上海

聯網有風險 接入需謹慎 汽車、冰箱、空調、門禁……越來越多的日常生活用品成為物聯網中的一環，儲存倉其中隱藏著的安全風險需提早防範□尤歆飛背景 風險防控有多難和傳統互聯網安全防範不同，物聯網和安全相關的特徵主要表現在可感知性、可傳遞性和可處理性。可感知性是需要物品、設備和設施的相關信息均可唯一識別，並數據化描述，最終可通過網絡進行遠程監控；可傳遞性是需要將物品信息通過各種電信網絡與互聯網實時準確地傳遞出去；可處理性是需要運用雲計算、模糊識別等智能計算技術對海量信息進行智能處理。在物聯網的整體架構中，感知層處於最底層，也是最基礎的層面，這個層面的信息安全最容易受到威脅。感知層在收集信息的過程中，主要應用射頻識別技術(RFI D)和無線傳感器網絡(WSN)。物聯網感知層的安全問題實質上是RFID系統和WSN系統的安全問題。傳感器在通過WSN接收信息時，會產生大量傳感器節點，這些節點常常暴露在公共場合中，由人或者計算機遠程控制，缺乏有效保護，容易被實施信號干擾甚至節點捕獲。再者，WSN的路由協議中有很多安全弱點，不法分子可以向WSN中注入惡意的路由信息使網絡癱瘓。RFID是一種非接觸式的自動識別技術，是物聯網應用中的關鍵技術之一。物聯網會給每個需要採集信息的物品配備標簽，再通過電磁波與讀寫器之間實現通信，這種非接觸式的交互模式存在嚴重安全隱患。由於RFID標識缺乏自身保證安全的能力，非法用戶可以通過自制讀寫器與電磁波進行通信，造成重要信息外流。其次，在末端設備和RFID標簽使用者不知情的情況下，標簽上的信息可以被輕易追蹤、篡改，再發回給使用者經過改動的信息，造成信息不實、決策失誤等問題。而在傳輸層中，物聯網接入方式主要依靠移動通信網絡，主要和移動網的安全相關，還與接入設備、接入方式有關，存在無線竊聽、身份假冒和數據篡改等不安全的因素。由於物聯網在很多場合都需要無線傳輸，這種暴露在公開場所之中的信號很容易被竊取，也更容易被干擾。物聯網規模很大，與社會的聯繫十分緊密，一旦受到病毒攻擊，很可能出現大範圍的生產線停工、商店停業、交通癱瘓，造成巨大的混亂。用智能手機或者iPad遙控家中的空調開關和浴缸龍頭、廚房里的冰箱可以連網自動下載食譜甚至發送微博、人在外地還能通過手機觀察家中發生的一切……當家中的各類家用電器、甚至汽車都開始連上網絡，人們可以用手機、Pad輕而易舉地遙控它們時，很少有人想到這個問題：如果你將家中的門禁安全系統連上網絡，在你可以隨時隨地監管掌控它們的同時，另一個人——網絡黑客也能和你一樣指揮它做自己想做的一切！這一個讓網絡專家頗為尷尬的現實：隨著物聯網的普及，越來越多的家居產品被接入了互聯網。連網後的它們在提供更多智能化服務的同時，也為網絡黑客打開了一扇侵入你日常生活的方便之門……我們可以為電腦加裝殺毒軟件或防火牆來防止各類外部攻擊，但是家電呢？沒有一個智能家居產品的生產商會問你這樣的問題：如果某天，黑客可以隨意調控你的空調溫度，或者遠程打開你的智能門鎖……這樣危機四伏的物聯網生活，你真的需要？黑客的新目標"第六感"自動化控溫的洗衣機、根據季節變換食物軟硬度的電飯煲、可以測健康水平的電視機，再到最近可以用微博控制的空調……日常使用的家電正逐漸走向物聯網時代，給人們帶來了許許多多的便利。然而，在智能的物聯網背後，也伴隨著不斷擴張的黑客魔手。2012年，當智能手機遠程控制的門鎖Lockitron將上市時，調查機構Trustwave的安全調查員Bryan和Crowley開始意識到物聯網設備安全問題的嚴重性。在當時，市面上已經有多款可以通過物聯網控制的家用電器，譬如燈泡、抽水馬桶、溫度計等，他們經過測試，發現這些產品都存在嚴重的安全漏洞。Crowley指出，每個產品的安全等級不同，但是都存在一個問題，那就是使用設備不需要任何認證過程。例如，Crowley和Bryan測試了物聯網中心控制設備Veralight，在默認設置下，任何人不需要任何用戶名和密碼就可以進入Veralight的控制系統進行操控。即使開�了安全措施，依舊可以採取多種方式繞過安全認證，對家用設備進行控制。他們還發現，隨便用一台安卓智能手機就可以控制入侵Satis智能馬桶，讓其不斷沖水，連續地大聲播放音樂……"電腦發展了幾十年，殺毒軟件、防火牆等保護措施都已經發展得非常完善，但是物聯網設備的保護卻非常薄弱，小到門鎖、插座，大到電表、抽水馬桶、空調，都可以通過物聯網進行控制，而這些都能成為黑客眼中的'肥肉'。"Crowley和Bryan建議物聯網設備生產商多花些時間提高設備的安全性，而不是急著推出產品。聯網設備變身"犯罪工具"據調查，目前全球可使用無線網絡接入互聯網的設備約有100億台，而到2020年，這一數字將達到300億。從現在來看，雖然智能手機、平板電腦和筆記本電腦占了絕大部分，但未來市場增長最快的領域，一定是家庭使用的配備有廉價傳感器的物聯網設備。到2020年，大部分聯網設備將是物迷你倉最平網設備。在互聯網安全專家眼中，黑客入侵物聯網設備的危害性，甚至比電腦更高。一位安全專家表示，如果黑客們發現了遠程門鎖上的一個漏洞，他們就可以在同時入侵所有的此類門鎖。如果同一個樓宇使用的是一個系統的產品，一旦入侵，整棟樓就像超市一樣，小偷想來就來想走就走；而同一個樓盤一般使用的都是同一款產品，那麼整個小區可能就成了"菜市場"，小偷們如入無人之地。美國華盛頓大學計算機安全與隱私專業副教授YoshiKohno指出，汽車、醫療設備、玩具等聯網設備的安全漏洞都很嚴重，黑客可以隨意入侵一個帶有攝像頭的兒童玩具進行偷拍。美國佛吉尼亞大學研究智能住宅的副教授Kamin Whitehouse則認為，即便給智能設備增加了安全措施，黑客依舊有利可圖。研究過程中他發現，即便家用智能設備的數據傳輸已經加密過，黑客依舊可以根據分析網絡流量來猜測消費者的日常生活行為，瞭解消費者的習性。早期的互聯網由於信息匱乏，黑客們的非法入侵，一般只是為了炫耀自己的高超技術。但當互聯網和每一個普通人的日常生活越來越密不可分、物聯網可以隨心所慾控制更多智能設施的運行時，覬覦它們的就不僅僅是黑客了——在形形色色不法之徒的眼中，連上網絡後的智能家居產品已經成為作姦犯科的最好幫手。比方說，黑客可以通過控制熱水器長期高溫工作並引發火災、控制煤氣泄漏導致中毒事件。再比如，家用空調的控制器如果遭到惡意愚弄也會突然降溫，引起混亂的跳閘或報警事故。專家告訴我們，未來，"智能殺手"可以身在北極就輕而易舉地在美國除掉一個人——他可以選擇從無人駕駛汽車入手，侵入控制系統導致剎車失靈；他也可以選擇醫院，醫療世界里正越來越多地採用遠程操作，譬如通過遠程編程來控制心臟起搏器的植入，一旦這些系統被黑客劫持，用戶的健康甚至生命隨時危在旦夕……這些原先只能在好萊塢犯罪電影里出現的場景，今後會不會就發生在我們的鄰居或是朋友身上？先進的技術如果脫離了掌控，會在一瞬間變成危險的工具。防控安全需多管齊下"攻克物聯網信息安全技術難題是一個世界性難題，對於物聯網發展起步較慢的中國來說，更需要政府、企業、機構之間的互相協作。"賽迪智庫信息安全所所長劉權指出，目前，我國物聯網信息安全技術可控能力還比較弱。在傳感器技術方面，我國還主要集中在低端傳感器研究和產品開發；在RFID技術方面，我國低頻和高頻技術相對成熟，但UHF和微波頻段產品與國外技術相比差距較大；在M2M等網絡層技術方面，我國與國外基本同步；在信息安全共性技術方面，我國已經開展了相關研究工作，但與國外相比差距較大。"我國全力推動自主知識產權的RFID標準制定，取得初步成果，目前我國正在研究和制定的標準已達到50多項。但是，我國在物聯網關鍵技術領域研究不足、技術創新能力較弱、受到國際標準組織制約，使得我國物聯網標準制定進程緩慢，與國外差距有擴大趨勢。"劉權說，攻克物聯網信息安全技術難題需要一個良好的產業環境，營造這樣一個產業環境需要政府、企業、研究機構等各相關方相互協作。首先，政府要制定和出台促進物聯網信息安全相關產業發展的政策，加大財政資金支持力度；其次，要加快制定物聯網信息安全保護相關法律法規，為產業營造一個公平競爭的環境；再次，要加強產學研用相結合，鼓勵物聯網相關企業與科研機構、高校、產業聯盟合作共建研發中心，提高自主創新能力；最後，要加速推動標準體系建設，提高我國物聯網信息安全相關產業的國際影響力。工業和信息化部電子科學技術情報研究所網絡與信息安全部主任尹麗波則表示，做好物聯網信息安全要遵循"同步規劃、同步建設、同步運行"的原則。"在我國的物聯網建設過程中，要做好物聯網信息安全頂層設計，加強物聯網信息安全技術的研發，有效保障物聯網的安全應用，同時構建物聯網信息安全保障體系，建立以政府為主導，定點企事業為主體的物聯網信息安全管理機制，此外，加大安全人才引進和培養力度，並成立專門科研機構。以開放合作的方式，推進物聯網安全技術的發展。"專家指出，除了物聯網安全保護的技術研發，完善的法律機制也應該著手落實。目前我國還沒有完善的物聯網隱私保護法規，隨著物聯網技術的不斷應用，有必要對信息收集的來源、通道進行詳細規定，以及一旦非法收集別人信息後，如何落實處罰細則。物聯網是新一代信息技術的重要組成部分。其英文名稱是"TheInternet of thi ngs"。由此，顧名思義，"物聯網就是物物相連的互聯網"。這有兩層意思：第一，物聯網的核心和基礎仍然是互聯網，是在互聯網基礎上的延伸和擴展的網絡；第二，其用戶端延伸和擴展到了任何物品與物品之間，進行信息交換和通信。用你的iPhone或者iPad來遙控你的智能家居，從電器、安防、燈光，到冷暖空調等，這是智能家居產品生產商為客戶描繪的未來物聯網家居藍圖，但沒有一個產品或是服務提供商會提醒你注意這樣一個事實：如果你將家中的門禁安全系統連上網絡，在你可以隨時隨地監管掌控它們的同時，另一個人——網絡黑客也能和你一樣指揮它做自己想做的一切！插圖：宗怡婷迷你倉