随着物联网终端数量的跳跃式增长,万物互联的时代已经到来。在当前的应用场景中,很多物联网设备在“上云”时处于“裸奔”状态,这就造成了安全防护机制缺乏、用户隐私泄露和系统安全存在风险等严重问题。在万物互联的时代下,提升物联网设备的安全性是当前的重要任务之一。
万物互联时代下的海量连接
在数字化转型时代,物联网已经成为了最重要的互联模式。物联网基础设施与云计算技术的互联“编织”成了无处不在的物联网,而这也让物联网的自动化和设备之间的有效通信成为可能,给用户带来了更高的效率和更低的成本。
作为信息技术发展的重要载体,物联网在多个领域都大有作为。国民技术产品与规划部执行总监钟新利在接受采访时告诉《中国电子报》记者,物联网的应用涉及工业、汽车、安防、医疗电子、通信、智能三表(水电燃气)和智能家居等多个领域,使物与物、物与人的连接变得无处不在。
交通是物联网的重要应用领域。物联网可以将人、车和路紧密地结合起来,因此能够显著地改善交通运输环境,保障交通安全并提高资源利用率。作为智慧交通的细分领域,车联网也是近些年各大厂商及互联网企业争相进入的领域。
安防是物联网的又一大应用市场。传统安防对人员的依赖性比较大,因此非常耗费人力,而智能安防仅通过设备就能实现智能判断。目前,智能安防最核心的部分在于智能安防系统。该系统能对拍摄的图像进行传输与存储,并对其进行分析和处理。
物联网在医疗领域也能够“大展拳脚”。作为数据获取的主要途径,物联网技术能有效地帮助医院实现对人和物的智能化管理。例如,传感器可以对人的生理状态进行监测,而可穿戴医疗设备则可将获取的数据记录到电子健康文件中,以方便个人或医生查阅。与此同时,RFID技术还可对医疗设备和物品进行监控与管理,以此实现医疗设备和用品的可视化。
物联网在多个领域的广泛应用使得物联网的市场规模正在不断扩大。英飞凌科技安全互联系统事业部市场经理成皓表示,到2025年,全球物联网市场将有4万亿美元至11万亿美元的高速增长,而截至2020年,中国物联网的市场规模将达到7500亿美元。
在物联网市场规模迅速扩张的同时,全球范围内物联网设备的数量也在不断增加。相关统计数据表明,全球每秒大约有127台新的物联网设备连接到网络。目前,全世界运行着大约230亿台物联网设备。截至2020年,全球用户采用的物联网设备数量可以达到约300亿台。未来,由于2000亿台或更多的物联网设备将连接到全球互联网,物联网设备数量将呈指数级增长。
终端安全面临六大挑战
海量的互联网设备与云端连接使得物联网成为了网络攻击的目标,而这也使得物联网安全支出在全球范围呈现上升趋势。钟新利向记者介绍,根据Gartner在2018年的调查,近20%的企业组织在过去三年中至少发现过一次基于物联网的被攻击事件。根据相关预测,为了防止黑客等入侵网络,全球物联网安全支出在2020年将达到24.57亿美元,在2021年将达到31.18亿美元。
物联网的云业务平台、管道端和接入物联网的海量终端存在明显的安全隐患。钟新利表示,在实际应用中,物联网的云业务平台经常面临着未授权访问、敏感数据挖取、伪造请求攻击、假冒服务器等安全问题。管道端则面临着中间攻击、数据监听、劫持、数据协议分析等安全威胁。接入物联网的海量终端也面临着可信根提取、固件提取、逆向分析、硬件破解、设备伪造等多种潜在风险。
在众多风险中,物联网终端面临的主要风险来自硬件、固件、通信、数据、应用和数据采集。紫光国微副总裁苏琳琳告诉记者,硬件风险是物联网终端面临的首要风险。如果终端硬件的功耗信息被泄露,黑客就可以通过侧信道攻击来获取终端的敏感信息。黑客也可以通过控制终端侵入网络,进而对整个网络造成影响。
物联网终端面临的第二大挑战来自固件安全,尤其是固件升级过程中的安全。苏琳琳表示,如果固件被黑客刷新、控制,那么黑客就可以劫持或伪造终端,并进入网络。
第三大挑战来自通信安全。“2016年10月,美国最主要的DNS服务商Dyn遭遇了大规模的DDoS攻击,而这导致了Twitter、CNN等数百家网站无法访问。这就是黑客通过控制城市摄像头而发起的攻击。”苏琳琳对记者说。
第四大挑战来自数据安全。苏琳琳表示,当物联网设备,尤其是摄像头、扫地机器人等设备被攻击的时候,终端数据就会被泄露。被泄露的数据如果被不法分子利用,可能会对个人的财产和生命造成严重威胁。
第五大挑战来自应用安全。当部分物联网设备使用开源开发软件时,黑客可能会利用软件漏洞,通过植入木马、病毒等攻击终端。这可能会造成应用失效,甚至病毒感染整个网络等严重问题。
第六大挑战来自数据采集安全。“终端传感器的数据采集是否可信,以及数据是否被攻击者替换也是目前亟待解决的问题。”苏琳琳说。
安全防护多管齐下
面对如此多的安全漏洞,用户对物联网安全的关注度日益提高,国家也颁布了一系列保障物联网安全的政策。27项物联网安全技术国家标准和《中华人民共和国密码法》的出台为物联网安全领域的健康发展提供了重要保障。近期,工业和信息化部办公厅印发了《关于深入推进移动物联网全面发展的通知》,提出要建立健全移动物联网安全保障体系。
在政策的助推下,企业在物联网安全领域纷纷布局。赛普拉斯面向物联网开发者推出了保证物联网安全的方案;紫光国微的THD89芯片在敏感信息加密存储、安全认证等方面提供了完整解决方案,可有效保障物联网的终端安全;国民技术推出了一系列嵌入式应用的安全芯片及安全MCU产品;英飞凌也推出了基于硬件的安全解决方案,以保障物联网设备“上云”的安全性。
目前,基于硬件的安全方案是最佳的解决之道。成皓以英飞凌推出的产品OPTIGA Trust M2 ID2为例介绍了这种安全方案的优势。它能防御针对硬件的攻击和高强度的软件攻击,使用户数据无法轻易被复制和截取。此外,其专用的设计和非标准的代码实现很难被解析,能为系统提供可信根。安全通信和安全固件升级等功能可以更好地为物联网安全“保驾护航”。
AI、边缘计算和区块链等新兴技术的发展能为物联网安全性的提升带来新的机遇。
AI技术能高效地分析物联网中的大量数据,从而更精准地鉴别出潜在的安全问题。赛迪智库无线电管理研究所副所长彭健告诉记者,AI具备强大的信息处理能力,在提高物联设备信息采集和应用效率的同时还能赋予物联网设备相互学习的能力。通过海量、高质量的数据,AI引擎能对信息安全攻击做出实时反应,并提供与安全攻击有关的分析,以此更好地保证信息安全。
边缘计算的发展有望为物联网安全带来新的活力。彭健表示,边缘计算能为物联网带来更智能的服务、更低的交互延迟和更高的安全性。
区块链技术的发展也能提升物联网系统的安全性。彭健表示,区块链的去中心化安全基础设施能提升物联网系统的安全监测控制能力,从而保障物联网系统的安全可信。此外,基于共识机制的分布式管控可以保证物联网策略与行为验证的一致性,以此保障物联网系统的“健壮性”。
围绕物联网安全的防护措施将会更全面。彭健告诉记者,从物联网连接的角度看,未来要实现“从端到端”的防护,包括从终端、通信网络、服务端、应用端到用户端等环节的全闭环安全防护。从防护内容的角度看,未来要形成多维度的防护,包括终端物理安全、数据泄露风险、恶意软件感染、服务质量等多方面的防护。