物聯(lián)網(wǎng)連接的還是互聯(lián)網(wǎng),但是連接的設(shè)備發(fā)生了變化,各種穿戴設(shè)備、家電甚至汽車都可以連接互聯(lián)網(wǎng)。物聯(lián)網(wǎng)使得萬物互聯(lián),眾多生活中離不開的“物”都連接到了互聯(lián)網(wǎng)。對絕大多數(shù)人來說,互聯(lián)網(wǎng)的安全風(fēng)險最多只是錢的損失,而物聯(lián)網(wǎng)的安全風(fēng)險遠(yuǎn)超于此,你身邊的“物”隨時可能變成定時炸彈。

物聯(lián)網(wǎng)影響人們生活的方方面面,物聯(lián)網(wǎng)安全問題直接關(guān)系到人們的吃穿住行。物聯(lián)網(wǎng)安全問題涉及到很多專業(yè)知識,普通用戶絕大部分都不懂,所以物聯(lián)網(wǎng)安全問題的解決,很難寄希望于靠提升用戶的防范意識和重視程度,更多要靠相關(guān)智能硬件設(shè)備廠商建立充分的安全防范意識。同時,國家對于物聯(lián)網(wǎng)應(yīng)當(dāng)制定一些具體的安全標(biāo)準(zhǔn)　　

物聯(lián)網(wǎng),最近頻頻出現(xiàn)在公眾視野。

物聯(lián)網(wǎng),這一曾經(jīng)比較陌生的概念,隨著技術(shù)發(fā)展,有了更簡單的理解——將各種物理設(shè)備與互聯(lián)網(wǎng)連接,成為網(wǎng)絡(luò)的一個終端,這個設(shè)備可能是你的電腦攝像頭,也可能是你的路由器,還有可能是心臟病患者的起搏器。

近日,2016物聯(lián)網(wǎng)開發(fā)者大會在北京舉行。在此前不久,普華永道也發(fā)布了《2017年全球信息安全狀況調(diào)查報告》,這份報告稱,隨著物聯(lián)網(wǎng)的快速發(fā)展、對物聯(lián)網(wǎng)產(chǎn)品安全意識的缺失,導(dǎo)致消費者技術(shù),包括網(wǎng)絡(luò)攝像頭、家庭自動化,成為極易受到攻擊的對象。

根據(jù)業(yè)內(nèi)人士的分析,物聯(lián)網(wǎng)在給人們帶來全新智能體驗、新型生活方式的同時,也面臨著越來越多的安全風(fēng)險。如何放心使用物聯(lián)網(wǎng)?《法制日報》記者采訪了業(yè)內(nèi)專家。

多個層面存在安全隱患

目前,物聯(lián)網(wǎng)安全形勢究竟如何?

近日,360董事長周鴻祎在接受媒體采訪時稱,“今年最關(guān)心的是互聯(lián)網(wǎng)安全問題。IOT(物聯(lián)網(wǎng))會是下一個風(fēng)口,但從互聯(lián)網(wǎng)到IOT時代,網(wǎng)絡(luò)安全形勢將更加嚴(yán)峻”。

“物聯(lián)網(wǎng)有很多層次。之所以稱為物聯(lián)網(wǎng),就是因為能把物理設(shè)備與互聯(lián)網(wǎng)相連接。比如說感知器械。由于很多感知器械很容易被控制,所以對其在安全方面的要求比較多也比較重要。這是物聯(lián)網(wǎng)安全最為顯性的一個方面。除此之外,因為物聯(lián)網(wǎng)的設(shè)備比較多,還面臨認(rèn)證問題。現(xiàn)在的物聯(lián)網(wǎng)投入應(yīng)用后,設(shè)備特別多、數(shù)量特別大,導(dǎo)致管理起來比較困難,尤其是在身份認(rèn)證等方面。物聯(lián)網(wǎng)分為很多層次,涉及到感知層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層,還有管理層。我們通常提到物聯(lián)網(wǎng),主要是在感知層談得比較多,因為這是物聯(lián)網(wǎng)的特色。但是,物聯(lián)網(wǎng)還有其他層次,比如說把信息感知到網(wǎng)絡(luò)當(dāng)中,還要傳輸、處理,之后還要應(yīng)用。”中國科學(xué)院信息工程研究所信息安全國家重點實驗室主任林東岱說,感知層獲取數(shù)據(jù)、網(wǎng)絡(luò)層傳輸數(shù)據(jù)、應(yīng)用層或服務(wù)層使用數(shù)據(jù)。

阿里云安全專家易鑫告訴記者,從物聯(lián)網(wǎng)的一般架構(gòu)來看,物聯(lián)網(wǎng)的安全會涉及到物聯(lián)網(wǎng)架構(gòu)的每個層面,包括設(shè)備端、網(wǎng)絡(luò)通訊、服務(wù)端應(yīng)用和移動APP。

據(jù)易鑫介紹,設(shè)備端的安全問題包括,設(shè)備暴露硬件調(diào)試接口,可以被“黑客”利用了解設(shè)備運(yùn)行機(jī)制和更新固件；固件中固化存儲密碼、密鑰等敏感信息,導(dǎo)致設(shè)備可能被遠(yuǎn)程控制；固件升級更新機(jī)制實現(xiàn)不安全,可能被劫持和升級惡意固件；固件中保留的調(diào)試命令接口,導(dǎo)致設(shè)備可以被遠(yuǎn)程訪問和調(diào)試。網(wǎng)絡(luò)通訊層面也有安全隱患。如設(shè)備和云端以及移動應(yīng)用端通信傳輸時,控制命令和采集的數(shù)據(jù)沒有加密,攻擊者通過監(jiān)聽獲取敏感數(shù)據(jù)甚至劫持控制設(shè)備端；設(shè)備沒有在整個通信會話過程使用驗證憑據(jù)或者唯一標(biāo)識符,允許攻擊者未授權(quán)訪問；存在重放攻擊,設(shè)備沒有重放保護(hù),允許攻擊者重用之前截獲的消息,實現(xiàn)未授權(quán)訪問以及執(zhí)行惡意操作。

“服務(wù)端應(yīng)用存在的安全問題主要有,云端服務(wù)網(wǎng)絡(luò)層可能被DDoS攻擊,導(dǎo)致物聯(lián)網(wǎng)服務(wù)不可用；云端服務(wù)應(yīng)用層可能存在漏洞,導(dǎo)致被‘黑客’入侵,威脅業(yè)務(wù)數(shù)據(jù)安全。”易鑫說,除此之外,移動APP也可能有安全問題,如APP本身沒有進(jìn)行加固,導(dǎo)致APP可以被逆向查看源代碼,從而使得APP的業(yè)務(wù)邏輯暴露；APP中可能存儲加密密鑰,被逆向后結(jié)合源代碼可以直接修改和偽造控制指令或數(shù)據(jù),導(dǎo)致設(shè)備和服務(wù)端被攻擊；APP在手機(jī)本地存儲和遺留了敏感信息,可能被手機(jī)上的其他惡意程序所利用。

在物聯(lián)網(wǎng)可能面臨的網(wǎng)絡(luò)攻擊中,DDoS攻擊即分布式拒絕服務(wù)攻擊,百度百科將其形容為,“一群惡霸試圖讓對面那家有著競爭關(guān)系的商鋪無法正常營業(yè),他們會采取什么手段呢?惡霸們扮作普通客戶一直擁擠在對手的商鋪,賴著不走,真正的購物者卻無法進(jìn)入；或者總是和營業(yè)員有一搭沒一搭的東扯西扯,讓工作人員不能正常服務(wù)客戶；也可以為商鋪的經(jīng)營者提供虛假信息,商鋪的上上下下忙成一團(tuán)之后卻發(fā)現(xiàn)都是一場空,最終跑了真正的大客戶,損失慘重”。

物聯(lián)網(wǎng)安全事關(guān)重大

如果物聯(lián)網(wǎng)安全問題解決不好,會造成怎樣的影響呢?

“據(jù)估算,目前在互聯(lián)網(wǎng)上存在安全問題的攝像頭、家用路由器等設(shè)備可能有數(shù)百萬,且未修改默認(rèn)密碼并且可以遠(yuǎn)程訪問。這些設(shè)備被‘黑客’遠(yuǎn)程植入‘后門’后,就可以被控制進(jìn)而發(fā)起海量DDoS攻擊,足以對全球任何一個國家和企業(yè)的互聯(lián)網(wǎng)應(yīng)用造成癱瘓。最近發(fā)生在美國和德國的斷網(wǎng)事件,其根本原因就在于此。”易鑫說。

據(jù)相關(guān)媒體報道,今年10月21日,一起“黑客”攻擊事件震驚全美。一時間,美國東海岸從波士頓到紐約、費城、華盛頓出現(xiàn)大面積互聯(lián)網(wǎng)斷網(wǎng),推特、亞馬遜、華爾街日報等數(shù)百個重要網(wǎng)站無法訪問,美國主要公共服務(wù)、社交平臺、民眾網(wǎng)絡(luò)服務(wù)陷入癱瘓。事后追查原因時發(fā)現(xiàn),“黑客”入侵、控制了全世界十多萬臺攝像頭等智能硬件設(shè)備,組成了Mirai僵尸網(wǎng)絡(luò),對美國互聯(lián)網(wǎng)域名解析服務(wù)商Dyn公司進(jìn)行攻擊,堵塞了網(wǎng)民正常瀏覽網(wǎng)頁的請求,進(jìn)而造成了網(wǎng)站的癱瘓。媒體將此次事件形容為“史上最嚴(yán)重DDoS攻擊”,不僅規(guī)模驚人,而且對人們生活產(chǎn)生了嚴(yán)重影響。

另據(jù)相關(guān)媒體報道,美國斷網(wǎng)事件余波未平,德國再次遭遇斷網(wǎng)事件。

“攝像頭、路由器只是海量物聯(lián)網(wǎng)設(shè)備很少的一部分,而DDoS攻擊也只是物聯(lián)網(wǎng)安全的冰山一角。2013年,新西蘭的安全研究人員巴納比·杰克曝光了一項‘黑客’絕技,在9米之外入侵植入式心臟起搏器等無線醫(yī)療裝置,然后向其發(fā)出一系列830V高壓電擊,從而令‘遙控殺人’成為現(xiàn)實；2015年美國黑帽大會上,兩名安全研究人員成功演示了他們可以不需要任何物理連接,遠(yuǎn)程‘黑’掉一輛正在行駛的切諾基Jeep,操控了方向盤、剎車、發(fā)動機(jī)、汽車信號、擋風(fēng)玻璃雨刷。更可怕的是,任何一輛連入網(wǎng)絡(luò)的切諾基Jeep都可以被‘黑’掉。”易鑫說。

“如果硬件被別人攻破了,很多安全措施就會失效,最直接的后果就是導(dǎo)致認(rèn)證失效。舉個例子,比如我們做一個監(jiān)控攝像頭,如果沒有認(rèn)證好的話,監(jiān)控到的東西可能不是我們想要的。還有,我們在采集數(shù)據(jù)時,如果設(shè)備被別人控制,采集到的數(shù)據(jù)就不準(zhǔn)確。物聯(lián)網(wǎng)的一個很大特點就是感知世界,從世界中采集數(shù)據(jù)。要確保采集的數(shù)據(jù)真實,設(shè)備的身份就必須真實,如果設(shè)備的身份不真實,就無所謂來源了,真實性就會受到侵害。總體來看,物聯(lián)網(wǎng)安全漏洞產(chǎn)生的危害主要包括:身份認(rèn)證問題、數(shù)據(jù)真實性問題、隱私保護(hù)問題。”林東岱說。

“在未來,隨著更多的設(shè)備連網(wǎng),如果不重視安全,越來越多的‘物’都可能危及人身安全。”易鑫說。

物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)待出臺

近年來,隨著信息技術(shù)的發(fā)展,物聯(lián)網(wǎng)安全問題愈發(fā)突出。

“物聯(lián)網(wǎng)正在以飛快的速度改變這個世界,據(jù)研究機(jī)構(gòu)JuniperResearch預(yù)計,2020年物聯(lián)網(wǎng)設(shè)備將達(dá)385億個,比2015年的134億個猛增285%,萬物互聯(lián)的世界正在一步步變成現(xiàn)實。與此同時,越來越多的安全‘白帽子’開始關(guān)注和研究物聯(lián)網(wǎng),但產(chǎn)業(yè)界對安全的投入和重視力度,以及物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的制定還是遠(yuǎn)遠(yuǎn)滯后,絕大部分物聯(lián)網(wǎng)設(shè)備和系統(tǒng)在安全上考慮很少。地下‘黑客’也逐漸看到了物聯(lián)網(wǎng)蘊(yùn)含的巨大破壞力量,最終引發(fā)了近期的美國和德國斷網(wǎng)事件。”易鑫說。

“白帽子”,按照百度百科的解釋,描述的是正面的“黑客”,他可以識別計算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但并不會惡意去利用,而是向社會公布漏洞。

應(yīng)對物聯(lián)網(wǎng)安全問題,要納入網(wǎng)絡(luò)安全總體框架予以考慮。

“從本質(zhì)上說,物聯(lián)網(wǎng)連接的還是互聯(lián)網(wǎng),但是連接的設(shè)備發(fā)生了變化。以前互聯(lián)網(wǎng)連接的是電腦,后來有了手機(jī),現(xiàn)在是各種穿戴設(shè)備、家電甚至還有汽車等。物聯(lián)網(wǎng)使得萬物互聯(lián),眾多生活中離不開的‘物’都連接到了互聯(lián)網(wǎng)。對絕大多數(shù)人來說,互聯(lián)網(wǎng)的安全風(fēng)險最多在于錢的損失,而物聯(lián)網(wǎng)的安全風(fēng)險遠(yuǎn)超于此,你身邊的‘物’隨時可能變成定時炸彈。”易鑫說,“在不久的將來,我們每一個人可能都會面臨一個抉擇,我到底要不要選擇將這個設(shè)備聯(lián)網(wǎng)?聯(lián)網(wǎng)帶來的可能是智能和便捷,而與此同時,安全和風(fēng)險也如影隨形。”

“原來主要提網(wǎng)絡(luò)安全,后來因為更多的‘物’接入到網(wǎng)絡(luò)當(dāng)中,就相當(dāng)于物理世界和網(wǎng)絡(luò)世界結(jié)合得比較緊密,與此同時,網(wǎng)絡(luò)世界中的安全問題也直接反映到物理世界中去了。隨著接入的‘物’越來越多,網(wǎng)絡(luò)安全問題對物理世界的影響會越來越大。由于網(wǎng)絡(luò)世界而導(dǎo)致物理世界產(chǎn)生的問題,就成為物聯(lián)網(wǎng)的安全問題,直接影響現(xiàn)實世界的安全,所以越來越受到關(guān)注。”林東岱說。

IT律師趙占領(lǐng)認(rèn)為,物聯(lián)網(wǎng)影響人們生活的方方面面,物聯(lián)網(wǎng)安全問題直接關(guān)系到人們的吃穿住行。物聯(lián)網(wǎng)安全問題涉及到很多專業(yè)知識,普通用戶絕大部分都不懂,所以物聯(lián)網(wǎng)安全問題的解決,很難寄希望于靠提升用戶的防范意識和重視程度,更多要靠相關(guān)智能硬件設(shè)備廠商建立充分的安全防范意識。同時,國家對于物聯(lián)網(wǎng)應(yīng)當(dāng)制定一些具體的安全標(biāo)準(zhǔn)。

“在推動物聯(lián)網(wǎng)發(fā)展的同時要確保安全。一方面是與物聯(lián)網(wǎng)相關(guān)的企業(yè),要充分重視安全問題,加大人力、財力和技術(shù)的投入；另一方面,從政府層面來說,不僅是物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)需要完善與細(xì)化,也要強(qiáng)化對物聯(lián)網(wǎng)企業(yè)在安全問題上的監(jiān)管。”趙占領(lǐng)說。

易鑫認(rèn)為,物聯(lián)網(wǎng)安全需要全社會和全行業(yè)一起重視。“國家有關(guān)部門應(yīng)該加速制定和出臺相關(guān)物聯(lián)網(wǎng)相關(guān)的安全標(biāo)準(zhǔn),鼓勵并強(qiáng)制落地；對于物聯(lián)網(wǎng)產(chǎn)業(yè)上游的開發(fā)和制造廠商,一定要把安全放在與業(yè)務(wù)同等的地位來規(guī)劃和設(shè)計,從物聯(lián)網(wǎng)的整體架構(gòu)上考慮系統(tǒng)的安全性；企業(yè)和個人消費者在選用物聯(lián)網(wǎng)方案和硬件時,應(yīng)該盡量考慮方案是否提供相對可靠的安全手段,同時應(yīng)當(dāng)認(rèn)同和接受安全所帶來的成本提升。對于一些較為敏感的領(lǐng)域,比如在國家關(guān)鍵基礎(chǔ)設(shè)施、重要工業(yè)環(huán)境和其他關(guān)鍵應(yīng)用領(lǐng)域,應(yīng)當(dāng)充分考慮和評估聯(lián)網(wǎng)范圍和隔離措施”。