提升物联网设备安全性需“内外兼修”

原标题：提升物联网设备安全性需“内外兼修”

　　小到街头巷尾的监控摄像头，大到汽车、变电站，在万物互联和智能化的时代，物联网似乎能将一切实体都连入其中。根据中国产业信息网的数据及预测，2019年全球物联网设备数量已达107亿台，预计到2025年物联网设备连接数将达到251亿台。

　　然而随着物联网的普及，其安全问题也引发了人们的重视。近日，美国网络安全公司派拓网络发布报告称，该公司在日本智能太阳能发电板生产商日本康泰克公司的产品固件中发现了一个严重的安全漏洞，可被黑客用于网络攻击。此次发现的漏洞和其他20多个漏洞一起构成了派拓网络所描述的Mirai（米拉伊）僵尸网络的变体。

　　相较于传统网络，物联网在安全方面存在哪些不足？从此次安全漏洞事件来看，物联网想要持续发展，还要如何提升其安全能力？带着这些问题，记者采访了物联网安全技术领域专家和物联网领域相关企业负责人。

　　各种设备都会成为攻击对象

　　2015年，两名白帽黑客远程入侵了一辆正在路上行驶的某品牌汽车，他们利用该车型车联网接入系统的漏洞，对车辆的方向、油门、刹车、雨刷等进行了远程控制。当年7月，该汽车生产厂家就宣布召回140万辆存在漏洞的汽车。

　　类似的事件并非孤例。2016年，腾讯安全科恩实验室也曾利用安全漏洞对某知名品牌电动汽车进行无物理接触远程攻击，实现了对车辆驻车状态和行驶状态下的远程控制。这一结果也得到了该品牌汽车厂家的确认。

　　这两起车联网安全漏洞事件，背后指向的是整个物联网终端与日俱增的安全问题。

　　2020年，有研究者经过调查发现，仅半个月的时间，针对特定漏洞的物联网恶意代码攻击事件数量就达到了6700万次，有单个组织对数十万个IP地址发起攻击尝试，超过25%的安全入侵与物联网设备相关。从路由器到闭路电视摄影机，再到太阳能电池板，各种物联网设备都存在安全隐患。

　　南京邮电大学物联网安全专家沙乐天教授表示，目前物联网安全漏洞带来隐患主要有用户敏感信息泄露和恶意代码植入。前者表现为个人账号密码、用户照片及视频、用户语音被窃等，后者则表现为在路由器、摄像头、智能音箱、智能电视、智能网联汽车中安装木马程序，控制用户设备。

　　物联网安全建设面临挑战

　　近年来，电脑、手机等互联网终端的安全防护日趋完善，黑客对它们的攻击代价越来越大。而由于实体化的物联网设备发展时间较短，黑客攻击代价更小，因此针对它们的攻击逐渐增多。

　　沙乐天指出，物联网产业拥有产业链过长、设备多样性丰富等特征，如物联网产业链涉及物联网设备制造、传感器技术、通信网络、云平台、数据分析、应用开发和服务等各个环节，物联网环境下物联网设备品牌多样，通信协议也很多，这就导致体系化的物联网安全建设难以实现。“物联网设备还有一个特点是需要持续供电、长期运行，正常情况下不会频繁开关或重启，因此出现安全问题后难以实时进行检测。”沙乐天说。

　　物联网不同设备和系统的安全性也存在较大差异。南京中科智达物联网系统有限公司董事长许欣长期从事物联网通信设备研发，他表示，从连接方式来看，物联网设备分为蜂窝连接和非蜂窝连接两类，前者使用移动通信网络连入互联网，成本高、安全性也高，目前全球每年约新增4亿台终端，主要集中在智能网联汽车、电力等领域；而后者通过WiFi、蓝牙、Zigbee等连入互联网，使用开放频谱资源，成本低、安全性也差，全球约有110亿台终端，大多为智能家居设备。

　　同时，在物联网的云端、设备端和用户操作端之间，也缺乏统一的接入标准，这也带来了黑客攻击、数据泄露和隐私侵犯等潜在安全风险。