物聯(lián)網(wǎng)無疑是時下最為熱門的詞匯之一。隨著物聯(lián)網(wǎng)建設的加快，隨之而來的物聯(lián)網(wǎng)安全問題也與日俱增，成為制約其進一步發(fā)展的瓶頸。

10月25日，工信部發(fā)布《物聯(lián)網(wǎng)基礎安全標準體系建設指南(2021版)》，明確物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺等關(guān)鍵基礎環(huán)節(jié)安全要求，滿足物聯(lián)網(wǎng)基礎安全保障需要，促進物聯(lián)網(wǎng)基礎安全能力提升。

[[433701]]

安全成物聯(lián)網(wǎng)發(fā)展首要問題

近年來，隨著科技的飛速發(fā)展，物聯(lián)網(wǎng)技術(shù)逐漸走向成熟，并在安防、醫(yī)療、零售、教育、辦公、家居、能源等多個領(lǐng)域得到應用。特別是隨著5G時代的到來，也極大推動了物聯(lián)網(wǎng)技術(shù)的進一步發(fā)展和應用。

然而，隨著物聯(lián)網(wǎng)的發(fā)展，物聯(lián)網(wǎng)設備的安全問題也逐漸暴露出來，甚至成為最薄弱環(huán)節(jié)。

例如，2016年9月出現(xiàn)的Mirai惡意軟件，對國外安全研究員BrianKrebs的個人博客發(fā)起過DDoS攻擊，導致其被迫下線數(shù)日，這是有記錄以來最大的攻擊之一。Mirai惡意軟件會持續(xù)掃描互聯(lián)網(wǎng)以查找易受攻擊的物聯(lián)網(wǎng)設備，然后這些設備會被感染并用于僵尸網(wǎng)絡攻擊。

2017年9月，一款名為IoT_reaper的新惡意軟件，針對家用路由器、攝像機和錄像機的固件漏洞進行攻擊。IoT_reaper借鑒了Mirai的代碼，但擴展并擴展了后者的功能。

2020年10月，Gitpaste-12首次被潛伏在GitHub上的瞻博網(wǎng)絡威脅實驗室檢測到。這是一種新型蠕蟲僵尸網(wǎng)絡，通過GitHub和Pastebin進行傳播，以在目標系統(tǒng)上安裝加密貨幣礦工和后門程序，并且已經(jīng)返回了具有擴展功能的功能，其擴展功能可以危害Web應用程序、IP攝像機和路由器。

根據(jù)卡巴斯基對其與Threatpost共享的蜜罐遙測數(shù)據(jù)的分析，2021年上半年，該公司檢測到超過15億次物聯(lián)網(wǎng)攻擊，攻擊者試圖竊取數(shù)據(jù)、挖掘加密貨幣或構(gòu)建僵尸網(wǎng)絡，遠高于前半年的6.39億次。另外，Cybersecurity Ventures的一份報告估計，到2022年，網(wǎng)絡犯罪每年將使全球損失超過6萬億美元。隨著全球連接數(shù)量的擴大，帶來了無數(shù)可供黑客利用的新市場和垂直領(lǐng)域，這個數(shù)字只會加速。

物聯(lián)網(wǎng)安全挑戰(zhàn)有哪些?

物聯(lián)網(wǎng)安全漏洞究竟從何而來?在了解物聯(lián)網(wǎng)安全之前，我們首先要知道物聯(lián)網(wǎng)的定義。

物聯(lián)網(wǎng)即“萬物相連的互聯(lián)網(wǎng)”，是互聯(lián)網(wǎng)基礎上的延伸和擴展的網(wǎng)絡，將各種信息傳感設備與網(wǎng)絡結(jié)合起來而形成的一個巨大網(wǎng)絡，實現(xiàn)任何時間、任何地點，人、機、物的互聯(lián)互通。

與互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)安全更加復雜。從技術(shù)架構(gòu)上來看，物聯(lián)網(wǎng)可分為三層：感知層、網(wǎng)絡層和應用層，這三層架構(gòu)分別面臨很多安全威脅，具體來看：

1、感知層：感知層用于識別物體和采集信息，位于物聯(lián)網(wǎng)三層結(jié)構(gòu)中的最底層，是物聯(lián)網(wǎng)系統(tǒng)的核心。物聯(lián)網(wǎng)感知對象種類多樣，監(jiān)測數(shù)據(jù)需求較大，應用場景復雜多變，易受到自然損害或人為破壞，導致節(jié)點無法正常工作。

2、網(wǎng)絡層：傳輸層則主要負責數(shù)據(jù)的傳輸與處理，其安全功能一般與傳輸網(wǎng)絡的基礎設施一起部署。在信息傳遞中容易出現(xiàn)跨網(wǎng)傳輸，也容易出現(xiàn)安全隱患。網(wǎng)絡層由于數(shù)據(jù)信息量較大更加容易出現(xiàn)安全方面的問題，如DDoS攻擊、惡意數(shù)據(jù)、隱私泄露等。

3、應用層：應用層是物聯(lián)網(wǎng)三層結(jié)構(gòu)中的最頂層，主要對感知層采集數(shù)據(jù)進行計算、處理和知識挖掘，從而實現(xiàn)對物理世界進行實時控制、精確管理和科學決策。物聯(lián)網(wǎng)應用層面臨的安全威脅主要是虛假終端觸發(fā)威脅，攻擊者可以通過SMS向終端發(fā)送虛假觸發(fā)消息，觸發(fā)終端誤操作。

據(jù)IDC預測，到2025年，全球物聯(lián)網(wǎng)市場將達到1.1萬億美元，年均復合增長11.4%。另據(jù)麥肯錫全球研究所發(fā)布的《物聯(lián)網(wǎng)：超越炒作之外的價值》的報告稱，到2025年，物聯(lián)網(wǎng)將每年為全球經(jīng)濟帶來高達3.9萬億～11.1萬億美元的增長。但這只有在我們把事情做好，新設備熱銷的情況下才能實現(xiàn)。

對此，越來越多的企業(yè)紛紛采取行動，布局物聯(lián)網(wǎng)安全領(lǐng)域。

在2018杭州云棲大會萬物智聯(lián)峰會上，阿里云推出物聯(lián)網(wǎng)安全平臺(Link Security)升級方案，助力實現(xiàn)物聯(lián)網(wǎng)設備的全生命周期安全防護。

為解決持續(xù)升級的供應鏈攻擊，以及彌補傳統(tǒng)軟件供應鏈的缺陷，騰訊安全科恩實驗室推出了sysAuditor解決方案。sysAuditor是一款聚焦于物聯(lián)網(wǎng)系統(tǒng)的基線合規(guī)檢查和二進制軟件成分分析的自動化平臺，能夠幫助企業(yè)實現(xiàn)對研發(fā)漏洞檢測、系統(tǒng)安全驗收、潛在風險規(guī)避和行業(yè)安全管理等的自動化審計，從而提升安全基線，降低維護成本。

中國電信旗下的天翼物聯(lián)科技有限公司發(fā)布的“物聯(lián)網(wǎng)安全管理平臺”，提供了安全基礎管理、溯源定位管理、安全風險監(jiān)測預警、安全態(tài)勢分析等功能，可防范和遏制對物聯(lián)網(wǎng)的網(wǎng)絡攻擊威脅，保障重點物聯(lián)網(wǎng)平臺和業(yè)務的正常運營。

寫在最后：

當前，物聯(lián)網(wǎng)正處于快速發(fā)展階段，加強物聯(lián)網(wǎng)安全也就變得更加重要。只有制定好相應的應對策略，讓物聯(lián)網(wǎng)安全得到保障，才能對經(jīng)濟發(fā)展和社會進步起到更好地推動作用。