摘要:物联网作为国家新兴战略性产业之一,已经广泛应用于各行各业,是拉动信息社会经济增长的新动力。但是物联网发展态势良好的同时,不能忽视物联网存在的问题,尤其是涉及信息安全的部分。本文从物联网信息安全对于个人、企业和国家三方面进行分析,指出物联网信息安全问题可能造成的严重危害,以期引起学界和实务界的重视。
关键词:物联网;信息安全;法律问题
物联网(InternetofThings)这一名词最早在1991年由美国麻省理工学院(MIT)的KevinAshton教授提出。自2009年8月总理提出“感知中国”以来,物联网被正式列为国家五大新兴战略性产业之一,写入“政府工作报告”,物联网在中国受到了全社会极大的关注。2011年5月,工信部《中国物联网白皮书(2011)》,该白皮书认为:“物联网是通信网和互联网的拓展应用和网络延伸,它利用感知技术与智能装?对物理世界进行感知识别,通过网络传输互联,进行计算、处理和知识挖掘,实现人与物、物与物信息交互和无缝链接,达到对物理世界实时控制、精确管理和科学决策目的。”清华大学软件学院刘云浩教授认为物联网具有三大特征:普通对象设备化、自治终端互联化以及普适服务智能化。目前,我国物联网技术适用领域广泛,应用范围几乎覆盖各行各业。例如城市管理,(包括智能交通(公路、桥梁、公交、停车场等)、智能建筑(绿色照明、安全检测等)、文物保护和数字博物馆、古迹古树实时监测和数字图书馆和数字档案馆等)、智能家居、手机二维码、定位导航、现代物流管理、食品安全控制、零售、智能医疗、防入侵系统等。据预测到2035年左右,我国物联网终端将达到数千亿个。物联网发展态势良好,但也存在着许多法律上的问题亟待解决,特别是物联网涉及网络信息安全的部分,尤其应该引起人们的关注。
一、物联网信息安全概述
物联网的发展必然伴随着网络信息安全问题的制约。网络信息安全主要包括五个基本要素:机密性、完整性、可用性、可控性和可审查性。结合上述五个基本要素的要求,可以从物联网目前的主流体系架构,分别从感知层、传输层和应用层对网络安全问题进行分析:
(一)感知层的安全问题
针对RFID的安全威胁,主要包括物理攻击、信道攻击、伪造攻击、假冒攻击、复制攻击、重放攻击以及信息篡改等。针对无线传感网的安全威胁。无线传感网是感知层重要的感知数据来源,在物联网M2M模式下,如智能电网和智能交通等,感知信息包括国家、行业或个人的敏感数据,需要得到特殊保护。目前,针对无线传感网的安全威胁主要包括网关节点捕获、普通节点捕获、传感信息窃听、DOS攻击、重放攻击、完整性攻击、虚假路由信息、选择性转发、Sinkhole攻击、Sybil攻击、Wormholes冲动攻击、HelloFlood、确认欺骗以及海量节点认证问题。针对移动智能终端的安全威胁。随着移动智能设备的迅速发展,以移动智能手机为代表的移动智能设备将是物联网感知层的重要组成部分,针对其可能发动恶意软件、僵尸网络、操作系统缺陷和隐私泄露等安全问题。2016年10月21日,美国遭遇史上最严重分布式拒绝服务(DDoS)攻击,美国东海岸出现了大面积断网事件,造成包括Twitter、Spotify、Netflix、Github、Airbnb、Visa、CNN、华尔街日报等上百家网站都无法访问。此次“断网”事件是由于美国最主要DNS服务商Dyn遭遇了大规模DDoS攻击所致。调查分析认为,攻击来源于Mirai病毒,成为发起攻击的“僵尸节点”。主要操控的是路由器、DVR或者WebIP摄像机、Linux服务器以及运行有Busybox的物联网设备等。
(二)传输层的安全问题
物联网的特点之一体现为海量节点和海量数据,这对传输层的安全性提出了更高的要求,尤其是在面临海量、集群方式存在的物联网节点的数据传输需求是,很容易导致网络堵塞,产生拒绝服务。同时物联网传输层存在不同架构的网络需要彼此互联互通,因此传输层可能存在异构网络跨网认证等安全问题,将可能受到DoS攻击、中间人攻击、异步攻击和合谋攻击等。
(三)应用层的安全问题
在物联网应用层的某行业或某应用必然会收集用户大量隐私数据,例如其健康状况、通讯簿、出行路线、消费习惯等。
二、物联网信息安全法律问题
(一)泄露个人隐私信息
网络信息安全问题涉及不同的主体时,存在着不同的法律问题。就个人而言,主要涉及个人隐私信息保护问题。2017年10月,搭载NB-IoT物联网智能锁以及拥有全球最大的人工智能大数据平台“奇点”系统的共享单车ofo小黄车,在4.0时布会上表示,其技术已经实现了通过对用户特征、车辆位置、骑行轨迹、速度、市场、地域等精密数据进行分析,并具备预知用户出行需求功能,比如城市高峰堵车路段、公交路线规划较少的线路等。虽然从一定意义上讲,ofo小黄车为数以亿计的海量用户提供了个性化的精准服务,满足了智能生活的需要,但通过分析骑行轨迹和行车时间等数据,单个用户的住址、办公场所、经常出入的酒店饭店等隐私信息都会暴露,不排除有商家会利用小黄车分析得出的信息进行精准营销。此外,微信中提供的朋友圈分组可见、照片实时位置显示、微信运动的时间和运动轨迹、查看“附近的人”、“摇一摇”等功能,都涉及个人信息安全问题,稍不注意就会造成信息泄露,目前已经出现大量利用个人信息进行的诈骗、盗窃等违法犯罪活动。这意味着物联网时代个人的数据安全和隐私安全在将面临更大危机。
(二)造成企业财产损失
就企业而言,由于物联网以RFID技术为核心,企业的竞争对手可以很方便地通过被标记产品远程收集企业的供应链数据,并以此进行数据分析,可能会造成企业商业秘密的泄露。此外,信息保护问题事关企业实体财产安全。例如,在使用RFID标签的无人超市中,黑客可以通过篡改商品标签上的电子代码EPC(e-lectronicproductcode)来修改商品价格,以极低的金额购得商品,使企业不可避免地遭受财产损失。
(三)危害国家安全稳定
同时物联网普及后,其安全问题也会和国家安全息息相关。最典型的物联网安全事件,包括乌克兰首都基辅主要机场的电脑网络遭遇网络攻击、以色列电力供应系统遭受历史最大规模的网络侵袭、德国核电站负责燃料装卸系统遭受攻击以及乌克兰再次因黑客攻击导致电力中断等事件。这些针对国家重点领域的发动的物联网攻击严重威胁了国家安全。对我国而言,该问题尤为严峻,尤其是在涉及能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障等国家关键基础设施等部分。此外,我国物联网中使用的主流操作系统几乎都由美国支配,缺少国产研发的产品。芯片和读写器核心模块有一半以上从美国进口,国内从事高端芯片IC设计研发的公司很少实现创新。实际上,微软(Microsoft)、英特尔(Intel)、谷歌(Google)、国际商用机器(IBM)等美国公司正在主导着国际物联网的发展。倪光南院士也多年呼吁:“从网络安全角度,中国要成为网络强国,必须解决智能终端操作系统被垄断的问题。”事实上,我国的物联网是受美国制约下的国际物联网的一部分。相关行业的物联网一旦发生问题,将会对严重影响该行业发挥社会功能,影响国家和经济的有效运行,甚至对国家安全造成破坏性影响。因此,重视物联网的安全问题关系到维护国家安全和促进社会稳定,具有重要意义。
[参考文献]
[1]刘云浩.物联网导论[M].北京:科学出版社,2010.
[2].物联网信息安全[M].西安:西安电子科技大学出版社,2016.
[3]孙瑜惠.微信使用中的隐私信息泄露与保护研究[D].武汉体育学院硕士论文,2017.
[4]梁启星.物联网基本法律问题探略[J].重庆邮电大学学报(社会科学版),2013(6).
[5]翟起滨.从中国物联网安全问题谈起[J].中国信息安全,2017.
作者:袁媛 单位:北京邮电大学人文学院
