談潘攀

摘要：隨著移動(dòng)互聯(lián)技術(shù)、物聯(lián)網(wǎng)技術(shù)的發(fā)展，物聯(lián)網(wǎng)的應(yīng)用越來越廣泛，其安全問題也日漸突出，物聯(lián)網(wǎng)中最小的環(huán)節(jié)遭到攻擊都有可能導(dǎo)致網(wǎng)絡(luò)的癱瘓，國家安全，人身財(cái)產(chǎn)安全都會(huì)遭到嚴(yán)重威脅及損失。經(jīng)過對(duì)物聯(lián)網(wǎng)的國內(nèi)外安全現(xiàn)狀的分析，從物聯(lián)網(wǎng)體系結(jié)構(gòu)，相關(guān)人員，行業(yè)標(biāo)準(zhǔn)三方面闡述了物聯(lián)網(wǎng)產(chǎn)生安全問題的因素，提出了提高物聯(lián)網(wǎng)的安全性的解決方案。

關(guān)鍵詞：物聯(lián)網(wǎng);安全;網(wǎng)絡(luò)攻擊;體系結(jié)構(gòu);終端設(shè)備

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）30-0034-02

1概述

物聯(lián)網(wǎng)（IoT，Internet 0fthings）即“萬物相連的互聯(lián)網(wǎng)”，它將各種信息傳感設(shè)備與互聯(lián)網(wǎng)結(jié)合起來而形成的一個(gè)巨大網(wǎng)絡(luò)，是互聯(lián)網(wǎng)基礎(chǔ)上的延伸和擴(kuò)展的網(wǎng)絡(luò)，可以實(shí)現(xiàn)在任何時(shí)間、任何地點(diǎn)，人、機(jī)、物的互聯(lián)互通。

隨著移動(dòng)互聯(lián)，人工智能，大數(shù)據(jù)等技術(shù)的發(fā)展，連接到互聯(lián)網(wǎng)的設(shè)備越來越多，小至路由器、日常生活用品，家電f如電視機(jī)，冰箱，洗衣機(jī)等）大到農(nóng)業(yè)、工業(yè)，交通等設(shè)備，越來越多的物品都接入了互聯(lián)網(wǎng)。據(jù)統(tǒng)計(jì)，在2009年，聯(lián)人互聯(lián)網(wǎng)的設(shè)備數(shù)量不到10億臺(tái)，然而，到2015年，設(shè)備數(shù)量增至154億臺(tái)，2019年聯(lián)網(wǎng)設(shè)備的數(shù)量將超過250億臺(tái)，預(yù)計(jì)到2025年將有超過750億臺(tái)設(shè)備連接到互聯(lián)網(wǎng)。物聯(lián)網(wǎng)時(shí)代即將來臨，物聯(lián)網(wǎng)技術(shù)已經(jīng)應(yīng)用到人們生產(chǎn)、生活的許多方面，并且在未來其應(yīng)用會(huì)更加廣泛及并持續(xù)增長。因此物聯(lián)網(wǎng)的安全問題是一項(xiàng)必須重視和研究的課題。

2國內(nèi)外物聯(lián)網(wǎng)安全形勢(shì)

物聯(lián)網(wǎng)的應(yīng)用十分廣泛，智能家居，智慧城市，智慧農(nóng)業(yè)，智慧工業(yè)，智慧交通，智慧醫(yī)療等都離不開對(duì)其的使用。為了適應(yīng)各行各業(yè)的需求，物聯(lián)網(wǎng)技術(shù)所推動(dòng)產(chǎn)生的問題就比較多：如終端設(shè)備種類繁多，大小形式功能不一;網(wǎng)絡(luò)組網(wǎng)的方式多樣化，有線、無線、藍(lán)牙、zigbee、3G、4G、LTE、電力載波等組網(wǎng)形式可以單一也可以異構(gòu)存在;存儲(chǔ)于云平臺(tái)的物聯(lián)網(wǎng)所產(chǎn)生的數(shù)據(jù)就像“寶藏”一樣無時(shí)無刻不在誘惑著黑客。在以上各個(gè)環(huán)節(jié)中，最細(xì)微的層面遭到攻擊都有可能導(dǎo)致網(wǎng)絡(luò)的癱瘓，國家安全，人身財(cái)產(chǎn)安全都會(huì)遭到嚴(yán)重威脅及損失。

有數(shù)據(jù)指出曾經(jīng)在一次測(cè)試性質(zhì)的物聯(lián)網(wǎng)DDoS攻擊下就導(dǎo)致美國東部大面積網(wǎng)絡(luò)癱瘓，包括Paypal、Twitter、Spotify、Netflix等在內(nèi)的多家知名網(wǎng)站都無法登陸。而該次網(wǎng)絡(luò)宕機(jī)事件的罪魁禍?zhǔn)字痪尤痪褪呛芷胀ǖ囊患锫?lián)網(wǎng)設(shè)備一網(wǎng)絡(luò)監(jiān)控?cái)z像頭。2015年11月，香港玩具制造商VTech曾遭遇入侵，近500萬名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬兒童的姓名、性別與生日不慎外泄。不久后，又發(fā)現(xiàn)美泰公司生產(chǎn)的聯(lián)網(wǎng)型芭比娃娃中存在的漏洞可能允許黑客攔截用戶的實(shí)時(shí)對(duì)話嘲。2017年4月，成都雙流連續(xù)發(fā)生多起無人機(jī)（無人飛行器）黑飛事件，百余架次航班被迫備降或返航，超過萬名旅客受阻滯留機(jī)場(chǎng)，經(jīng)濟(jì)損失以千萬元計(jì)，旅客的生命安全和損失更是遭到了巨大的威脅嘲。2017年7月，美國自動(dòng)售貨機(jī)供應(yīng)商Avanti Markets遭遇黑客入侵內(nèi)網(wǎng)。攻擊者在終端支付設(shè)備中植入惡意軟件，并竊取了用戶信用卡賬戶以及生物特征識(shí)別數(shù)據(jù)等個(gè)人信息。2017年11月，CheckPoint研究人員表示LG智能家居設(shè)備存在漏洞，黑客可以利用該漏洞完全控制一個(gè)用戶賬戶，然后遠(yuǎn)程劫持LG SmartThinQ家用電器，包括冰箱，干衣機(jī)，洗碗機(jī)，微波爐以及吸塵機(jī)器人。NSFOCUS綠盟科技在《2018年物聯(lián)網(wǎng)安全年報(bào)》中指出在2018年，攻擊者利用漏洞編寫惡意軟件感染大量物聯(lián)網(wǎng)設(shè)備、在暗網(wǎng)買賣攻擊服務(wù)、肆意發(fā)動(dòng)破壞和勒索攻擊。無論是國際還是國內(nèi)物聯(lián)網(wǎng)安全都面臨著嚴(yán)峻的考驗(yàn)，很多國內(nèi)外企業(yè)，國內(nèi)國際組織已經(jīng)將物聯(lián)網(wǎng)安全研究提上日程。

3物聯(lián)網(wǎng)安全性分析

3.1從物聯(lián)網(wǎng)體系結(jié)構(gòu)分析

物聯(lián)網(wǎng)是通過各類信息傳感器、射頻識(shí)別技術(shù)、全球定位系統(tǒng)、紅外感應(yīng)器、激光掃描器等各種裝置與技術(shù)，通過各類可能的網(wǎng)絡(luò)接人，實(shí)現(xiàn)物與物、物與人的泛在連接，實(shí)現(xiàn)對(duì)物品和過程的智能化感知、識(shí)別和管理。其體系結(jié)構(gòu)大致分為三個(gè)層次：感知層，網(wǎng)絡(luò)層，應(yīng)用層。如下圖1所示。

感知層的主要任務(wù)是信息感知，實(shí)現(xiàn)物體的信息采集、捕獲和識(shí)別，主要通過前端控制模塊，傳感器模塊，攝像頭、射頻識(shí)別模塊，定位芯片，激光掃描儀等設(shè)備實(shí)現(xiàn)。這些設(shè)備的生產(chǎn)廠商眾多，對(duì)安全問題認(rèn)識(shí)不同，而且能力大小不一，采取的安全措施防范程度也不同。設(shè)備自身漏洞就較多，因此對(duì)于該層的攻擊也會(huì)日益增多，比如而該層次就容易遭受物理攻擊、偽造攻擊、資源耗盡攻擊、隱私泄露威脅等嘲。

網(wǎng)絡(luò)層的主要任務(wù)是高效、穩(wěn)定、及時(shí)、安全地傳輸上下層的數(shù)據(jù)。是一個(gè)異構(gòu)的網(wǎng)絡(luò)，包括了傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)，通信網(wǎng)、廣電網(wǎng)及各種不斷涌現(xiàn)的新型的接入網(wǎng)和專用網(wǎng)，如傳感器網(wǎng)絡(luò)，家居網(wǎng)，個(gè)域網(wǎng)、車域網(wǎng)等。因此網(wǎng)絡(luò)層的安全問題不僅包括過去傳統(tǒng)網(wǎng)絡(luò)的安全問題，而且還包括新型網(wǎng)絡(luò)的問題。如異構(gòu)網(wǎng)絡(luò)數(shù)據(jù)交換的問題，由于網(wǎng)絡(luò)協(xié)議與技術(shù)本身存在安全短板，因此容易受到異步、合謀攻擊等;由于網(wǎng)絡(luò)終端數(shù)量巨大，且設(shè)備防御能力不同，因此更容易發(fā)起分布式拒絕服務(wù)攻擊等;由于數(shù)據(jù)處理量巨大，所需的網(wǎng)絡(luò)數(shù)據(jù)處理設(shè)備就越多，設(shè)備管理更困難，遭受各種網(wǎng)絡(luò)攻擊的可能性也就越大。

應(yīng)用層的主要任務(wù)是將底層采集到的信息資源形成與業(yè)務(wù)需求相適應(yīng)、實(shí)時(shí)更新的動(dòng)態(tài)數(shù)據(jù)庫，為各類業(yè)務(wù)提供統(tǒng)一的信息資源支撐，實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤、監(jiān)控和管理等實(shí)際應(yīng)用，該層實(shí)際包括服務(wù)支撐層和應(yīng)用子集層。服務(wù)支撐層主要由大量的云計(jì)算平臺(tái)，信息開放平臺(tái)，大數(shù)據(jù)挖掘與分析平臺(tái)等組組成，大量數(shù)據(jù)存放于這一層，那么數(shù)據(jù)的秘密性，完整性，可用性及平臺(tái)設(shè)備的穩(wěn)定性、可靠性、可用性等都是安全問題。在應(yīng)用子集層由于操作系統(tǒng)，平臺(tái)組件，服務(wù)程序等一般都存在自身漏洞或設(shè)計(jì)缺陷也容易導(dǎo)致各種攻擊，比如未授權(quán)訪問攻擊，開放端口攻擊等。

3.2從物聯(lián)網(wǎng)相關(guān)人員分析

物聯(lián)網(wǎng)設(shè)備相關(guān)可以從三個(gè)方面劃分即物聯(lián)網(wǎng)產(chǎn)品生產(chǎn)商（包括軟件生產(chǎn)企業(yè)，硬件設(shè)備生產(chǎn)企業(yè)），網(wǎng)絡(luò)服務(wù)提供商和用戶。物聯(lián)網(wǎng)的供應(yīng)鏈長、碎片化嚴(yán)重，產(chǎn)品推陳出新率快，很多物聯(lián)網(wǎng)設(shè)備生產(chǎn)企業(yè)，在產(chǎn)品的生產(chǎn)過程中只是求快求新，根本沒有考慮安全問題，或者安全問題考慮不完善。生產(chǎn)出的產(chǎn)品容易產(chǎn)生安全漏洞，且安全問題一旦產(chǎn)生生產(chǎn)廠商也缺乏相應(yīng)的處理機(jī)制。網(wǎng)絡(luò)服務(wù)提供商一般由專業(yè)的網(wǎng)絡(luò)管理人員擔(dān)任，能夠提供專業(yè)的網(wǎng)絡(luò)的管理能力，但是大量的底層感知網(wǎng)絡(luò)部分的管理還存在管理人員缺位或者是管理手段或者技術(shù)缺失的問題。物聯(lián)網(wǎng)產(chǎn)品的用戶千差萬別，對(duì)于物聯(lián)網(wǎng)產(chǎn)品的應(yīng)用能力存在差異，很多用戶缺乏專業(yè)知識(shí)，安全防范意識(shí)薄弱，如安全口令設(shè)置較弱，物聯(lián)網(wǎng)產(chǎn)品不升級(jí)，不殺毒等都容易導(dǎo)致安全隱患的產(chǎn)生。

3.3從行業(yè)標(biāo)準(zhǔn)層面分析

從目前的物聯(lián)網(wǎng)發(fā)展情況來看，物聯(lián)網(wǎng)產(chǎn)品種類繁多，產(chǎn)品更迭快，物聯(lián)網(wǎng)產(chǎn)業(yè)并沒有一個(gè)統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和協(xié)調(diào)機(jī)制，各企業(yè)基本各自為政，因此信息安全也正告別傳統(tǒng)的病毒感染、網(wǎng)絡(luò)黑客及資源濫用等階段，而邁向了一個(gè)復(fù)雜多元、綜合交互的新時(shí)期。

4安全問題的解決方法

（1）物聯(lián)網(wǎng)產(chǎn)品生產(chǎn)過程中安全廠商，物聯(lián)網(wǎng)服務(wù)提供商等企業(yè)部門都參與到整個(gè)物聯(lián)網(wǎng)產(chǎn)品的設(shè)計(jì)、實(shí)現(xiàn)、生產(chǎn)和升級(jí)等環(huán)節(jié)。各方取長補(bǔ)短，通過從云端安全的頂層設(shè)計(jì)，到具體產(chǎn)品的安全設(shè)計(jì)實(shí)現(xiàn)、安全測(cè)評(píng)，安全維護(hù)，安全應(yīng)急措施制定等來保證物聯(lián)網(wǎng)安全。

（2）國家推動(dòng)，企業(yè)尤其是大型企業(yè)參與，加快物聯(lián)網(wǎng)安全行業(yè)標(biāo)準(zhǔn)的制定、發(fā)布、推廣和修訂，加強(qiáng)和完善物聯(lián)網(wǎng)的產(chǎn)品法律法規(guī)的建設(shè)，從法律層面上規(guī)定物聯(lián)網(wǎng)產(chǎn)品的需要達(dá)到的安全技術(shù)標(biāo)準(zhǔn)和規(guī)范，約束用戶使用物聯(lián)網(wǎng)的行為。在2019年我國27項(xiàng)物聯(lián)網(wǎng)安全技術(shù)國家標(biāo)準(zhǔn)發(fā)布，并且于7月1日期開始實(shí)行。該標(biāo)準(zhǔn)涉及物聯(lián)網(wǎng)安全的內(nèi)容包括相關(guān)的參考模型及通用要求、感知終端應(yīng)用安全、感知層網(wǎng)關(guān)安全、數(shù)據(jù)傳輸安全、感知層接人通信網(wǎng)安全。

（3）提高物聯(lián)網(wǎng)相關(guān)人員的專業(yè)水平，包括物聯(lián)網(wǎng)工程人員，物聯(lián)網(wǎng)管理人員，物聯(lián)網(wǎng)設(shè)備維護(hù)人員，物聯(lián)網(wǎng)的開發(fā)者;加強(qiáng)物聯(lián)網(wǎng)相關(guān)企業(yè)及安裝單位，使用用戶安全防范意識(shí)，有針對(duì)性地對(duì)不同領(lǐng)域和環(huán)節(jié)的物聯(lián)網(wǎng)參與相關(guān)人員進(jìn)行安全培訓(xùn)。

（4）政府可以提高扶持力度，要保證物聯(lián)網(wǎng)產(chǎn)品的生產(chǎn)企業(yè)的產(chǎn)品具有安全性，需要多方參與，一般的企業(yè)可能無法承受相關(guān)研發(fā)費(fèi)用，這就需要國家通過政策或者資金來扶持，提高企業(yè)參與安全設(shè)計(jì)，安全研發(fā)的積極性。

5結(jié)束語

物聯(lián)網(wǎng)行業(yè)的蓬勃發(fā)展不僅在推動(dòng)了社會(huì)進(jìn)步的同時(shí)也產(chǎn)生很多問題，安全問題就是其中之一，移動(dòng)網(wǎng)絡(luò)技術(shù)的日新月異，物聯(lián)網(wǎng)的安全空間已經(jīng)擴(kuò)展到了海陸空，所帶來的安全問題日益突出，涉及國家、企業(yè)和個(gè)人各層面，因此對(duì)于物聯(lián)網(wǎng)安全的課題研究刻不容緩。