物聯(lián)網(wǎng)信息安全 課件 第0章 物聯(lián)網(wǎng)信息安全緒論

物聯(lián)網(wǎng)信息安全（緒論）李永忠教授江蘇科技大學(xué)計算機學(xué)院2022.9.2物聯(lián)網(wǎng)信息安全的重要性信息安全在物聯(lián)網(wǎng)中重要性和作用顯而易見?，F(xiàn)在軍事中的物、地探測現(xiàn)在交通中的車輛檢測智能小區(qū)中的RFID物聯(lián)網(wǎng)信息安全關(guān)系到國家的信息安全2014年2月27日電，據(jù)央視新聞報道，習(xí)近平主持召開中央網(wǎng)絡(luò)安全和信息化小組首次會議，要求把我國建設(shè)成為網(wǎng)絡(luò)強國。習(xí)近平任小組組長。加強網(wǎng)絡(luò)安全，才能維護國家安全。安全是互聯(lián)網(wǎng)發(fā)展的前提和基礎(chǔ)。物聯(lián)網(wǎng)以互聯(lián)網(wǎng)為依托。開設(shè)《物聯(lián)網(wǎng)信息安全》課程的必要性現(xiàn)有《網(wǎng)絡(luò)與信息安全》課程可否替換《物聯(lián)網(wǎng)信息安全》？早期的想法：可以替換現(xiàn)在的想法：不可替換，有其特殊性《物聯(lián)網(wǎng)信息安全》教材應(yīng)該涵蓋《網(wǎng)絡(luò)與信息安全》課程內(nèi)容，并有所拓展。二者差異：“專用”、“通用”二者協(xié)同：通用寓于“專用”二者貫通：有“通用”貫通“專用”《物聯(lián)網(wǎng)信息安全》可以上升為新的研究熱點感知中的；RFID數(shù)據(jù)傳輸與處理中的：大數(shù)據(jù)、多維、時間序列應(yīng)用中的：開放、跨域、共享、云物聯(lián)網(wǎng)信息安全：物聯(lián)網(wǎng)工程專業(yè)的核心知識體系《物聯(lián)網(wǎng)信息安全》課程大綱本課程作為物聯(lián)網(wǎng)工程專業(yè)的核心專業(yè)課程課程目標(biāo)：針對物聯(lián)網(wǎng)工程專業(yè)的需要，對物聯(lián)網(wǎng)信息安全的內(nèi)涵、知識領(lǐng)域和知識單元進行了科學(xué)合理的安排，目標(biāo)是提升讀者對物聯(lián)網(wǎng)信息安全的“認知”和“實踐”能力。教材內(nèi)容與特色：本教材根據(jù)物聯(lián)網(wǎng)工程“卓越工程師”培養(yǎng)計劃的要求編寫、結(jié)合教學(xué)過程積累的經(jīng)驗，注重應(yīng)用性。面向卓越計劃，注重物聯(lián)網(wǎng)信息安全的應(yīng)用能力培養(yǎng)。在介紹信息安全技術(shù)和網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，重點講述物聯(lián)網(wǎng)信息安全。物聯(lián)網(wǎng)安全按照物聯(lián)網(wǎng)的層次體系分為三大部分：物聯(lián)網(wǎng)感知層安全、物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全和物聯(lián)網(wǎng)應(yīng)用層安全。并介紹了典型物聯(lián)網(wǎng)EPCglobal、WPAN和M2M的安全技術(shù)。本書內(nèi)容編排循序漸進、由淺入深的闡述了物聯(lián)網(wǎng)安全技術(shù)，內(nèi)容編排符合認識規(guī)律，邏輯性強。教學(xué)建議本課程建議授課課時 48~56；本課程建議實踐課時 8~10。教學(xué)章節(jié)教學(xué)要求課時第1章物聯(lián)網(wǎng)安全概述了解物聯(lián)網(wǎng)的概念與特征了解物聯(lián)網(wǎng)的體系結(jié)構(gòu)了解物聯(lián)網(wǎng)的特征和安全需求了解物聯(lián)網(wǎng)的安全結(jié)構(gòu)講授2第2章網(wǎng)絡(luò)信息安全技術(shù)基礎(chǔ)物了解網(wǎng)絡(luò)安全基本概念掌握數(shù)據(jù)加密技術(shù)掌握DES算法和RSA算法了解散列函數(shù)與消息摘要原理掌握數(shù)字簽名技術(shù)掌握網(wǎng)絡(luò)層安全協(xié)議掌握防火墻技術(shù)掌握入侵檢測技術(shù)、入侵防御等網(wǎng)絡(luò)安全技術(shù)講授4-10實踐2教學(xué)建議第3章物聯(lián)網(wǎng)安全體系結(jié)構(gòu)及物理安全掌握物聯(lián)網(wǎng)安全體系結(jié)構(gòu)掌握物聯(lián)網(wǎng)的安全技術(shù)措施掌握物理安全威脅與防范講授4實踐2第4章物聯(lián)網(wǎng)感知層安全了解感知層安全與信息安全關(guān)系掌握RFID安全技術(shù)掌握輕量級密碼技術(shù)掌握傳感器網(wǎng)絡(luò)安全技術(shù)掌握物聯(lián)網(wǎng)終端系統(tǒng)安全技術(shù)掌握WiFi/3G/4G/ZigBee等安全技術(shù)了解位置隱私信息保護技術(shù)講授6實踐2第5章物聯(lián)網(wǎng)網(wǎng)絡(luò)層安了解網(wǎng)絡(luò)層安全需求掌握近距離無線接入安全--WLAN安全技術(shù)掌握遠距離無線接入安全--移動網(wǎng)安全掌握擴展接入網(wǎng)的安全技術(shù)掌握物聯(lián)網(wǎng)核心網(wǎng)安全--6LoWPAN和RPL的安全技術(shù)掌握下一代網(wǎng)絡(luò)與網(wǎng)絡(luò)安全技術(shù)講授8實踐2教學(xué)建議第6章物聯(lián)網(wǎng)應(yīng)用層了解應(yīng)用層安全需求掌握Web安全技術(shù)掌握中間件安全技術(shù)掌握數(shù)據(jù)安全技術(shù)掌握云計算安全技術(shù)講授4實踐2第7章物聯(lián)網(wǎng)安全技術(shù)應(yīng)用掌握物聯(lián)網(wǎng)系統(tǒng)安全設(shè)計方法掌握物聯(lián)網(wǎng)安全技術(shù)應(yīng)用了解物聯(lián)網(wǎng)門禁系統(tǒng)應(yīng)用了解物聯(lián)網(wǎng)安防監(jiān)控系統(tǒng)設(shè)計了解物聯(lián)網(wǎng)智能監(jiān)獄監(jiān)控報警系統(tǒng)講授8實踐2第8章典型物聯(lián)網(wǎng)安全實例了解EPCglobal物聯(lián)網(wǎng)安全應(yīng)用實例了解無線個域網(wǎng)的遠程醫(yī)療系統(tǒng)的安全技術(shù)應(yīng)用理解M2M安全技術(shù)了解車聯(lián)網(wǎng)的安全技術(shù)講授4實踐2使用教材江蘇省“十二五”重點建設(shè)教材：《物聯(lián)網(wǎng)信息安全》（第2版）李永忠主編西安科技大學(xué)出版社第1章物聯(lián)網(wǎng)信息安全概述李永忠江蘇科技大學(xué)計算機學(xué)院2017.09.02本章導(dǎo)引物聯(lián)網(wǎng)作為戰(zhàn)略性新興產(chǎn)業(yè)，在各國政府大力推動下，正在迎來一輪建設(shè)高峰，其信息安全和風(fēng)險問題也得到各國政府的廣泛重視。由于物聯(lián)網(wǎng)是一個融合計算機、通信和控制等相關(guān)技術(shù)的復(fù)雜系統(tǒng)，因而物聯(lián)網(wǎng)面臨的信息安全問題更加復(fù)雜。本章主要論述物聯(lián)網(wǎng)的基本概念和特征,探討物聯(lián)網(wǎng)的信息安全現(xiàn)狀和面臨的信息安全威脅。1.1物聯(lián)網(wǎng)的概念與特征物聯(lián)網(wǎng)的概念與起源物聯(lián)網(wǎng)（InternetofThings，IoT）代表了未來計算與通信技術(shù)發(fā)展的方向，被認為是繼計算機、Internet之后，信息產(chǎn)業(yè)領(lǐng)域的第三次發(fā)展浪潮。最初，IoT是指基于Internet利用射頻標(biāo)簽（RadioFrequencyIdentificationRFID）技術(shù)、電子產(chǎn)品編碼（ElectronicProductCodeEPC）標(biāo)準(zhǔn)在全球范圍內(nèi)實現(xiàn)的一種網(wǎng)絡(luò)化物品實時信息共享系統(tǒng)。后來，IoT逐漸演化成為一種融合了傳統(tǒng)網(wǎng)絡(luò)、傳感器、AdHoc無線網(wǎng)絡(luò)、普適計算和云計算等信息與通信技術(shù)（InformationandCommunicationsTechnology,ICT）的完整的信息產(chǎn)業(yè)鏈。物聯(lián)網(wǎng)的概念與起源物聯(lián)網(wǎng)被稱為繼計算機、互聯(lián)網(wǎng)之后，世界信息產(chǎn)業(yè)的第三次浪潮。《國務(wù)院關(guān)于加快培育和發(fā)展戰(zhàn)略性新興產(chǎn)業(yè)的決定》將以物聯(lián)網(wǎng)為代表的新一代信息技術(shù)列為重點培育和發(fā)展的戰(zhàn)略性新興產(chǎn)業(yè)，《國民經(jīng)濟和社會發(fā)展第十二個五年規(guī)劃綱要》對培育發(fā)展以物聯(lián)網(wǎng)代表的新一代信息技術(shù)戰(zhàn)略性新興產(chǎn)業(yè)做了全面部署。

物聯(lián)網(wǎng)的概念由于目前對于物聯(lián)網(wǎng)的研究尚處于起步階段，物聯(lián)網(wǎng)的確切定義尚未統(tǒng)一。物聯(lián)網(wǎng)一般的英文名稱為“InternetofThings”。顧名思義，物聯(lián)網(wǎng)就是一個將所有物體連接起來所組成的物-物相連的互聯(lián)網(wǎng)絡(luò)。物聯(lián)網(wǎng)，作為新技術(shù)，定義千差萬別。一個普遍被大家接受的定義為：物聯(lián)網(wǎng)是通過使用射頻識別（RadioFrequencyIdentification，RFID）、傳感器、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等信息采集設(shè)備，按約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)連接起來，進行信息交換和通訊，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。物聯(lián)網(wǎng)的定義全面感知、可靠傳送、智能處理人與自然和諧相處需要更多地感知物理世界物聯(lián)網(wǎng)=物理世界與信息網(wǎng)絡(luò)的無縫連接智能交通遠程醫(yī)療智能家居環(huán)境監(jiān)測公共安全綠色農(nóng)業(yè)工業(yè)監(jiān)控物聯(lián)網(wǎng)是指通過信息傳感設(shè)備按照約定的協(xié)議，把任何物品與信息網(wǎng)絡(luò)連接起來，進行信息交換和通訊，以實現(xiàn)智能化的識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)，它是在互聯(lián)網(wǎng)基礎(chǔ)上的延伸和擴展的網(wǎng)絡(luò)。物流管理物聯(lián)網(wǎng)的特征與傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)具有以下三個主要特征：全面感知1．全面感知“感知”是物聯(lián)網(wǎng)的核心。物聯(lián)網(wǎng)是具有全面感知能力的物品和人所組成的，為了使物品具有感知能力，需要在物品上安裝不同類型的識別裝置，例如：電子標(biāo)簽（Tag）、條形碼與二維碼等，或者通過傳感器、紅外感應(yīng)器等感知其物理屬性和個性化特征。利用這些裝置或設(shè)備，可隨時隨地獲取物品信息，實現(xiàn)全面感知。可靠傳遞2．可靠傳遞數(shù)據(jù)傳遞的穩(wěn)定性和可靠性是保證物-物相連的關(guān)鍵。為了實現(xiàn)物與物之間信息交互，就必須約定統(tǒng)一的通信協(xié)議。由于物聯(lián)網(wǎng)是一個異構(gòu)網(wǎng)絡(luò)，不同的實體間協(xié)議規(guī)范可能存在差異，需要通過相應(yīng)的軟、硬件進行轉(zhuǎn)換，保證物品之間信息的實時、準(zhǔn)確傳遞。智能處理3．智能處理物聯(lián)網(wǎng)的目的是實現(xiàn)對各種物品（包括人）進行智能化識別、定位、跟蹤、監(jiān)控和管理等功能。這就需要智能信息處理平臺的支撐，通過云計算、人工智能等智能計算技術(shù)，對海量數(shù)據(jù)進行存儲、分析和處理，針對不同的應(yīng)用需求，對物品實施智能化的控制。物聯(lián)網(wǎng)的起源與發(fā)展物聯(lián)網(wǎng)概念的起源可以追溯到1995年，比爾·蓋茨在《未來之路》一書中對信息技術(shù)未來的發(fā)展進行了預(yù)測1998年，麻省理工學(xué)院（MIT）提出基于RFID技術(shù)的唯一編號方案，即產(chǎn)品電子代碼（ElectronicProductCode，EPC），并以EPC為基礎(chǔ)，研究從網(wǎng)絡(luò)上獲取物品信息的自動識別技術(shù)。1999年，美國自動識別技術(shù)（AUTO-ID）實驗室首先提出“物聯(lián)網(wǎng)”的概念。物聯(lián)網(wǎng)概念的正式提出是在國際電信聯(lián)盟（ITU）發(fā)布了《ITU互聯(lián)網(wǎng)報告2005：“TheInternetofThings”》報告中。物聯(lián)網(wǎng)的起源與發(fā)展2007年，美國率先在馬薩諸塞州劍橋城打造全球第一個全城無線傳感網(wǎng)。2009年1月IBM首席執(zhí)行官彭明盛提出“智慧地球”的概念2009年6月，歐盟委員會正式提出了《歐盟物聯(lián)網(wǎng)行動計劃》1999年，中科院就啟動了傳感網(wǎng)的研究2009年8月7日，溫家寶總理在無錫微納傳感網(wǎng)工程技術(shù)研發(fā)中心視察并發(fā)表重要講話，提出了“感知中國”的理念2010年物聯(lián)網(wǎng)新專業(yè)設(shè)立各國均把物聯(lián)網(wǎng)作為未來信息化戰(zhàn)略的重要內(nèi)容23共同點:融合各種信息技術(shù)，突破互聯(lián)網(wǎng)的限制，將物體接入信息網(wǎng)絡(luò)，實現(xiàn)“物聯(lián)網(wǎng)”在網(wǎng)絡(luò)泛在的基礎(chǔ)上，將信息技術(shù)應(yīng)用到各個領(lǐng)域，從而影響到國民經(jīng)濟和社會生活的方方面面未來信息產(chǎn)業(yè)的發(fā)展在由信息網(wǎng)絡(luò)向全面感知和智能應(yīng)用兩個方向拓展、延伸和突破。日本：2009年8月i-Japan戰(zhàn)略中國：2009年8月感知中國歐盟：2009年6月物聯(lián)網(wǎng)行動計劃美國：2008年底IBM向美國政府提出的”智慧的地球”戰(zhàn)略強調(diào)傳感等感知技術(shù)的應(yīng)用，提出建設(shè)智慧型基礎(chǔ)設(shè)施具體而務(wù)實，強調(diào)RFID的廣泛應(yīng)用，注重信息安全在u-Japan的基礎(chǔ)上，強調(diào)電子政務(wù)和社會信息服務(wù)應(yīng)用中國發(fā)展物聯(lián)網(wǎng)的戰(zhàn)略意義保障國家信息安全國土安全促進工業(yè)化與信息化融合

感知中國，贏得未來搶占信息產(chǎn)業(yè)第三次浪潮的制高點物聯(lián)網(wǎng)TD成功的重大契機物聯(lián)網(wǎng)發(fā)展面臨的問題

標(biāo)準(zhǔn)統(tǒng)一化問題協(xié)議與安全問題核心技術(shù)商業(yè)模式與產(chǎn)業(yè)鏈問題配套政策和規(guī)范的制定與完善物聯(lián)網(wǎng)的應(yīng)用物聯(lián)網(wǎng)應(yīng)用層主要面向用戶需求，利用所獲取的感知數(shù)據(jù)，經(jīng)過前期分析和智能處理，為用戶提供特定的服務(wù)。目前，物聯(lián)網(wǎng)應(yīng)用的研究已經(jīng)擴展到智能交通、智能物流、智能電網(wǎng)、環(huán)境監(jiān)測、金融安防、工業(yè)監(jiān)測、智能家居、醫(yī)療健康等多個領(lǐng)域。物聯(lián)網(wǎng)的體系結(jié)構(gòu)認識任何事物都要有一個從整體到局部的過程，尤其對于結(jié)構(gòu)復(fù)雜、功能多樣的系統(tǒng)更是如此。物聯(lián)網(wǎng)也不例外。首先，需要了解物聯(lián)網(wǎng)的整體結(jié)構(gòu)，然后進一步討論其中的細節(jié)。物聯(lián)網(wǎng)是一個開放型體系架構(gòu)，由于處于發(fā)展階段，不同的組織和研究群體，對物聯(lián)網(wǎng)提出了不同的體系結(jié)構(gòu)。但不管是三層體系結(jié)構(gòu)、四層體系結(jié)構(gòu)還是五層體系結(jié)構(gòu)，其關(guān)鍵技術(shù)是相通和類同的?？墒紫冉榻B一種物聯(lián)網(wǎng)五層體系結(jié)構(gòu)，物聯(lián)網(wǎng)三、四層體系結(jié)構(gòu)在此基礎(chǔ)上進行組合即可實現(xiàn)。1.2物聯(lián)網(wǎng)安全問題分析物聯(lián)網(wǎng)安全問題的來源是多方面的，包括傳統(tǒng)的網(wǎng)絡(luò)安全問題、計算系統(tǒng)的安全問題和物聯(lián)網(wǎng)感知過程中的特殊安全問題等。1、物聯(lián)網(wǎng)標(biāo)簽掃描引起的信息泄露問題2、物聯(lián)網(wǎng)射頻標(biāo)受到惡意攻擊的問題3、標(biāo)簽用戶可能被跟蹤定位的問題4、物聯(lián)網(wǎng)的不安全因素可能通過互聯(lián)網(wǎng)進行擴散的問題5、物聯(lián)網(wǎng)加密機制有待健全的問題6、物聯(lián)網(wǎng)的安全隱患會加劇工業(yè)控制網(wǎng)絡(luò)的安全威脅物聯(lián)網(wǎng)的安全特征（1）已有的對傳感網(wǎng)、互聯(lián)網(wǎng)、移動網(wǎng)、安全多方計算、云計算等的一些安全解決方案在物聯(lián)網(wǎng)環(huán)境中可以部分使用，但另外部分可能不再適用。首先，物聯(lián)網(wǎng)所對應(yīng)的傳感網(wǎng)的數(shù)量和終端物體的規(guī)模是單個傳感網(wǎng)所無法相比的；其次，物聯(lián)網(wǎng)所聯(lián)接的終端設(shè)備或器件的處理能力將有很大差異，它們之間可能需要相互作用；再次，物聯(lián)網(wǎng)所處理的數(shù)據(jù)量將比現(xiàn)在的互聯(lián)網(wǎng)和移動網(wǎng)都大得多。物聯(lián)網(wǎng)的安全特征（2）即使分別保證了感知控制層、數(shù)據(jù)傳輸層和智能處理層的安全，也不能保證物聯(lián)網(wǎng)的安全。這是因為物聯(lián)網(wǎng)是融合幾個層次于一體的大系統(tǒng)，許多安全問題來源于系統(tǒng)整合；物聯(lián)網(wǎng)的數(shù)據(jù)共享對安全性提出了更高的要求；物聯(lián)網(wǎng)的應(yīng)用將對安全提出了新要求，比如隱私保護不不是單一層次的安全需求，但卻是物聯(lián)網(wǎng)應(yīng)用系統(tǒng)不可或缺的安全需求。鑒于以上原因，對物聯(lián)網(wǎng)的發(fā)展需要重新規(guī)劃并制定可持續(xù)發(fā)展的安全架構(gòu)，使物聯(lián)網(wǎng)在發(fā)展和應(yīng)用過程中，其安全防護措施能夠不斷完善。2019年十大物聯(lián)網(wǎng)安全事件2019年十大物聯(lián)網(wǎng)安全事件回顧2019年，設(shè)備安全依然是2019年物聯(lián)網(wǎng)安全的焦點問題：從智能家居設(shè)備中的隱私問題到僵尸網(wǎng)絡(luò)，乃至全球范圍內(nèi)基于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)動的分布式拒絕服務(wù)(DDoS)攻擊。未來很長一段時間，物聯(lián)網(wǎng)安全威脅都將是最大的安全威脅之一，物聯(lián)網(wǎng)安全支出在信息安全整體市場的占比也將快速提升，根據(jù)賽迪顧問《2019中國網(wǎng)絡(luò)安全發(fā)展白皮書》，2018年中國物聯(lián)網(wǎng)安全市場規(guī)模達到88.2億，增速高達34.7%，明顯高于行業(yè)平均增速。

2019年值得關(guān)注的十大物聯(lián)網(wǎng)安全（系列）事件2019年十大物聯(lián)網(wǎng)安全事件一、物聯(lián)網(wǎng)設(shè)備的系統(tǒng)性安全缺陷和隱私風(fēng)險

2019年1月份，安全研究人員發(fā)現(xiàn)沃爾瑪和百思買等大型零售商銷售的熱門聯(lián)網(wǎng)或智能家居設(shè)備普遍存在嚴重安全漏洞和隱私問題。送檢的12種不同的物聯(lián)網(wǎng)設(shè)備均發(fā)現(xiàn)安全問題，包括缺少數(shù)據(jù)加密和缺少加密證書驗證。這些設(shè)備包括來自不同制造商的智能相機、智能插頭和安防產(chǎn)品，包括iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。這次安全“體檢”為整個物聯(lián)網(wǎng)行業(yè)敲響了警鐘。2019年十大物聯(lián)網(wǎng)安全事件二、酒店偷拍攝像頭引發(fā)全民恐慌2019年，國內(nèi)影響最大物聯(lián)網(wǎng)安全事件非酒店偷拍莫屬。過去兩年間酒店偷拍事件層出不窮，從單體民宿、自如、Airbnb到威斯汀酒店和皇冠假日酒店都不能幸免，甚至前合肥市公安局長都曾中招。對于有隱私潔癖的用戶來說，幾乎到了要背帳篷去酒店野營的地步了。面對日益高漲的個人隱私保護需求，各路安全廠商和創(chuàng)業(yè)公司紛紛行動起來。除了爆火的Ping之外，百度安全app和360手機衛(wèi)士都推出了“偷拍檢測”功能，但是APP端檢測的一個弊端是智能檢測同局域網(wǎng)(WiFi)段的偷拍攝像頭，對于獨立聯(lián)網(wǎng)和離線攝像頭無能為力，并不能做到百分之百的靠譜，充其量只能算是輔助措施，消費者需要對此有足夠清醒的認識，必要的時候人肉排查+超輕雙人帳篷依然是終極方案。2019年十大物聯(lián)網(wǎng)安全事件三、震驚全美的Ring智能門鈴和安防監(jiān)控頭丑聞除了酒店，家庭監(jiān)控攝像頭也不省心。2019年末，亞馬遜旗下的Ring的隱私問題和安全丑聞激增，并且仍在持續(xù)發(fā)酵中。作為全球最火的家庭安防硬件產(chǎn)品之一——Ring曝出安全漏洞，黑客可以監(jiān)控用戶家庭，而且Ring還會暴露用戶的WiFi密碼。大量用戶投訴自己的私生活被黑客傳到網(wǎng)上，甚至還有黑客通過Ring攝像頭跟搖籃里的嬰兒打招呼。更糟糕的是，Ring的隱私政策也成了眾矢之的。Ring承認與美國600多個警察部門合作，提供用戶視頻。11月份一些美國參議員要求亞馬遜披露如何確保Ring家庭攝像頭的安全性，以及都有誰可以訪問這些錄像。2019年十大物聯(lián)網(wǎng)安全事件四、安全漏洞迭出，智能門鎖遭遇安全危機研究人員在智能門鎖SmartDeadbolts中發(fā)現(xiàn)了一種流行的智能鎖漏洞，攻擊者可以利用這些漏洞遠程打開門并闖入房屋。智能鎖的制造商HickoryHardware已將補丁程序部署到了GooglePlay商店和AppleAppStore上受影響的應(yīng)用程序。這只是2019年眾多智能門鎖安全漏洞的冰山一角。6月，研究人員警告說，U-tec制造的智能門鎖Ultraloq出現(xiàn)故障，攻擊者可以追蹤該設(shè)備的使用地點并完全控制該鎖。7月，兩位安全研究人員發(fā)現(xiàn)了ZipaMicro智能家居三個安全漏洞，如果把它們連接在一起就可能會被濫用，而結(jié)果就是導(dǎo)致用戶家的智能門鎖會被輕易打開。國內(nèi)方面，2018年國內(nèi)智能門鎖品牌已超過3500個，2019年市場規(guī)模有望突破200億元。雖然經(jīng)歷年初央視曝光“小黑盒”、APP遠程控制漏洞，但是國內(nèi)智能門鎖硬件、軟件、云端等各個攻擊面的安全問題并未得到更多用戶的重視。相關(guān)的安全開發(fā)、安全測試檢測（包括白帽子漏洞發(fā)掘）、技術(shù)標(biāo)準(zhǔn)和規(guī)范相對滯后。2019年十大物聯(lián)網(wǎng)安全事件五、導(dǎo)致物聯(lián)網(wǎng)設(shè)備大規(guī)?！白兇u”的惡意軟件

6月份，一名14歲的黑客使用一種名為Silex的惡意軟件來欺騙多達4,000個不安全的物聯(lián)網(wǎng)設(shè)備，然后突然關(guān)閉了其命令和控制服務(wù)器。Silex將不安全的IoT設(shè)備作為攻擊目標(biāo)，使其癱瘓（類似2017年的BrickerBot惡意軟件一樣）。Silex專門針對運行Linux或Unix操作系統(tǒng)，采用默認或者已知密碼的的物聯(lián)網(wǎng)(IoT)設(shè)備，破壞設(shè)備的磁盤分區(qū)，刪除其防火墻和網(wǎng)絡(luò)配置，并最終使其完全“變磚”。

2019年十大物聯(lián)網(wǎng)安全事件六、200萬物聯(lián)網(wǎng)攝像頭“裸奔”聯(lián)網(wǎng)攝像頭是蓬勃發(fā)展的智慧城市的關(guān)鍵組件，同時其安全問題的嚴峻性也日益凸顯。今年4月份，安全研究者披露了可能是迄今最為嚴重的物聯(lián)網(wǎng)攝像頭安全漏洞，受影響監(jiān)控攝像頭數(shù)量超過200萬個，來自包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEOCoolcam、Sricam、EyeSight和HVCAM等多個攝像頭廠商。這些產(chǎn)品都使用了某國內(nèi)廠商開發(fā)的名為iLnkP2P的P2P通訊組件。該組件包含兩個漏洞，可能使遠程黑客能夠找到并接管設(shè)備中使用的易受攻擊的攝像機并監(jiān)視其所有者。此外，七月物聯(lián)網(wǎng)攝像頭制造商Swann修補了其聯(lián)網(wǎng)攝像頭中的一個漏洞，該漏洞使遠程攻擊者可以訪問其視頻源。9月，多達80萬個基于IP的閉路電視攝像機暴露在零日漏洞攻擊之下，該漏洞可能使黑客能夠訪問監(jiān)視攝像機，監(jiān)視和操縱視頻源或植入惡意軟件。

2019年十大物聯(lián)網(wǎng)安全事件七、智能玩具不再“好玩”聯(lián)網(wǎng)智能玩具仍然不安全。去年12月，安全研究人員發(fā)現(xiàn)，各種兒童專用的聯(lián)網(wǎng)玩具存在很多先天性的安全問題，例如缺少設(shè)備配對的身份驗證，以及聯(lián)網(wǎng)帳戶缺乏加密。在2019年美國黑帽大會上，研究人員展示了LeapPadUltimate兒童教育平板電腦的安全檢測結(jié)果，表示該平板電腦存在許多安全問題，包括允許不良行為者跟蹤設(shè)備，向孩子發(fā)送消息或發(fā)起中間人攻擊。LeapPad平板電腦的一個應(yīng)用程序PetChat（寵物聊天）也存在安全問題。PetChat應(yīng)用程序創(chuàng)建一個Wi-FiAd-Hoc連接，并使用簡單的SSID“PetChat”廣播到附近的其他兼容設(shè)備。研究人員能夠使用名為WiGLE的工具——一個收集不同無線熱點信息的網(wǎng)站，在全球范圍內(nèi)將位置和其他信息存儲在中央數(shù)據(jù)庫中，以識別平板電腦。這意味著“任何人都可以使用PetChat通過在公共Wi-Fi上找到它們，或跟蹤其設(shè)備的MAC地址來識別LeapPads的位置。2019年十大物聯(lián)網(wǎng)安全事件八、兒童智能手表安全問題爆發(fā)與其他物聯(lián)網(wǎng)和智能設(shè)備類似，兒童智能手表也存在先天性的安全缺陷，例如可以暴露兒童的位置數(shù)據(jù)和個人信息，從而為各種隱患制造伏筆。2019年因安全問題被曝光的智能手表產(chǎn)品包括中國的M2智能手表，該智能手表存在的缺陷可能會泄露用戶的個人和GPS數(shù)據(jù)，并允許攻擊者監(jiān)聽和操縱對話。此外安全研究人員還發(fā)現(xiàn)SmartwatchTicTocTrack存在大量安全問題，這些問題使黑客能夠跟蹤和呼叫孩子。更糟糕的是，與其他智能硬件產(chǎn)品類似，智能手表的安全缺陷很有可能是全行業(yè)的系統(tǒng)性風(fēng)險。2019年十大物聯(lián)網(wǎng)安全事件九、智能音箱：大熱必死在亞馬遜、谷歌、阿里、百度等各路人工智能廠商數(shù)年風(fēng)風(fēng)火火的暖場演出后，2019年智能音箱市場終于迎來總爆發(fā)。但在安全問題上，無論是特斯拉電動車還是智能音箱，一旦被信息安全界關(guān)注，終究難逃“大熱必死“的魔咒。安全研究人員調(diào)查發(fā)現(xiàn)亞馬遜、谷歌和蘋果的智能音箱存在嚴重的隱私侵犯問題。一份安全報告甚至披露亞馬遜雇傭了數(shù)千名審計員來收聽Echo用戶的語音記錄。蘋果的Siri和GoogleHome也由于類似的原因而受到抨擊，有報道稱Google員工可以識別和捕獲家庭暴力或機密商務(wù)電話的聲音。除此之外，企業(yè)高管和商務(wù)人士偏愛的差旅神器Bose降噪耳機，也曾因為竊聽用戶隱私被起訴，指控Bose一直在通過BoseConnect應(yīng)用監(jiān)視用戶，并監(jiān)聽用戶所有的對話和播放的內(nèi)容。總之，音響設(shè)備的安全問題和隱私威脅，往往比我們想象的更為可怕。2019年十大物聯(lián)網(wǎng)安全事件十、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)野蠻生長自從2014年從冰箱上發(fā)動首個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊后，臭名昭著的MiraiIoT物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)在2016年一戰(zhàn)成名，通過創(chuàng)記錄的DDoS攻擊沖垮了包括Twitter、Netflix和Github等多家大型互聯(lián)網(wǎng)站點，導(dǎo)致“半個美國掉線”，甚至公有云服務(wù)商Akamai也迫于Mirai的淫威停止了對爆料獨立安全博客KrebsonSecurity的庇護。

2019年，恐怖的Mirai僵尸網(wǎng)絡(luò)繼續(xù)保持高速增長，同時也改變了其TTP（戰(zhàn)術(shù)、技術(shù)和程序）。據(jù)研究人員分析，Mirai的活動在2018年第一季度至2019年第一季度之間幾乎翻了一番。安全分析人員指出，在過去的一年中，Mirai擴展了其技術(shù)，以瞄準(zhǔn)更多的處理器和更多的企業(yè)級硬件。2019年十大物聯(lián)網(wǎng)安全事件信息安全界和人權(quán)組織就曾指出趨勢：物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)將取代集權(quán)國家成為互聯(lián)網(wǎng)言論的終極審查者?；谖锫?lián)網(wǎng)僵尸網(wǎng)絡(luò)的超大規(guī)模DDoS攻擊，已經(jīng)展現(xiàn)了自己在言論審查方面的“威權(quán)”，已經(jīng)遠超任何一個國家政府的審查能力。甚至在美國這樣一個標(biāo)榜言論自由的國家，沒有人能夠保護Krebs這樣一個享有盛譽的安全技術(shù)博客。踏入新十年，物聯(lián)網(wǎng)安全領(lǐng)域逐漸成熟，但也伴隨著新一波的風(fēng)險。就在不久之前，“物聯(lián)網(wǎng)安全”這個術(shù)語聽起來還有點自相矛盾。但現(xiàn)在，對物聯(lián)網(wǎng)安全重要性的認知已經(jīng)達到了空前的高度。聯(lián)網(wǎng)設(shè)備如今已滲透到我們生活的方方面面，從家居到工廠無處不在，惡意黑客如今手握大把形形色色的終端目標(biāo)。2020年后未來物聯(lián)網(wǎng)安問題一.智能樓宇安全問題引人關(guān)注2020年，智能樓宇安全問題可能會成為設(shè)施管理者的首要考慮。Gartner的調(diào)查研究表明，2020年，80%的聯(lián)網(wǎng)設(shè)備與樓宇相關(guān)，智能樓宇為對手提供了新的攻擊途徑。但在明年此類攻擊會不會大幅增加的問題上，專家們意見不一。HoneywellBuildingSolutions網(wǎng)絡(luò)安全全球總監(jiān)MirelSehic預(yù)期會出現(xiàn)大幅增長。攻擊者可能將樓宇管理系統(tǒng)作為跳板，用以獲取IT數(shù)據(jù)，以及操縱建筑控制。

2013年塔吉特信用卡數(shù)據(jù)泄露后，聯(lián)網(wǎng)樓宇系統(tǒng)的前景就成了主要的網(wǎng)絡(luò)安全顧慮。該事件中，塔吉特的暖通空調(diào)供應(yīng)商被入侵，攻擊者能夠進入其內(nèi)部網(wǎng)絡(luò)，包括其支付系統(tǒng)。僅此一項，黑客就卷走了4,000萬信用卡號。2020年后未來物聯(lián)網(wǎng)安問題二.5G安全開始嶄露頭角

2019年時，5G看起來還只是理論上的可能性。上半年，5G在商展和個別地區(qū)展示性現(xiàn)身，但現(xiàn)在，電信公司紛紛開始推出他們的5G網(wǎng)絡(luò)。到2020年，隨著5G部署持續(xù)推出，攻擊亦將接踵而至。5G最終成為基礎(chǔ)協(xié)議的前景意味著，從監(jiān)視和交通攝像頭到車輛的所有東西都會通過該協(xié)議連接。這就有可能給攻擊者提供癱瘓社區(qū)、城市甚至整個國家的康莊大道了。5G還可以為主要使用不同無線協(xié)議的設(shè)備提供連接。比如，5G可以作為LPWAN設(shè)備接入云端的回傳線路。盡管有抗干擾屬性，但與其他無線通信方式一樣，5G也易于遭受拒絕服務(wù)攻擊和阻塞。2020年后未來物聯(lián)網(wǎng)安問題三.托管安全服務(wù)市場激增近些年，很多公司企業(yè)開始拋棄獨自管理安全的想法。增長中的一個細分市場就是托管安全服務(wù)，KennethResearch的研究概要中稱，該細分市場年增長率達到了15%。2020年，托管安全服務(wù)市場的增長率還將更高?？傮w上看，正在進行數(shù)字化轉(zhuǎn)型的很多公司企業(yè)，都難以找到足夠的專業(yè)人才來處理復(fù)雜性不斷增加的網(wǎng)絡(luò)安全問題。于是，他們將目光轉(zhuǎn)向了托管服務(wù)。2020年后未來物聯(lián)網(wǎng)安問題四.OT網(wǎng)絡(luò)安全巨頭重要性日顯隨著安全儀表系統(tǒng)已成當(dāng)前攻擊目標(biāo)的事實曝光，運營技術(shù)(OT)網(wǎng)絡(luò)安全某種程度上已日漸獲得重視。Honeywell的MirelSehic預(yù)期該趨勢在2020年還將繼續(xù)加速，因為屆時將有更多的OT環(huán)境擁抱數(shù)字化。其中一個因素就是這個市場仍不成熟。從安全角度看，OT領(lǐng)域的現(xiàn)狀類似于十年前的IT領(lǐng)域。而十年前，想找到適用IT環(huán)境的安全標(biāo)準(zhǔn)是很難的。網(wǎng)絡(luò)安全人員能夠找到一些NIST指南，但想找與之略有差別的適用于特定工業(yè)環(huán)境的指南，就完全不是那么回事兒了。這種狀況促成了專注OT的組織的興起，比如西門子的CharterofTrust（信任憲章）和非盈利性基金會MITREEngenuity的CenterforThreat-InformedDefense（威脅知情防御中心）。Howard預(yù)期2020年將有更多專注于OT網(wǎng)絡(luò)標(biāo)準(zhǔn)的組織出現(xiàn)：“在安全問題上，OT領(lǐng)域比IT領(lǐng)域更難。畢竟，在IT領(lǐng)域，筆記本A與筆記本B和服務(wù)器C之間的差別并不是那么巨大，尤其是在操作系統(tǒng)整合的情況下。但RockwellPLC和Honeywell制造系統(tǒng)之間就是天差地別了?！?020年后未來物聯(lián)網(wǎng)安問題四.IOT網(wǎng)絡(luò)安全巨頭重要性日顯PASGlobal首席運營官MarkCarrigan觀察到，ISA/IEC62443和《歐洲網(wǎng)絡(luò)指令》之類針對OT的安全標(biāo)準(zhǔn)有所增長，NIST、NERC、SANS和互聯(lián)網(wǎng)安全中心這樣的機構(gòu)也推出了很多針對OT的框架。Carrigan在電子郵件中對媒體說道：“2020年，隨著這些框架和標(biāo)準(zhǔn)的逐步采納，網(wǎng)絡(luò)風(fēng)險將會減小。但是，公司企業(yè)采納和驗證這些框架與標(biāo)準(zhǔn)需要消耗一些資源，會增加工業(yè)網(wǎng)絡(luò)安全開支與復(fù)雜性。由于標(biāo)準(zhǔn)和框架的采納相對不成熟，公司企業(yè)可能需要評估多個框架采納情況，由此，進一步增加成本與復(fù)雜性。”2020年后未來物聯(lián)網(wǎng)安問題五.物聯(lián)網(wǎng)安全：從設(shè)計階段開始——物聯(lián)網(wǎng)安全保障沒有哪個產(chǎn)品設(shè)計者會想創(chuàng)建毫無安全性可言的聯(lián)網(wǎng)產(chǎn)品。除非他工作的公司難以協(xié)調(diào)上市時間、成本和客戶體驗。不過，Arm物聯(lián)網(wǎng)服務(wù)小組策略副總裁CharleneMarini認為，鑒于物聯(lián)網(wǎng)安全所獲得的關(guān)注度，情況正在不斷改善。她在郵件中透露：物聯(lián)網(wǎng)設(shè)備制造商和聯(lián)網(wǎng)設(shè)備部署者會設(shè)置功能升級計劃，確保物聯(lián)網(wǎng)系統(tǒng)的安全。這種思維的轉(zhuǎn)變將意味著，設(shè)備制造商開始重視創(chuàng)建受信可連接可管理產(chǎn)品。新的物聯(lián)網(wǎng)安全思維模式包括，在設(shè)計階段嵌入生命周期管理功能、以安全和隱私原則為前提編寫軟件，以及為部署者提供可用設(shè)備更新。對于部署物聯(lián)網(wǎng)設(shè)備的公司企業(yè)而言，這種思維的轉(zhuǎn)變還涉及引入有經(jīng)驗的專家?guī)椭芾泶笠?guī)模物聯(lián)網(wǎng)網(wǎng)絡(luò)。2020年后未來物聯(lián)網(wǎng)安問題六.AI炒作繼續(xù)，但垂直AI方法興起網(wǎng)絡(luò)安全領(lǐng)域中圍繞人工智能的炒作開始降溫。但別期望情況會有巨大改善?！癆I”這標(biāo)簽被拍到了幾乎所有東西上，其中很多不過是決策樹、算法或軟件。當(dāng)然，這并不是說AI沒有巨大的潛力。但真正的術(shù)語“AI”某種程度上成了沒什么特指的潮詞。Augury是一家專注運用工業(yè)物聯(lián)網(wǎng)傳感器監(jiān)視機器健康狀況的公司，其策略副總裁ArtemKroupenev對AI在網(wǎng)絡(luò)安全領(lǐng)域的前景保持樂觀?？紤]到AI當(dāng)前的成熟度，為特定用例精心設(shè)計的產(chǎn)品，會比采用通用方法制造的產(chǎn)品更加有效。說到人工智能在網(wǎng)絡(luò)安全中的使用，Cerrudo解釋稱：如果你想提供更好的解決方案，你就必須收窄自己的焦點，著重投入研發(fā)。AI使用持續(xù)增長，不斷成熟，用得越有針對性，就會越精確。拓寬范圍只會增加復(fù)雜性和降低效率。2020年后未來物聯(lián)網(wǎng)安問題從2016年起，物聯(lián)網(wǎng)智庫每年都會推出一份物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)全景圖譜，跟蹤產(chǎn)業(yè)生態(tài)進展、收集主要參與者信息、發(fā)掘行業(yè)發(fā)展趨勢。堅持“從產(chǎn)業(yè)關(guān)聯(lián)廣度和深度觀察，探索物聯(lián)網(wǎng)如何對經(jīng)濟結(jié)構(gòu)深刻變革帶來的影響”的初衷，對過去一年的物聯(lián)網(wǎng)市場進行回顧，形成最新版的物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)圖譜。物聯(lián)網(wǎng)的安全需求不管安全威脅的來源與途徑的多樣化和來源的普遍化，我們可以將物聯(lián)網(wǎng)的安全需求歸結(jié)為如下幾個方面：物聯(lián)網(wǎng)接入安全、物聯(lián)網(wǎng)通信安全、物聯(lián)網(wǎng)數(shù)據(jù)隱私安全和物聯(lián)網(wǎng)計算系統(tǒng)安全等幾個方面。物聯(lián)網(wǎng)接入安全在接入安全中，感知層的接入安全是重點。首先，一個感知節(jié)點不能被未經(jīng)過認證授權(quán)的節(jié)點或系統(tǒng)訪問，這涉及到感知節(jié)點的信任管理、身份認證、訪問控制等方面的安全需求。因此，傳感器網(wǎng)絡(luò)除了可能遭受同現(xiàn)有網(wǎng)絡(luò)相同的安全威脅外，還可能受到惡意節(jié)點的攻擊、傳輸?shù)臄?shù)據(jù)被監(jiān)聽或破壞、數(shù)據(jù)的一致性差等安全威脅。物聯(lián)網(wǎng)的安全需求物聯(lián)網(wǎng)通信安全由于物聯(lián)網(wǎng)中的通信終端呈指數(shù)增長，而現(xiàn)有的通信網(wǎng)絡(luò)承載能力有限，當(dāng)大量的網(wǎng)絡(luò)終端節(jié)點接入現(xiàn)有網(wǎng)絡(luò)時，將會給通信網(wǎng)絡(luò)帶來更多的安全威脅。首先，大量終端節(jié)點的接入肯定會帶來網(wǎng)絡(luò)擁塞，而網(wǎng)絡(luò)擁塞會給攻擊者帶來可趁之機，從而對服務(wù)器產(chǎn)生拒絕服務(wù)攻擊；其次，由于物聯(lián)網(wǎng)中的設(shè)備傳輸?shù)臄?shù)據(jù)量較小，一般不會采用復(fù)雜的加密算法來保護數(shù)據(jù)，從而可能導(dǎo)致數(shù)據(jù)在傳輸?shù)倪^程中遭到攻擊和破壞；最后，感知層和網(wǎng)絡(luò)層的融合也會帶來一些安全問題。另外，在實際應(yīng)用中，大量使用無線傳輸技術(shù)，而且大多數(shù)設(shè)備都處于無人值守的狀態(tài)，使得信息安全得不到保障，很容易被竊取和惡意跟蹤。而隱私信息的外泄和惡意跟蹤給用戶帶來了極大的安全隱患。物聯(lián)網(wǎng)的安全需求物聯(lián)網(wǎng)數(shù)據(jù)處理安全隨著物聯(lián)網(wǎng)的發(fā)展和普及，數(shù)據(jù)呈現(xiàn)爆炸式增長，個人和企業(yè)追求更高的計算性能，軟、硬件維護費用日益增加，使得個人和企業(yè)的設(shè)備已無法滿足需求。因此云計算、網(wǎng)格計算、普適計算、云計算等應(yīng)運而生。雖然這些新型計算模式解決了個人和企業(yè)的設(shè)備需求，但同時也使他們承擔(dān)著對數(shù)據(jù)失去直接控制的危險。因此，針對數(shù)據(jù)處理中的外包數(shù)據(jù)的安全隱私保護技術(shù)顯得尤為重要了。由于傳統(tǒng)的加密算法在對密文的計算、檢索方面表現(xiàn)的差強人意，故需要研究可在密文狀態(tài)下進行檢索和運算的加密算法就顯得十分必要了。物聯(lián)網(wǎng)的安全需求物聯(lián)網(wǎng)應(yīng)用安全物聯(lián)網(wǎng)的應(yīng)用領(lǐng)域非常廣泛，滲透到了現(xiàn)實生活中的各行各業(yè)，由于物聯(lián)網(wǎng)本