2023年7月27日发(作者：)

物联⽹有哪些安全风险？物联⽹安全问题汇总物联⽹是指通过各种信息传感设备，实时采集任何需要监控、连接、互动的物体或过程等各种需要的信息，与互联⽹结合形成的⼀个巨⼤⽹络，其⽬的是实现物与物、物与⼈，所有的物品与⽹络的连接，⽅便识别、管理和控制。物联⽹是新⼀代信息技术的⾼度集成和综合运⽤，已成为全球新⼀轮科技⾰命与产业变⾰的核⼼驱动和经济社会绿⾊、智能、可持续发展的关键基础与重要引擎。物联⽹安全已上升⾄国家安全，本专题通过对物联⽹“云、管、端”安全三个⽅⾯进⾏分析，阐述了物联⽹⽬前主要⾯临的安全威胁，并对物联⽹安全管控进⾏分析。物联⽹安全管控也需根据物联⽹发展趋势相适应，能够为物联⽹的健康、稳定、⾼速发展保驾护航。物联⽹终端安全物联⽹终端作为信息空间和物理空间深度融合的代表产物，已经从⾯向个⼈消费的先锋产品快速拓展到经济社会各个领域，赋予教育、医疗、零售、能源、建筑、汽车等诸多⾏业新的服务⼿段，⽀撑政府办公、公共安全、交通物流等城市基本职能的提升。现有物联⽹终端设备侧重于功能实现，⽽传统设备⼚商安全能⼒不⾜,或者考虑时间和成本等因素，在终端设计上普遍忽略安全问题。物联⽹终端可分为智能终端和⾮智能终端，智能终端设备⼤多数具备嵌⼊式操作系统及终端应⽤，⽽⾮智能终端设备⼤多结构功能单⼀，且只做数据采集、传输等功能，则智能终端设备具有更⼤的信息安全威胁。根据对物联⽹智能终端的研究，如家电智能设备、⽹络摄像头等，发现物联⽹智能终端安全主要有四⼤安全威胁。1、物联⽹智能终端安全威胁安全威胁1）物联⽹智能终端设备存在弱⼝令问题；2）物联⽹智能终端设备操作系统、内置Web应⽤、数据库等存在安全漏洞和⽤于窃取数据、发动DDoS攻击、发送垃圾邮件或被操纵攻击其他⽹络等严重安全事件后⾯；3）物联⽹智能终端设备⾝份认证识别弱；4）物联⽹智能终端设备被植⼊恶意代码或成为僵⼫⽹络。安全威胁特征1）物联⽹智能终端设备存在弱⼝令数量、种类巨⼤，覆盖范围⼴；2）物联⽹智能终端设备被恶意控制后，可直接影响个⼈⽣活、财产、隐私、⽣命安全；3）恶意利⽤简单；4）物联⽹智能终端设备后期加固的难度较⼤，需在设计开发阶段开始考虑安全问题；5）物联⽹智能终端设备分布范围⼴泛，使⽤场景各异，很难进⾏统⼀升级补丁加固；6）⾝份伪造、伪冒后可进⾏恶意攻击；7）⽤于窃取数据、发动DDoS攻击、发送垃圾邮件或被操纵攻击其他⽹络等严重安全事件。2、物联⽹智能终端安全管控分析物联⽹智能终端在设计开发阶段时应同步设计考虑安全管控措施；在终端⽣产发布前同步做好安全防护测试；在终端发布投⼊使⽤阶段同步做好固件漏洞更新管理及智能终端的安全性监控。具体物联⽹终端安全管控分析如以下五点：1）针对物联⽹智能终端分布范围⼴、数量多的特点，物联⽹应该在⽹络侧开展病毒的感知和探测。2）物联⽹智能终端的信息留存，应该建⽴相应的规范，在 信息留存的类型、时长、⽅法、加密⼿段、访问措施等⽅⾯于以限制。3）物联⽹智能终端的⾝份认证策略应建⽴较强的⾝份认证措施及完善的密码管理策略。4）物联⽹智能终端⽣产发布前，应做好安全测试，终端发布后及时做好固件更新和漏洞管理，必要的情况下进⾏⼊⽹许可。5）针对物联⽹智能终端建设安全性检查平台或建设相应的安全性监控⼿段，能够检测到异常终端，隔离可疑应⽤程序或阻⽌攻击扩散。3、物联⽹⾮智能终端安全威胁根据对物联⽹⾮智能终端的研究，如传感器、射频识别（RFID）等，⽬前物联⽹⾮智能终端在⽹络安全层⾯未发现安全威胁，在物理安全层⾯存在被攻击者物理操纵安全威胁。物联⽹管道安全物联⽹“管”则是连接“云”和“端”之间的管道，物联⽹“管”安全为⼤容量智能化的信息管道安全。根据对物联⽹信息管道的调研，发现物联⽹管道安全主要有四⼤安全威胁。1、物联⽹管道安全威胁物联⽹管道安全威胁1)没有统⼀物联⽹通信协议标准，可采⽤⾃有协议进⾏通信；2)物联⽹卡监管体系不健全；3)物联⽹管道存在多样化，部分技术未纳⼊安全管控，例如蓝⽛、红外、NFC；4)物联⽹管道的中间⼈攻击。物联⽹管道安全威胁特征1)导致敏感信息泄露等风险；2)不同物联⽹通信协议之间兼容困难；3)与现有的互联⽹通信协议存在差异，现有安全⼯具⽆法移植到物联⽹；4)存在物联⽹专⽤卡、物联⽹⾏业卡被违规使⽤的风险，导致物联⽹卡滥⽤且⽆法溯源；5)传统的⽹络安全管理⾯临挑战；6)物联⽹管道攻击⼿段多样化；7)攻击可导致关系国计民⽣的重要⽣产系统异常；8)攻击形成的破坏⼒更⼤。2、物联⽹管道安全管控分析在物联⽹管道设计阶段应考虑采⽤安全的通信协议、传输介质等，在物联⽹管道建设阶段应考虑为安全监控、态势感知预留相应数据接⼝，在物联⽹管道投⼊使⽤阶段应做好物联⽹信息管道安全监控。具体物联⽹管道安全管控分析如以下两点：1）开发商、⽣产商、管理部门尽快制定物联⽹通信协议标准。2）建⽴物联⽹系统接⼊管控设施，尤其是接⼊涉及国计民⽣的重要物联⽹系统。区分传统⽹络中是否存在物联⽹信号传递，并建设物联⽹信号监控⼿段。物联⽹云服务安全通俗来说，物联⽹云服务在做信息与其他⽅资源共享时使⽤，因此保护好云服务安全也是保护好物联⽹安全的关键环节。根据对⽬前主流云产品的调研，发现物联⽹云服务安全主要有⼋⼤安全威胁。1、物联⽹云服务安全威胁物联⽹云服务安全威胁1)数据泄露；2)登录凭据被盗和⾝份认证伪造；3)API（应⽤程序编程接⼝）被恶意攻击者攻击；4)系统漏洞利⽤；5)系统漏洞利⽤；6)恶意⼈员；7)系统永久的数据丢失；8)拒绝服务攻击威胁；9)云服务共享技术，共享风险。安全威胁的特征1)泄露数据量⼤；2)容易形成APT（⾼级持续性威胁）攻击⽬标；3)泄露数据的价值⾼；4)对个⼈和社会影响⼤；5)物联⽹⾝份伪造容易；6)如果凭据控制不当，数据⽆法进⾏隔离保护；7)物联⽹API接⼝多，容易被恶意攻击者攻击；8)物联⽹API接⼝种类复杂，攻击多样化；9)物联⽹云服务系统漏洞被恶意攻击者攻击后影响很⼤；10)内部⼈员对数据的恶意⾏为；11)外部⼈员的攻击威胁；12)云端数据破坏会造成整个物联⽹系统损毁13)影响国计民⽣；14)造成物联⽹系统异常服务；15)由共享技术导致病毒攻击⾏为。2、物联⽹云服务安全管控分析在物联⽹云服务系统新建、改建、扩建等⼯程项⽬中，应当同步建设物联⽹云服务系统安全保障设施，并与主体⼯程同步进⾏验收和投⼊运⾏。具体物联⽹云服务安全管控分析如以下六点：1)物联⽹云服务实⾏准⼊制，物联⽹云服务系统应该进⾏备案并经过安全评估准许⼊⽹。2)物联⽹云服务的⾝份认证策略应建⽴较强的⾝份认证措施及完善的密码管理策略。3)物联⽹云服务应该具备攻击防御能⼒和感知能⼒。4)建⽴物联⽹云服务备份机制。5)物联⽹云服务系统定期开展风险评估；6)开展重要敏感信息系统管理运维⼈员认证，建⽴重要岗位⼈员管控机制。