提升物聯網設備安全性需“內外兼修”

　　◎本報記者 張 曄

　　小到街頭巷尾的監控攝像頭，大到汽車、變電站，在萬物互聯和智能化的時代，物聯網似乎能將一切實體都連入其中。根據中國產業信息網的數據及預測，2019年全球物聯網設備數量已達107億臺，預計到2025年物聯網設備連接數將達到251億臺。

　　然而隨著物聯網的普及，其安全問題也引發了人們的重視。近日，美國網絡安全公司派拓網絡發布報告稱，該公司在日本智能太陽能發電板生產商日本康泰克公司的產品固件中發現了一個嚴重的安全漏洞，可被黑客用于網絡攻擊。此次發現的漏洞和其他20多個漏洞一起構成了派拓網絡所描述的Mirai（米拉伊）僵尸網絡的變體。

　　相較于傳統網絡，物聯網在安全方面存在哪些不足？從此次安全漏洞事件來看，物聯網想要持續發展，還要如何提升其安全能力？帶著這些問題，記者采訪了物聯網安全技術領域專家和物聯網領域相關企業負責人。

　　各種設備都會成為攻擊對象

　　2015年，兩名白帽黑客遠程入侵了一輛正在路上行駛的某品牌汽車，他們利用該車型車聯網接入系統的漏洞，對車輛的方向、油門、剎車、雨刷等進行了遠程控制。當年7月，該汽車生產廠家就宣布召回140萬輛存在漏洞的汽車。

　　類似的事件并非孤例。2016年，騰訊安全科恩實驗室也曾利用安全漏洞對某知名品牌電動汽車進行無物理接觸遠程攻擊，實現了對車輛駐車狀態和行駛狀態下的遠程控制。這一結果也得到了該品牌汽車廠家的確認。

　　這兩起車聯網安全漏洞事件，背后指向的是整個物聯網終端與日俱增的安全問題。

　　2020年，有研究者經過調查發現，僅半個月的時間，針對特定漏洞的物聯網惡意代碼攻擊事件數量就達到了6700萬次，有單個組織對數十萬個IP地址發起攻擊嘗試，超過25%的安全入侵與物聯網設備相關。從路由器到閉路電視攝影機，再到太陽能電池板，各種物聯網設備都存在安全隱患。

　　南京郵電大學物聯網安全專家沙樂天教授表示，目前物聯網安全漏洞帶來隱患主要有用戶敏感信息泄露和惡意代碼植入。前者表現為個人賬號密碼、用戶照片及視頻、用戶語音被竊等，后者則表現為在路由器、攝像頭、智能音箱、智能電視、智能網聯汽車中安裝木馬程序，控制用戶設備。

　　物聯網安全建設面臨挑戰

　　近年來，電腦、手機等互聯網終端的安全防護日趨完善，黑客對它們的攻擊代價越來越大。而由于實體化的物聯網設備發展時間較短，黑客攻擊代價更小，因此針對它們的攻擊逐漸增多。

　　沙樂天指出，物聯網產業擁有產業鏈過長、設備多樣性豐富等特征，如物聯網產業鏈涉及物聯網設備制造、傳感器技術、通信網絡、云平臺、數據分析、應用開發和服務等各個環節，物聯網環境下物聯網設備品牌多樣，通信協議也很多，這就導致體系化的物聯網安全建設難以實現。“物聯網設備還有一個特點是需要持續供電、長期運行，正常情況下不會頻繁開關或重啟，因此出現安全問題后難以實時進行檢測。”沙樂天說。

　　物聯網不同設備和系統的安全性也存在較大差異。南京中科智達物聯網系統有限公司董事長許欣長期從事物聯網通信設備研發，他表示，從連接方式來看，物聯網設備分為蜂窩連接和非蜂窩連接兩類，前者使用移動通信網絡連入互聯網，成本高、安全性也高，目前全球每年約新增4億臺終端，主要集中在智能網聯汽車、電力等領域；而后者通過WiFi、藍牙、Zigbee等連入互聯網，使用開放頻譜資源，成本低、安全性也差，全球約有110億臺終端，大多為智能家居設備。

　　同時，在物聯網的云端、設備端和用戶操作端之間，也缺乏統一的接入標準，這也帶來了黑客攻擊、數據泄露和隱私侵犯等潛在安全風險。

　　沙樂天表示，目前安全問題對于物聯網產業發展的影響非常大。隱私數據的泄露或竊取降低了用戶對物聯網設備的信任，影響物聯網設備的家用化普及。同時，針對物聯網設備的僵尸網絡遠程攻擊愈演愈烈，導致關鍵基礎設施中的物聯網設備使用率下降，極大影響物聯網設備的工業化應用。

　　需完善整體協同防御體系

　　其實，物聯網設備的安全防護并非不堪一擊，但是新型攻擊手段也層出不窮。與此同時，許欣表示，物聯網發展正處于萬馬奔騰的階段，各廠家提供的安全防護套餐也是豐儉由人，大多數只是針對通信端口的安全防護，屬于基礎防護，物聯網整體的協同防御體系并不完善。

　　目前，針對物聯網產品采取的安全保障主要通過“設備端+手機端+云端”的托管模式部署，這樣既可以保證用戶對設備的遠程控制，比如在手機端查看家中的攝像頭視頻圖像；又可以將設備訪問權限的安全問題統一交托給遠程的云控服務器，比如阿里云、華為云等平臺。但從最新的安全漏洞及攻擊事件來看，依然存在仿冒云端或手機端與物聯網設備通信，從而實現對物聯網設備非法遠程控制的安全風險。

　　沙樂天認為，物聯網要想持續健康發展，就應大力提升網絡安全能力，從根本上解決設備端的安全風險。如在設備生產過程中加入入侵檢測或漏洞預警功能模塊，實時檢測設備安全風險，并在發生安全風險時與遠程的云端及用戶手機端進行聯動處置。同時，把物聯網設備的安全管理模式同化到個人電腦終端，盡可能地解決網絡安全的預警、檢測及處置問題。

　　許欣告訴記者，可采取“主動出擊”的方式提升物聯網設備安全性。安全防控不應該是被動的，相關企業、高校和科研院所應展開合作，通過網絡靶場的方式尋找漏洞，研發更安全的產品。

　　相關鏈接

　　獨特安全機制護航物聯網設備

　　與傳統個人電腦終端相比，物聯網設備具有許多特性，其面對的安全威脅和自身的安全性設計都與個人電腦終端有很大不同。針對于此，相關科研人員設計出了一些獨特的安全機制。

　　例如，輕量級加密算法。由于物聯網設備通常都暴露在不安全的物理環境中，且高度依賴于無線方式進行通信，因此加密算法對于物聯網設備來說是一項“剛需”。然而，個人電腦終端等計算設備上常見的密碼學算法在確保高安全性的同時，常常需要消耗數量可觀的算力和能源。輕量級加密算法一方面可確保物聯網設備的安全性，另一方面可降低其對算力的要求。

　　又如，設備指紋。設備指紋是設備的硬件和軟件屬性組成的一串信息。物聯網設備的物理元件并非百分百相同，這導致物聯網設備之間也存在著細微的物理差異，而這種差異恰恰可以作為一種特殊的“指紋”來使用。設備指紋具有唯一性，能夠用于識別和跟蹤設備的行為和活動，是安全風控的底層核心技術保障。