引言:近年来,随着物联网的迅猛发展和产业规模不断增大,其安全问题也逐步引起人们的重视。保证物联网的安全可靠、“用着放心”是推动未来物联网大规模应用和发展的重要保证。
在现代信息技术快速演进过程中,对安全问题的研究和解决未能很好地同步快速推进,存在一定的滞后问题。从依托物联网技术和智能家电、智能水表和“水联网”、智能气表和“气联网”、智能电表和“电联网”等的智能家居,到依托传感网络和物联网技术的要地监控和防护、危险品运输和追踪、工业控制和流程管理等智能系统,从“车联网”和智能交通、智能医疗和智慧养老、各种各样的智能应用和系统等,到工业物联网、农业物联网以及依托物联网和大数据等最新技术正在建设的智慧城市,在实现万物互联宏大目标的过程中,均潜在安全问题。所谓“更大的网络意味着更大的潜在威胁”、“工厂、汽车原本不是网络攻击、网络威胁的地方和对象,而现在是了”等,指的就是这意思。这当中涉及技术、应用、信息、数据等诸多方面问题,必须加以解决,以便更好地促进物联网技术、产品、系统的应用和发展。
物联网产品和设备的多样化、急剧化发展,极大地增加了被攻击的可能性。HP公司最近的一份安全研究报告指出,在具有联网功能的智能家电和消费类设备中,存在数量惊人的漏洞,涉及未加密的数据传输、不安全的Web界面、使用授权、软件防护、用户隐私保护等诸多问题。导致这些问题的原因主要有两个:一是新设备、新产品急着抢占市场,对安全问题考虑不够、存在不少局限性或者安全设计不够健壮和完备;二是旧有的嵌入式系统在最初的开发设计过程中未对安全控制问题有足够考虑,因为这些旧的系统之前都是与网络隔离的,采取的是传统的安全保障措施。
随着各种工业控制系统以及民用、家居系统日益网络化、可远程管理、智能化,传统的、基本依托“物理”隔离方式实现安全保护的措施,在互联网、物联网时代已显严重不足,必须更新安全理念、改进安全模型,尤其对原非IT的、逐步部署应用物联网技术和产品的众多传统领域和系统,更应引起高度重视,必须补齐、补足有关物联网系统和应用的安全标准和安全措施。工业互联网联盟、Thread、AllJoyn、开放互联联盟等国际组织和协会已意识到这一问题,正在积极推进新的安全模型构建和安全标准制定等工作。
在部署应用物联网技术、产品和设备方面,至少应实施以下安全实践:提高全员的安全风险意识,确定良好的安全控制基线,践行安全的系统开发原则;提供良好的数据保护,不论是对静止的数据还是传输过程中的数据,均应加以保护,尤其对涉及用户身份和隐私的信息,更应采取严格的防护机制;加密是保证物联网安全的关键,当数据遍历于设备与设备之间、设备与移动应用之间、移动应用与移动应用之间或者设备与云之间等时,必须采取适当的加密措施;适时、定期对物联网中的技术、产品和设备等开展安全评估,及时发现并弥补可能存在的安全风险与漏洞,对关键、要害、涉及危险物品或有生命之虞的物联网系统和应用,必须要有主动的而非被动的安全预案、补丁和冗余策略等。
就物联网系统层次和结构而言,在分析研究物联网安全问题时,必须综合、全面地考虑感知层、网络层、应用层等各层面上可能遭受的攻击情形和安全威胁,并考虑相应的安全防护措施。例如,物联网的感知层可能遭受物理攻击、传感器被替换、传感节点被假冒、物联网中传输的数据或信令被拦截、篡改、伪造、重放等威胁;网络层可能遭受拒绝服务攻击、假冒基站攻击、基础密钥泄露、敏感信息泄露等威胁;应用层可能遭受虚假终端触发等威胁。以车联网为例,攻击者可能将车载终端非法挪装至其它车辆,上报虚假的位置信息;攻击者可能通过中断电源、屏蔽网络信号等手段恶意造成终端脱网,使车联网监控中心无法实施监控;攻击者可能通过远程配置、木马或病毒等手段篡改车载终端配置参数等。
D1Net评论:
总之,面对物联网的发展,技术、应用和管理部门与人员的安全意识需进一步提高,物联网安全技术的研发工作必须同步跟上,并切实得到应用,从而促进未来物联网的安全、快速发展。
