隨著新一代物聯網信息技術的深入發展和廣泛應用，國家加快推進智慧城市建設和數字化轉型，物聯網安全建設已成為新型基礎設施規劃、建設、管理領域關注的重點。

推進物聯網安全是為促進新技術產業發展而建立的重要方式，是破解諸多智慧化業務發展建設安全保障難題的可靠途徑。物聯網技術在高速發展和廣泛應用的時期，面臨的安全問題越來越多，各國都加速了面向物聯網安全的相關立法和政策制度的制定，以保障物聯網健康發展。

2016年，美國國土安全部出臺了《保障物聯網應用安全戰略基本原則》，指出要從工程設計階段認真考慮安全問題，強化安全更新與技術漏洞管控，制定安全性操作方法，根據影響優先考慮安全措施、提升透明度、謹慎接入互聯網等。

加州在2018年頒布的《物聯網設施網絡安全法》是世界上第一部關于物聯網設施的安全法律，在立法層面上規范了對物聯設施的安全性要求。2019年6月，美國眾議院批準了《物聯網網絡安全改善法令》，該法令將有望對政府部門采用的所有物聯設施制定最低的安全標準。

我國雖然在物聯網技術方面發展得相對較晚，但近年來的進展速度卻令人矚目。到目前為止，在我國各地的物聯網示范工程項目都進展得很快，物聯網企業也快速增加，物聯網相關技術、專利、標準和產品等數量都在快速增長。中國早于2013年就將物聯網的安全性列入政府工作體系中，并不斷推進物聯網的安全建設工作。同年出臺的《國務院辦公廳對于推進物聯網秩序發展的指示若干意見》明確提出，將建立健全物聯網安全測試、風險評價、安全預警、緊急處理等制度。

2019年出臺的網絡安全等級保護2.0相關標準也明確了物聯網安全要求。在法規方面，我國政府部門已經頒布與網絡安全保護有關的規章以及相關規范性文件為物聯網行業安全監管提供了法律制度依據。在過去的一年中，《物聯網新型基礎設施建設三年行動計劃》以及《物聯網基礎安全標準體系建設指南（2021版）》的相繼發布，為物聯網的建設和安全標準提供了可參照的依據。

針對目前物聯網安全亟需解決的問題，本文將從物聯網安全防護框架、數據接入安全防護需求、移動終端安全管理、多業務使能平臺承載安全以及終端安全管理等方面進行闡述。

一、物聯網安全防護框架

1、傳感設備安全需求

傳感設備的主要任務是完成對信號的收集、識別與管理，包括傳感終端與監控裝置，因為傳感終端普遍位于無人監視且惡劣的自然環境中，安全隱患相對突出，主要防范需求有：

1. 可能受到自然環境、偷盜、私自移動位置、人為損傷等因素導致感應終端無法工作；
2. 攻擊者可利用鑒別機制的弱點惡意部署同型號或克隆一臺相似設備接入系統實施攻擊；
3. 攻擊者可利用無線電干涉、拒絕服務、入侵或影響感控裝置對所處網絡的路由等策略使得裝置無法順利地傳輸感知數據和接收命令；
4. 攻擊者利用物理獲取或邏輯攻擊的方式，對感控設備進行非授權訪問和惡意控制并分析其所存儲的敏感信息，造成信息泄露。

2、物聯網終端入侵防范需求

針對互聯網上充斥的各種威脅，入侵探測功能可以監控網絡和系統資源，找出違反安全策略的行為及威脅跡象并發出報警。做為網絡邊界安全的基礎設施，攻擊防護的主力，再加上物聯網網絡環境日趨重要和復雜的特點，物聯網入侵防范需具備高可靠性、高性能、實用性以及準確性等能力。

1. 高性能：采用在線部署模式，面對現在不斷擴充的網絡流量，如何能在大部分策略均開啟防護的前提下依然保證應用層面的吞吐能力及延時限制是入侵防御的關鍵。
2. 準確性：黑客攻擊層層深入，物聯網入侵能夠深入網絡檢查，準確發現攻擊，避免黑客攻擊躲過檢測，同時具有精確的檢測規則以及趨于零的誤報率、漏報率，保證檢測的有效性。
3. 可靠性：串聯在客戶網絡環境中，面對突發的流量增大、設備斷電、日志存儲溢出、端口故障等問題，如何自動產生應急解決方案保障客戶網絡不受影響是入侵防范的基礎。
4. 實用性：除黑客的漏洞入侵攻擊外，病毒木馬傳播、DDoS 攻擊以及內部的惡意網站訪問風險、網絡資源濫用占用帶寬等問題也是客戶網絡安全的常見問題，通過擴展進行多方面立體防護是入侵防范的責任。

3、物聯網傳輸網絡安全

需求相較傳統網絡物聯網終端面臨著更高的被篡改和仿冒的安全威脅，從終端對業務平臺發起的 DDoS攻擊會變得更加容易，各種不可控因素導致物聯網終端的狀態、回傳數據無法得到信任。物聯網上連接著多類型、大量數量的物聯網傳感終端，由于物聯網終端設備的強分散性、弱組織化造成了對終端用戶及數據的可信風險，因此根據物聯網終端用戶獨有的技術特點和業務應用需求，需要構建完備的對物聯網終端業務數據的傳輸安全性保護制度。

1. 物聯網安全網關需通過建立物聯網虛擬專網，為終端至系統統一管理平臺提供全程加密的通訊鏈路，確保終端至管理平臺整個通訊鏈路的安全性。
2. 物聯網安全網關需實現終端準入后的行為控制，防止仿冒終端、異常終端等設備接入系統統一管理平臺后對業務平臺進行攻擊。同時物聯網安全網關可對各終端設備的通信協議制定黑白名單業務規則，對資產、通信協議、應用業務進行識別和控制。

4、物聯網 APP 安全管理

物聯網APP成為物聯網生態中重要的一個組成部分，各類應用都需要相應APP作為載體，行業面向不同場景、靈活便捷的物聯網APP服務將成為新的趨勢。大量的行業APP在投放市場使用后出現了各方面的安全風險，包括敏感消息泄漏、身份驗證繞過、代碼破解、支付安全、資金被盜等各方面問題，這些安全漏洞的隱患給不法分子帶來了可乘之機。

物聯網APP需要在應用上線之前預先調研移動應用面臨的各種安全性問題，并通過加殼等技術手段實現移動應用安全性增強。當應用上線后，可對應用持續監控，消除安全隱患，從而減少安全風險。

5、使能平臺業務融合安全需求

使能平臺定位于物聯網設備管理、連接、分析以及安全保護方面的綜合管理平臺，實現了對各種物聯網設備的連接、管理、數據加解密、信息保存、統計分析、實時計算、開放 API 接口、簡化管理和規范設備連接等過程，為應用層業務開發提供了數據基礎和網絡保障，為設備的安全性提供了保證，也為設備統一管理提供了簡單的入口。使能平臺因承載各類數據，尤其是隱私數據，如何實現數據的脫敏、加密以及分類分級的安全防護是保證物聯網數據安全的關鍵。

6、物聯網安全管理中心

對于物聯網廣泛連接的特點，需對物聯網安全網關統一實現管理并統一展現，對所有物聯網終端的資產態勢、運行狀態、威脅態勢、安全狀態以地圖的方式呈現。同時物聯網安全管理平臺需進行可視化的方式展示整體物聯網網絡的資產態勢、威脅態勢以及整體健康度，以地圖的方式呈現全網安全網關以及物聯網終端的運行狀態，對物聯網終端和物聯網網絡進行多維度的行為分析呈現，全面主動感知泛在物聯網安全態勢。

二、多類型數據接入安全防護需求

物聯網網絡多為異構網絡，通信的模式較互聯網相比更加復雜，面臨著算法被破解、協議漏洞被利用、中間人攻擊等安全威脅，并且對協議、密鑰、證書、核心算法等進行暴力破解的行為也時有發生。數據連接網絡的安全性問題也會直接被融入到各種智慧應用中，針對網絡安全的威脅五花八門，例如對接入設備認證權限的入侵、對抗dos攻擊系統的入侵、對連接交換機和服務器設備的入侵、對網絡入侵檢測 IDS 的監測入侵、對防火墻的入侵以及對容災存儲備份的入侵等。

物聯網安全接入網關是為解決現存在物聯網上的終端安全性問題而設計的專門產品。它基于物聯網使用場景，可以接入攝像頭、傳感器等各類物聯網終端。另外，針對物聯網終端采集和處理大量的敏感數據，如果對這些數據的轉發并未進行嚴格保密則很容易出現數據被盜等問題。因此需要加入雙向身份認證機制，同時結合 VPN 技術用以防止數據竊取及篡改，保障數據的機密性、完整性及可用性。

1、無線通信安全需求

一方面，由于 WiFi、ZigBee、藍牙、2/3/4/5G等無線通信技術自身存在的安全問題，以及物聯網系統中多種無線通信技術并存的復雜性必然導致物聯網業務應用面臨安全問題；另一方面，由于各種感知終端和接入設施大多都部署在無人監視的場景下，攻擊者很容易對這些設備采用技術手段進行逆向分析和攻擊。此外，攻擊者也可以發射干擾信號導致通訊中斷，并且能夠對無線數據進行劫持、竊聽、篡改數據，因此有必要建立安全的傳輸通道以實現信息傳輸的安全性保障，通過數據校驗保證數據的完整性，利用密碼技術實現數據的機密性等。

2、傳輸交換安全需求

物聯網信息傳遞過程中會通過各種異構特性的網絡，并且物聯網海量的節點導致數量巨大，當面臨著海量數據傳輸需求時極易造成核心網絡阻塞，從而導致各類拒絕服務攻擊，因此需要通過多路傳輸機制減輕中心網絡傳輸的壓力，從而有效地預防拒絕服務攻擊。同時，由于面臨異相網絡跨網認證等安全問題，可綜合運用點到點密碼管理機制和端到端密碼機制保證傳輸層安全性。

另外，在物聯網上傳送的數據包由于未經簽名驗簽極易出現被竊聽、篡改、假冒和發送者的抵賴性等問題，需要通過PGP、SSL/TLS 和 IPSec 等協議進行通信加密和相關認證，以確保通訊雙方傳輸交換的安全性。

三、移動終端安全管理

使用移動智能手機實現對設備的遠程控制和環境的監視是物聯網的基本價值，但移動端的引入也帶來了安全上的風險，主要包括移動用戶管理、移動設備管理、設備定位、消息通知、設備合規檢查等移動設備本身的安全管理，移動應用商店、應用上傳、下載、更新、推送等應用的安全管理以及移動應用的內容管理、數據安全等都是物聯網中移動安全的重要組成部分。

四、多業務使能平臺承載安全

物聯網平臺層的信息安全問題涉及到整個物聯網生態鏈，物聯網技術應用通常是智能終端連接到云端，之后再利用 App 和云端服務實現信息的交互進而完成對智能終端的遠程安全管理。

目前物聯網業務平臺大多部署在云端服務器上，在物聯網應用層面臨著數據融合攻擊、數據篡改攻擊、錯亂定位服務攻擊等威脅，由于連接各類端口的架構相對疏松，不能提供有效措施對其進行統一管控與驗證。在操作系統設計上缺少合理的安全策略，在開展業務時會遭遇各類信息安全風險，如信息泄漏、代碼非法修改、組件非法更換等。針對物聯網平臺層所面臨安全問題應建立起全面的安全防護措施。

1. 物聯網應用數據信息安全保障，建立物聯網數據信息生成、獲取、保存、傳輸、處理等全生命周期的安全標準。
2. 物聯網平臺數據可信性，防止物聯網數據在傳遞中被截取或纂改，保障平臺收到的數據的可信性和完整性。
3. 在各個用戶對物聯網平臺的數據訪問中，用戶的數據訪問權限、使用權限需要建立起細粒度的安全管控，使得物聯網數據在使用過程中受控，即使出現安全事件也可及時溯源。

五、海量終端安全管理

在物聯網系統的安全運維工作中，對物聯網資產的梳理以及分類分級管理、對于合法資產以及非法資產的統計、在線及離線終端數量的統計等方面都成為了物聯網終端安全管理的難題，以至于對物聯網終端無法做精細化的權限控制，造成物聯網設備威脅無法全面感知，甚至導致重要物聯網資產在互聯網暴露問題。

通過搭建物聯網安全管理平臺，企業可以進行完整的安全管控和策略管控，為物聯網平臺、感知終端設備以及網關提供統一的物聯網安全性分析和多角度的數據可視化，為應用層業務開發提供數據支撐和網絡支撐，為設備的安全提供保障，為設備統一管理提供簡潔的入口，最終實現萬物安全互聯。

六、落實企業安全文化建設

對于企業來說，主張安全文化的建設要將企業安全理念和安全價值觀表現在決策者和管理者的態度和行動中，落實在企業的管理制度中，將安全管理融入企業整個管理的實踐中，將安全法規、制度落實在決策者、管理者和員工的行為方式中，將安全標準、技術、產品等落實在企業運營的業務、流程和應用中，由此構成一個良好的安全文化氣氛。

通過安全文化的建設，影響企業各級管理人員和員工的安全自覺性，以文化的力量保障企業安全制度和安全體系的持續運營，這樣才能抓住企業目前安全建設的實質和根本內涵。