物联网智能终端安全对国家安全威胁影响及对策
2021-01-07赵阳
摘 要: 由于防护体系尚不完备、攻防实力对比严重失衡、短板效应作用明显等因素,物联网智能终端安全问题日益突出,且对国家安全产生重要影响。一是个人生物信息恐被窃取利用,二是社会生产生活恐受严密监视,三是国家基础设施恐遭跨网袭击,四是虚拟网络攻击恐变物理杀伤。为此提出加强安全技术研发、建立安全认证制度、规范安全使用管理、完善安全法规体系等对策建议,以应对物联网智能终端安全威胁挑战。
关键词: 物联网 智能终端 国家安全 网络安全
近年来,随着移动通信网络、云计算、人工智能等信息技术的快速发展,面向智能穿戴、智能家居、智能交通、智能办公等应用场景的物联网智能终端也迅速发展起来,广泛进入社会生产生活之中。据中国经济信息社发布的《2019—2020年中国物联网发展年度报告》显示,中国移动物联网连接数已突破12亿,物联网终端设备连接量占全球比重超过60%,已经成为物联网第一大国[1]。然而,与计算机和智能手机等传统终端不同,物联网智能终端种类繁杂、安全防护性弱,普遍存在安全漏洞,已经成为网络安全领域的重灾区,不仅对企业和个人的隐私、财产甚至人身安全构成严重威胁,而且对国家安全也构成了严峻挑战。分析物联网智能终端安全问题的现状及根源,研判物联网智能终端安全对国家安全威胁影响,形成强化物联网领域国家安全的思路办法,是贯彻落实习近平总书记总体国家安全观的内在要求,对有效维护国家安全和社会稳定具有重要的理论价值和实践意义。
一、物聯网智能终端安全问题发展现状
(一)物联网智能终端安全事件多发频发
在物联网行业快速发展的背景下,物联网安全事件频发,据Gartner调查,近20%的企业或相关机构在过去三年内遭受了至少一次基于物联网的攻击[2]。2019年4月,安全研究者披露了可能是迄今最为严重的物联网摄像头安全漏洞,受影响监控摄像头数量超过200万个,来自包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、Sricam、和HVCAM等多个摄像头厂商,该漏洞可能使黑客能够访问监视摄像机,监视和操纵视频源或植入恶意软件[3]。2020年6月16日,以色列网络安全公司JSOF公开了19个严重影响Treck TCP/IP协议栈的0day漏洞(又名“Ripple20”),全球数亿台物联网终端设备,小到家用打印机、摄像头,大到工业控制系统和楼宇自动化设备,都面临被入侵的风险。这一漏洞涉及医疗、航空、运输、家用设备、企业、能源、电信、零售等行业,众多世界500强的公司,如惠普,施耐德电气,英特尔等,都深受其害[4]。2020年12月,美国FBI发布公告称,一些不法分子正在劫持安全性较弱的智能设备,包括具有视频和音频功能的家庭监控设备,进行swatting攻击[5]。
(二)物联网智能终端安全成为研究热点
早在2014年9月,工信部电信研究院发布《2014年物联网白皮书》,预见性地指出,物联网安全将成为未来热点[6]。2017年12月26日,中国首部《物联网智能终端信息安全白皮书》正式发布,至今已连续发布4年。中国学术界对物联网智能终端安全的研究热度也在持续升高,截至2021年3月18日,在中国期刊网以“物联网+终端+安全”收索篇关摘(篇名、关键词、摘要),共获论文2752篇,年度分布总体呈逐年上升态势(如图1所示),其主题包括智能家居、监控系统、车联网、传感器、隐私保护、安全管控等。随着物联网快速发展,其安全问题也引起了相关管理部门的高度重视。2019年7月,全国信息安全标准化技术委员会正式发布《物联网安全参考模型及通用要求》《物联网感知终端应用安全技术要求》《物联网感知层网关安全技术要求》《物联网数据传输安全技术要求》《物联网感知层接入通信网的安全要求》等5项国家标准。2021年1月,工信部就《物联网基础安全标准体系建设指南》(征求意见稿)公开征求意见,提出到2022年初步建立物联网基础安全标准体系,到2025年推进形成完善的物联网基础安全标准体系[7]。
(三)各国高度重视物联网智能终端安全
万物互联时代的智能终端安全威胁,已经从单一的信息安全扩展到民生安全、经济安全、城市安全、社会安全乃至国家安全[8]。2016年10月,美国域名解析服务商“动态网络服务公司”的物联网设备被“未来”恶意软件攻击,导致美国主要公共服务、社交平台、民众网络服务瘫痪。为此,美国国土安全部紧急于2016年11月15日发布了《保障物联网安全战略原则(1.0版)》,其部长杰伊·约翰逊表示,“保障物联网安全已演变为国土安全问题”[9]。2018年10月,英国政府针对物联网设备制造商发布了一项新的自愿行为准则,旨在确保智能家居设备、智能摄像头、可穿戴设备和联网玩具等物联网终端设备免受外部攻击和数据泄露[10]。2020年9月3日,澳大利亚政府发布《实践准则:为消费者保护物联网》,提出“实施漏洞披露策略”“确保实施个人数据保护”“确保通信安全”等13项基础原则[11]。2020年9月14日,美国众议院通过了《2020年物联网网络安全改进法案》,明确终端设备安全性是对国家安全的新兴挑战,要求将终端设备引入美国联邦政府使用前必须解决网络安全问题[12]。2020年11月,欧盟网络安全局发布了《物联网安全准则》,涵盖了整个物联网供应链,包括硬件、软件和服务的整个物联网生命周期,为构建、部署和评估物联网技术提供安全指南[13]。
二、物联网智能终端安全问题主要根源
(一)防护体系尚未形成
在系统层面,传统的互联网安全防护体系是建立在Linux和Windows两类系统之上的,而由于物联网终端设备往往追求小型化、轻量化甚至迷你化,导致其电源、性能及相关硬件资源极为有限,只能采用UClinux、Freertos、Openwrt等嵌入式操作系统[14],有的甚至是非标准的定制系统,致使传统网络终端安全方案无法与其适配;在协议层面,目前物联网普遍使用ZigBee、NB—IOT、45G等通信协议[15],这些协议在互联网上很少使用,传统网络安全策略也难对其有效覆盖;在应用层面,物联网智能终端的应用程序不仅要与云端通信,甚至要与其他设备直接进行数据交换,整个应用链路需要多重安全管理,如设备身份认证、硬件加解密、OTA升级等,环节越多风险越大;在数据层面,物联网智能终端应用场景会产生大量数据,比如生物信息数据、用户行为数据、运动轨迹数据、地理环境数据等等,这些数据的产生、存储、传输、处理、应用等过程涉及用户、设备和云端资源的复杂交互,建立完整有效的防护策略和安全架构,防止数据被恶意盗采、泄露、篡改、销毁,是对物联网智能终端安全的重要挑战。
(二)攻防实力对比失衡
首先,由于物联网智能终端设备种类繁杂,更新速度快,缺乏完整的共用安全体系,尤其是对新型产品而言,其安全防护开发需要企业独立承担,这对于初创期的中小企业而言是一项巨大的附加成本。据国家信息安全漏洞共享平台(CNVD)公布的数据显示,所有物联网终端中,80%的设备存在隐私泄露或滥用风险,80%的设备使用弱密码,70%的设备的网络通讯没有加密,60%设备的web界面存在漏洞,60%设备的软件更新未做加密[16]。其次,大部分物联网智能终端设备源于对传统电子电器设备的智能化改造,例如智能电视、智能冰箱、智能照明等,相关企业往往重点关注“物联网+”对其产品的赋能作用,但却忽视了随之而来网络安全问题,或者说在安全观念和技术能力上无法满足安全防护要求。例如,根据网络安全公司Palo Alto Networks研究显示,医院中83%互联网医学成像设备运行在过时的软件上,即使这些软件包含黑客可以利用的已知漏洞,也无法更新[17]。最后,反观网络进攻一方,全球的网络黑客已经将目光聚焦到数以亿计的近乎于“裸奔”的物联网智能终端设备上,通过入侵这些网络终端设备窃取数据、传播病毒、发起网络攻击等。根据NETSCOUT在2018年下半年发布的威胁情报报告显示,物联网设备一旦连接到互联网就会受到攻击所需的平均时间仅为五分钟[18]。
(三)短板效应防不胜防
物聯网是传统互联网的一种延伸和拓展。然而,以计算机为主要终端的互联网,其网络行为主体主要是人,计算机只是人的行为工具;而物联网中的行为主体则主要是各种智能设备,这些设备普遍具有自主能力,可以通过物联网自主进行设备间的信息交互和操作控制。类型多样、规模巨大的网络终端链接成一个庞大的、动态的、复杂的物联网系统,任一接入这一系统的智能终端都会对整个物联网以及互联网产生安全影响,任何微小的节点都有可能成为发动网络攻击的起点,终端设备的“技术最短板”决定了整个物联网的“安全水位”。例如,2017年北美一家赌场遭受一起网络攻击,黑客利用该赌场的一个连接互联网的智能鱼缸,入侵到赌场内部网络,找到了网络中的其他漏洞,从而对系统进行攻击,并利用鱼缸把赌场数据传回位于芬兰的一台设备[19]。当前,许多物联网智能终端设备制造企业尚在消费级物联网部署的初期,都会将安全性作为低优先级的考虑因素,很难付出额外的精力投入在安全能力研发上,更不会考虑具体产品如何与整个安全系统对接,致使安全漏洞频出,严重拉低了整个网络的安全水平。
三、物联网智能终端安全对国家安全威胁影响
(一)个人生物信息恐被窃取利用
目前,大多数物联网智能终端设备都使用了生物身份识别技术进行用户登录和设备管理。与传统口令密码不同,指纹、声纹、人脸、虹膜等生物信息具有唯一性,且不可更改,一旦被窃取,其后果不可逆转。2019年,在一个名为“Genesis”的网络犯罪市场上,有6万多组全数字指纹被公开销售[20];2021年2月26日,公安部发布信息称,2020年全国破获窃取和贩卖人脸数据案件22起,抓获犯罪嫌疑人60名[21]。个人生物信息一旦出现大规模失泄,犯罪分子和敌对势力便可利用其接管相关设备和网络,不仅个人人身财产安全受到威胁,更关键的是,金融、电信、能源、交通、医疗等所有涉及网络和终端设备的领域都将面临巨大安全挑战,并由此可能引发社会恐慌。
(二)社会生产生活恐受严密监视
物联网智能终端数据采集能力非常强,小到智能手表、智能眼镜、智能话筒,大到智能汽车、无人机,都配置有图像、声音、位置等信息采集功能。这些智能终端及其数据一旦失管失控,它们将成为敌对势力的“千里眼”和“顺风耳”,我生产生活将遭受严密监视。2019年7月,安全研究人员发现,亚马逊、谷歌和苹果的智能音箱存在严重的隐私侵犯问题,一份安全报告甚至披露亚马逊雇佣了数千名审计员来收听智能音箱Echo用户的语音记录[22];2019年12月,浙江温州警方破获了一起非法控制家用摄像头案,数十万只家用摄像头遭破解,用户隐私惨遭泄露[23];当前,众多新型汽车安装有GPS、摄像头、雷达等传感器,在行驶过程中实时采集道路以及周边的环境信息,据不完全统计,特斯拉汽车自动行驶一天,将有3.9G数据上传至海外服务器[24]。显然,物联网智能终端的广泛使用已经对国家安全保密工作产生严重冲击。
(三)国家基础设施恐遭跨网袭击
关系国计民生和公共安全的国家基础设施历来是敌对势力攻击的重点。2019年3月,委内瑞拉遭受网络攻击,包括首都在内的18个州电力中断,持续超过24小时,导致地铁无法运行和大规模交通拥堵,机场、医院、移动网络等基础设施均受到极大影响[25]。2019年4月26日,黑客袭击了色列国家供水系统,致使数百台机器同时崩溃,并企图将水氯含量提升到危险水平[26]。当前,我国金融、电力、水利、铁路、航空等基础设施的运行、管理和控制已经实现信息化和网络化。随着智能化的发展,这些领域越来越多地开始使用一些新型物联网智能设备,也越来越多地出现个人物联网智能终端被带入工作场所甚至接入工作网络的情况。这些安全性较低的智能终端,无疑是网络防护“大堤”上的“蚁穴”,成为敌对势力对我核心网络和关键系统进行入侵攻击的通道和跳板,对国家安全构成重大威胁。
(四)虚拟网络攻击恐变物理杀伤
连接互联网的物联网智能终端在成为网络空间新门户的同时,也成为了通过虚拟世界操控物理世界的新媒介。2020年7月,腾讯发布研究报告称,黑客可远程控制设备充电行为,造成元器件烧毁甚至爆炸等严重后果,影响全球数亿台相关终端设备安全[27];2020年9月,以色列推出新型反无人机系统,可以入侵目标无人机控制网络,“接管”其飞行活动和攻击行为[28];2020年10月,研究人员成功演示通过入侵广告牌来误导特斯拉自动驾驶汽车发生碰撞[29]。从智能医疗器械、智能交通工具到智能制造装备、智能工业机器人,物联网智能终端作为物理实体,普遍具备威胁人身安全、破坏生产生活的潜在能力。物联网智能终端设备一旦成为敌人对我实施远程攻击的武器,并从体系内部对我核心部位进行物理打击,其对国家安全的影响将极其严重。
四、维护物联网智能终端安全的思路举措
(一)加强物联网智能终端安全技术研发
强化计算、存储等通用芯片自主可控,尤其要提升安全芯片、通信射频芯片和身份识别芯片等核心安全部件的国产化水平,确保底层硬件安全;发展物联网智能终端操作系统安全验证、分级控制和漏洞检测技术,加紧传感器访问控制、外围接口管理、移动通信加密等技术研发,确保应用层软件安全;加强物联网智能终端数据防护,创新本地用户数据访问管理技术,强化云端用户数据安全与隐私保护,确保信息层数据安全。
(二)建立物联网智能终端安全认证制度
针对不同智能终端类型的安全风险特点,按行业分领域细化安全能力要求和安全检测标准;设立智能终端安全认证权威机构,负责相关产品的安全测试、鉴定和认证管理;实施安全风险一票否决制度,对未获安全认证许可的智能终端设备一律禁止销售、使用;推动安全认证由终端产品向供应链上游发展,系统防范安全风险链条;建立认证标准、检测手段、等级管理、产品清单等动态发展机制,不断完善安全认证体系。
(三)规范物联网智能终端安全使用管理
严格规定党政军核心涉密人员、院校企业科技研发人员、重要基础设施运行维护人员等使用智能终端保密要求;对政府机关、军事单位、涉密企业、科研机构等采购、使用智能终端设备施行安全等级管理和备案审查;完善重大活动安全保密制度,加强对活动现场音视频设备的安全检查,严禁人员佩戴智能手表、智能眼镜、智能耳机等设备参加涉密活动;建立涉密单位智能设备全生命周期安全管理制度,定期进行安全检查和升级维护。
(四)完善物联网智能终端安全法规体系
抓紧制定《智能终端安全管理条例》,加大对利用物联网智能终端实施违法犯罪和威胁国家安全行为的惩处力度,明确设备生产企业和销售商对维护智能终端安全的法律义务,规范智能终端管理部门和使用单位的安全管理职责。在国家安全法、网络安全法、保密法等法律法规中增加物联网智能终端安全相关条款,对违规使用智能终端致使国家安全利益遭受重大损失的行为,可按危害国家安全罪或危害公共安全罪论处。
习近平总书记多次强调,没有网络安全就没有国家安全,网络安全和信息化对一个国家很多领域都是牵一发而动全身的[30]。随着移动通信、人工智能等信息技术的持续进步,人类在智能化发展的道路上将不断前进。物联网智能终端作为智能化应用的重要载体,必将得到快速充分的发展。然而,作为互联网的应用和延伸,物联网及其终端设备的安全性对互联网安全构成直接影响,对国家通讯、电力、交通、军事网络、金融系统以及核电站等关系国计民生的重要部门和行业构成严重威胁。见微知著,未雨绸缪。要站在维护国家安全的战略高度,运用技术、管理、法律、制度等多种手段,强化智能终端安全管控,提升物联网安全水平,筑牢国家网络安全防线,为国家智能化建设发展奠定坚实的安全基石。
参考文献:
[1]曹文忠.2019—2020中国物联网发展年度报告[R].无锡:中国经济信息社,2020.
[2]网易.2021年全球物联网行业市场现状与发展前景分析——行业进入快速发展期[EB/OL].https://www.163.com/dy/article/G0KBAFM8051480KF.html,2021—01—18.
[3]安全牛.2019年十大物联网安全事件[EB/OL].https://www.aqniu.com/news—views/60595.html,2019—12—27.
[4]绿盟科技,CNCERT网络安全应急技术国家工程实验室.2020物联网安全年报[R].北京:国家互联网应急中心,2020.
[5]搜狐网.美国FBI警告恶作剧者正在劫持智能设备直播虚假报警事件[EB/OL].https://www.sohu.com/a/441575721_100191015,2020—12—31.
[6]中广互联.物联网安全将成为未来热点[EB/OL].https://www.tvoao.com/a/170028.aspx,2014—09—04.
[7]光明网.物联网基础安全标准体系初建[EB/OL].https://m.gmw.cn/baijia/2021—01/22/1302062015.html,2021—01—22.
[8]中国新闻网.世界智能大会观察:万物互联开始进入大众生活[EB/OL].https://baijiahao.baidu.com/s?id=1600819095873368148&wfr=spider&for=pc,2018—05—19.
[9]搜狐网.美国断网事件26天后发布保障物联网安全战略原则[EB/OL].https://www.sohu.com/a/119339478_257305,2016—11—18.
[10]杨继伟. 英国推出世界首个物联网操作守则[J].信息安全與通信保密,2018(11):10—10.
[11]搜狐网.澳大利亚政府发布了自愿的物联网网络安全行为准则[EB/OL].https://www.sohu.com/a/416286063_120114566,2020—09—03.
[12]中国国防科技信息中心.美国众议院通过《物联网网络安全改进法案》[EB/OL].https://www.sohu.com/a/418596001_313834,2020—09—15.
[13]搜狐网.ENISA发布物联网安全准则[EB/OL].https://www.sohu.com/a/431334421_490113,2020—11—12.
[14]李运喜.物联网环境下嵌入式操作系统技术特性研究[J].航空计算技术, 2018,048(006):82—85,90.
[15]杨伟,何杰,万亚东,等.物联网通信协议的安全研究综述[J].计算机科学,2018.
[16]赛迪网.物联网技术发展飞速 安全问题却成拦路虎[EB/OL].https://www.afzhan.com/news/detail/65941.html,2018—03—28.
[17]网易科技.报告称美国83%联网医疗成像设备易受黑客攻击[EB/OL].https://www.163.com/tech/article/F7MIUBIL00097U7R.html,2020—03—14.
[18]章继刚.NETSCOUT Arbor:DDoS攻击形势不容乐观[J].网络安全和信息化,2018,30(10):18—18.
[19]搜狐网.黑客通过智能鱼缸攻击赌场[EB/OL].https://www.sohu.com/a/162823230_680672,2017—08—07.
[20]搜狐网.超60,000用户的全数字指纹在网络犯罪市场出售[EB/OL].https://www.sohu.com/a/307006355_804262,2019—04—10.
[21]法制网.重拳出击,公安破获22起窃取贩卖人脸数据案[EB/OL].http://www.sdjubao.cn/news/3832.html,2021—02—26.
[22]新浪财经.继亚马逊之后,谷歌智能音箱也曝出隐私问题[EB/OL].http://finance.sina.com.cn/roll/2019—07—14/doc—ihytcitm1875668.shtml,2019—07—14.
[23]澎湃新闻.温州破获非法控制摄像头案,数十万只家用摄像头遭嫌疑人破解[EB/OL].https://baijiahao. baidu.com/s?id=1652704666584798531&wfr=spider&for=pc,2019—12—12.
[24]腾讯网.特斯拉危害我国数据安全吗?[EB/OL].https://xw.qq.com/amphtml/20210218A016XF00,2021—02—18.
[25]搜狐网.警钟长鸣!委内瑞拉再遭网络攻击大规模停电[EB/OL].https://www.sohu.com/a/300500333_781333,2019—03—11.
[26]腾讯网.以色列智能灌溉系统遭遇网络攻击[EB/OL].https://new.qq.com/omn/20201031/20201031A0EJQI00.html,2020—10—31.
[27]科技日报.小心!快充设备也会被黑客入侵,甚至爆炸[EB/OL].https://xw.qq.com/cmsid/20200727A0MO MH00,2020—08—02.
[28]解放军新闻传播中心.“接管”对方在空无人机[EB/OL].https://baijiahao.baidu.com/s?id=16816895458 26444645&wfr=spider&for=pc,2020—10—27.
[29]新浪科技.安全研究人员演示如何通过入侵广告牌来误导特斯拉Autopilot发生碰撞[EB/OL].https://finance.sina.com.cn/tech/2020—10—16/doc—iiznezxr6254919. shtml,2020—10—16.
[30]習近平:总体布局统筹各方创新发展 努力把我国建设成为网络强国[EB/OL].http://cpc.people.com.cn/n/2014/0228/c64094—24488180.html,2014—02—28.
〔本文系国家社科基金军事学重点项目“全球公域竞争下的科技安全问题研究”(项目编号:2020—SSJJ—B—28)阶段性成果〕
(赵阳,国防科技大学国防科技战略研究智库)