万物互联时代物联网安全如何并行发展？

物联网是物物联网安信息产业第三次浪潮和第四次工业革命的核心支撑 ，在与各行各业的互联深度融合中催生出众多产业及业务，如车联网、时代工业互联网、全何智慧电网
 、并行智慧城市
、发展智慧农业
、物物联网安智慧医疗、互联智慧物流、时代智能家居、全何智能穿戴等，并行改变了人们的发展生活方式，更为人们的源码库物物联网安日常生活带来了极大便利 。当前，互联全球物联网产业发展迅猛 ，时代GSMA发布的《The Mobile Economy 2022》预测，2023年全球授权蜂窝物联网连接数将达到25亿，预计到2030年，全球授权蜂窝物联网连接数将达到53亿 。

我国物联网产业发展居全球前列，移动物联网建设全球领先 。截至2022年底 ，我国移动网络的终端连接总数已达35.28亿，其中代表“物”连接数的蜂窝物联网终端用户达18.45亿户，自2022年8月底“物”连接数超越“人”连接数后，服务器租用“物”连接数占比已升至52.3%。万物互联赋能千行百业，蜂窝物联网终端应用于公共服务、车联网、智慧零售、智慧家居等领域的规模分别达4.96亿户 、3.75亿户、2.5亿户和1.92亿户。

随着万物互联时代的到来，我们感受到广泛互联 、全域感知、远程控制所带来的方便和快捷 ，但物联网技术的模板下载应用也带来了新的网络安全风险。近年来
，针对物联网设备、系统 、网络和平台的网络攻击事件不断增多
，对个人隐私、企业生产、城市运行乃至国家安全都产生了巨大影响。

物联网安全面临新形势新风险
、新挑战

一是物联网设备自身安全隐患突出 。物联网设备面临硬件设计缺陷、软件及固件漏洞
、身份验证机制缺失等安全风险。源码下载厂商为控制物联网设备成本
，往往会选择低功耗且廉价的硬件及芯片，这些硬件的计算性能和安全功能往往较弱，无法提供坚实的安全支撑，如无法进行加密处理、不具备防篡改设计等。物联网设备软件代码质量参差不齐，产生大量软件漏洞，常见漏洞包括缓冲区溢出漏洞 、命令注入漏洞等
，攻击者可以利用这些漏洞远程获取设备控制权，继而发动网络攻击 。物联网设备的高防服务器身份验证
、访问控制机制不够完善，导致大量物联网设备可以被匿名访问，甚至被攻击者破解简单口令获取控制权限，如目前大量物联网摄像头存在弱口令被破解后越权访问的问题 ，极易引发恶意控制 、DDoS攻击、数据泄露等安全事件 ，危害网络关键基础设施正常运行。

二是物联网网络安全保障不足
。物联网与传统固网 、移动互联网等进行连接
，形成多网融合的新型异构网络，免费模板在数据采集、数据传输等过程中均面临网络入侵 、数据泄露等安全风险。感知层是物联网全面感知的技术基础 ，主要通过各种传感器收集物体的各类信息，然后通过NB-IoT、3G、4G、5G等接入技术将数据传输至上层。但感知层节点数据庞大、协议多样 ，且功能单一 、计算存储资源有限，无法提供复杂的信息安全保护能力，在数据采集过程中容易受到恶意攻击和破坏 ，影响系统正常运行 。网络层主要负责将感知层采集的数据准确传输出去，但由于物联网网络环境复杂 ，物联网节点资源有限，数据在传输过程中缺乏加密技术防护，极易遭到中间人攻击。攻击者可以在通信路径中非法获取数据包
，直接读取明文数据或修改数据包破坏数据完整性，这种攻击手段易实现但难于防范 ，会导致大量敏感数据泄露。同时 ，由于物联网网络边界定义不清 ，攻击者可以通过伪装成网关或者用户节点的方式接入网络
，在获取网络访问权限后针对网络组件和设备发动进一步攻击。

三是物联网数据安全问题频频爆发。物联网基于自身互联属性会产生并共享海量数据，这些数据在存储、使用、共享过程中皆存在大量安全风险 。数据存储在安全防护不足的设备及平台时 ，会直接被攻击者窃取
。当数据使用和数据共享过程中缺乏严格访问控制机制时
，他人在未经许可的情况下可获取甚至使用用户敏感数据，影响用户正常的生产生活。Unite 42威胁情报团队对美国120万个物联网设备进行监测发现，98%的IoT设备未加密，存在个人隐私及数据泄露风险。近年来
，类似的网络安全事件还有很多 ，如大量家庭摄像头采集的图像被挂在网上出售、智能音箱泄露用户隐私等 。

四是物联网平台安全应引起重视
。物联网设备与云平台、应用平台之间时时刻刻都在进行数据交互，这些平台一旦被入侵 ，将导致整个物联网系统遭到破坏 。当云平台、应用平台存在软件漏洞或配置错误时，极易引发应用层DDoS攻击造成服务中断。同时
，物联网平台也面临代理商安全管理不足、供应链污染等风险。物联网设备供应链复杂
，平台如果对供应商的安全控制管理不足 ，容易在硬件制造和软件开发过程中被植入“后门”
，这种“后门”极其隐蔽，在设备交付使用后依然难以发现，一旦启用将造成不可估量的风险。因此
，平台管理者应完善供应链监控和安全管理流程以降低风险。

物联网安全风险应对工作推进情况

近年来，中国信息通信研究院在工业和信息化部支持指导下，协同行业相关单位 ，积极稳妥推进物联网安全风险应对工作。

一是发挥行业组织引领作用，积极推进物联网安全相关标准编制工作 。加快构建物联网安全监测标准体系，开展物联网安全监测系列标准研制，推动《物联网流量筛选技术要求和测试方法》《物联网网络安全监测与管理系统技术要求》《物联网网络安全监测与管理系统接口技术要求》《物联网终端网络安全风险分类分级评估方法》等行业标准立项 ，构建清晰明确的物联网网络安全监测系统技术要求
 、测试方法等，助力物联网产业良性发展。

二是依托行业网络资源和技术优势，初步构建覆盖基础电信企业物联网基地的安全监测体系。建成政企联动的物联网基础安全接入监测平台，具备采集、监测 、研判、响应等功能，已对接三大基础电信企业侧平台，对公共服务、车联网、零售服务等8个行业领域的亿级终端实现监测 ，形成物联网整体安全态势感知及分析能力。同时，平台建立了物联网漏洞、恶意网络资源
 、安全规则等威胁情报库 ，累计积累万余条安全事件规则及恶意资源，具备物联网发展态势、安全态势、专题分析等功能 。

三是持续开展专项研究 ，探索建设物联网安全威胁检测评估技术能力。聚焦物联网感知层、网络层 、应用层面临的安全风险，开展物联网安全威胁检测系统效能评估指标体系研究，夯实物联网威胁检测工具及检测方法相关理论储备 ，积极指导相关企业开展物联网终端产品先进能力评价活动 ，完善硬件安全 、软件安全
、网络安全、应用安全和数据安全测评能力，初步形成物联网安全威胁检测评估技术能力 。

基于物联网安全风险的思考和建议

一是加快推动物联网安全相关标准研制和落地。开展物联网终端安全、网络安全 、平台安全等标准研制，推进物联网家庭网关 、网关安全测试标准规范修订，加快构建物联网安全监测标准体系，指导开展物联网产品安全测评工作，引导物联网安全向更加科学化
、体系化的方向发展。

二是持续提升物联网安全监测技术能力 。构建基础电信企业物联网安全监测技术体系 ，强化车联网、工业互联网、智慧城市等典型物联网应用场景的流量筛选能力，从监测覆盖度 、功能完备度、业务成熟度等方面提升数据上报质量 ，推进5G物联网安全监测试点建设，不断完善物联网专网网络安全监测体系
，提升行业物联网安全态势感知、风险预警、应急处置等综合技术保障能力。

三是加速构建物联网安全检测评估技术体系。建设智能家居 、数字生产等典型场景安全仿真验证环境，面向物联网终端 、网络 、平台等，开展代码安全审计 、高危漏洞扫描
、访问控制机制验证、数据传输安全测试、网络节点身份认证评估等测评工作
，打造漏洞挖掘、模拟攻击 、情报收集等技术能力
，定期开展物联网安全合规性评估测试活动，及时发现安全风险隐患，促进物联网相关企业增强自身安全防护能力 。

四是不断加强物联网安全企业协同创新。聚焦物联网终端安全、网络安全、平台安全的“能力短板”和技术发展方向
，增加物联网安全专项资金投入，开展物联网安全创新创业大赛及会议，整合产业上下游资源，凝聚“政产学研”各方力量，培育推广一批物联网安全产品和解决方案，推动提升物联网终端 、网络 、平台及数据的安全防护水平
，促进物联网安全产业高质量发展。