物聯網安全問題淺析

談潘攀

摘要：隨著移動互聯技術、物聯網技術的發展，物聯網的應用越來越廣泛，其安全問題也日漸突出，物聯網中最小的環節遭到攻擊都有可能導致網絡的癱瘓，國家安全，人身財產安全都會遭到嚴重威脅及損失。經過對物聯網的國內外安全現狀的分析，從物聯網體系結構，相關人員，行業標準三方面闡述了物聯網產生安全問題的因素，提出了提高物聯網的安全性的解決方案。

關鍵詞：物聯網;安全;網絡攻擊;體系結構;終端設備

中圖分類號：TP309 文獻標識碼：A

文章編號：1009-3044（2019）30-0034-02

1概述

物聯網（IoT，Internet 0fthings）即“萬物相連的互聯網”，它將各種信息傳感設備與互聯網結合起來而形成的一個巨大網絡，是互聯網基礎上的延伸和擴展的網絡，可以實現在任何時間、任何地點，人、機、物的互聯互通。

隨著移動互聯，人工智能，大數據等技術的發展，連接到互聯網的設備越來越多，小至路由器、日常生活用品，家電f如電視機，冰箱，洗衣機等）大到農業、工業，交通等設備，越來越多的物品都接入了互聯網。據統計，在2009年，聯人互聯網的設備數量不到10億臺，然而，到2015年，設備數量增至154億臺，2019年聯網設備的數量將超過250億臺，預計到2025年將有超過750億臺設備連接到互聯網。物聯網時代即將來臨，物聯網技術已經應用到人們生產、生活的許多方面，并且在未來其應用會更加廣泛及并持續增長。因此物聯網的安全問題是一項必須重視和研究的課題。

2國內外物聯網安全形勢

物聯網的應用十分廣泛，智能家居，智慧城市，智慧農業，智慧工業，智慧交通，智慧醫療等都離不開對其的使用。為了適應各行各業的需求，物聯網技術所推動產生的問題就比較多：如終端設備種類繁多，大小形式功能不一;網絡組網的方式多樣化，有線、無線、藍牙、zigbee、3G、4G、LTE、電力載波等組網形式可以單一也可以異構存在;存儲于云平臺的物聯網所產生的數據就像“寶藏”一樣無時無刻不在誘惑著黑客。在以上各個環節中，最細微的層面遭到攻擊都有可能導致網絡的癱瘓，國家安全，人身財產安全都會遭到嚴重威脅及損失。

有數據指出曾經在一次測試性質的物聯網DDoS攻擊下就導致美國東部大面積網絡癱瘓，包括Paypal、Twitter、Spotify、Netflix等在內的多家知名網站都無法登陸。而該次網絡宕機事件的罪魁禍首之一居然就是很普通的一件物聯網設備一網絡監控攝像頭。2015年11月，香港玩具制造商VTech曾遭遇入侵，近500萬名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬兒童的姓名、性別與生日不慎外泄。不久后，又發現美泰公司生產的聯網型芭比娃娃中存在的漏洞可能允許黑客攔截用戶的實時對話嘲。2017年4月，成都雙流連續發生多起無人機（無人飛行器）黑飛事件，百余架次航班被迫備降或返航，超過萬名旅客受阻滯留機場，經濟損失以千萬元計，旅客的生命安全和損失更是遭到了巨大的威脅嘲。2017年7月，美國自動售貨機供應商Avanti Markets遭遇黑客入侵內網。攻擊者在終端支付設備中植入惡意軟件，并竊取了用戶信用卡賬戶以及生物特征識別數據等個人信息。2017年11月，CheckPoint研究人員表示LG智能家居設備存在漏洞，黑客可以利用該漏洞完全控制一個用戶賬戶，然后遠程劫持LG SmartThinQ家用電器，包括冰箱，干衣機，洗碗機，微波爐以及吸塵機器人。NSFOCUS綠盟科技在《2018年物聯網安全年報》中指出在2018年，攻擊者利用漏洞編寫惡意軟件感染大量物聯網設備、在暗網買賣攻擊服務、肆意發動破壞和勒索攻擊。無論是國際還是國內物聯網安全都面臨著嚴峻的考驗，很多國內外企業，國內國際組織已經將物聯網安全研究提上日程。

3物聯網安全性分析

3.1從物聯網體系結構分析

物聯網是通過各類信息傳感器、射頻識別技術、全球定位系統、紅外感應器、激光掃描器等各種裝置與技術，通過各類可能的網絡接人，實現物與物、物與人的泛在連接，實現對物品和過程的智能化感知、識別和管理。其體系結構大致分為三個層次：感知層，網絡層，應用層。如下圖1所示。

感知層的主要任務是信息感知，實現物體的信息采集、捕獲和識別，主要通過前端控制模塊，傳感器模塊，攝像頭、射頻識別模塊，定位芯片，激光掃描儀等設備實現。這些設備的生產廠商眾多，對安全問題認識不同，而且能力大小不一，采取的安全措施防范程度也不同。設備自身漏洞就較多，因此對于該層的攻擊也會日益增多，比如而該層次就容易遭受物理攻擊、偽造攻擊、資源耗盡攻擊、隱私泄露威脅等嘲。

網絡層的主要任務是高效、穩定、及時、安全地傳輸上下層的數據。是一個異構的網絡，包括了傳統的計算機網絡，通信網、廣電網及各種不斷涌現的新型的接入網和專用網，如傳感器網絡，家居網，個域網、車域網等。因此網絡層的安全問題不僅包括過去傳統網絡的安全問題，而且還包括新型網絡的問題。如異構網絡數據交換的問題，由于網絡協議與技術本身存在安全短板，因此容易受到異步、合謀攻擊等;由于網絡終端數量巨大，且設備防御能力不同，因此更容易發起分布式拒絕服務攻擊等;由于數據處理量巨大，所需的網絡數據處理設備就越多，設備管理更困難，遭受各種網絡攻擊的可能性也就越大。

應用層的主要任務是將底層采集到的信息資源形成與業務需求相適應、實時更新的動態數據庫，為各類業務提供統一的信息資源支撐，實現智能化識別、定位、跟蹤、監控和管理等實際應用，該層實際包括服務支撐層和應用子集層。服務支撐層主要由大量的云計算平臺，信息開放平臺，大數據挖掘與分析平臺等組組成，大量數據存放于這一層，那么數據的秘密性，完整性，可用性及平臺設備的穩定性、可靠性、可用性等都是安全問題。在應用子集層由于操作系統，平臺組件，服務程序等一般都存在自身漏洞或設計缺陷也容易導致各種攻擊，比如未授權訪問攻擊，開放端口攻擊等。

3.2從物聯網相關人員分析

物聯網設備相關可以從三個方面劃分即物聯網產品生產商（包括軟件生產企業，硬件設備生產企業），網絡服務提供商和用戶。物聯網的供應鏈長、碎片化嚴重，產品推陳出新率快，很多物聯網設備生產企業，在產品的生產過程中只是求快求新，根本沒有考慮安全問題，或者安全問題考慮不完善。生產出的產品容易產生安全漏洞，且安全問題一旦產生生產廠商也缺乏相應的處理機制。網絡服務提供商一般由專業的網絡管理人員擔任，能夠提供專業的網絡的管理能力，但是大量的底層感知網絡部分的管理還存在管理人員缺位或者是管理手段或者技術缺失的問題。物聯網產品的用戶千差萬別，對于物聯網產品的應用能力存在差異，很多用戶缺乏專業知識，安全防范意識薄弱，如安全口令設置較弱，物聯網產品不升級，不殺毒等都容易導致安全隱患的產生。

3.3從行業標準層面分析

從目前的物聯網發展情況來看，物聯網產品種類繁多，產品更迭快，物聯網產業并沒有一個統一的技術標準和協調機制，各企業基本各自為政，因此信息安全也正告別傳統的病毒感染、網絡黑客及資源濫用等階段，而邁向了一個復雜多元、綜合交互的新時期。

4安全問題的解決方法

（1）物聯網產品生產過程中安全廠商，物聯網服務提供商等企業部門都參與到整個物聯網產品的設計、實現、生產和升級等環節。各方取長補短，通過從云端安全的頂層設計，到具體產品的安全設計實現、安全測評，安全維護，安全應急措施制定等來保證物聯網安全。

（2）國家推動，企業尤其是大型企業參與，加快物聯網安全行業標準的制定、發布、推廣和修訂，加強和完善物聯網的產品法律法規的建設，從法律層面上規定物聯網產品的需要達到的安全技術標準和規范，約束用戶使用物聯網的行為。在2019年我國27項物聯網安全技術國家標準發布，并且于7月1日期開始實行。該標準涉及物聯網安全的內容包括相關的參考模型及通用要求、感知終端應用安全、感知層網關安全、數據傳輸安全、感知層接人通信網安全。

（3）提高物聯網相關人員的專業水平，包括物聯網工程人員，物聯網管理人員，物聯網設備維護人員，物聯網的開發者;加強物聯網相關企業及安裝單位，使用用戶安全防范意識，有針對性地對不同領域和環節的物聯網參與相關人員進行安全培訓。

（4）政府可以提高扶持力度，要保證物聯網產品的生產企業的產品具有安全性，需要多方參與，一般的企業可能無法承受相關研發費用，這就需要國家通過政策或者資金來扶持，提高企業參與安全設計，安全研發的積極性。

5結束語

物聯網行業的蓬勃發展不僅在推動了社會進步的同時也產生很多問題，安全問題就是其中之一，移動網絡技術的日新月異，物聯網的安全空間已經擴展到了海陸空，所帶來的安全問題日益突出，涉及國家、企業和個人各層面，因此對于物聯網安全的課題研究刻不容緩。