张树红

(国家计算机网络应急技术处理协调中心天津分中心，天津 300100)

0 引言

随着数字时代的到来，物联网技术被广泛应用于公共事业、生产制造、交通、能源、医疗、教育、家居等众多领域。物联网成为影响国家经济发展、社会运行和个人生活的重要技术。预计到2025年,全球物联网总连接数规模将达到246亿。物联网设备大量使用，随之产生的安全问题也不容小觑。

1 物联网安全问题

物联网系统的一般架构主要分为感知层、网络层、应用层3个部分[1]。物联网系统存在许多隐患，任何环节都可能面临安全威胁。总结物联网系统面临的安全问题主要有以下几个方面。

1.1 物理安全

物联网接入海量设备节点，物理安全是首要的基础安全。物联网节点多，其维护检查往往不足。不法分子通过拆除或破坏设备，造成系统不可用。物联网设备若物理防护不足，可直接连接端口、内部组件，进而访问设备和存储数据，甚至连接到整个网络。

1.2 身份认证问题

物联网安全离不开身份认证，它是整个生态系统中各个角色间建立信任的方式，通过身份认证确定其访问权限，实现资源的访问控制。目前常用的身份认证方式有：RFID智能卡认证、用户名/密码认证、令牌、生物认证、双因素身份认证等。目前，物联网系统身份认证方式各异，存在设备跨域认证授权不完善或缺失，初始密码为弱口令或默认用户名密码，未限制用户密码复杂度，无登录失败处理功能，明文传输身份信息，有的甚至无身份认证机制，这些都会给不法分子可乘之机，造成身份信息泄露或篡改等，对系统产生重大危害。

1.3 外部攻击

威胁物联网安全的外部攻击主要包括：僵尸网络、拒绝服务(DDoS)攻击、中间人(MITM)攻击、SQL注入攻击、侧信道攻击、恶意代码等[2]，物联网设备数量庞大，很容易成为攻击载体。不法分子通过攻击、窃听、控制物联网设备或业务网络，对物联网安全造成严重威胁。

1.4 漏洞问题

物联网系统本身存在的漏洞或缺陷，包括：操作系统、应用软件、数据库、协议、设备、操作、管理等安全漏洞[3]。漏洞一旦被不法分子利用，将对物联网系统产生严重后果。

1.5 不安全通信

物联网安全最大的挑战之一是物联网网络通信过程的安全，物联网网络结构复杂，许多物联网设备多采用无线传输方式，信息传输时仅采用简单加密甚至明文传输，传输的数据很容易被窃取、破坏或干扰。

1.6 数据安全

随着物联网应用的普及，越来越多的数据被采集、传输、使用、存储和共享。在数据的全生命周期，隐私数据的保护、数据合法合规的使用和共享也是物联网安全面临的一大难题。

1.7 更新机制

目前相当一部分物联网设备更新机制不健全，存在无更新机制、无法远程更新加固、无法自动更新等问题。用户安全意识淡薄，设备更新不及时。不健全的更新机制将影响物联网设备的升级更新和安全加固，加大安全风险隐患。

2 物联网安全问题带来的危害

物联网技术实现了万物互联，广泛应用于各行各业，促进了社会经济发展，为生产生活带来了极大便利。同时，物联网系统面临的诸多安全问题，可能给国家安全、社会稳定和生产生活带来重大危害。

2.1 国家安全

入侵重要领域物联网系统，危害国家安全。物联网技术应用于诸多领域，有些与国家安全、经济发展息息相关。若不法分子通过入侵相关物联网系统，从中窃取或篡改重要数据，很有可能会危害国家安全和经济发展。

2.2 社会公共安全

攻击社会公共物联网系统，扰乱社会秩序。物联网技术在城市管理、城市监测、公共卫生、公共安全、电力等的应用成果显著，若不法分子攻击相关物联网系统，不仅可以窃取数据，更有甚者会通过控制指令，影响系统的正常运行，严重威胁公众安全。比如交通系统被攻击，有可能引起交通信号灯紊乱，造成交通堵塞，发生交通事故，造成人员伤亡；电力系统被破坏，会严重影响生产、生活，甚至引发安全事故。

2.3 用户安全

窃取用户数据，侵犯用户隐私甚至威胁用户生命财产安全。不法分子通过攻击使用物联网系统的企业或个人用户，获取用户数据，还可能在未经用户授权情况下非法收集、共享用户数据，非法经营或牟利，导致用户数据泄露，侵犯用户隐私，严重的会导致生产经营或生命财产损失。比如在医疗领域，体外物联网工具，如输液泵、患者监控系统，和以无线方式连接的体内植入设备，如心脏除颤器、起搏器等经常被使用，不法分子通过攻击和控制设备，会对患者造成伤害甚至夺去患者生命。

3 应对策略

面对形势严峻的物联网安全问题，必须采取有力举措，增强物联网安全，建议从以下方面采取应对策略。

3.1 加强立法、标准制订和监管

制订物联网领域法律法规，构建完善的标准体系，加大对物联网系统涉及国家安全、社会公共安全、用户安全的保护力度，建立完善的保护机制，规范物联网市场竞争，推动物联网安全水平提升。严厉打击攻击破坏物联网设备和信息系统的不法行为，加强惩处力度。

强化物联网行业监管，完善监管组织体系，加强等级保护、风险检测评估、数据安全保护和个人信息保护等多方面监管。

建立有效的物联网安全监测预警和信息通报机制。建立物联网安全信息收集、分析、监测、预警、风险评估、应急处置、信息通报等工作机制，增强防范和化解物联网安全风险的能力。

3.2 切实履行网络安全主体责任

物联网设备开发商、服务提供商、网络运营商、用户和相关企业应严格履行网络安全主体责任，加强与科研机构、网络安全企业的合作,共同打造物联网安全生态。物联网系统的整个生命周期都要将安全性考虑其中,在物理安全、软件、硬件、通信技术、操作系统、云平台服务、数据保护等方面,不断提升安全技术[4]。

构建有效的安全防护机制，通过认证授权、访问控制、入侵检测、态势感知、防火墙、隔离网络等多种技术手段，保障物联网系统的安全。建立健全设备安全升级、加固机制，及时发现并修复设备和系统漏洞。

技术创新推动物联网安全，研究创新安全高效的加密技术和通信技术，保障信息传输的安全高效。探索区块链、人工智能、IPv6等技术应用于物联网。关键核心技术国产化、自主化，推动物联网领域做大做强。

3.3 提升用户网络安全意识

加强网络安全宣传、教育和培训，企业用户不仅要注重技术安全，也要加强制度管理和人员管理，提升从业人员技能水平和网络安全意识。个人消费者要选择安全性高、口碑好的产品，密切关注设备登陆、设置情况，减少不必要的授权，及时更新升级产品。通过提升网络安全意识促进行业的安全发展。

4 结束语

物联网是一个不断发展的领域，应用广泛，在给社会带来便利的同时，安全威胁也十分严峻，本文分析了物联网的安全问题、可能产生的危害以及应对策略。因此，数字化时代背景下，物联网安全必须被提升到一个更高的位置，只有多方共同协作，才能促进物联网行业健康蓬勃发展，更好地造福人类社会。