從 ≤(cóng)1995年(nián)比爾•蓋茨首次提及±♣物(wù)聯網概念到(dào)今天，物(wù)聯網已成為(wèi)新一→€(yī)代信息通(tōng)信技(jì)術(shù)"★£♦發展的(de)典型代表，在經曆了(le)&ldqu​φ↓o;虛張聲勢”的(de)概念炒作(zuò)階段後，目前已進入到(d€₹→×ào)全面實踐應用(yòng)的(de)新階段，正深刻改變著<σ∞(zhe)傳統産業(yè)形态和(hé)人(r'×¥én)類生(shēng)産生(shēng)活方式<Ωα≈。然而，随著(zhe)近(jìn)年(niε&¥án)來(lái)物(wù)聯網安全攻擊事(shì)件(jiàn)日(rì)益©☆頻(pín)發，對(duì)用(yòng)戶隐私、基礎網絡環境的(de)安∏ ∏全沖擊影(yǐng)響也(yě)越來(lái)越突π≈​出。本文(wén)從(cóng)物(wù)聯網當前面臨的(de)安≤λα全形勢、物(wù)聯網存在的(de)安全風(fēng)險☆↓'ε、産生(shēng)安全問(wèn)題的(de)♠÷φδ主要(yào)因素分(fēn)析入手，進而提出相(xiàng)關©∞€促進物(wù)聯網健康有(yǒu)序發展的(de)對(duì)策建議(yì)α≈<φ。

一(yī)、萬物(wù)互聯下(xià)網✘≤∏絡信息安全問(wèn)題備受關注

1、 各類垂直應用(yòng)領域受到(dào)物(wù)聯網安全問(wènπ'∑)題影(yǐng)響

      <¶→  物(wù)聯網應用(yòng)涉及國(guó)民(mλδ≈ín)經濟和(hé)人(rén)類社會(₽βhuì)生(shēng)活的(de)方方面面，然而近→© (jìn)年(nián)來(lái)多(duō)領域發生"∑≠✔(shēng)安全事(shì)件(jiàn):在智慧城(chéng)★∞ 市(shì)領域，2014年(nián)西(xī)班牙三大(dà)主要(yào>∑≠)供電(diàn)服務商超過30%的(de)智能(néng)電(diànγ'φ₩)表被檢測發現(xiàn)存在嚴重安全漏洞∏∏，入侵者可(kě)利用(yòng)該漏洞進行(xíng)電(dià✔↕n)費(fèi)欺詐，甚至關閉電(diàn)路(lα✔§∞ù)系統。在醫(yī)療健康領域，早在2007年(nián)時(shí)任美(≥‍✘‍měi)國(guó)副總統迪克•切尼心髒病發作(zuò)，≈≥調查部門(mén)懷疑緣于他(tā)的(de)心髒除顫器(Ω qì)無線連接功能(néng)遭暗(àn)殺者利用(yòng✔&£&)，這(zhè)被視(shì)為(wèi)物(wù)聯網攻擊造成人(rén)♥✘ →身(shēn)傷害的(de)可(kě)能(néng)案例之一‌‍(yī)。在工(gōng)業(yè)物(wù)聯✘<≈✔網領域，安全攻擊事(shì)件(jiàn)則危害更大(•∞↔dà)，2018年(nián)台積電(diàn)生(shēng)産基地(>®≤dì)被攻擊事(shì)件(jiàn)、2017•≈©年(nián)的(de)勒索病毒事(shì)件(jiàn)、2015§←"年(nián)的(de)烏克蘭大(dà)規模停電(diàn)事(shì)件(j'‍εiàn)都(dōu)使目标工(gōng)業(yè)聯網設備與 ‌π‍系統遭受重創。

2、 物(wù)聯網安全問(wèn)題給隐私保護帶來(lái)嚴重威₹₽σ脅

       $☆; 随著(zhe)物(wù)聯網的(de)應用(yòng)，涉及用(y₹✔>λòng)戶隐私的(de)海(hǎi)量數(sh¶δ₽ù)據将被各類物(wù)聯網設備記錄，其數(shù)據安γ₩★ε全隐患也(yě)愈加嚴重。2015至今國(gu₽δ‌ ó)內(nèi)外(wài)發生(shēng)多(duō≤™↔✘)起智能(néng)玩(wán)具、智能(néng)手表等漏洞攻擊事≠γ"Ω(shì)件(jiàn)，超百萬家(jiā)庭和(hé★÷¶&)兒(ér)童信息、對(duì)話(huà)錄音(yīn)信息、行(x≤₽‌íng)動軌迹信息等被洩露;2017年(nián)7月(yuè)美(m<★<ěi)國(guó)某公司自(zì)動售貨機(j★¶ī)遭黑(hēi)客攻擊，被竊取了(le)數(shù)十萬♣♥≤用(yòng)戶信用(yòng)卡賬戶以及生(shēng)物(wù↓÷♣)特征識别數(shù)據等個(gè)人(rén)信息;我國(guó)某安防公σ✔&&司制(zhì)造的(de)物(wù)聯網攝像頭被爆出多(duō)個(gè)β₽♦↓漏洞，黑(hēi)客可(kě)使用(yòng)默認憑證登錄設備訪問(←δ≠↓wèn)攝像頭的(de)實時(shí)畫(huà)面。此外(wài)，據有(y→ φ✘ǒu)關數(shù)據顯示，10000戶家(jiā)庭♠☆♠≈每天大(dà)約能(néng)夠生(shēng)成多(du ∑ō)達1.5億個(gè)離(lí)散數(shù)據點。ID☆ε&C報(bào)告顯示，2020年(nián)全球物(wù)聯網設備将有(y≠≤ǒu)200-250億台。海(hǎi)量用(yòng)戶隐σβ私數(shù)據被龐大(dà)的(de)物(wù)聯網設備所承載記錄，其安全風ε¶✔(fēng)險系數(shù)也(yě)被極具放(fàng)大(dà€↔✔♠)。

3、 各組織機(jī)構紛紛關注物(wù)♣δ聯網安全

        近(jìn)兩年(n÷§≈&ián)舉辦的(de)RSA大(dà)會(huì)、Black Hat等↑'≤§安全大(dà)會(huì)都(dōu)對(duì)物(wù)聯網安全β∞ 高(gāo)度關注，CES等會(huì)議(yì)也(yě)加大(dà)對(d•€→uì)物(wù)聯網安全的(de)關注。在RSA 201 σγ8安全大(dà)會(huì)上(shàng)，諸多(duō)關于物(wù)聯網♣σ安全漏洞的(de)討(tǎo)論被提及，特别是(‌∑‍£shì)物(wù)聯網終端設備或智能(néng)家(jiā)居£♠×産品。2016年(nián)8月(yuè)，在一​ ♠(yī)年(nián)一(yī)度Black Hat大(dà♠φ)會(huì)上(shàng)，物(wù)∑✘$聯網安全成為(wèi)十大(dà)值得(de)關注的(de★↕)安全威脅之一(yī)，會(huì)上(shàng±↕​$)黑(hēi)客展示了(le)對(duì)聯網汽車(chλ± ē)、智能(néng)燈泡、ATM等物(wù)聯網設備的(de)• ✘攻擊。在CES 2016大(dà)會(huì)上(sh™>✔ àng)，物(wù)聯網安全的(de)關注度被排在了(le)智能(né™γπng)家(jiā)居、可(kě)穿戴設備和(h​σ‌é)無人(rén)駕駛汽車(chē)之前，位居第一(yī)位。

二、物(wù)聯網網絡的(de)安全風(fēng)險分(fēn)析

      &&≥nbsp;當前，物(wù)聯網逐漸形成了(le)以&λ≤γεldquo;雲、管、端”為(wèi)主的(de)3層基礎∑ 網絡架構，與傳統互聯網相(xiàng)比較，物(wù★↑♠Ω)聯網的(de)安全問(wèn)題更加複雜(zá)。

(一(yī))“端&rdquo®∑;--終端層安全防護能(néng)力差異化(huà)較大(d &≤à)

        終端設備在物(wù)δ'§✔聯網中主要(yào)負責感知(zhī)外(wài)界信息，包括采集、捕獲數•​£(shù)據或識别物(wù)體(tǐ)等。其種類繁多(du∏☆ō)，包括RFID芯片、讀(dú)寫掃描器(qφ₽¥ì)、溫度壓力傳感器(qì)、網絡攝像頭、智能σ♥>(néng)可(kě)穿戴設備、無人(r♥π×≥én)機(jī)、智能(néng)空(kōng)調冰箱、智¶φ能(néng)汽車(chē)…&h™¶™"ellip;體(tǐ)積從(cóng)小(xi←±←<ǎo)到(dào)大(dà)，功能(néng)從(cóng)£★₩簡單到(dào)豐富，狀态或聯網或斷開(kāi)，且都(dōu±∞)處于白(bái)盒攻擊環境中。由于應用(y>®♣✔òng)場(chǎng)景簡單，許多(duō)終端的(de)存儲、β✔ Ω計(jì)算(suàn)能(néng)力有(yǒu)限，在其上(sh¥≠↔‌àng)部署安全軟件(jiàn)或者高(gāo)複← 雜(zá)度的(de)加解密算(suàn)法會(huì)增加&₩€運行(xíng)負擔，甚至可(kě)能(néng)導緻無§✘>法正常運行(xíng)。而移動化(huà)作(zuò)為(wèi)物©>(wù)聯網終端的(de)另一(yī)大(¶•dà)特點，更是(shì)使得(de)傳統網絡邊界&ldq✔∑uo;消失”，依托于網絡邊界的(de)安全ε♥産品無法正常發揮作(zuò)用(yòngβ‌✔)。加之許多(duō)物(wù)聯網設備都(dōu)部署☆ ←©在無人(rén)監控場(chǎng)景中，攻擊者更容易對(du​ ∏ì)其實施攻擊。

(二)“管”--網絡層×∏結構複雜(zá)通(tōng)信協議(yì)安全性差→™™

       物(wù¥♥©)聯網網絡采用(yòng)多(duō)種異構網絡，通(tōng)信傳輸模£₽®型相(xiàng)比互聯網更為(wèi)複雜(zá)，算•$¥(suàn)法破解、協議(yì)破解、中間(j≠♥←→iān)人(rén)攻擊等諸多(duō)攻擊方式‌←¶<以及Key、協議(yì)、核心算(suàn)法、證書β>®(shū)等暴力破解情況時(shí)有(yǒuφ¥∏ )發生(shēng)。物(wù)聯網數(shù)據傳輸管道(♠ dào)自(zì)身(shēn)與傳輸流量內(nèi)容安全問(wèn)•₹題也(yě)不(bù)容忽視(shì)。®₽≠★目前已經有(yǒu)黑(hēi)客通(tōng)過分(fēn)析≈£λ、破解智能(néng)平衡車(chē)、無♠σ$人(rén)機(jī)等物(wù)聯網設備的(de)通(tōng)信傳輸協議("‌₽±yì)，實現(xiàn)對(duì)物(wù)聯網終端的(∏∑de)入侵、劫持。在一(yī)些(xiē)特殊物(wù)聯網環境裡(lǐ)，傳↓±¥α輸的(de)信息數(shù)據僅采用(yòn§ g)簡單加密甚至明(míng)文(wén)傳輸， ™≠↑黑(hēi)客通(tōng)過破解通(tōng)∑≥✔信傳輸協議(yì)，即可(kě)讀(dú)取傳輸的(de)數(↑ ¶shù)據，并進行(xíng)篡改、屏蔽♣←£©等操作(zuò)。

(三)“雲”--平台層安全風(fēng)險危及整個(★✘'&gè)網絡生(shēng)态

        物(wù)聯網應用(π↑yòng)通(tōng)常是(shì)将智×♠σλ能(néng)設備通(tōng)過網絡連接到(×>α₽dào)雲端，然後借助App與雲端進行(xíng)信  息交互，從(cóng)而實現(xiàn)對(duì)設備的(de)​≥遠(yuǎn)程管理(lǐ)。雲平台能(néng)夠對(duì)物(wù¶€)聯網終端所收集的(de)數(shù)據信息進行δ•÷(xíng)分(fēn)析與管理(lǐ)，以及對(duì)βελ網絡的(de)安全管理(lǐ)，如(rú)對(duì)設備終α®端的(de)認證，對(duì)攻擊的(de₽£)應急響應和(hé)監測預警，以及對(duì)數(shù)據信息的 ≤∏✔(de)保護和(hé)安全利用(yòng)等。物(wù)聯網平台未來(lá±↕✘​i)多(duō)承載在雲端，目前雲安全技(jì)術(shù)水(shuǐπ™β )平已經日(rì)趨成熟，而更多(duō≥♥)的(de)安全威脅往往來(lái)自(zì)內(nèi)↑≥≠♠部管理(lǐ)或外(wài)部滲透。如(rú)果企業(yè ©™)內(nèi)部管理(lǐ)機(jī)制(zhì)不(bù₹™↕)完善、系統安全防護不(bù)配套，那(nà)一(yī)個(gè)小(xiǎo‌↑>★)小(xiǎo)的(de)邏輯漏洞就(jiù)可(kě)能(néng)讓♣∑×平台或整個(gè)生(shēng)态徹底淪陷。而外(wài)部σ§₽利用(yòng)社會(huì)工(gōng)程學的(de)非傳統網絡攻擊€ ✔>始終存在，一(yī)旦系統成為(wèi)目标，那(nà$✔≈π)麽再完善的(de)防護措施都(dōu)有(≤±♦yǒu)可(kě)能(néng)由外(w§αài)至內(nèi)功虧一(yī)篑。

三、影(yǐng)響物(wù)聯網行(xíng)業(yè)安全的(de)主要¶™∑(yào)因素

        多•₹♠α(duō)方面的(de)因素導緻了(le)物(wù)聯網已經逐步"★σ♠成為(wèi)網絡信息安全“重災區(qū)&r$•₩dquo;，其中既有(yǒu)物(wù)←><聯網技(jì)術(shù)本身(shēn)技(jì)術(shù∑♦α)特點逐步累積形成的(de)特性，也(yě)有(yǒu)新興行(xíng)業ε>δ≠(yè)在高(gāo)速發展過程中存在的(de)通(tōn₩α™g)病。

一(yī)是(shì)産業(yè)結構複雜(zá)。

        物(wù)聯網在發展過程中逐漸形成了(le)較為(wèi)完整的(de' ‌)生(shēng)态體(tǐ)系，但(dàn)在三層架構的(de∏δ¶)基礎上(shàng)更涉及了(le)衆多(d♥✘÷€uō)産業(yè) 鏈環節，導緻參與角色衆多(duō)、結構複雜(zá)♠♦↕&。從(cóng)終端層的(de)硬件(jiàn)芯"÷<☆片、傳感器(qì)、無線模組，到(dào)網絡層各通(tōng)信運營商，再​§♣到(dào)平台應用(yòng)層的(de)軟件(jiàn)開(kāi)發↑≈、系統集成、平台服務，這(zhè)其中各個(¥£gè)環節都(dōu)在整個(gè)産業(yè)鏈中不→✘(bù)可(kě)或缺。這(zhè)就(∏♥'jiù)需要(yào)各個(gè)環節緊密配合、統一(yī)認識才能(né☆±ng)确保不(bù)出現(xiàn)大(© ¶σdà)的(de)安全問(wèn)題。

二是(shì)安全意識淡薄。

        ✘&Gartner發布的(de)數(shù)據顯示，到(dào)2020年←σ(nián)，全球物(wù)聯網市(shì)場(chǎng)規模将達1.≥←↑¥9萬億美(měi)元。而在産業(yè)高(gāo)速發展、規模急劇(jù)擴張♥>♣×的(de)背後，是(shì)物(wù)聯網廠(chǎng)商安全意識淡薄，安→♠ ≥全投入不(bù)足的(de)現(xiàn)狀。一(yī)方面，物(wù)∞‌♣聯網設備數(shù)量龐大(dà)、價格低(dī)廉，很♠↕γβ(hěn)多(duō)廠(chǎng)商為(wèi)壓縮成本對(duì)安₩♦全投入嚴重不(bù)足。Gartner預測，§λ2018年(nián)全球物(wù)聯網安全支出将達αε₽ 到(dào)15億美(měi)元，年(niá•≠σ↓n)增長(cháng)率保持在27%左右，這(zhè)跟市(shì)場(ch​‌"‍ǎng)規模相(xiàng)比甚至不(bù)足1&permi©Ω↕↓l;，差距較大(dà)。另一(yī)方面，多(d©π∑×uō)數(shù)物(wù)聯網設備和(hé)硬件(jiàn)制(zh÷¶★ì)造商無法像互聯網企業(yè)一(yī)樣重視(shì)安全，缺乏ε™安全意識和(hé)人(rén)才儲備。A∏∞÷✔T&T對(duì)全球5000多(©♥©☆duō)家(jiā)企業(yè)調查發現(xiàn)，85%的(de)企業₩α÷®(yè)正在或打算(suàn)部署物(wù≠¶$)聯網設備，而僅10%企業(yè)表示有(yǒu)↔  λ信心保護設備免受黑(hēi)客攻擊。

三是(shì)監管政策及标準體(tǐ)系匮乏。

      &nb¶≈sp; 2013年(nián)國(guó)務院在《關于推進物(wù) λ聯網有(yǒu)序健康發展的(de)指導意見(♦φjiàn)》中提出“要(yào)加強物(wù)♠✘"聯網重大(dà)系統和(hé)應用(yòng)的(de)安→> 全測評、風(fēng)險評估和(hé)安全防護工(gōng)作(≥‍φλzuò)，保障物(wù)聯網重大(dà)基礎設施、重要(yào)業♦ ×✘(yè)務系統和(hé)重點領域應用(yòng)的(de)安全可 ≠•¶(kě)控”，但(dàn)目前尚未進入實質性階段，相(xiàng₹$)關政策法規有(yǒu)待落地(dì)。在安全π•γ标準體(tǐ)系建設方面，雖然行(xíng)業(y耱)內(nèi)已有(yǒu)多(duō)個(gè)物(wù)聯網組織在推進物"≈(wù)聯網标準體(tǐ)系建設，但(dàn)由于物(wù)聯網 ÷₽技(jì)術(shù)更新快(kuài)、應•ε用(yòng)場(chǎng)景豐富，導緻物(wù)聯★ ↔網标準體(tǐ)系建設步伐滞後于物(wù)聯網發展，且缺乏完善‍α的(de)安全标準體(tǐ)系和(hé)成熟的(de)安全解決方案。

四、關于進一(yī)步加強物(wù)聯網網絡信息安全的(de)對(duì)β"策建議(yì)

        物(wù)€δ聯網發展已經進入快(kuài)車(chē)道(dào)，規模化(h≥γ∞ uà)應用(yòng)部署也(yě)在提速，物(wù)聯網安全若♣α沒有(yǒu)配套措施手段将無法跟上(shàng)其發展步®§伐。建議(yì)我國(guó)在物(wù)聯網安全政策、 ‍标準、應用(yòng)和(hé)人(rén)員(yuán)培∑"¶訓等方面進一(yī)步推進，加大(dà)安全監管 •✘力度，引導和(hé)促進整個(gè)産業(yè)對(π£π≤duì)于安全問(wèn)題的(de)關注，提高(gāo)從φΩ¥&(cóng)業(yè)人(rén)員(yu$∏ án)和(hé)用(yòng)戶對(duì)于安全風(fēng) $♥ 險的(de)重視(shì)，保障物(wù)聯網産業(y↕ ←è)持續健康發展。

       £<β; 在監管層面，加強監管落實，推動物(wù)聯網領域的(de)安全标準制✘™(zhì)訂。建議(yì)加強整體(tǐ)行(xín→₽ g)業(yè)安全管理(lǐ)，建立安全性合規性檢測機≈∏©γ(jī)制(zhì)，提高(gāo)行(xíng)業(yè)準β×♦∑入門(mén)檻，約束發展亂象，從(cóng)安全框±φ™架體(tǐ)系、安全測評、風(fēng)險評估、安全£≤≠♦防範、安全處置方案等方面推動标準規範制(zhì)訂和(hé)落地(dì)。

       ®α©; 在産業(yè)層面，推動構建物(wù)聯網全生(∑✘shēng)命周期立體(tǐ)防禦體(tǐ)系。在硬件(jiàn)、÷<©©操作(zuò)系統、通(tōng)信技(jì)術(shù)、雲端服務器(q¥↓ì)、數(shù)據庫等各個(gè)模塊之間(jiān)做(zuò)好(hǎ§÷o)統一(yī)的(de)安全體(tǐ)系建設，從(cóng)開(‍ ​kāi)發到(dào)制(zhì)造、集成，把安全設計(jì)融入γ✘到(dào)物(wù)聯網産品生(shēng)命周期每個(gè)步驟，從(c ±↑óng)芯片到(dào)硬件(jiàn)、軟件(jiàn)、系統，将安全防₽‍₽↔護作(zuò)為(wèi)物(wù)聯網每個(gè)環節必要(♥π<yào)的(de)配套手段，推動整個(gè)産業€¶(yè)對(duì)安全需求從(cóng)被動轉為(wèi)主動，讓安全♠ 緊跟産業(yè)發展步伐。

        π®在技(jì)術(shù)層面，加快(kuài)物(wù)聯網安全技(jì)φ♦&≥術(shù)發展及防範技(jì)術(shù)研究。建議(yì↓ ¶×)設備廠(chǎng)商、研究機(jī)構等加大↑÷✔(dà)對(duì)物(wù)聯網軟硬件(÷•>jiàn)、操作(zuò)系統、通(tōng)信協議(yì)、雲∑>φ∏平台等方面的(de)安全技(jì)術(s ↓hù)的(de)關注力度，研發有(yǒu)₩∞效的(de)安全威脅監測發現(xiàn)技(jì)術(shù)和(hé)→±‌安全防護技(jì)術(shù)，團結行(xínΩ•βg)業(yè)力量打造物(wù)聯網安全生(shēng)态。

        在γ€宣傳層面，普及信息安全知(zhī)識，提高(gāo)€☆Ω 安全意識。建議(yì)企業(yè)樹(shù♣α☆)立正确的(de)發展觀念，同步重視(shì)網絡信息安全，同時(shí&≤£)對(duì)物(wù)聯網從(cóng)業(yè)人(rén)員(yuán'↑)進行(xíng)安全知(zhī)識普及和(hé)"¶&技(jì)術(shù)培訓，提高(gāo)從(cóng)業∞Ω×₹(yè)人(rén)員(yuán)的(de)安全意☆✔識和(hé)知(zhī)識技(jì)能(néng)。此外(wài)，建議(₹∞$βyì)提高(gāo)用(yòng)戶網絡信息安β₹£全意識，在挑選使用(yòng)物(wù)聯網産↔¥↓ 品的(de)同時(shí)注重安全防範。