第七章 物联网安全
全球物联网正处于飞速发展阶段,已经在多个领域取得了显著成果,从技术积累到产业实践均展现了广阔的应用前景。但是,物联网在发展过程中也暴露出了各种安全问题。服务端、终端及通信网等物联网应用模型各主要环节,仍然存在网络安全管理和检测工作不规范、传统的安全防护技术不能适应网络安全新形势、尚未建立起有效的安全防护防御体系和安全生态等诸多问题,对国家关键信息基础设施建设安全、企业生产业务安全和用户个人隐私安全等方面造成严重影响。如2018年1月,英特尔公司遭遇史诗级CPU芯片漏洞Meltdown(幽灵)和Spectre(熔断)的冲击,该漏洞影响了全球所有桌面系统、电脑、智能手机及云计算服务器;6月,网络安全初创公司Armis披露,一种名为DNS重新绑定的古老网络攻击的出现,导致全球企业有近5亿个物联网设备容易遭受网络安全攻击;8月,大批医疗器械企业,包括美敦力、GE、雅培等,因其存在安全漏洞,极易遭受黑客攻击,从而危及用户身体健康乃至生命,故被国家药监局发布主动召回;9月,比利时KU Leuven大学研究人员发现,特斯拉、迈凯伦等汽车采用的Pektron遥控钥匙系统存在安全缺陷,使得利用无线电和树莓派等设备可在2秒内盗走汽车;10月,亚马逊修复了物联网操作系统FreeRTOS及AWS连接模块的13个安全漏洞,该漏洞可能导致入侵者破坏设备,泄露内存中的内容和远程运行代码,让攻击者获得设备完全的控制权;11月,黑客利用全球数十万台打印机的开放式网络端口,用时不到30分钟,成功控制了5万台打印机,访问其内部网络并控制其打印功能。物联网设备已被广泛应用于各个领域,一旦发生安全事故,影响将会是巨大的、不可控的,比如2016年Mirar僵尸网络通过控制大量的物联网设备对美国域名解析服务提供商Dyn公司发动DDoS攻击,造成美国东部大面积断网,这个重大事件给全世界的物联网安全敲响了警钟,因此,全面加强物联网安全防护势在必行。
近年来,我国对物联网安全的重视程度日渐提高,在顶层设计方面,国务院及各部委均出台了相关文件推进物联网行业的健康有序发展;在安全技术方面,我国科研人员除在传统的网络防火墙技术、加密技术、密钥管理和认证技术方面不断加强了研究外,在物联网、区块链、人工智能的新兴融合技术方面也展开了研究;在标准制定方面,全国信息安全标准化技术委员会归口的27项国家标准正式发布,其中有5项标准涉及物联网安全,标志着我国物联网安全政策法规的逐步健全。但不可否认的是,在我国物联网安全取得显著成效的同时,也面临着诸多挑战,如关键核心技术基础薄弱,高端产品研发能力不强;产业链薄弱,与行业融合不足;产业领域、区域发展不平衡;数据隐私和物联网安全问题突出等。
我国下一步仍需健全完善物联网安全标准体系,加快推动相关技术标准落地实施,并配合物联网安全新技术研究和应用,进一步促进物联网产业健康良性发展。同时,从规范行业安全管理、制定行业安全检测标准、构建新型有效的安全防护体系、探索和研究新技术新应用等多个维度着手。在技术方面,国内安全企业还要在物联网安全技术的不同层面进行技术攻克,加快探索物联网安全新技术新应用,满足不断发展的物联网安全防护新需求。
第一节 概述
一、相关概念
(一)物联网
物联网是新一代信息技术的重要组成部分,也是“信息化”时代的重要发展阶段。其英文名称是:Internet of things(IoT)。顾名思义,物联网就是物物相连的互联网。这有两层意思:其一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;其二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信,也就是物物相息。国际电信联盟(ITU)发布的ITU互联网报告,对物联网做了如下定义:通过二维码识读设备、射频识别(RFID)装置、红外感应器、全球定位系统和激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网相连接,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网主要解决物品与物品(Thing to Thing,T2T),人与物品(Human to Thing,H2T),人与人(Humanto Human,H2H)之间的互联。但是与传统互联网不同的是,人与物品(H2T)是指人利用通用装置与物品之间的连接,从而使得物品连接更加简化,而人与人(H2H)是指人之间不依赖于PC而进行的互连。物联网是互联网的延伸,它包括互联网及互联网上所有的资源,兼容互联网所有的应用,但物联网中所有的元素(所有的设备、资源及通信等)都是个性化和私有化。物联网包含以下技术架构、重要技术和相关概念。
1.物联网技术架构
从技术架构上来看,物联网可分为三层:感知层、网络层和应用层。
感知层由各种传感器及传感器网关构成,包括二氧化碳浓度传感器、温度传感器、湿度传感器、二维码标签、RFID标签和读写器、摄像头、GPS等感知终端。感知层的作用相当于人的眼耳鼻喉和皮肤等神经末梢,它是物联网识别物体、采集信息的来源,其主要功能是识别物体,采集信息。传感器网络组网和协同信息处理技术实现传感器、RFID等数据采集技术所获取数据的短距离传输、自组织组网及多个传感器对数据的协同信息处理过程。感知层主要技术有轻量级加密认证技术和感知节点鉴别技术。
网络层由各种私有网络、互联网、有线和无线通信网、网络管理系统和云计算平台等组成,相当于人的神经中枢和大脑,负责传递和处理感知层获取的信息。网络层实现更加广泛的互联功能,能够把感知到的信息无障碍、高可靠性、高安全性地进行传送,需要传感器网络与移动通信技术、互联网技术相融合。经过十余年的快速发展,移动通信、互联网等技术已比较成熟,基本能够满足物联网数据传输的需要。
应用层是物联网和用户(包括人、组织和其他系统)的接口,它与行业需求结合,实现物联网的智能应用。主要包含应用支撑平台子层和应用服务子层。其中应用支撑平台子层用于支撑跨行业、跨应用、跨系统之间的信息协同、共享、互通的功能。应用服务子层包括智能交通、智能医疗、智能家居、智能物流、智能电力等行业应用。
2.感知和识别技术
物联网要实现真正的“物物相连”,用于识别物体的电子标签技术(RFID射频识别)和感知物体的传感器技术至关重要。RFID是通过空间电磁耦合技术利用射频信号实现无接触信息传递的一项技术,最终能够通过所传递的信息识别物体。传感器是一种检测装置,能感知到被测量的信息,并能将感知到的信息,按一定规律变换成为电信号或其他所需形式的信息输出,以满足信息的传输、处理、存储、显示、记录和控制等要求。
3.网络通信技术
RFID射频识别、传感器等信息采集技术为客观存在的物体和虚拟网络之间提供了沟通的桥梁。通过感知和识别技术对物体进行信息采集之后,采集到的信息数据需要通过有线网络或无线网络进行快速、安全的运输,实现自下而上地传输感知信息、自上而下地传输控制指令,从而达到信息的实时交互性。
4.数据处理技术
由于物联网中包含有大量的传感器节点,在信息采集过程中,每个节点都会提供一定的感知信息,如果这些数据分别进行单独处理将会造成通信带宽和资源的严重浪费,这样势必会大大降低信息收集效率,从而影响数据的实时性。另一方面,物联网规模的迅速增长也给数据处理带来了巨大的压力和挑战。因此利用并行计算(云计算)等智能计算技术来提高数据处理效率无疑是一个较好的解决办法。
5.信息安全技术
物联网的安全问题和互联网的安全问题同样重要,都是被广泛关注的话题。由于物联网处理的对象主要是人或物的相关数据,其“所有权”特性导致物联网比以“文本”为主的互联网的安全性要求要高,对保护“隐私权”的要求也更高。物联网系统的安全和一般IT系统的安全基本一样,主要有以下8个属性:读取控制、隐私保护、用户认证、不可抵赖性、数据保密性、通信层安全、数据完整性、随时可用性。
6.嵌入式系统技术
嵌入式系统技术是综合了计算机软硬件、传感器技术、集成电路技术、电子应用技术为一体的复杂技术。经过几十年的演变,以嵌入式系统为特征的智能终端产品随处可见。嵌入式系统正在改变着人们的生活,推动着工业生产及国防工业的发展。如果把物联网用人体做一个简单比喻,传感器相当于人的眼睛、鼻子、皮肤等感官,网络就是神经系统用来传递信息,嵌入式系统则是人的大脑,在接收到信息后进行分类处理。
7.物联网与移动互联网、大数据融合关键技术
面向移动终端,重点支持适用于移动终端的人机交互、微型智能传感器、MEMS传感器集成、超高频或微波RFID、融合通信模组等技术研究。面向物联网融合应用,重点支持操作系统、数据共享服务平台等技术研究。突破数据采集交换关键技术,突破海量高频数据的压缩、索引、存储和多维查询关键技术,研发大数据流计算、实时内存计算等分布式基础软件平台。结合工业、智能交通、智慧城市等典型应用场景,突破物联网数据分析挖掘和可视化关键技术,形成专业化的应用软件产品和服务。
8.传感网
传感网的定义:随机分布的,集成了传感器、数据处理单元和通信单元的微小节点,通过自组织的方式构成的无线网络。
9.M2M
简单地说,M2M是将数据从一台终端传送到另一台终端,也就是机器与机器(Machine to Machine)的对话。但从广义上说M2M可代表机器对机器(Machine to Machine)、人对机器(Man to Machine)、机器对人(Machine to Man)、移动网络对机器(Mobile to Machine)之间的连接与通信,它涵盖了所有实现在人、机器、系统之间建立通信连接的技术和手段。
10.两化融合
两化融合是信息化和工业化的高层次的深度结合,是指以信息化带动工业化、以工业化促进信息化,走新型工业化道路;两化融合的核心就是信息化支撑,追求可持续发展模式。
(二)物联网安全
物联网的安全形态主要体现在其体系结构的各个要素上,主要包括物理要素、运行要素、数据要素三个方面。物理安全是物联网安全的基础要素,主要涉及感知控制层的感知控制设备的安全,主要包括对传感器及RFID的干扰、屏蔽、信号截获等,是物联网安全特殊性的体现;运行安全,存在于物联网的各个环节中,涉及物联网的三个层次,其目的是保障感知控制设备、网络传输系统及处理系统的正常运行,与传统信息系统安全基本相同;数据安全也存在于物联网的各环节中,要求在感知控制设备、网络传输系统、处理系统中的信息不被窃取、篡改、伪造、抵赖等性质,其中传感器与传感网所面临的安全问题比传统的信息安全更为复杂,因为传感器与传感网可能会因为能量受限的问题而不能运行过于复杂的保护体系。物联网除面临一般信息网络所具有的安全问题外,还面临物联网特有的威胁和攻击,相关威胁有物理俘获、传输威胁、自私性威胁、拒绝服务威胁、感知数据威胁等,相关攻击有阻塞干扰、碰撞攻击、耗尽攻击、非公平攻击、选择转发攻击、陷洞攻击、女巫攻击、洪范攻击、信息篡改等。
二、物联网面临的网络安全挑战
物联网是互联网的延伸,所以物联网的安全也是互联网安全的延伸,物联网面临的网络安全挑战既有来自传统互联网的通用安全问题,同时又有自身架构带来的特有性问题。我国物联网产业已拥有一定规模,设备制造、网络和应用服务具备较高水平,技术研发和标准制定取得突破,物联网与行业融合发展成效显著,但我国物联网面临的网络安全挑战依然突出。
(一)通用安全问题
物联网由传统互联网发展而来,继承了传统互联网时代遗留的安全问题,这些问题成为物联网和互联网都存在的通用安全问题,主要包括以下三个方面。
一是终端弱口令。如简单的数字组合、账号相同、键盘邻近键、常见姓名构成的密码、终端设备的出厂默认配置等,黑客利用物联网设备终端弱口令的特点,对物联网设备进行暴力攻击撞库从而获得系统控制权。
二是不安全终端Web访问接口。如HTTP简单连接、没有数字签名、没有接口验证参数、没有身份验证等不安全Web,造成信息传输交互易被攻击。
三是不安全网络服务。如恶意URL、未经用户授权安装应用甚至是木马病毒等,极大破坏了物联网系统的安全。
(二)物联网专有安全问题
物联网专有安全问题主要包含以下五个方面。
一是无线数据传输链路的脆弱性。物联网的数据传输一般借助无线射频信号进行通信,无线网络固有的脆弱性使得系统很容易受到各种形式的攻击。攻击者可以发射干扰信号使读写器无法接受正常电子标签内的数据,或者使基站无法正常工作,从而造成通信中断。此外,无线传输网络还容易导致信号在传输过程中难以得到有效防护,易被攻击者劫持、窃听甚至篡改。
二是网络环境的复杂性。物联网将组网的概念延伸到了现实生活的物品当中,从某种意义上来说,现实生活将建设在物联网中,从而导致物联网的组成非常复杂。主流的物联网应用多采用MESH网结构,任一节点被攻击将导致整个网络被攻破,安全防护人员无法保证物联网信息传输的各个环节均不被未知的攻击者控制,其复杂性可以说是安全的最大障碍。
三是无线信道的开放性。为了满足物联网终端自由移动的需要,物联网边缘一般采用无线组网的方式。但是,无线信道的开放性使其很容易受到外部信号干扰和攻击;同时,无线信道不存在明显边界,外部观测者可以很容易监听到无线信号。
四是物联网终端的局限性。一方面,无线组网方式使物联网面临着更为严峻的安全形势,使其对安全提出了更高要求;另一方面,物联网终端一般是一种微型传感器,其处理、存储能力以及能量都比较低,从而导致一些对计算、存储、功耗要求较高的安全措施无法加载。
五是物联网系统的外露性。大量的物联网设备及云服务端直接暴露于互联网,这些设备和云服务端存在的漏洞(如破壳、心脏滴血等漏洞)一旦被利用,可以导致设备被控制、用户隐私泄露、云服务器端数据被窃取等安全问题,甚至会对基础通信网络造成严重的影响。
三、加强物联网安全防护的重要性
物联网作为通信行业新兴应用,在万物互联的大趋势下,市场规模将进一步扩大。随着行业标准完善、技术不断进步、国家政策扶持,我国的物联网产业呈现出良好的发展态势,为经济持续稳定增长提供新的动力。移动互联向万物互联的扩展浪潮,将使我国创造出相比于互联网更大的市场空间和产业机遇。物联网在快速发展的同时,也带来了一系列安全问题,尤其是在线监控设备数量增长迅速,一方面可能会被黑客利用作为海量攻击源;另一方面,隐私泄露、身份伪造、弱口令、漏洞利用等也是物联网自身面临的安全威胁。从物联网的普及程度来看,一旦出现安全性问题,将会对国家网络安全、企业业务安全和用户个人隐私安全造成重大影响,全面加强物联网安全防护势在必行。
在关键信息基础设施防护方面,物联网技术已经在航空航天、装备制造、石油化工、电力运行、市政管理等涉及国计民生的重要行业广泛运用,美国网络瘫痪事件、美国交通指示牌被攻击事件、迈凯伦和特斯拉车联网被攻破事件、成都双流机场无人机黑飞事件、智慧城市安全漏洞事件、VPNFilter感染全球路由器事件、IoT设备Telnet密码列表遭泄露事件等等,都为政府敲响了警钟,随着国际安全形势的日益严峻,网络空间主权的争夺日趋激烈,黑客利用物联网技术对他国关键信息基础设施的远程攻击形势愈演愈烈,并且日益组织化、产业化,政府有必要在重要行业全面加强物联网安全防护。在企业生产安全和信息安全方面,许多企业,包括工控系统,考虑到升级系统带来的兼容性等影响,仍然使用存在漏洞的主机及系统进行工作,带来非常大的安全隐患。2018年8月,知名芯片代工厂台积电遭遇WannaCry病毒入侵,导致三大工厂生产线停摆,预估损失高达约17亿元。在这起事件中,最突出的问题便是台积电内网设备没有及时更新安全补丁。因此加强物联网安全防护对保障企业的运营安全具有重要意义。在用户个人隐私保护方面,由于缺乏安全措施保护用户数据安全,导致用户信息泄露十分严重,比如智能玩具泄露200万父母与儿童的语音信息、Avanti Markets自动售货机泄露用户数据等,都是因为用户数据被保存在未经密码保护的公开数据库当中,导致黑客轻易攻破。因此,全面加强物联网产品设备的信息安全管理对用户具有重要意义。
第二节 发展现状
一、物联网安全顶层设计进一步完善
随着网络空间安全形势的日益严峻,全球范围内的物联网安全事件频发引起各国政府的高度重视。2018年,国务院、工信部、中医药局、卫健委等中央部委在《推进互联网协议第六版(IPv6)规模部署行动计划》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》《关于加快安全产业发展的指导意见》《智能光伏产业发展行动计划(2018—2020年)》《促进大中小企业融通发展三年行动计划》《关于推进中医药健康服务与互联网融合发展的指导意见》《进一步改善医疗服务行动计划(2018—2020年)的通知》中均明确提出了物联网安全保障的工作要求。
国务院的《推进互联网协议第六版(IPv6)规模部署行动计划》明确提出“支持地址需求量大的特色IPv6应用创新与示范,在宽带中国、‘互联网+’、新型智慧城市、工业互联网、云计算、物联网、智能制造、人工智能等重大战略行动中加大IPv6推广应用力度。加强IPv6环境下工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究,增强新兴领域网络安全保障能力。开展IPv6环境下工业互联网、物联网、云计算、大数据、人工智能等领域网络安全技术、管理及机制研究工作”。
国务院的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》明确提出“到2020年,基本完成面向先进制造业的下一代互联网升级改造和配套管理能力建设,在重点地区和行业实现窄带物联网(NB—IoT)、工业过程/工业自动化无线网络(WIA—PA/FA)等无线网络技术应用;初步建成工业互联网标识解析注册、备案等配套系统,形成10个以上公共标识解析服务节点,标识注册量超过20亿”。
工信部、应急部、财政部、科技部的《关于加快安全产业发展的指导意见》明确提出“在规范发展安全工程设计与监理、标准规范制订、检测与认证、评估与评价、事故分析与鉴定等传统安全服务基础上,积极发展安全管理与技术咨询、产品展览展示、教育培训与体验、应急演练演示等与国外存在较大差距的安全服务,重点发展基于物联网、大数据、人工智能等技术的智慧安全云服务”。
工信部、住建部、交通部、农业农村部、能源局、国务院扶贫办的《智能光伏产业发展行动计划(2018—2020年)》明确提出“运用互联网、大数据、人工智能、5G通信等新一代信息技术,推动光伏系统从踏勘、设计、集成到运维的全流程智能管控。加大信息技术应用,通过大数据、物联网等技术手段实现光伏扶贫数据采集、系统监控、运维管理的智能化”。
工信部、国家发改委、财政部、国资委的《促进大中小企业融通发展三年行动计划》明确提出“实施中小企业信息化推进工程,推动大型信息化服务商提供基于互联网的信息技术应用。推广适合中小企业需求的信息化产品和服务,提高中小企业信息化应用水平。鼓励各地通过购买服务等方式,支持中小企业业务系统向云端迁移,依托云平台构建多层次中小企业服务体系。推动实施中小企业智能化改造专项行动,加强中小企业在产品研发、生产组织、经营管理、安全保障等环节对云计算、物联网、人工智能、网络安全等新一代信息技术的集成应用”。
中医药局的《关于推进中医药健康服务与互联网融合发展的指导意见》明确提出“基于移动互联网、物联网开展划价缴费、报告查询、健康咨询、药品配送、随访等便捷服务”“鼓励养老机构应用基于物联网、移动互联网的便携式体检、紧急呼叫监控等设备,向老年人提供中医药养生保健、医疗、康复、护理的线上商务、线下实体服务,采集、存储和管理老年人体征和行为监测、健康档案、慢性病管理、中医养生保健等数据,推动中医特色养老服务信息化发展”“落实《网络安全法》和信息安全等级保护制度,重视云计算、大数据、物联网、移动互联网、人工智能等技术应用带来的安全风险,加强信息基础设施安全防护,完善信息共享、数据利用等安全管理和技术措施”。
卫健委、中医药局的《进一步改善医疗服务行动计划(2018—2020年)的通知》明确提出“以‘互联网+’为手段,建设智慧医院。医疗机构加强以门诊和住院电子病历为核心的综合信息系统建设,利用大数据信息技术为医疗质量控制、规范诊疗行为、评估合理用药、优化服务流程、调配医疗资源等提供支撑;应用智能导医分诊、智能医学影像识别、患者生命体征集中监测等新手段,提高诊疗效率;应用互联网、物联网等新技术,实现配药发药、内部物流、患者安全管理等信息化、智能化”。
二、物联网安全技术研究多点开花
物联网安全技术是保障物联网健康快速发展的基石,近年来,物联网安全技术研究进展迅速呈现多点开花的局面,多种传统的信息安全技术与物联网技术相结合,极大程度保证了物联网系统的信息安全。
一是网络防火墙技术。无线射频技术是物联网最主要的支撑技术,绝大部分RFID电子标签在接收到阅读器的查询指令时会自动应答,而不会向其所有者发出警告信息。由于RFID无线电波可轻易穿透建筑物和金属,网络防火墙技术将RFID电子标签数据库和其他信息系统及数据库隔离开来,只允许已经授权的用户查询标签信息,未授权用户将被阻止读取信息,从而有效降低物联网设备的攻击风险。
二是加密技术。物联网的RFID电子标签被非法读取时,储存于标签里的信息会被窃取或篡改,个人的位置和行为轨迹也会被监控。高级加密算法在RFID电子标签和读写器之间建立安全通信,提高破解和伪造RFID电子标签的难度,从而保证物联网信息采集层的安全性。同时,消费品识别标签领域采用的加密解锁标签技术,通过在RFID标签中安装一次性开关,消费品被出售时自动闭合开关,确保RFID标签中存储的信息不被非法采集,从而保证消费品信息的安全。
三是密钥管理和认证技术。物联网采用先进的密钥管理和认证技术,可以有效保护物联网的传感器网络节点之间的信息安全。物联网的密钥管理和认证技术采用基于Internet的集中管理模式,以Internet为核心的集中管理模式由可信任的互联网认证中心负责密钥的生成、分发、更新管理,进行身份认证和信息认证。例如,物联网感知层的各种传感器通过网络进入Internet,互联网认证中心能与传感器网络进行交互认证,从而保证物联网中传感器节点的信息安全管理和认证。
除了加强物联网传统安全技术研究外,基于区块链、人工智能、物联网融合技术的研究也竞相迸发。2018年,我国区块链行业相关公司注册3000多家,全球范围内数字货币超1500种,总市值达7000亿美元。与此同时,我国迎来了以一个智能终端作为中枢控制,连接所有家用电器的智能生活时代,从PC端到移动端再到现在的万物互联,物联网技术的应用几乎覆盖了所有行业。物联网技术借助区块链应用于实体,再结合人工智能技术,万物互联的时代即将到来。于是,深度结合人工智能的物联网区块链项目(简称“深物链”)在不断研发。深物链将区块链、物联网、人工智能等技术相结合,把传统物联网设备中的模块栈换成支持以太坊协议的模块,设备即可接入深物链。设备无须大的调整和更改,厂商也无须做太多改动,但是设备的后台技术已经升级成了区块链技术,验证、加密、设备分享、设备配置,全都是使用区块链的核心技术。在此基础上,深物链将传统的物联网升级成去中心化的区块链物联网,所有搜集到的数据在后台的人工智能大数据平台处理后再呈现给用户,加强了物联网系统的安全性、可靠性、稳定性。
三、物联网安全标准研制工作实现突破
我国政府将物联网定义为国家战略性新兴产业,“十三五”规划、工业4.0等一系列国家发展规划都以物联网作为重要基点。由于我国物联网的研究起步较晚,在相关政策法规和标准化制定方面,经历了漫长的推进过程。直到2018年,我国始终在积极推动物联网的建设和发展,已发布的物联网安全标准包括物联网安全的通用模型、数据传输、终端安全、网关等方面的内容,在传感网、通信网也有相应的安全标准,并且有相当一部分标准已成为国际标准,比如NB-IoT标准核心协议、TRAIS-X物联网安全协议关键技术、NEAU-TEST近场通信安全测试技术等。但我国还没有明确提出针对物联网安全方面的相关标准,从覆盖面上看,还未能满足全方位安全保障的要求,缺乏系统规划和针对物联网安全新特性、新需求的标准。
2018年12月28日,全国信息安全标准化技术委员会归口的27项国家标准正式发布,涉及物联网安全的内容包括相关的参考模型及通用要求、感知终端应用安全、感知层网关安全、数据传输安全、感知层接入通信网安全等,具体标准分别为GB/T 37044—2018《信息安全技术 物联网安全参考模型及通用要求》、GB/T 36951—2018 《信息安全技术 物联网感知终端应用安全技术要求》、GB/T 37024—2018 《信息安全技术 物联网感知层网关安全技术要求》、GB/T 37025—2018 《信息安全技术 物联网数据传输安全技术要求》、GB/T 37093—2018 《信息安全技术 物联网感知层接入通信网的安全要求》。这五项国家标准从2019年7月1日开始实施,给设备厂商、服务提供商、安全企业等开展物联网相关工作提供了技术要求和参考规范。自此,物联网安全有关政策法规逐步健全,IoT安全从此有据可循。我国下一步更要健全完善物联网安全标准体系,加快推动相关技术标准落地实施,并配合物联网安全新技术研究和应用,进一步促进物联网产业健康良性发展。
第三节 面临的主要问题
一、关键核心技术基础薄弱,高端产品研发能力不强
核心技术是物联网产业发展的重要支撑,我国物联网关键核心技术仍显不足,高端产品研发能力不强,产业生态竞争力不强。推动物联网产业升级与发展的大部分核心技术,包括RFID关键技术、传感器关键技术、云计算技术、关键设备制造技术、智能通信与控制技术、海量数据处理技术等,大多为发达国家所掌握,或者原始创新能力与发达国家存在较大差距。同时,物联网技术应用成本过高,难以将技术推广应用。我国企业与研究机构需要突破核心技术瓶颈,加大企业研发投入,提高创新能力,完善创新体系。
二、物联网产业链薄弱,物联网与行业融合不足
物联网产业链主要包括芯片与技术提供商、应用设备提供商、系统集成商、软件与应用开发商、网络提供商、运营商及服务提供商、用户等环节。我国物联网产业链还不够完善,产业链的上、中、下游企业发展不平衡。传感器、FRID、芯片厂商等上游企业规模普遍偏小,层次偏低,核心技术仍缺乏。中游的中间件、应用开发等企业的职能划分不清晰,各企业往往要面临多领域同时着手、提供全套方案的难题,不利于企业的专业化、精尖化发展。从物联网产业链上最初的设备到最后的应用终端,电信运营商起着承上启下的关键作用,产业链上的其他环节相对薄弱。同时,物联网与行业融合发展在一定程度上有待进一步深化,成熟的商业模式仍然缺乏,部分行业存在管理分散、推动力度不够的问题,发展新技术新业态面临跨行业体制机制障碍。
三、物联网产业的领域、区域发展不平衡
从现阶段的发展来看,行业应用将成为未来几年物联网产业发展的主要方向。我国已在很多领域开展了一系列试点和示范项目,如智能交通、城市安防、智能物流、节能环保、医疗卫生、精细农牧业和公共安全等。由于技术标准、行业保护及产品不成熟等因素,一些领域内的物联网项目出现了周期长、回报低和评估不全面等问题,另外,也出现了一些忽视行业实际需求与技术实力不匹配而盲目开发的现象。
物联网产业在我国的发展存在地域差别。信息产业较为发达的省市纷纷制订物联网产业发展规划,打造特色产业集群,而中西部地区的产业基础相对较弱,相关应用需求较少,物联网产业的发展也相对缓慢。物联网产业发展的不平衡,直接导致了全国物联网产业布局的不平衡。物联网产业集群密集分布在东部沿海经济发达地区,形成一个个分散的“信息孤岛”,而物联网产业发达地区之间的合作交流、协同创新较少,发达地区对周边不发达地区的引领、带动作用也较为有限。
四、数据隐私和物联网安全问题仍然突出
物联网安全问题威胁用户隐私保护,冲击关键信息基础设施安全,网络与信息安全形势依然严峻,设施安全、数据安全、个人信息安全等问题亟待解决。智能家居设备部署在私密的家庭环境中,一旦设备存在的漏洞被远程控制,将导致用户隐私完全暴露在攻击者面前。例如,智能家居设备中摄像头的不当配置(默认密码)与设备固件层的安全漏洞可能导致摄像头被入侵,进而引发摄像头采集的视频隐私遭到泄露。早在2017年11月,Check Point研究人员表示LG智能家居设备存在漏洞,黑客利用该漏洞可以完全控制用户账户,然后远程劫持LG SmartThinQ家用电器,包括冰箱、干衣机、洗碗机、微波炉、吸尘机器人等,通过私自开启智能家居的监控或录像功能,获取用户大量隐私信息。同时,当物联网控制现实生活中电器运行时,如果缺乏足够的安全机制和防护措施,不但会导致用户的隐私被泄露,甚至物联网很可能成为国内外各种敌对势力肆意活动的场所。