近年來,隨著物聯網的迅猛發展和產業規模不斷增大,其安全問題也逐步引起人們的重視。保證物聯網的安全可靠、“用著放心”是推動未來物聯網大規模應用和發展的重要保證。
在現代信息技術快速演進過程中,對安全問題的研究和解決未能很好地同步快速推進,存在一定的滯后問題。從依托物聯網技術和智能家電、智能水表和“水聯網”、智能氣表和“氣聯網”、智能電表和“電聯網”等的智能家居,到依托傳感網絡和物聯網技術的要地監控和防護、危險品運輸和追蹤、工業控制和流程管理等智能系統,從“車聯網”和智能交通、智能醫療和智慧養老、各種各樣的智能應用和系統等,到工業物聯網、農業物聯網以及依托物聯網和大數據等最新技術正在建設的智慧城市,在實現萬物互聯宏大目標的過程中,均潛在安全問題。所謂“更大的網絡意味著更大的潛在威脅”、“工廠、汽車原本不是網絡攻擊、網絡威脅的地方和對象,而現在是了”等,指的就是這意思。這當中涉及技術、應用、信息、數據等諸多方面問題,必須加以解決,以便更好地促進物聯網技術、產品、系統的應用和發展。
物聯網產品和設備的多樣化、急劇化發展,極大地增加了被攻擊的可能性。HP公司最近的一份安全研究報告指出,在具有聯網功能的智能家電和消費類設備中,存在數量驚人的漏洞,涉及未加密的數據傳輸、不安全的Web界面、使用授權、軟件防護、用戶隱私保護等諸多問題。導致這些問題的原因主要有兩個:一是新設備、新產品急著搶占市場,對安全問題考慮不夠、存在不少局限性或者安全設計不夠健壯和完備;二是舊有的嵌入式系統在最初的開發設計過程中未對安全控制問題有足夠考慮,因為這些舊的系統之前都是與網絡隔離的,采取的是傳統的安全保障措施。
隨著各種工業控制系統以及民用、家居系統日益網絡化、可遠程管理、智能化,傳統的、基本依托“物理”隔離方式實現安全保護的措施,在互聯網、物聯網時代已顯嚴重不足,必須更新安全理念、改進安全模型,尤其對原非IT的、逐步部署應用物聯網技術和產品的眾多傳統領域和系統,更應引起高度重視,必須補齊、補足有關物聯網系統和應用的安全標準和安全措施。工業互聯網聯盟、Thread、AllJoyn、開放互聯聯盟等國際組織和協會已意識到這一問題,正在積極推進新的安全模型構建和安全標準制定等工作。
在部署應用物聯網技術、產品和設備方面,至少應實施以下安全實踐:提高全員的安全風險意識,確定良好的安全控制基線,踐行安全的系統開發原則;提供良好的數據保護,不論是對靜止的數據還是傳輸過程中的數據,均應加以保護,尤其對涉及用戶身份和隱私的信息,更應采取嚴格的防護機制;加密是保證物聯網安全的關鍵,當數據遍歷于設備與設備之間、設備與移動應用之間、移動應用與移動應用之間或者設備與云之間等時,必須采取適當的加密措施;適時、定期對物聯網中的技術、產品和設備等開展安全評估,及時發現并彌補可能存在的安全風險與漏洞,對關鍵、要害、涉及危險物品或有生命之虞的物聯網系統和應用,必須要有主動的而非被動的安全預案、補丁和冗余策略等。
就物聯網系統層次和結構而言,在分析研究物聯網安全問題時,必須綜合、全面地考慮感知層、網絡層、應用層等各層面上可能遭受的攻擊情形和安全威脅,并考慮相應的安全防護措施。例如,物聯網的感知層可能遭受物理攻擊、傳感器被替換、傳感節點被假冒、物聯網中傳輸的數據或信令被攔截、篡改、偽造、重放等威脅;網絡層可能遭受拒絕服務攻擊、假冒基站攻擊、基礎密鑰泄露、敏感信息泄露等威脅;應用層可能遭受虛假終端觸發等威脅。以車聯網為例,攻擊者可能將車載終端非法挪裝至其它車輛,上報虛假的位置信息;攻擊者可能通過中斷電源、屏蔽網絡信號等手段惡意造成終端脫網,使車聯網監控中心無法實施監控;攻擊者可能通過遠程配置、木馬或病毒等手段篡改車載終端配置參數等。
總之,面對物聯網的發展,技術、應用和管理部門與人員的安全意識需進一步提高,物聯網安全技術的研發工作必須同步跟上,并切實得到應用,從而促進未來物聯網的安全、快速發展。
京公網安備 11010502049343號