联网有风险 接入需谨慎（附照片）

用你的iPhone或者iPad来遥控你的智能家居，从电器、安防、灯光，到冷暖空调等，这是智能家居产品生产商为客户描绘的未来物联网家居蓝图，但没有一个产品或是服务提供商会提醒你注意这样一个事实：如果你将家中的门禁安全系统连上网络，在你可以随时随地监管掌控它们的同时，另一个人—网络黑客也能和你一样指挥它做自己想做的一切！插图：宗怡婷

尤歆飞

背景 风险防控有多难

和传统互联网安全防范不同，物联网和安全相关的特征主要表现在可感知性、可传递性和可处理性。可感知性是需要物品、设备和设施的相关信息均可唯一识别，并数据化描述，最终可通过网络进行远程监控；可传递性是需要将物品信息通过各种电信网络与互联网实时准确地传递出去；可处理性是需要运用云计算、模糊识别等智能计算技术对海量信息进行智能处理。

在物联网的整体架构中，感知层处于最底层，也是最基础的层面，这个层面的信息安全最容易受到威胁。感知层在收集信息的过程中，主要应用射频识别技术(RFI D)和无线传感器网络(WSN)。物联网感知层的安全问题实质上是RFID系统和WSN系统的安全问题。传感器在通过WSN接收信息时，会产生大量传感器节点，这些节点常常暴露在公共场合中，由人或者计算机远程控制，缺乏有效保护，容易被实施信号干扰甚至节点捕获。再者，WSN的路由协议中有很多安全弱点，不法分子可以向WSN中注入恶意的路由信息使网络瘫痪。

RFID是一种非接触式的自动识别技术，是物联网应用中的关键技术之一。物联网会给每个需要采集信息的物品配备标签，再通过电磁波与读写器之间实现通信，这种非接触式的交互模式存在严重安全隐患。由于RFID标识缺乏自身保证安全的能力，非法用户可以通过自制读写器与电磁波进行通信，造成重要信息外流。其次，在末端设备和RFID标签使用者不知情的情况下，标签上的信息可以被轻易追踪、篡改，再发回给使用者经过改动的信息，造成信息不实、决策失误等问题。

而在传输层中，物联网接入方式主要依靠移动通信网络，主要和移动网的安全相关，还与接入设备、接入方式有关，存在无线窃听、身份假冒和数据篡改等不安全的因素。由于物联网在很多场合都需要无线传输，这种暴露在公开场所之中的信号很容易被窃取，也更容易被干扰。物联网规模很大，与社会的联系十分紧密，一旦受到病毒攻击，很可能出现大范围的生产线停工、商店停业、交通瘫痪，造成巨大的混乱。

用智能手机或者iPad遥控家中的空调开关和浴缸龙头、厨房里的冰箱可以连网自动下载食谱甚至发送微博、人在外地还能通过手机观察家中发生的一切……当家中的各类家用电器、甚至汽车都开始连上网络，人们可以用手机、Pad轻而易举地遥控它们时，很少有人想到这个问题：如果你将家中的门禁安全系统连上网络，在你可以随时随地监管掌控它们的同时，另一个人—网络黑客也能和你一样指挥它做自己想做的一切！

这一个让网络专家颇为尴尬的现实：随着物联网的普及，越来越多的家居产品被接入了互联网。连网后的它们在提供更多智能化服务的同时，也为网络黑客打开了一扇侵入你日常生活的方便之门……我们可以为电脑加装杀毒软件或防火墙来防止各类外部攻击，但是家电呢？没有一个智能家居产品的生产商会问你这样的问题：如果某天，黑客可以随意调控你的空调温度，或者远程打开你的智能门锁……这样危机四伏的物联网生活，你真的需要？

黑客的新目标

“第六感”自动化控温的洗衣机、根据季节变换食物软硬度的电饭煲、可以测健康水平的电视机，再到最近可以用微博控制的空调……日常使用的家电正逐渐走向物联网时代，给人们带来了许许多多的便利。然而，在智能的物联网背后，也伴随着不断扩张的黑客魔手。

2012年，当智能手机远程控制的门锁Lockitron将上市时，调查机构Trustwave的安全调查员Bryan和Crowley开始意识到物联网设备安全问题的严重性。在当时，市面上已经有多款可以通过物联网控制的家用电器，譬如灯泡、抽水马桶、温度计等，他们经过测试，发现这些产品都存在严重的安全漏洞。

Crowley指出，每个产品的安全等级不同，但是都存在一个问题，那就是使用设备不需要任何认证过程。例如，Crowley和Bryan测试了物联网中心控制设备Veralight，在默认设置下，任何人不需要任何用户名和密码就可以进入Veralight的控制系统进行操控。即使开启了安全措施，依旧可以采取多种方式绕过安全认证，对家用设备进行控制。他们还发现，随便用一台安卓智能手机就可以控制入侵Satis智能马桶，让其不断冲水，连续地大声播放音乐……

“电脑发展了几十年，杀毒软件、防火墙等保护措施都已经发展得非常完善，但是物联网设备的保护却非常薄弱，小到门锁、插座，大到电表、抽水马桶、空调，都可以通过物联网进行控制，而这些都能成为黑客眼中的”肥肉”。”Crowley和Bryan建议物联网设备生产商多花些时间提高设备的安全性，而不是急着推出产品。

联网设备变身“犯罪工具”

据调查，目前全球可使用无线网络接入互联网的设备约有100亿台，而到2020年，这一数字将达到300亿。从现在来看，虽然智能手机、平板电脑和笔记本电脑占了绝大部分，但未来市场增长最快的领域，一定是家庭使用的配备有廉价传感器的物联网设备。到2020年，大部分联网设备将是物联网设备。

在互联网安全专家眼中，黑客入侵物联网设备的危害性，甚至比电脑更高。一位安全专家表示，如果黑客们发现了远程门锁上的一个漏洞，他们就可以在同时入侵所有的此类门锁。如果同一个楼宇使用的是一个系统的产品，一旦入侵，整栋楼就像超市一样，小偷想来就来想走就走；而同一个楼盘一般使用的都是同一款产品，那么整个小区可能就成了“菜市场”，小偷们如入无人之地。

美国华盛顿大学计算机安全与隐私专业副教授YoshiKohno指出，汽车、医疗设备、玩具等联网设备的安全漏洞都很严重，黑客可以随意入侵一个带有摄像头的儿童玩具进行偷拍。

美国佛吉尼亚大学研究智能住宅的副教授Kamin Whitehouse则认为，即便给智能设备增加了安全措施，黑客依旧有利可图。研究过程中他发现，即便家用智能设备的数据传输已经加密过，黑客依旧可以根据分析网络流量来猜测消费者的日常生活行为，了解消费者的习性。

早期的互联网由于信息匮乏，黑客们的非法入侵，一般只是为了炫耀自己的高超技术。但当互联网和每一个普通人的日常生活越来越密不可分、物联网可以随心所欲控制更多智能设施的运行时，觊觎它们的就不仅仅是黑客了—在形形色色不法之徒的眼中，连上网络后的智能家居产品已经成为作奸犯科的最好帮手。比方说，黑客可以通过控制热水器长期高温工作并引发火灾、控制煤气泄漏导致中毒事件。再比如，家用空调的控制器如果遭到恶意愚弄也会突然降温，引起混乱的跳闸或报警事故。专家告诉我们，未来，“智能杀手”可以身在北极就轻而易举地在美国除掉一个人—他可以选择从无人驾驶汽车入手，侵入控制系统导致刹车失灵；他也可以选择医院，医疗世界里正越来越多地采用远程操作，譬如通过远程编程来控制心脏起搏器的植入，一旦这些系统被黑客劫持，用户的健康甚至生命随时危在旦夕……这些原先只能在好莱坞犯罪电影里出现的场景，今后会不会就发生在我们的邻居或是朋友身上？

先进的技术如果脱离了掌控，会在一瞬间变成危险的工具。

防控安全需多管齐下

“攻克物联网信息安全技术难题是一个世界性难题，对于物联网发展起步较慢的中国来说，更需要政府、企业、机构之间的互相协作。”

赛迪智库信息安全所所长刘权指出，目前，我国物联网信息安全技术可控能力还比较弱。在传感器技术方面，我国还主要集中在低端传感器研究和产品开发；在RFID技术方面，我国低频和高频技术相对成熟，但UHF和微波频段产品与国外技术相比差距较大；在M2M等网络层技术方面，我国与国外基本同步；在信息安全共性技术方面，我国已经开展了相关研究工作，但与国外相比差距较大。“我国全力推动自主知识产权的RFID标准制定，取得初步成果，目前我国正在研究和制定的标准已达到50多项。但是，我国在物联网关键技术领域研究不足、技术创新能力较弱、受到国际标准组织制约，使得我国物联网标准制定进程缓慢，与国外差距有扩大趋势。”

刘权说，攻克物联网信息安全技术难题需要一个良好的产业环境，营造这样一个产业环境需要政府、企业、研究机构等各相关方相互协作。首先，政府要制定和出台促进物联网信息安全相关产业发展的政策，加大财政资金支持力度；其次，要加快制定物联网信息安全保护相关法律法规，为产业营造一个公平竞争的环境；再次，要加强产学研用相结合，鼓励物联网相关企业与科研机构、高校、产业联盟合作共建研发中心，提高自主创新能力；最后，要加速推动标准体系建设，提高我国物联网信息安全相关产业的国际影响力。

工业和信息化部电子科学技术情报研究所网络与信息安全部主任尹丽波则表示，做好物联网信息安全要遵循“同步规划、同步建设、同步运行”的原则。“在我国的物联网建设过程中，要做好物联网信息安全顶层设计，加强物联网信息安全技术的研发，有效保障物联网的安全应用，同时构建物联网信息安全保障体系，建立以政府为主导，定点企事业为主体的物联网信息安全管理机制，此外，加大安全人才引进和培养力度，并成立专门科研机构。以开放合作的方式，推进物联网安全技术的发展。”

专家指出，除了物联网安全保护的技术研发，完善的法律机制也应该着手落实。目前我国还没有完善的物联网隐私保护法规，随着物联网技术的不断应用，有必要对信息收集的来源、通道进行详细规定，以及一旦非法收集别人信息后，如何落实处罚细则。

物联网是新一代信息技术的重要组成部分。其英文名称是“TheInternet of thi ngs”。由此，顾名思义，“物联网就是物物相连的互联网”。这有两层意思：第一，物联网的核心和基础仍然是互联网，是在互联网基础上的延伸和扩展的网络；第二，其用户端延伸和扩展到了任何物品与物品之间，进行信息交换和通信。

摘自:和讯网http://news.hexun.com/2013-10-13/158680203.html