決策指令。因此,物聯網終端不僅僅是物聯網的關鍵「網關」,同時也是物聯網的核心功能模塊。物聯網終端的安全必然是物聯網安全的核心內容。終端自身的傳感器失效、信號噪聲、通信延遲或中斷、斷電等都將影響物聯網服務。
物聯網的開放性(異構接入、弱認證等)和物聯網終端弱口令和弱協議普遍存在。一方面,物聯網終端應用場景豐富、功能各異,物聯網無法提供統一的接入認證機制,必須做到普適、靈活可調整;另一方面,物聯網終端受能耗和資源限制,無法構建完整的安全策略(無法完成複雜安全計算或認證等)。無論哪一方面最終都可以歸結為物聯網終端的異構和多樣對物聯網整體安全水平的影響,因此加強安全代理/安全網關的使用、標準化終端接入方式、提高終端安全認證等級將是提升物聯網安全水平的重要方式。
物聯網與人聯網的另一個顯著區別在於物聯網終端所採集和傳輸的數據特徵單一、穩定,對於異常狀況可以通過監測技術及時發現和預警。因此,提升物聯網安全水平的另一個重要方式是強化物聯網終端使用狀態監測,實現對威脅事件的及時捕捉和處置。
建設「以端促網」安全生態
物聯網安全管理和能力提升需要多方努力、全行業協作。國內外各企業加速布局物聯網終端安全產業,積極參與安全生態建設。中國電信、中國移動、中國聯通紛紛成立「安全聯盟」或「產業聯盟」,吸納傳感器、晶片、模組、終端、網絡、平台、應用等產業鏈相關企業,積極打造統一的物聯網終端安全連接平台或方案。阿里巴巴、華為、小米等網際網路或通信企業也紛紛發布物聯網戰略,聚集設備生產商、安全晶片廠商、模組廠商、測試實驗室等物聯網安全產業鏈的合作夥伴,致力於提升整個物聯網產業鏈的安全能力,為垂直行業提供端到端的物聯網安全測試和驗證服務,全面構建終端安全能力。
中國信通院安全研究所聯合中國移動研究院等多家單位發起成立了「物聯網安全創新實驗室」,面向物聯網產業逾千家晶片、模組、終端等相關企業,共同推動物聯網終端安全能力認定及檢測、「分級分類」安全管理和「安全代理」等一系列物聯網終端安全能力提升策略,並在實踐中總結出「以卡促端」「卡端一體」「以端促網」的綜合性、一攬子物聯網(終端)安全管理方案,致力於物聯網終端認證能力提升、終端安全態勢感知預警能力建設和全行業物聯網安全生態的構建。
從源頭到安全終端入手,提升終端安全內核,推動終端安全標準化和體系化發展;從行業到產業聯盟入手,推動行業自律和安全生態建設;「技管結合」保障行業健康發展,同時提升行業安全管理能力和執法能力。凝聚「政產學研用」多方力量,「以端促網」構建物聯網安全生態,共同打造我國安全、可靠、清朗的網絡空間。
(作者:中國信息通信研究院安全研究所 韓海庭)
(來源:人民郵電報)