2016年物联网安全真相如何？且看这份报告怎么说

引子

2017年伊始，匡恩网络发布了《2016年度物联网安全研究报告》。在此之前，我们已经见过多份国内外的物联网安全研究报告。那么，这份研究报告究竟有哪些新鲜干货，且让我们来捋一捋。

[[182309]]

粗观研究报告

该研究报告从概念、架构、安全现状、相关技术和发展趋势等方面进行了阐述。

首先是概念和架构，这部分内容与之前其他研究报告区别不大，包括感知层、传输层、处理应用层的三层架构。其次是相关产业发展情况部分，研究报告中分享了2016年物联网产业界发生的新变化与新气象。

研究报告中，在物联网安全架构部分，对物联网各层的安全特征进行了阐述，提出新观点。例如对于感知层安全技术，该研究报告强调感知层安全应从设备安全、计算安全、数据安全和通信安全等方面进行保护。

值得注意的是，研究报告从不同行业看物联网安全发展现状，这也是该研究报告区别于其他研究报告的区别之一。研究报告中分析的物联网行业涉及智慧交通、智慧水利、智慧管网、智慧农业、智慧城市等与国计民生密切相关的行业，对上述行业关键技术发展和落地情况进行了阐述分享。

研究报告特别对工业物联网安全现状进行分析，剖析了工业物联网与其他网络之间的关系，分析了工业物联网不同逻辑层的安全问题，介绍了一些工业物联网安全保护技术和相关法规。

在物联网安全保护技术部分，分别针对物联网架构中的不同逻辑层，即感知层、网络传输层和处理应用层，阐述了物联网安全相关技术。这部分许多内容多为初次所见，例如在网络传输层，除了介绍互联网、移动网络(2G、3G、LTE、5G)外，专门介绍了为物联网打造的低功耗广域网(LPWAN)，这是一种新的无线传输模式，将在物联网产业中发挥重要作用。

细侃工业物联网

仔细研读研究报告，发现与其他物联网安全方面的研究报告有很多方面的不同。其中一个重要区别，就是对工业物联网安全的论述。

什么是工业物联网呢?研究报告指出：“工业物联网是所有工业物联网相关行业的统称，包括生产系统物联网、运输系统物联网、监控和管理系统的物联网等。因此，工业物联网是物联网技术与工业生产、加工、运输过程的高度融合，将工业生产系统、工业监控系统、工业管理系统、物资运输系统、消费反馈系统等融为一体，通过数据中心的智能处理，提高工业生产效率，实现多品种少批量;提高产品质量和用户满意度，使工业生产效率更高、费用更低、产品质量更高、客户满意度更高”。

研究报告，进一步明确了物联网、工业物联网、互联网和工业互联网四者关系。从研究报告给出的关系图中，物联网涵盖的范围最广，所有互联网和工业物联网都是物联网的子集。另外，工业互联网是工业物联网与互联网的交集。这个逻辑关系，业界可能存在不同看法，特别是对工业互联网的理解。其实，工业互联网至今也没有明确概念，甚至没有明确边界。我们所见到的有关工业互联网的描述也各不相同。

研究报告进一步描述了工业物联网的三个逻辑层，并把这三个逻辑层分别称为数据采集层、数据传输层、数据处理层，并给出了与通用物联网架构的对应关系，如下图：

进一步解读我们发现，工业物联网的数据采集层，其实主要是工业生产网络，而工业生产网络的安全保护是非常重要的。可以说，工业物联网的安全核心是数据采集层的安全保护。传统上，我们认识的工业物联网数据采集层就是工业控制网络，如DCS，SCADA等。对工业物联网系统，研究报告还提出了独立监控网，这似乎是一种针对工业物联网系统安全防护的新思路。

对工业物联网系统的漏洞分析，也是该研究报告区别于其他物联网安全相关研究报告的重要内容。研究报告分析表明，在web方面，很多软件为了实现通过浏览器控制管理的功能，自己实现了WEB服务器。研究发现这些不同软件实现的WEB服务器几乎都存在安全漏洞，各类漏洞的统计分布情况如下图所示。

根据设备厂商给出的漏洞分别情况如下：

另外研究报告还列出了2016年top10漏洞。

在介绍物联网安全技术部分，研究报告给出的一些设备安全情况触目惊心，许多设备可以被远程入侵控制，设备的安全防护措施非常脆弱。

结论

总体上，匡恩网络发布的这份研究报告，还是很有技术水平的，提出了许多不拘于传统的新观点。

研究报告最后给出了物联网安全建设发展建议。我们注意到两点比较特别。一点是物联网系统“最后一公里”的安全问题;另一点是对网络设备“离线”状态的描述，指出联网设备不是全时连接网络，可以在大多数时间内处于离线状态，这也是一种值得借鉴的新观点。

研究报告介绍了匡恩网络在工业物联网数据采集层的一些安全技术，以“4+1”安全防护策略为方法论，融合技术和产品，实现了包括结构安全、本体安全、行为安和基因安全的全生命周期安全保护。研究报告从侧面也反映出匡恩网络对于产业发展的思考与实践。

匡恩网络从工业物联网数据采集层的安全防护入手，逐步成长发展为一个工业物联网安全服务提供商。而未来，从提供工业物联网安全服务到提供物联网安全服务，一切皆有可能。相较于工业物联网安全，物联网安全将是个巨大的带有技术竞争色彩的市场。