近年来,物联网创新应用层出不穷,智慧终端的应用场景不断拓展。5G商用的加速推进,更进一步促进物联网终端连接数的爆炸性增长。如此多的终端在为我们生产生活提供便利的同时,也带来了更多安全隐患:智慧服务的中断(楼宇安防、智慧医疗等)、僵尸网络的形成(破坏国家电网、交通控制系统、网络服务等),对关键基础设施和国家安全构成严重威胁。
2017年,美国自动售货机遭遇黑客入侵,160多万条用户个人隐私数据泄露,包括信用卡账户、生物特征识别等;2018年,我国药监局发布大批医疗器械召回公告,共计24万多台麻醉系统、人工心肺机等关键医疗设备存在安全漏洞,可被远程操控;美国中央情报局资料显示,网络电视被用来秘密监视用户和录制监控视频;2007年,德国曾就“远程杀人芯片”申请专利,将芯片随关键设备植入被控人体,一旦被控目标反抗便可触发装置,杀掉此人……物联网安全问题不再仅仅停留在企业和产业的发展讨论上,已聚焦到了每一个消费个体的生命财产安全上。
安全问题涉及层面更多元
物联网安全问题不同于传统的互联网安全,物联网安全是全方面、立体化的,涉及物联网感知终端、传输网络、服务平台和移动应用等多个方面,任何一个层面的入侵都可能引起系统性的严重后果。
首先是物联网终端与人解耦后引发物理层面的安全问题。2018年,郑州市电动自行车防盗车牌被批量暴力拆解,风靡一时的共享单车频繁被盗窃……由于感知终端或节点缺乏人员的看护和管理,处于不安全的物理环境,极有可能被偷盗、非法移动、人为破坏,加上自然环境引发的安全威胁,造成感知终端或节点的丢失和工作异常,严重影响物联网设备的功能特性和智能服务提供。
其次是物联网终端部署的规模化和同质化扩大了物联网络的风险敞口。任何一个终端或节点被物理俘获或逻辑攻破,攻击者就可利用简单的工具分析出同类型终端或节点所存储的机密信息、隐私信息,从而开展规模化和巨量化攻击。这些“突破口”还能被利用成为攻击物联网设备所连接的网络渗透入口。2018年,名为Jenx的恶意带软件感染的物联网设备发起290Gbps~300Gbps的DDoS攻击,这些DDoS被放在暗网中出租,控制的设备数至少达2.9万台。相似的案例还有Mirai、BASHLITE、Lizkebab、Gafgyt等。物联网智能服务架构更立体、连接更广泛,更严重依赖数据的传递和交换,因此对网络安全性和稳定性的要求更加苛刻。
最后是物联网终端全连接数的指数级增长和接入方式的异构化、泛在化,增加了物联网网络的脆弱性和数据泄露风险。物联网设备经常需要满足实验室、厂房、设备等多场景的连接需求,访问授权或认证机制多种多样,不健全、不规范问题突出。这不仅造成终端自身的服务不稳定,更加重了整个物联网的安全风险。一方面,受攻击后的终端可向行业应用服务平台回传伪造的数据,带来源数据污染风险和数据泄露风险。另一方面,终端之间也存在数据泄露渠道,在同一网段或相邻网段的终端可能会查看到其他终端的信息,比如屋主名字、精确的地理位置,甚至消费者购买的商品等。2018年继爆发出怪异笑声后,美国科技巨头亚马逊的人工智能助手Alexa又被指控窃听、监听用户生活。
提升终端安全能力是关键
物联网终端作为物联网的神经末梢,承担着对物理世界真实信息的采集、模式识别和实体控制功能。同时,终端的通信接入模块将采集到的数据信息传输至决策服务端,并接收决策指令。因此,物联网终端不仅仅是物联网的关键“网关”,同时也是物联网的核心功能模块。物联网终端的安全必然是物联网安全的核心内容。终端自身的传感器失效、信号噪声、通信延迟或中断、断电等都将影响物联网服务。
物联网的开放性(异构接入、弱认证等)和物联网终端弱口令和弱协议普遍存在。一方面,物联网终端应用场景丰富、功能各异,物联网无法提供统一的接入认证机制,必须做到普适、灵活可调整;另一方面,物联网终端受能耗和资源限制,无法构建完整的安全策略(无法完成复杂安全计算或认证等)。无论哪一方面最终都可以归结为物联网终端的异构和多样对物联网整体安全水平的影响,因此加强安全代理/安全网关的使用、标准化终端接入方式、提高终端安全认证等级将是提升物联网安全水平的重要方式。
物联网与人联网的另一个显著区别在于物联网终端所采集和传输的数据特征单一、稳定,对于异常状况可以通过监测技术及时发现和预警。因此,提升物联网安全水平的另一个重要方式是强化物联网终端使用状态监测,实现对威胁事件的及时捕捉和处置。
建设“以端促网”安全生态
物联网安全管理和能力提升需要多方努力、全行业协作。国内外各企业加速布局物联网终端安全产业,积极参与安全生态建设。中国电信、中国移动、中国联通纷纷成立“安全联盟”或“产业联盟”,吸纳传感器、芯片、模组、终端、网络、平台、应用等产业链相关企业,积极打造统一的物联网终端安全连接平台或方案。阿里巴巴、华为、小米等互联网或通信企业也纷纷发布物联网战略,聚集设备生产商、安全芯片厂商、模组厂商、测试实验室等物联网安全产业链的合作伙伴,致力于提升整个物联网产业链的安全能力,为垂直行业提供端到端的物联网安全测试和验证服务,全面构建终端安全能力。
中国信通院安全研究所联合中国移动研究院等多家单位发起成立了“物联网安全创新实验室”,面向物联网产业逾千家芯片、模组、终端等相关企业,共同推动物联网终端安全能力认定及检测、“分级分类”安全管理和“安全代理”等一系列物联网终端安全能力提升策略,并在实践中总结出“以卡促端”“卡端一体”“以端促网”的综合性、一揽子物联网(终端)安全管理方案,致力于物联网终端认证能力提升、终端安全态势感知预警能力建设和全行业物联网安全生态的构建。
从源头到安全终端入手,提升终端安全内核,推动终端安全标准化和体系化发展;从行业到产业联盟入手,推动行业自律和安全生态建设;“技管结合”保障行业健康发展,同时提升行业安全管理能力和执法能力。凝聚“政产学研用”多方力量,“以端促网”构建物联网安全生态,共同打造我国安全、可靠、清朗的网络空间。
作者系中国信息通信研究院安全研究所韩海庭
来源:人民邮电报
