万物互联时代物联网安全如何并行发展？

物联网是信息产业第三次浪潮和第四次工业革命的核心支撑，在与各行各业的深度融合中催生出众多产业及业务，如车联网、工业互联网、智慧电网、智慧城市、智慧农业、智慧医疗、智慧物流、智能家居、智能穿戴等，改变了人们的生活方式，更为人们的日常生活带来了极大便利。当前，全球物联网产业发展迅猛，GSMA发布的《The Mobile Economy 2022》预测，2023年全球授权蜂窝物联网连接数将达到25亿，预计到2030年，全球授权蜂窝物联网连接数将达到53亿。

我国物联网产业发展居全球前列，移动物联网建设全球领先。截至2022年底，我国移动网络的终端连接总数已达35.28亿，其中代表“物”连接数的蜂窝物联网终端用户达18.45亿户，自2022年8月底“物”连接数超越“人”连接数后，“物”连接数占比已升至52.3%。万物互联赋能千行百业，蜂窝物联网终端应用于公共服务、车联网、智慧零售、智慧家居等领域的规模分别达4.96亿户、3.75亿户、2.5亿户和1.92亿户。

随着万物互联时代的到来，我们感受到广泛互联、全域感知、远程控制所带来的方便和快捷，但物联网技术的应用也带来了新的网络安全风险。近年来，针对物联网设备、系统、网络和平台的网络攻击事件不断增多，对个人隐私、企业生产、城市运行乃至国家安全都产生了巨大影响。

物联网安全面临新形势新风险、新挑战

一是物联网设备自身安全隐患突出。物联网设备面临硬件设计缺陷、软件及固件漏洞、身份验证机制缺失等安全风险。厂商为控制物联网设备成本，往往会选择低功耗且廉价的硬件及芯片，这些硬件的计算性能和安全功能往往较弱，无法提供坚实的安全支撑，如无法进行加密处理、不具备防篡改设计等。物联网设备软件代码质量参差不齐，产生大量软件漏洞，常见漏洞包括缓冲区溢出漏洞、命令注入漏洞等，攻击者可以利用这些漏洞远程获取设备控制权，继而发动网络攻击。物联网设备的身份验证、访问控制机制不够完善，导致大量物联网设备可以被匿名访问，甚至被攻击者破解简单口令获取控制权限，如目前大量物联网摄像头存在弱口令被破解后越权访问的问题，极易引发恶意控制、DDoS攻击、数据泄露等安全事件，危害网络关键基础设施正常运行。

二是物联网网络安全保障不足。物联网与传统固网、移动互联网等进行连接，形成多网融合的新型异构网络，在数据采集、数据传输等过程中均面临网络入侵、数据泄露等安全风险。感知层是物联网全面感知的技术基础，主要通过各种传感器收集物体的各类信息，然后通过NB-IoT、3G、4G、5G等接入技术将数据传输至上层。但感知层节点数据庞大、协议多样，且功能单一、计算存储资源有限，无法提供复杂的信息安全保护能力，在数据采集过程中容易受到恶意攻击和破坏，影响系统正常运行。网络层主要负责将感知层采集的数据准确传输出去，但由于物联网网络环境复杂，物联网节点资源有限，数据在传输过程中缺乏加密技术防护，极易遭到中间人攻击。攻击者可以在通信路径中非法获取数据包，直接读取明文数据或修改数据包破坏数据完整性，这种攻击手段易实现但难于防范，会导致大量敏感数据泄露。同时，由于物联网网络边界定义不清，攻击者可以通过伪装成网关或者用户节点的方式接入网络，在获取网络访问权限后针对网络组件和设备发动进一步攻击。

三是物联网数据安全问题频频爆发。物联网基于自身互联属性会产生并共享海量数据，这些数据在存储、使用、共享过程中皆存在大量安全风险。数据存储在安全防护不足的设备及平台时，会直接被攻击者窃取。当数据使用和数据共享过程中缺乏严格访问控制机制时，他人在未经许可的情况下可获取甚至使用用户敏感数据，影响用户正常的生产生活。Unite 42威胁情报团队对美国120万个物联网设备进行监测发现，98%的IoT设备未加密，存在个人隐私及数据泄露风险。近年来，类似的网络安全事件还有很多，如大量家庭摄像头采集的图像被挂在网上出售、智能音箱泄露用户隐私等。

四是物联网平台安全应引起重视。物联网设备与云平台、应用平台之间时时刻刻都在进行数据交互，这些平台一旦被入侵，将导致整个物联网系统遭到破坏。当云平台、应用平台存在软件漏洞或配置错误时，极易引发应用层DDoS攻击造成服务中断。同时，物联网平台也面临代理商安全管理不足、供应链污染等风险。物联网设备供应链复杂，平台如果对供应商的安全控制管理不足，容易在硬件制造和软件开发过程中被植入“后门”，这种“后门”极其隐蔽，在设备交付使用后依然难以发现，一旦启用将造成不可估量的风险。因此，平台管理者应完善供应链监控和安全管理流程以降低风险。

物联网安全风险应对工作推进情况

近年来，中国信息通信研究院在工业和信息化部支持指导下，协同行业相关单位，积极稳妥推进物联网安全风险应对工作。

一是发挥行业组织引领作用，积极推进物联网安全相关标准编制工作。加快构建物联网安全监测标准体系，开展物联网安全监测系列标准研制，推动《物联网流量筛选技术要求和测试方法》《物联网网络安全监测与管理系统技术要求》《物联网网络安全监测与管理系统接口技术要求》《物联网终端网络安全风险分类分级评估方法》等行业标准立项，构建清晰明确的物联网网络安全监测系统技术要求、测试方法等，助力物联网产业良性发展。

二是依托行业网络资源和技术优势，初步构建覆盖基础电信企业物联网基地的安全监测体系。建成政企联动的物联网基础安全接入监测平台，具备采集、监测、研判、响应等功能，已对接三大基础电信企业侧平台，对公共服务、车联网、零售服务等8个行业领域的亿级终端实现监测，形成物联网整体安全态势感知及分析能力。同时，平台建立了物联网漏洞、恶意网络资源、安全规则等威胁情报库，累计积累万余条安全事件规则及恶意资源，具备物联网发展态势、安全态势、专题分析等功能。

三是持续开展专项研究，探索建设物联网安全威胁检测评估技术能力。聚焦物联网感知层、网络层、应用层面临的安全风险，开展物联网安全威胁检测系统效能评估指标体系研究，夯实物联网威胁检测工具及检测方法相关理论储备，积极指导相关企业开展物联网终端产品先进能力评价活动，完善硬件安全、软件安全、网络安全、应用安全和数据安全测评能力，初步形成物联网安全威胁检测评估技术能力。

基于物联网安全风险的思考和建议

一是加快推动物联网安全相关标准研制和落地。开展物联网终端安全、网络安全、平台安全等标准研制，推进物联网家庭网关、网关安全测试标准规范修订，加快构建物联网安全监测标准体系，指导开展物联网产品安全测评工作，引导物联网安全向更加科学化、体系化的方向发展。

二是持续提升物联网安全监测技术能力。构建基础电信企业物联网安全监测技术体系，强化车联网、工业互联网、智慧城市等典型物联网应用场景的流量筛选能力，从监测覆盖度、功能完备度、业务成熟度等方面提升数据上报质量，推进5G物联网安全监测试点建设，不断完善物联网专网网络安全监测体系，提升行业物联网安全态势感知、风险预警、应急处置等综合技术保障能力。

三是加速构建物联网安全检测评估技术体系。建设智能家居、数字生产等典型场景安全仿真验证环境，面向物联网终端、网络、平台等，开展代码安全审计、高危漏洞扫描、访问控制机制验证、数据传输安全测试、网络节点身份认证评估等测评工作，打造漏洞挖掘、模拟攻击、情报收集等技术能力，定期开展物联网安全合规性评估测试活动，及时发现安全风险隐患，促进物联网相关企业增强自身安全防护能力。

四是不断加强物联网安全企业协同创新。聚焦物联网终端安全、网络安全、平台安全的“能力短板”和技术发展方向，增加物联网安全专项资金投入，开展物联网安全创新创业大赛及会议，整合产业上下游资源，凝聚“政产学研”各方力量，培育推广一批物联网安全产品和解决方案，推动提升物联网终端、网络、平台及数据的安全防护水平，促进物联网安全产业高质量发展。