物聯網安全存在的挑戰及商業模式分析

繆翀鶯　李麗　張玉良　周麗莎

摘要：如何實現物聯網安全成為產業發展的重要命題，因此從物聯網安全的互依賴性、泛在性、感知帶來的透明性等產業特性出發，從商業角度探討和分析了物聯網安全存在的挑戰，并總結出基于大數據的商業模式。

關鍵詞：物聯網安全 大數據 信息安全

1 引言

隨著終端智能化的發展，越來越多的終端設備接入了網絡，物聯網得到了快速的發展。根據Gartner的2015年報告預測，2020年全球可傳感設備達到2120億個，接入物聯網的設備數量將高達300億個。如此巨大的接入終端將帶來了極大的安全隱患，近年來不斷曝光的攻擊數量逐年增加也印證這一點。同時，汽車（如Jeep）、智能家居（如Nest恒溫系統）等涉及人生命安全的終端受到攻擊，提醒了人們物聯網安全的后果嚴重性，人們開始真正關注物聯網的安全問題。

惠普公司近日對市場上最流行的10種物聯網智能設備進行檢測后，發現幾乎所有設備都存在高危漏洞，這些漏洞包括弱密碼、DDoS漏洞、心臟出血漏洞以及和跨站腳本漏洞等，其中80%存在隱私泄露或濫用風險，80%允許使用弱密碼，70%的設備與互聯網或局域網的通訊沒有加密，60%的Web界面存在安全漏洞，60%的下載軟件更新時沒有使用加密。

面對不斷暴露的安全問題，從芯片廠家到設備提供商到服務提供商紛紛開始檢討自己的物聯網產品或服務的安全性，并探討通過技術手段的解決之道，希望能一勞永逸地解決問題，但是發現問題并沒有這么簡單，而這很大程度與物聯網自身的特性相關。因此本文接下來將對物聯網安全存在的挑戰及商業模式進行分析。

2 物聯網安全的特性

與互聯網主要是人與人的聯結不同，物聯網主要是設備與設備的聯結。這些設備大都部署在無人監控的環境下，且資源受限，防護簡單，極易受到攻擊和破壞。同時物聯網具有將虛擬世界和現實世界相融合的功能，且數量龐大、設備集群、情況復雜，致使物聯網安全呈現出以下特征：

（1）互依賴性：在物聯網中芯片和設備實體融合在一起，物理基礎設施與IT軟件整合在一起，呈現出一種虛擬空間與實體空間相互滲透交錯的互依賴性，造成了其不安全效應呈現一種骨牌效應，會不斷放大。當這種骨牌效應被網絡戰爭利用時，戰爭的面貌就會從大規模毀滅到大規模癱瘓轉變。

（2）泛在性：物聯網場景中的實體均具有一定的感知、計算和執行能力，因此物聯網的任一環節都可能存在安全隱患，遭受安全攻擊，這種安全攻擊即可能來自于網絡犯罪、勒索軟件以及身份盜用等外部威脅，也可能來自于不健壯的身份認證/授權、未受保護的文件存儲以及操作系統等存在的內部漏洞。安全問題延伸到人和各種領域，無所不在。

（3）感知帶來的透明性：物聯網體系的一切都將暴露在無線感知狀態下，其中人類的日常生活、生產活動、家庭用品、交通工具、生產活動以及國家的軍事活動、商業活動等一切都處于被感知環境中，整個社會的運轉幾乎是透明的，帶來更廣泛更容易的從個人到國家各層面的安全威脅。

在這種特性下，物聯網安全的產業生態結構也發生了變化。行業生態由客戶位于末端的線性模型轉變為客戶居中、生態組成者圍繞四周的環狀模型（如圖1所示）。在這個環境中，產業生態中的每一個成員都可能是帶來安全隱患的主體，都將為物聯網安全負責。

3 物聯網安全存在的挑戰

物聯網安全的骨牌效應和泛在性使得依靠傳統的孤立地采用一種或幾種安全產品或技術部署在局部范圍內，來識別和發現體系中的安全事件的方式已經遠遠不能保護物聯網的安全。物聯網安全有賴于整個產業的認識和真正的聯合，共同采取措施，全面部署。雖然物聯網安全將成為阻礙物聯網規模化發展的重要障礙已經成為產業各方的共識，但是物聯網安全產業依然面臨著巨大的挑戰。主要表現在：

（1）在企業客戶層面，雖然調查顯示超過90%的企業對物聯網安全表示關注，但是真正采取措施的少之又少。一則由于企業自身缺乏有效的管理手段，二則由于企業在物聯網安全上的預算仍然很有限，不到整個IT安全預算的10%。據AT&T在物聯網方面的報告顯示，在被調查的公司中，只有14%的企業設置了正式的審計過程，以了解他們的設備是否安全；只有17%的企業在做決策時會圍繞物聯網的安全問題進行討論。

（2）在提供商層面（包括設備提供商、網絡提供商、服務提供商等），快速推出物聯網產品搶占市場先機的利益驅動促使安全問題被有意無意地自動忽視。物聯網的快速發展為開發供應商帶來了巨大的發展潛力，在這種利益驅動下，各種提供商和企業都希望成為市場的先行者，獲得明顯的競爭優勢，紛紛迫不及待地推出自己的物聯網方案或產品。這種重視投放市場的速度而輕視產品實質的產品理念，促使了對安全問題的忽視。

（3）在安全技術和產品開發層面，雖然Gartner提出的2017～2018年的IoT十大技術中，IoT安全居于首位，但是物聯網安全產品仍然處于缺失狀態。據市場研究公司Forrester發布于2016年初的研究報告顯示，物聯網安全還處于初步階段，遠遠落后于物聯網硬件和網絡技術和產品，滯后于物聯網的軟件，目前市場上還沒有出現相應的成熟產品。同時由于缺乏規模商用，目前安全方案實際還停留在技術驅動層面，和用戶的實質安全需求存在脫節。業界開始出現符合生活方式的安全的呼聲。

（4）在商業模式層面，雖然物聯網安全存在可觀的市場空間增長，據市場研究機構Gartner預測，物聯網安全支出在2014年到2018年之間成長了近一倍，由2.32億美元增加為5.5億美元；2020年之后的物聯網安全性支出將會更明顯快速成長。但是由于物聯網安全的互依賴特性，由誰買單成為爭議點。最終使用者認為安全應由服務提供商保證而不愿意付出額外的支出，傳統的依靠銷售安全產品直接盈利的商業模式有點舉步維艱。除了低預算，仍在初始階段尚未規模商用的物聯網布建也為安全性服務提供商帶來了挑戰。

可見，推動物聯網安全的發展需要產業各方都參與到一個整體的系統的安全工程中，通過更加創新和協作來適應不斷變化的威脅環境。其中，商業模式是物聯網安全良性發展的重要推動因素，尋找符合各方利益的商業模式成為進一步發展的關鍵。

4 物聯網安全商業模式分析

物聯網安全的總體需求主要是物理安全、信息安全（包括采集、傳輸、處理和存儲等安全的綜合），安全的最終目標是確保信息的完整性、真實性和隱秘性等。由于大數據可以有效地通過分析數據的規律性，及時動態發現異常變化，已經逐步應用到物聯網安全領域。通過對各種設備和系統所產生的海量日志信息等和安全相關的海量數據的自動收集、處理以及分析挖掘，可以監測終端與系統的安全運行，尋找漏洞，發現攻擊；并通過數據融合和機器學習實現體系的安全態勢預知和攻擊的自動發現和防護。

大數據技術的引入也帶來了新的商業模式。提供商和企業可以通過對收集到的海量數據的再利用實現新的服務模式和盈利來源，例如通過大數據的引入衍生出了安全裝備提供、網絡配套提供、數據獲取服務、數據分析服務以及數據直接變現等方面的收益，如圖2所示。

當然，大數據成為物聯網安全領域的的盈利來源不是一步到位的，需要經歷一個逐步演變成熟的過程，如圖3所示，整個過程開始于對連接設備的數據可視化觀測，然后根據所獲取的數據類型和規模，通過建模分析以及機器學習各種手段，逐步實現設備安全的反應性監測、系統安全的行為監測、業務安全的預測監測，從而產生新的服務模式實現商業模式創新。

5 結束語

物聯網的安全不是一個孤立的事件，需要各方攜手共同面對。包括芯片廠家、智能設備廠家、電信運營商、云服務提供商、行業客戶等在內的物聯網產業成員已經開始組成安全聯盟，統一制定安全標準和規則。針對產業角色，提出對應的安全指南，嘗試防護前置，在初始設計階段就嵌入安全配置，包括硬件、固件、軟件和服務等層面上的設計。采用大數據手段開展數據監測和數據服務，將物聯網安全融入物聯網建設，推動物聯網商用生態體系的構建和完善。

參考文獻：

[1] 桂小林. 物聯網信息安全[M]. 北京： 機械工業出版社， 2014.

[2] AT&T. The CEOs Guide to Securing the Internet of Things， Exploring IoT Security AT&T Cybersecurity Insights Volume 2[Z]. 2016.

[3] Gartner. Top 10 IoT Technologies for 2017 and 2018[EB/OL]. [2016-10-24]. http：//www.gartner.com/webinar/3435117？fnl=rec&srcId=1-3478922244.

[4] Forrester. Internet of things security years away from being fully baked[EB/OL]. [2016-10-24]. http：//www.zdnet.com/article/internet-of-things-security-years-away-from-being-fully-baked-says-forrester/.

[5] 畢馬威. 網絡安全與物聯網生態白皮書[R]. 2016.

[6] Steve Surfaro. ROI Reinvented： The New Business Models for All Things Security[EB/OL]. （2016-07-07）. http：//www.sdmmag.com/articles/92569-roi-reinvented-the-new-business-models-for-all-things-security.

[7] Beecham. IoT Security Threat Map： A new view of attacks and essential defences[Z]. 2016.

[8] Internet of Things Security Foundation. Make it safe to connect： Establishing principles for internet of things security[Z]. 2016.

[9] Craig K Harmon. The Top 10 Challenges for the nternet of Things （IoT）[Z]. 2014.

[10] Joos Cadonau. Industrial IoT Solutions[EB/OL]. [2016-10-24]. http：//www.iquestgroup.com/en/services-solutions/industrial-iot/.

[11] 張愛清，葉新榮，謝小娟，等. 蜂窩網絡下終端直通安全通信關鍵技術研究[J]. 無線電通信技術， 2015，41（3）： 6-11.★