物联网常见的安全问题
1)安全隐私
如射频识别技术被用于物联网系统时, RFID 标签被嵌入任何物品中,比如人们的日常生活用品中,而用品的拥有者不一定能觉察,从而导致用品的拥有者不受控制地被扫描、定位和追踪,这不仅涉及到技术问题,而且还将涉及到法律问题。
2)智能感知节点的自身安全问题
即物联网机器/感知节点的本地安全问题。由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作,所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对它们造成破坏,甚至通过本地操作更换机器的软硬件。
3)假冒攻击
由于智能传感终端、RFID电子标签相对于传统TCP/IP网络而言是“裸露”在攻击者的眼皮底下的,再加上传输平台是在一定范围内“暴露”在空中的,“窜扰”在传感网络领域显得非常频繁、并且容易。所以, 传感器 网络中的假冒攻击是一种主动攻击形式,它极大地威胁着传感器节点间的协同工作。
4)数据驱动攻击
数据驱动攻击是通过向某个程序或应用发送数据,以产生非预期结果的攻击,通常为攻击者提供访问目标系统的权限。数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。通常向传感网络中的汇聚节点实施缓冲区溢出攻击是非常容易的。
5)恶意代码攻击
恶意程序在无线网络环境和传感网络环境中有无穷多的入口。一旦入侵成功,之后通过网络传播就变得非常容易。它的传播性、隐蔽性、破坏性等相比TCP/IP网络而言更加难以防范,如类似于蠕虫这样的恶意代码,本身又不需要寄生文件,在这样的环境中检测和清除这样的恶意代码将很困难。
6)拒绝服务
这种攻击方式多数会发生在感知层安全与核心网络的衔接之处。由于物联网中节点数量庞大,且以集群方式存在,因此在数据传播时,大量节点的数据传输需求会导致网络拥塞,产生拒绝服务攻击。
7)物联网的业务安全
由于物联网节点无人值守,并且有可能是动态的,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,现有通信网络的安全架构都是从人与人之间的通信需求出发的,不一定适合以机器与机器之间的通信为需求的物联网络。使用现有的网络安全机制会割裂物联网机器间的逻辑关系。
8)传输层和应用层的安全隐患
在物联网络的传输层和应用层将面临现有TCP/IP网络的所有安全问题,同时还因为物联网在感知层所采集的数据格式多样,来自各种各样感知节点的数据是海量的、并且是多源异构数据,带来的网络安全问题将更加复杂。
物联网安全如何防控
大流量攻击在未来将成为常态,每个物联网参与方都应针对性地部署防护措施
杨传安说,在大数据时代,任何一点安全风险都可能被放大,造成个人信息泄露、财产损失甚至人身安全等问题,给人们生活和社会运行带来影响。
“物联网的安全威胁远未见顶,物联网应用的最终追求是万物互联,实现信息共享,并通过搭建高度自动化和智能化的系统,为人们的日常生活提供便利。随着物联网在社会生活中的普及,应用场景不断丰富,安全风险也将随之增加。”杨传安说。
《年报》认为,物联网的DDoS大流量攻击在未来将成为常态。这是因为物联网设备增多带来规模效应,最直接的负面影响就是攻击者发起DDoS攻击应用将变得更加容易。安全专家表示,从实施的难度、运营的成本、风险与收益来看,DDoS攻击是一种有效的攻击形式,在相当长的时间内,仍将是一种常见的攻击方式。
《年报》分析,当前,物联网应用还较新,在监管机构出台相关法律法规前,厂商缺少动力将安全置于整个产业链中。
“从当下的市场环境看,厂商强调智能化的功能设计,求新求快是物联网行业中的主流,安全反倒是可有可无的选项,这让物联网环境更加具有脆弱性。”杨传安说。
绿盟科技物联网安全解决方案总监刘弘利说,应对物联网安全问题,涉及物联网设备提供商、物联网平台提供商、网络提供商和普通用户等多个参与方,每个环节、每个参与者都应有所作为。
刘弘利建议,不同的物联网参与方可根据自身特点,有针对性地部署防护措施:物联网设备提供商要保障终端安全,引入安全开发流程提升终端安全性,并在产品上市前进行安全评估;物联网平台提供商应重点关注平台安全和设备、移动端与自身的连接是否安全。因为在平台安全中,物联网终端数据大多包含隐私信息,数据安全变得尤为重要。
“无论是家庭还是企业用户,都应把安全作为一个重要的关注点。选购产品时优先考虑采用有安全网关的产品。”刘弘利说。他还建议,用户在购买智能产品后,应该尽可能修改初始口令以及弱口令,加固用户名和密码的安全性。同时,修改默认端口为不常用端口,增大端口开放协议被探测的难度,并及时升级设备固件。