近年來物聯網創新應用層出不窮,智慧終端的應用場景不斷拓展。5G商用的加速推進,更進一步促進物聯網終端連接數的爆炸性增長。如此多的終端在為我們生產生活提供便利的同時,也帶來了更多安全隱患:智慧服務的中斷(樓宇安防、智慧醫療等)、形成殭屍網絡(破壞國家電網、交通控制系統、網絡服務等),對關鍵基礎設施和國家安全構成嚴重威脅。
一、物聯網安全是產業問題,同樣事關個體生命財產安全
2017年美國自動售貨機遭遇黑客入侵,160多萬用戶個人隱私數據泄露,包括信用卡帳戶、生物特徵識別等數據;2018年我國藥監局發布大批醫療器械召回公告,共計24萬逾台麻醉系統、人工心肺機等關鍵醫療設備存在安全漏洞,可悲遠程操控;來自維基解密手機的CIA(美國中央情報局)資料顯示網絡電視被用來秘密監視和錄製監控視頻;2007年德國曾就「遠程殺人晶片」嘗試申請專利,將晶片隨關鍵設備植入被控人體,一旦被控目標反抗便可觸發裝置,殺掉此人……物聯網安全問題不再僅僅停留在企業和產業的發展討論上,同樣也聚焦到了每一個消費個體的生命財產安全上來。
二、物聯網安全問題更立體,涉及層面更多元
物聯網安全問題不同於傳統的網際網路安全,物聯網安全是全方面的、立體化的,涉及物聯網感知終端、傳輸網絡、服務平台和移動應用等多個方面,任何一個層面的入侵都可能引起系統性的嚴重後果。
首先是物聯網終端與人解耦後引發物理層次的安全問題。2018年鄭州市電動自行車防盜車牌批量被暴力拆解、風靡一時的共享單車頻繁被盜竊……由於感知終端或節點缺乏人員的看護和管理,處於不安全物理環境,極有可能被偷盜、非法位置移動、人為破壞以及自然環境引發的威脅,造成感知終端或節點的丟失和工作異常,將嚴重影響物聯網設備功能特性和智能服務提供。
其次是物聯網終端部署的規模化和同質化擴大了物聯網絡的風險敞口。任何一個終端或節點被物理俘獲或邏輯攻破,攻擊者可利用簡單的工具分析出同類型終端或節點所存儲機密信息、隱私信息開展規模化和巨量化攻擊,或者被利用作為攻擊物聯網設備所連接的網絡滲透入口等。2018年名為Jenx的惡意帶軟體感染的物聯網設備發起290-300Gbps 的DDoS 攻擊,並在暗網中出租DDoS ,控制的設備數至少2.9 萬台。相似的案例還有赫赫有名的Mirai、BASHLITE、Lizkebab、Gafgyt等。物聯網智能服務架構更立體,更加廣泛的連接,更加嚴重依賴數據的傳遞和交換,因此對網絡安全性和穩定性要求更加苛刻。
最後是物聯網終端全連接數的指數增長和接入方式的異構化、泛在化,增加了物聯網服務網絡的脆弱性和數據泄露風險。物聯網設備經常需要滿足實驗室、廠房、設備等多場景的連接需求,訪問授權或認證機制多種多樣,不健全、不規範現象突出。這不僅造成終端自身的服務不穩定,更加重了整個物聯網的安全風險。一方面受攻擊後終端可向行業應用服務平台回傳偽造的數據,帶來源數據污染風險數據泄露風險。另一方面,終端之間也存在數據泄露渠道,在同一網段或相鄰網段的終端可能會查看到其他終端的信息,比如屋主名字,精確的地理位置,甚至消費者購買的商品等。2018年繼曝發出怪異笑聲後,美國科技巨頭亞馬遜的人工智慧助手Alexa又被控竊聽、監聽用戶生活。
三、提升物聯網安全能力,終端安全能力是關鍵
物聯網終端作為物聯網的神經末梢,承擔著對物理世界真實信息的採集、模式識別和實體控制功能;同時終端的通信接入模塊塊將採集到的數據信息傳輸至決策服務端,並接收決策指令。因此可見物聯網終端不僅僅是物聯網的關鍵「網關」,同時也是物聯網的核心功能模塊。物聯網終端的安全必然是物聯網安全的核心內容。終端自身的傳感器失效、信號噪聲、通訊延遲或中斷、斷電等都將造成物聯網服務的巨大損害。
物聯網的開放性(異構接入、弱認證等)和物聯網終端弱口令和弱協議普遍。這來源於兩個方面:一方面是物聯網終端應用場景豐富、功能各異,物聯網無法提供統一的接入認證機制,必須要做到普適、靈活可調整;另一方面是物聯網終端受能耗和資源限制,無法構建完整的安全策略(無法完成複雜安全計算或認證等)。無論哪一方面最終都可以歸結為物聯網終端的異構和多樣對物聯網整體安全水平的影響,因此加強安全代理/安全網關的使用,標準化終端接入方式、提高終端安全認證等級將是提升物聯網安全水平的重要方式。
物聯網與人聯網的另一個顯著區別在於物聯網終端所採集和傳輸的數據特徵單一、穩定,對於異常狀況可以通過監測技術及時發現和預警。因此提升物聯網安全水平的另外一個重要方式便是強化物聯網終端使用狀態監測,實現對威脅事件的及時捕捉,及時處置。
四、政產學研用,「以端促網」的安全生態建設
物聯網安全管理和能力提升是多方的,全行業的。國內外各企業加速布局物聯網終端安全產業、積極參與安全生態建設。中國電信、中國移動、中國聯通紛紛成立「安全聯盟」或「產業聯盟」,吸納傳感器、晶片、模組、終端、網絡、平台、應用等產業鏈相關企業,積極打造統一的物聯網終端安全連接平台或方案。阿里巴巴、華為、小米等網際網路或通信企業也紛紛發布物聯網戰略,聚集設備生產商、安全晶片廠商、模組廠商、測試實驗室等IoT安全全產業鏈的合作夥伴,致力於提升整個物聯網產業鏈的安全能力,為垂直行業提供端到端的物聯網安全測試和驗證服務,全面構建終端安全能力。
中國信通院安全研究所聯合中國移動研究院等多家單位發起成立了「物聯網安全創新實驗室」,面向物聯網產業逾千家晶片、模組、終端等相關企業,共同推動物聯網終端安全能力認定及檢測、「分級分類」安全管理和「安全代理」等一系列物聯網終端安全能力提升策略。並在實踐中總結出「以卡促端」「卡端一體」「以端促網」的綜合性、一攬子物聯網(終端)安全管理方案,致力於物聯網終端認證能力提升、終端安全態勢感知預警能力建設和全行業物聯網安全生態的構建。
從源頭-安全終端入手,提升終端安全內核、推動終端安全標準化和體系化發展;從行業-產業聯盟入手,推動行業自律和安全生態建設;「技管結合」保障行業健康發展,同時提升行業安全管理能力和執法能力。凝聚「政產學研用」多方力量,「以端促網」構建物聯網安全生態,共同打造我國安全、可靠、清朗的網絡空間。
本文轉自CAICT中國信通院。轉載目的在於傳遞更多信息,並不代表贊同其觀點和對其真實性負責。如涉及作品內容、版權和其它問題,請在30日內與我們聯繫,我們將在第一時間刪除內容!