根据中国信通院出版的《物联网白皮书(2020)》的内容,目前物联网安全问题有如下几种:
一是我国物联网安全政策布局仍不足,物联网安全标准体系尚未发布,安全标准的场景针对性不足,产业链各环节安全防护意识不统一,安全防护体系不完善,没有形成物联网安全产业合理,目前呈现分散状态。
二是我国物联网安全产业尚处于起步阶段,物联网产业链设计环节众多,安全建设需要多方共同合作推进,目前缺乏典型场景的安全解决方案和标杆企业,需求侧对价格敏感,对物联网安全成本增加的接受度差。
三是物联网安全核心终端的产业成熟度不高,现阶段终端安全是物联网安全的重中之重,一旦被破坏、控制或攻击,不仅影响应用服务的安全稳定,导致隐私数据泄露、生命财产安全受损,更会危害网络关键基础设施,威胁国家安全。
除此之外,新技术融合增大物联网安全风险
规模化应用促使物联网不断与人工智能、边缘计算、IPv6、容器、微服务等新技术加快融合,这些新技术给物联网发展带来功能性提升的同时,也对传统安全防护措施带来了新的挑战。典型的表现有:
IPv6将带来潜在暴露性安全风险。在IPv4时代,因地址数量有限,相关技术人员多采用网络地址转换技术(NAT,Network Address Translation)来解决网络地址不足的问题。通过NAT给用户分配内网地址而非公网地址,从而将使用NAT技术的设备“隐藏”起来。外界无法看到该设备的内网地址,从而强制实施仅允许传出通信的安全策略。随着IPv6的使用,IPv6将物联网设备暴露于网络中,NAT仅允许传出的通信过滤策略也将会消失,这意味着内部和外部系统间的通信将不再由网络管理。除非采取有效控制措施,否则IPv6部署使用可能导致网络的所有内部节点都可以从公关互联网直接访问,物联网设备将更容易遭受网络攻击。
物联网敏捷性提升带来关联性安全风险。物联网平台普通引入容器、微服务等技术保障应用开发环境一致化和部署敏捷化。容器、微服务等技术打破了原有边界式的安全策略,带来新的安全隐患。容器技术使得物联网平台部署从“硬”隔离到“软”隔离,微服务将单体应用拆解为多服务,应用间交互的端口呈指数级增长,均增大了数据泄露和关联攻击风险,造成攻击面大幅增加。
物联网边缘计算将放大分布式安全风险。边缘计算推动计算模型从集中式的云计算走向更加分布式部署,也将网络攻击威胁引入了网络边缘。一是边缘计算节点数量庞大,包括边缘云、边缘网关、边缘控制器等形态各样的边缘终端,终端复杂性和异构性突出,安全防护策略覆盖困难。二是由于边缘设施的资源和能力有限,难以提供与云数据中心一致的安全能力,边缘节点数据容易被损毁,基础设施软件防护也较为困难。三是边缘计算将采用开放API、开放的网络功能虚拟化等技术,开放性的引入容易将边缘节点暴露给外部攻击者。
物联网开源将安全提升至基础设施层面。根据Synopsys公司发布的《2020年开源安全和风险分析(OSSRA)报告》,物联网领域代码库中比例高达82%。WhiteSource《开源安全年度报告》显示,2019年公开披露的开源安全漏洞数量再创新高,总数为6100个,与2018年相比,开源软件已经成为物联网应用软件最基础的“砖头瓦块”原材料,成为各行各业应用的核心基础设施,物联网安全已深入国家基础安全层面。
