物聯(lián)網(wǎng)信息安全的新形勢與新風(fēng)險(xiǎn)

1、隨著物聯(lián)網(wǎng)的高速發(fā)展，其信息安全方面的重視度逐步提升，根據(jù)部分調(diào)研 機(jī)構(gòu)數(shù)據(jù)顯示，信息安全成為物聯(lián)網(wǎng)應(yīng)用的首要關(guān)注問題。而近年來物聯(lián)網(wǎng)安全 事件頻發(fā)，智能家居、攝像頭乃至電網(wǎng)等重要基礎(chǔ)設(shè)施遭受攻擊，影響擴(kuò)大化， 導(dǎo)致企業(yè)生產(chǎn)和社會(huì)運(yùn)行癱瘓，帶來巨大經(jīng)濟(jì)損失。在此形勢下，全球物聯(lián)網(wǎng)安 全市場潛力巨大，據(jù)調(diào)研機(jī)構(gòu)發(fā)布的“物聯(lián)網(wǎng)安全市場”預(yù)測數(shù)據(jù)，全球物聯(lián)網(wǎng) 安全市場規(guī)模預(yù)計(jì)將從2020年的125億美元增長到2025年的366億美元， 預(yù)測期內(nèi)的復(fù)合年增長率為23.9%。（一）物聯(lián)網(wǎng)安全發(fā)展環(huán)境現(xiàn)狀及問題業(yè)界從生態(tài)、產(chǎn)品、解決方案三方面切入安全布局。一是以電信運(yùn)營商、阿 里、啟明星辰等為代表的企業(yè)通

2、過成立聯(lián)盟，建設(shè)安全研究基地/安全實(shí)驗(yàn)室的 方式營造安全生態(tài)。如電信天翼聯(lián)盟設(shè)置安全生態(tài)推進(jìn)組，移動(dòng)物聯(lián)網(wǎng)聯(lián)盟下設(shè) 安全執(zhí)委會(huì)并成立物聯(lián)網(wǎng)安全創(chuàng)新實(shí)驗(yàn)室，聯(lián)通與紫光國微成立物聯(lián)網(wǎng)聯(lián)合創(chuàng)新 中心深耕安全芯片，阿里通過ICA（IoT Connectivity Alliance）聯(lián)盟推進(jìn)物 聯(lián)網(wǎng)安全芯片分級測試。二是以中興、奇安信、青蓮云等為代表的企業(yè)研發(fā)安全 產(chǎn)品，如NB-IoT安全芯片、零信任可信身份與標(biāo)識(shí)安全平臺(tái)、物聯(lián)網(wǎng)設(shè)備云安 全接入網(wǎng)關(guān)、終端安全開發(fā)套件、物聯(lián)網(wǎng)終端設(shè)備可信執(zhí)行環(huán)境和安全管理系統(tǒng) 等。三是以移動(dòng)、華為、百度、綠盟等為代表的企業(yè)打造物聯(lián)網(wǎng)安全解決方案。 如移動(dòng)安連寶、華為“3

3、T+1M ”物聯(lián)網(wǎng)安全體系架構(gòu)、阿里一機(jī)一密物聯(lián)網(wǎng)安全 解決方案ID2-SIM、百度“終端+網(wǎng)絡(luò)+OTA升級”三位一體安全解決方案等。物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化工作持續(xù)推進(jìn)。國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門、國際標(biāo)準(zhǔn) 化組織、國際電工委員會(huì)、歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)等已制定物聯(lián)網(wǎng)安全架構(gòu)、物聯(lián) 網(wǎng)網(wǎng)關(guān)安全、設(shè)備安全、加密和系統(tǒng)安全等標(biāo)準(zhǔn)。國內(nèi)工業(yè)和信息化部正在推進(jìn) 物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系建設(shè)，探討制定物聯(lián)網(wǎng)安全分級分類標(biāo)準(zhǔn)，逐步推進(jìn)物聯(lián)網(wǎng) 終端、網(wǎng)關(guān)、平臺(tái)企業(yè)安全自查。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和中國通信標(biāo) 準(zhǔn)化協(xié)會(huì)等標(biāo)準(zhǔn)組織從不同切入點(diǎn)推進(jìn)物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化工作。其中，TC260聚 焦通用網(wǎng)絡(luò)安全、整體類標(biāo)準(zhǔn)，同時(shí)涉

4、及醫(yī)療、工業(yè)、智慧城市、汽車等多個(gè)行 業(yè)物聯(lián)網(wǎng)應(yīng)用安全標(biāo)準(zhǔn)制定。CCSA聚焦在物聯(lián)網(wǎng)基礎(chǔ)通信協(xié)議安全標(biāo)準(zhǔn)、感知 層（含嵌入式終端操作系統(tǒng)、物聯(lián)網(wǎng)卡等）安全標(biāo)準(zhǔn)、M2M安全解決方案、物聯(lián) 網(wǎng)信息系統(tǒng)安全、智能家居安全標(biāo)準(zhǔn)，目前共有在研、已發(fā)布的安全相關(guān)行業(yè)標(biāo) 準(zhǔn)和協(xié)會(huì)標(biāo)準(zhǔn)63項(xiàng)（不含車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)），其中已發(fā)布行業(yè)標(biāo) 準(zhǔn)19項(xiàng)。物聯(lián)網(wǎng)安全仍面臨難題。一是我國物聯(lián)網(wǎng)安全政策布局仍不足，物聯(lián)網(wǎng)安全 標(biāo)準(zhǔn)體系尚未發(fā)布，安全標(biāo)準(zhǔn)的場景針對性不足，產(chǎn)業(yè)鏈各環(huán)節(jié)安全防護(hù)意識(shí)不 統(tǒng)一，安全防護(hù)體系不完善，沒有形成物聯(lián)網(wǎng)安全產(chǎn)業(yè)合力，目前呈現(xiàn)分散狀態(tài)。 二是我國物聯(lián)網(wǎng)安全產(chǎn)業(yè)尚處于起步階段，物聯(lián)網(wǎng)產(chǎn)

5、業(yè)鏈涉及環(huán)節(jié)眾多，安全建 設(shè)需要多方共同合作推進(jìn)，目前缺乏典型場景的安全解決方案和標(biāo)桿企業(yè)，需求 側(cè)對價(jià)格敏感，對物聯(lián)網(wǎng)安全成本增加的接受度差。三是物聯(lián)網(wǎng)安全核心終端的 產(chǎn)業(yè)成熟度不高，現(xiàn)階段終端安全是物聯(lián)網(wǎng)安全的重中之重，是物聯(lián)網(wǎng)安全的基 礎(chǔ)，終端海量異構(gòu)，安全能力普遍較弱，一旦被破壞、控制或攻擊，不僅影響應(yīng) 用服務(wù)的安全穩(wěn)定，導(dǎo)致隱私數(shù)據(jù)泄露、生命財(cái)產(chǎn)安全受損，更會(huì)危害網(wǎng)絡(luò)關(guān)鍵 基礎(chǔ)設(shè)施，威脅國家安全。（二）新技術(shù)融合增大物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)規(guī)?；瘧?yīng)用促使物聯(lián)網(wǎng)不斷與人工智能、邊緣計(jì)算、IPv6、容器、微服務(wù)等 新技術(shù)加快融合，這些新技術(shù)給物聯(lián)網(wǎng)發(fā)展帶來功能性能提升的同時(shí)，也對傳統(tǒng) 安全防護(hù)措施

6、帶來了新的挑戰(zhàn)。典型的表現(xiàn)有：IPv6將帶來潛在暴露性安全風(fēng) 險(xiǎn)。在IPv4時(shí)代，因地址數(shù)量有限，相關(guān)技術(shù)人員多采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)來 解決網(wǎng)絡(luò)地址不足的問題。通過NAT給用戶分配內(nèi)網(wǎng)地址而非公網(wǎng)地址，從而 將使用NAT技術(shù)的設(shè)備“隱藏”起來。外界無法看到該設(shè)備的內(nèi)網(wǎng)地址，從而 強(qiáng)制實(shí)施僅允許傳出通信的安全策略。隨著IPv6的使用，IPv6將物聯(lián)網(wǎng)設(shè)備 暴露于網(wǎng)絡(luò)中，NAT僅允許傳出的通信過濾策略也將會(huì)消失，這意味著內(nèi)部和外 部系統(tǒng)之間的通信將不再由網(wǎng)絡(luò)管理。除非采取有效控制措施，否則IPv6部署 使用可能導(dǎo)致網(wǎng)絡(luò)的所有內(nèi)部節(jié)點(diǎn)都可以從公共互聯(lián)網(wǎng)直接訪問，物聯(lián)網(wǎng)設(shè)備將 更容易遭受網(wǎng)絡(luò)攻擊。物聯(lián)

7、網(wǎng)敏捷性提升帶來關(guān)聯(lián)性安全風(fēng)險(xiǎn)。物聯(lián)網(wǎng)平臺(tái)普遍引入容器、微服務(wù) 等技術(shù)保障應(yīng)用開發(fā)環(huán)境一致化和部署敏捷化。容器、微服務(wù)等技術(shù)打破了原有 邊界式的安全策略，帶來新的安全隱患。容器技術(shù)使得物聯(lián)網(wǎng)平臺(tái)部署從“硬” 隔離到“軟”隔離，微服務(wù)將單體應(yīng)用拆解為多服務(wù)，應(yīng)用間交互的端口成指數(shù) 級增長，均增大了數(shù)據(jù)泄露和關(guān)聯(lián)攻擊風(fēng)險(xiǎn)，造成攻擊面大幅增加。物聯(lián)網(wǎng)邊緣計(jì)算將放大分布式安全風(fēng)險(xiǎn)。邊緣計(jì)算推動(dòng)計(jì)算模型從集中式的 云計(jì)算走向更加分布式部署，也將網(wǎng)絡(luò)攻擊威脅引入了網(wǎng)絡(luò)邊緣。一是邊緣計(jì)算 節(jié)點(diǎn)數(shù)量龐大，包括邊緣云、邊緣網(wǎng)關(guān)、邊緣控制器等形態(tài)各樣的邊緣終端，終 端復(fù)雜性和異構(gòu)性突出，安全防護(hù)策略覆蓋困難。二是

8、由于邊緣設(shè)施的資源和能 力有限，難以提供與云數(shù)據(jù)中心一致的安全能力，邊緣節(jié)點(diǎn)數(shù)據(jù)容易被損毀，基 礎(chǔ)設(shè)施軟件防護(hù)也較為困難。三是邊緣計(jì)算將采用開放API、開放的網(wǎng)絡(luò)功能虛 擬化（NFV，Network Function Virtualization）等技術(shù)，開放性的引入容易將 邊緣節(jié)點(diǎn)暴露給外部攻擊者。物聯(lián)網(wǎng)開源將安全提升至基礎(chǔ)設(shè)施層面。根據(jù)2020年開源安全和風(fēng)險(xiǎn)分 析（OSSRA）報(bào)告，物聯(lián)網(wǎng)領(lǐng)域代碼庫中開源代碼占整體代碼比例高達(dá)82%。 WhiteSource開源安全年度報(bào)告顯示，2019年公開披露的開源安全漏洞數(shù)量 再創(chuàng)新高，總數(shù)為6100個(gè)，與2018年相比，開源安全漏洞的數(shù)量增長近5

9、0%， 物聯(lián)網(wǎng)開源軟件的安全問題已非常嚴(yán)重。開源軟件已經(jīng)成為物聯(lián)網(wǎng)應(yīng)用軟件最基 礎(chǔ)的“磚頭瓦塊”原材料，成為各行各業(yè)應(yīng)用的核心基礎(chǔ)設(shè)施，物聯(lián)網(wǎng)安全已深 入國家基礎(chǔ)安全層面。（三）核心技術(shù)對外依賴度高，供應(yīng)鏈安全問題凸顯我國物聯(lián)網(wǎng)供應(yīng)鏈呈兩頭弱、中間強(qiáng)的態(tài)勢。物聯(lián)網(wǎng)終端側(cè)核心產(chǎn)品嚴(yán)重依 賴進(jìn)口。芯片層面：一是核心EDA芯片設(shè)計(jì)軟件被國外巨頭壟斷，Cadence、Synopsys和Mentor Graphics三大EDA巨頭占據(jù)全球超過60%的市場份額。二是大量中高端半導(dǎo)體材料依賴進(jìn)口，12英寸硅片基本依賴進(jìn)口，2019年 電子特種氣體國產(chǎn)化率小于20%，半導(dǎo)體光刻膠國產(chǎn)化率低于5%，化學(xué)機(jī)械拋光

10、 CMP的拋光液國產(chǎn)化率小于10%。三是半導(dǎo)體材料制造工藝比國際先進(jìn)水平落后至少2代，目前我國中芯國 際最先進(jìn)量產(chǎn)工藝為14nm，而全球領(lǐng)先的三星等企業(yè)已在推進(jìn)5nm量產(chǎn)。四是90nm以下的光刻機(jī)、高端掃描電鏡等高端制造設(shè)備對國外依賴度高。 五是高精度模數(shù)轉(zhuǎn)換器ADC、傳感器接口芯片和超高射頻芯片等物聯(lián)網(wǎng)核心芯片 基本靠進(jìn)口。我國海關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，2019年我國集成電路進(jìn)口金額3040億 美元，遠(yuǎn)高于排名第二的原油進(jìn)口額，位列國內(nèi)進(jìn)口商品第一位。傳感器層面，MEMS設(shè)計(jì)軟件被Coventor、IntelliSense和ANSYS等國外巨頭壟斷。關(guān)鍵材 料和關(guān)鍵輔料依靠進(jìn)口，如高端聚酰亞胺薄膜由

11、美日韓掌握。我國20余條MEMS 生產(chǎn)線開工率不足20%，高端設(shè)備依靠進(jìn)口。網(wǎng)絡(luò)側(cè)產(chǎn)業(yè)優(yōu)勢較強(qiáng)。我國5G和NB-IoT推進(jìn)迅速，目前已建成全球覆蓋 范圍最廣的物聯(lián)網(wǎng)絡(luò)。NB-IoT和Cat1等蜂窩物聯(lián)網(wǎng)通信芯片國產(chǎn)化率較高， 5G芯片方面華為、紫光展銳、聯(lián)發(fā)科取得全球市場優(yōu)勢。物聯(lián)網(wǎng)模組方面移遠(yuǎn) 通信、日海智能等模組廠商持續(xù)蟬聯(lián)全球出貨量前列，占全球超過一半的市場份 額。平臺(tái)側(cè)自主技術(shù)有待加強(qiáng)。發(fā)達(dá)國家憑借傳統(tǒng)計(jì)算機(jī)和基礎(chǔ)軟件方面的優(yōu)勢， 繼續(xù)在云計(jì)算和大數(shù)據(jù)處理技術(shù)方面占據(jù)主導(dǎo)地位，技術(shù)和產(chǎn)品領(lǐng)先。其中虛擬 化方案以VMware商業(yè)解決方案和KVM、XEN開源方案的使用為主，容器及容器 編排技術(shù)大量采用開源的Docker和Kubernetes，微服務(wù)框架以開源的Spring Cloud使用領(lǐng)先，數(shù)據(jù)庫基本被甲骨文Oracle、微軟SQL server、IBM的DB2 等國際巨頭的商業(yè)數(shù)據(jù)庫和MySQL、PostgreSQL等開源數(shù)據(jù)庫壟斷。我國平臺(tái)虛 擬化、容器、微服務(wù)、數(shù)據(jù)庫等廣泛采用國外先進(jìn)技術(shù)和開源技術(shù)，雖然國內(nèi)少 數(shù)企業(yè)通過參與開源基金會(huì)、開源社區(qū)、主動(dòng)開源等多種方式