物聯網是信息產業第三次浪潮和第四次工業革命的核心支撐，在與各行各業的深度融合中催生出眾多產業及業務，如車聯網、工業互聯網、智慧電網、智慧城市、智慧農業、智慧醫療、智慧物流、智能家居、智能穿戴等，改變了人們的生活方式，更為人們的日常生活帶來了極大便利。當前，全球物聯網產業發展迅猛，GSMA發布的《The Mobile Economy 2022》預測，2023年全球授權蜂窩物聯網連接數將達到25億，預計到2030年，全球授權蜂窩物聯網連接數將達到53億。

我國物聯網產業發展居全球前列，移動物聯網建設全球領先。截至2022年底，我國移動網絡的終端連接總數已達35.28億，其中代表“物”連接數的蜂窩物聯網終端用戶達18.45億戶，自2022年8月底“物”連接數超越“人”連接數后，“物”連接數占比已升至52.3%。萬物互聯賦能千行百業，蜂窩物聯網終端應用于公共服務、車聯網、智慧零售、智慧家居等領域的規模分別達4.96億戶、3.75億戶、2.5億戶和1.92億戶。

隨著萬物互聯時代的到來，我們感受到廣泛互聯、全域感知、遠程控制所帶來的方便和快捷，但物聯網技術的應用也帶來了新的網絡安全風險。近年來，針對物聯網設備、系統、網絡和平臺的網絡攻擊事件不斷增多，對個人隱私、企業生產、城市運行乃至國家安全都產生了巨大影響。

物聯網安全面臨新形勢新風險、新挑戰

一是物聯網設備自身安全隱患突出。物聯網設備面臨硬件設計缺陷、軟件及固件漏洞、身份驗證機制缺失等安全風險。廠商為控制物聯網設備成本，往往會選擇低功耗且廉價的硬件及芯片，這些硬件的計算性能和安全功能往往較弱，無法提供堅實的安全支撐，如無法進行加密處理、不具備防篡改設計等。物聯網設備軟件代碼質量參差不齊，產生大量軟件漏洞，常見漏洞包括緩沖區溢出漏洞、命令注入漏洞等，攻擊者可以利用這些漏洞遠程獲取設備控制權，繼而發動網絡攻擊。物聯網設備的身份驗證、訪問控制機制不夠完善，導致大量物聯網設備可以被匿名訪問，甚至被攻擊者破解簡單口令獲取控制權限，如目前大量物聯網攝像頭存在弱口令被破解后越權訪問的問題，極易引發惡意控制、DDoS攻擊、數據泄露等安全事件，危害網絡關鍵基礎設施正常運行。

二是物聯網網絡安全保障不足。物聯網與傳統固網、移動互聯網等進行連接，形成多網融合的新型異構網絡，在數據采集、數據傳輸等過程中均面臨網絡入侵、數據泄露等安全風險。感知層是物聯網全面感知的技術基礎，主要通過各種傳感器收集物體的各類信息，然后通過NB-IoT、3G、4G、5G等接入技術將數據傳輸至上層。但感知層節點數據龐大、協議多樣，且功能單一、計算存儲資源有限，無法提供復雜的信息安全保護能力，在數據采集過程中容易受到惡意攻擊和破壞，影響系統正常運行。網絡層主要負責將感知層采集的數據準確傳輸出去，但由于物聯網網絡環境復雜，物聯網節點資源有限，數據在傳輸過程中缺乏加密技術防護，極易遭到中間人攻擊。攻擊者可以在通信路徑中非法獲取數據包，直接讀取明文數據或修改數據包破壞數據完整性，這種攻擊手段易實現但難于防范，會導致大量敏感數據泄露。同時，由于物聯網網絡邊界定義不清，攻擊者可以通過偽裝成網關或者用戶節點的方式接入網絡，在獲取網絡訪問權限后針對網絡組件和設備發動進一步攻擊。

三是物聯網數據安全問題頻頻爆發。物聯網基于自身互聯屬性會產生并共享海量數據，這些數據在存儲、使用、共享過程中皆存在大量安全風險。數據存儲在安全防護不足的設備及平臺時，會直接被攻擊者竊取。當數據使用和數據共享過程中缺乏嚴格訪問控制機制時，他人在未經許可的情況下可獲取甚至使用用戶敏感數據，影響用戶正常的生產生活。Unite 42威脅情報團隊對美國120萬個物聯網設備進行監測發現，98%的IoT設備未加密，存在個人隱私及數據泄露風險。近年來，類似的網絡安全事件還有很多，如大量家庭攝像頭采集的圖像被掛在網上出售、智能音箱泄露用戶隱私等。

四是物聯網平臺安全應引起重視。物聯網設備與云平臺、應用平臺之間時時刻刻都在進行數據交互，這些平臺一旦被入侵，將導致整個物聯網系統遭到破壞。當云平臺、應用平臺存在軟件漏洞或配置錯誤時，極易引發應用層DDoS攻擊造成服務中斷。同時，物聯網平臺也面臨代理商安全管理不足、供應鏈污染等風險。物聯網設備供應鏈復雜，平臺如果對供應商的安全控制管理不足，容易在硬件制造和軟件開發過程中被植入“后門”，這種“后門”極其隱蔽，在設備交付使用后依然難以發現，一旦啟用將造成不可估量的風險。因此，平臺管理者應完善供應鏈監控和安全管理流程以降低風險。

物聯網安全風險應對工作推進情況

近年來，中國信息通信研究院在工業和信息化部支持指導下，協同行業相關單位，積極穩妥推進物聯網安全風險應對工作。

一是發揮行業組織引領作用，積極推進物聯網安全相關標準編制工作。加快構建物聯網安全監測標準體系，開展物聯網安全監測系列標準研制，推動《物聯網流量篩選技術要求和測試方法》《物聯網網絡安全監測與管理系統技術要求》《物聯網網絡安全監測與管理系統接口技術要求》《物聯網終端網絡安全風險分類分級評估方法》等行業標準立項，構建清晰明確的物聯網網絡安全監測系統技術要求、測試方法等，助力物聯網產業良性發展。

二是依托行業網絡資源和技術優勢，初步構建覆蓋基礎電信企業物聯網基地的安全監測體系。建成政企聯動的物聯網基礎安全接入監測平臺，具備采集、監測、研判、響應等功能，已對接三大基礎電信企業側平臺，對公共服務、車聯網、零售服務等8個行業領域的億級終端實現監測，形成物聯網整體安全態勢感知及分析能力。同時，平臺建立了物聯網漏洞、惡意網絡資源、安全規則等威脅情報庫，累計積累萬余條安全事件規則及惡意資源，具備物聯網發展態勢、安全態勢、專題分析等功能。

三是持續開展專項研究，探索建設物聯網安全威脅檢測評估技術能力。聚焦物聯網感知層、網絡層、應用層面臨的安全風險，開展物聯網安全威脅檢測系統效能評估指標體系研究，夯實物聯網威脅檢測工具及檢測方法相關理論儲備，積極指導相關企業開展物聯網終端產品先進能力評價活動，完善硬件安全、軟件安全、網絡安全、應用安全和數據安全測評能力，初步形成物聯網安全威脅檢測評估技術能力。

基于物聯網安全風險的思考和建議

一是加快推動物聯網安全相關標準研制和落地。開展物聯網終端安全、網絡安全、平臺安全等標準研制，推進物聯網家庭網關、網關安全測試標準規范修訂，加快構建物聯網安全監測標準體系，指導開展物聯網產品安全測評工作，引導物聯網安全向更加科學化、體系化的方向發展。

二是持續提升物聯網安全監測技術能力。構建基礎電信企業物聯網安全監測技術體系，強化車聯網、工業互聯網、智慧城市等典型物聯網應用場景的流量篩選能力，從監測覆蓋度、功能完備度、業務成熟度等方面提升數據上報質量，推進5G物聯網安全監測試點建設，不斷完善物聯網專網網絡安全監測體系，提升行業物聯網安全態勢感知、風險預警、應急處置等綜合技術保障能力。

三是加速構建物聯網安全檢測評估技術體系。建設智能家居、數字生產等典型場景安全仿真驗證環境，面向物聯網終端、網絡、平臺等，開展代碼安全審計、高危漏洞掃描、訪問控制機制驗證、數據傳輸安全測試、網絡節點身份認證評估等測評工作，打造漏洞挖掘、模擬攻擊、情報收集等技術能力，定期開展物聯網安全合規性評估測試活動，及時發現安全風險隱患，促進物聯網相關企業增強自身安全防護能力。

四是不斷加強物聯網安全企業協同創新。聚焦物聯網終端安全、網絡安全、平臺安全的“能力短板”和技術發展方向，增加物聯網安全專項資金投入，開展物聯網安全創新創業大賽及會議，整合產業上下游資源，凝聚“政產學研”各方力量，培育推廣一批物聯網安全產品和解決方案，推動提升物聯網終端、網絡、平臺及數據的安全防護水平，促進物聯網安全產業高質量發展。