智能物联网安全技术发展研究及政策建议.pdf

智能物联网安全技术发展研究及政策建议编者按结合我国实际情况，需提高对AIoT安全的重视程度，从更高的维度组织、实施、监管、维护智能物联网安全体系。摘要分析了国内外物联网安全政策、技术、标准、产业等形势，重点强调了当前我国物联网发展中存在的安全风险，包括大连接环境下的设备风险、物联网网络本身安全风险以及物联网上承载的各类应用安全风险，提出了打造以密码为核心的物联网安全体系，加速新技术在物联网安全的应用，以新基建为契机建立物联网领域安全设备泛在化部署新体系，以多层次立体式理念确保物联网安全，呼吁供给侧需求侧建立安全协同新机制，共同促进物联网产业安全可持续发展。目录编者按.1摘要.1弓 I 言.21 .物联网及安全风险概述.21.1.物联网介绍.21.2.物联网发展形势.31.3.物联网安全风险介绍.42 .技术发展难点.62.1.新技术快速应用于传统制造行业，行业安全人才和安全意识不足.62.2.业务场景多、数据敏感度高，防范难度大.62.3.国产化程度低，产品供应链安全风险高.63 .技术发展情况.64 .技术产业落地情况.85 .意见和建议.95.1.瞄准内生安全，打造以密码为核心的物联网安全体系.95.2.结合物联网业务特性，加速新技术在物联网安全的应用.1 05.3.以新基建为契机，建立物联网领域安全设备泛在化部署新体系.1 05.4.加强全方位安全防护，以多层次立体式理念确保物联网安全.1 1第 1 页共12页5.5.强化供应链安全，建立供给侧需求侧安全协同新机制.115.6.成立AIoT综合工作组.125.7.强化AIoT供应链管理.125.8.加强基础共性技术研究.12引言物联网是继计算机、互联网和移动通信之后新一轮信息技术革命，自1999年美国麻省理工学院的凯文阿什顿教授提出物联网的概念以来，同时伴随着5G、人工智能、区块链等新兴技术的快速发展和逐步应用，以及智慧城市、工业互联网、车联网等新应用的快速落地，物联网和移动互联网进一步深度融合，正进入“跨界融合、集成创新、规模化发展”新阶段。在物联网快速发展的同时，安全问题日益凸显，安全事件不断爆发。从 2007年美国副总统迪克切尼心脏病发作、疑似心脏除颤器被模拟攻击，到 2014年 360发现特斯拉Tesla Model S 车型汽车应用存在设计漏洞、可致使攻击者远程控制车辆，以及2017年央视曝光目前智能城市的家庭摄像头存在重大隐私泄露问题等，都不同程度反应出物联网不同应用场景下的安全问题。可以说，在万物互联时代，安全正逐步成为物联网发展的核心要素和关键一环。智能物联网(AIoT)是人工智能(Artificial Intelligence,AI)和物联网(InternetofThings,IoT)的融合，是物联网的新应用形态。AIoT通过物联网产生、收集来自不同维度的、海量的数据，再通过大数据分析和人工智能等技术实现数据深度应用。相比传统物联网的万物互联，AIoT实现了万物智联。AIoT在智慧城市、智慧能源、智慧金融、智慧家庭、智慧医疗等广泛应用，在民生、经济以及社会治理等方面发挥着巨大的作用，已经成为我国数字经济发展的中坚力量。随着AIoT高速发展和深化应用，AIoT带来的安全风险越来越大，故应进一步提高对AIoT安全防护工作的重视。1.物联网及安全风险概述1.1.物联网介绍根据ITU的定义，物联网是：通过二维码识读设备、射频识别(RFID)装第2页共12页置、红外感应器、全球定位系统和激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网相连接，并进行信息交换和通信，实现智能化识别、定位、跟踪、监控和管理的一种网络。根据行业划分维度，一般从感知层、网络层和应用层描述其结构。可以理解为，物联网就是“物与物相互连接的互联网”，包含两方面含义：一是物联网是在互联网的基础上进行延伸并扩展的网络；二是物联网的用户端延伸并扩展到任何物品之间，实现万物互联。因此，物联网是建立在互联网基础上的一个泛在化的网络，是发展的一个新阶段，它通过各种有线和无线的网络与互联网融合，并在各类应用场景中利用海量传感器、终端设备等，实现物与物、物与人的随时随地连接。业内普遍认为，物联网有望成为未来社会经济发展、社会进步和科技创新的最重要的基础设施，极大改变人们的生产生活方式。1.2.物联网发展形势当前，各国加速从政策、技术、标准、产业发展等方面加速物联网发展。政策层面，各国政府抢抓物联网安全发展先机，塑造在物联网领域的国际竞争优势。美 国2016年、2017年 相继发布 保障物联网安全战略原则2017物联网网络安全改进法等战略法律，指出要重点提升物联网的安全防护能力，促进物联网安全发展；英 国2015年成立物联网安全基金会，从资金投入方面支撑物联网安全发展；欧 盟2016年制定新的物联网设备安全规范。我国高度重视物联网安全发展，并将物联网纳入国家战略高度，在“十二五”规划纲要中，明确指出要推动物联网关键技术研发和重点领域的应用示范。2013年 国务院关于推进物联网有序健康发展的指导意见发布，提出要基本形成安全可控、具有国际竞争力的物联网产业体系。工信部2017年 发 布 工业和信息化部办公厅关于全面推进移动物联网(NB-IoT)建设发展的通知，要求加快推动物联网的网络和信息安全保障体系建设。2009年、2016年、2018年物联网三次被写入政府工作报告。技术层面，随着第五代移动通讯技术(5G)、窄带物联网(NB-IOT)等新技术为万物互联提供基础设施支撑，万物互联的泛在介入、高效传输、海量异构信第3页共12页息处理和设备智能控制，由此推动了信任统一化、密码防护轻量化、安全服务化等安全技术的变革。物联网软硬件、操作系统、通信协议、云平台等方面的安全技术关注力度也逐年上升，如何解决大连接下的安全问题也成为业界普遍关注的重要议题。标准方面，我国在物联网标准制定工作方面的组织机构主要包括发展和改革委员会、国家标准化管理委员会、工业和信息化部等。在 OneM2M、3GPP、ITU、IEEE等国际主要标准化组织物联网相关领域已经获得多项物联网相关标准，自主研发的物联网安全TRAIS和 NEAU标准被相继纳入RFID安全和 NFC安全国际标准，在物联网语义、物联网大数据、物联网网关等重要领域主导相关标准的制定工作，逐步在重要标准上确立主导优势，和其他国家共同推进了全球移动物联网基础设施和业务应用的发展。产业发展方面，据国际数据公司预计，2019年全球物联网支出将达1.3万亿美元，较 2015年 6986亿美元增长近一倍；Gartner发布的数据显示，2020年全球物联网市场规模将达1.9万亿美元。同时，我国物联网产业高速发展，根 据 2018-2019中国物联网发展年度报告显示，2018年我国物联网产业规模已超1.2万亿元，业务收入较上年增长 72.9%,目前我国已经初步形成了覆盖芯片、元器件、软件、系统、集成、服务在内的较为完整的物联网产业链。伴随我国不断加大IPV6、5G等基础设施建设，以及智慧城市的应用推广，预计未来510年，我国物联网产业将会引来发展的爆发期。1.3.物联网安全风险介绍经过多年发展，我国初步形成物联网政策体系，在技术研发、标准研制、产业培育和行业应用等方面具备一定基础，但也面临关键核心技术待突破、行业安全产品部署不够等突出短板。物联网具有大连接、高并发访问、多点接入、大规模数据量处理等特点，网络安全边界越来越模糊，网络安全威胁多元化、攻击手段多样化。物联网安全问题的多样性和复杂性，对发展物联网技术和应用提出了更高要求，物联网安全的发展形势依旧严峻。万物互联使网络安全的威胁已经超越信息安全本身，直接关系到人们的财产、人身安全甚至国家基础设施和社会服第4页共12页务的安全。其存在安全威胁主要有以下几方面:一是物联网终端设备更容易遭受攻击和信息泄露。物联网终端类型多样、数量众多、部署场景复杂，现有物联网大多从满足可用性出发，对其软硬件平台、通信协议等普遍缺乏完善的完整性保护、机密性保护和身份的验证机制。终端作为物联网感知层面和用户广泛交互的设备，在当前的操作环境下极易遭受非法入侵和非授权者的访问。并且作为物联网安全领域最为核心的密码设备，当前的部署规模远远跟不上物联网发展速度，已有的密码应用主要集中于轻量级密码算法、物联网安全芯片和模组等较为简单的加密处理和保护，目前仍有大量设备未按国家有关要求采用密码保护。二是物联网网络本身的安全性问题突出。除传统网络安全问题外，物联网在万物互联网环境中存在无线传感器网络、蜂窝移动通信网、因特网、各类专网等各类异构网络的互联互通的应用场景，这些网络本身都存在着各类网络安全问题。同时，物联网由于存在各类异构网络互联互通的应用场景，异构网络的安全问题也必将在物联网的网络层中进一步凸显，各类不同网络间协议的适配、通信机制的安全更具有挑战性，也更容易出现安全漏洞。三是物联网的数据安全问题日益严重。当前物联网领域设备类型多，收集的各类数据类型多。各类摄像头、视频监控等传感器数据，各类单车、汽车、公交、出租车等联网交通工具数据，智能家居和智能生活设备数据等汇聚处理难度大，多源数据的鉴别与发现、异构网络的数据融合与处理、核心设备参数配置与更新等问题处理难度大，数据在各业务平台和系统中容易被窃取利用。四是物联网上承载的各类应用安全问题。物联网面临各种各样的行业应用需求，需要对各类信息进行分类处理，在这个过程中，攻击者通过篡改、伪造用户的信息，往往以合法身份进行短信彩信信息、用户的健康状况、出行线路、家居信息及消费习惯等非法交易和动作，用户隐私安全隐患巨大。同时，目前行业应用系统的建设并没有统一技术标准和安全措施，各种网络互联成为一个大的网络平台的融合问题以及相应的安全问题日益凸显。第5页共12页2.技术发展难点我国数字经济快速发展，AIoT在民生、经济、教育、环保等领域全面持续深化应用，将极大改变人们的生产生活方式、管理方式。在此过程中AIoT终端种类丰富性、泛在化、无人化等独有的特性，使得智能物联网安全面临空前的挑战。2.1.新技术快速应用于传统制造行业，行业安全人才和安全意识不足医疗、家居、物流、工业、农牧业、安消防、交通运输、能源开采、城市建设等传统行业融合AIoT实现产业升级，但这些行业大部分的IT建设起步较晚或建设较不完善，安全人员存在明显缺口，安全风险意识普遍不足，对 AIoT安全认识不够，防护措施落实不到位，难以应对智能物联网安全风险。2.2.业务场景多、数据敏感度高，防范难度大智能物联网终端采集、生产海量数据，同时具有分析和使用数据的能力，数量巨大、覆盖广泛的智能终端成为新的攻击对象。当前智能物联网已经在全社会得到普遍应用，应用场景十分复杂，海量数据中包括大量敏感个人数据和涉及国家安全和社会稳定的重要数据，是遭受攻击的重要目标，防护难度很大。2.3.国产化程度低，产品供应链安全风险高AIoT产业生态中包括智能终端、网络设备、云服务、业务服务等众多环节，其中智能终端是最基础，也是最关键的一环，而智能终端所依赖的A I芯片、芯片操作系统等仍依赖国外技术，部分终端甚至直接使用国外密码算法。智能终端设备“卡脖子”技术掌握在别人手里，供应链未能实现自主可控，也未很好地满足我国现有安全合规要求，如果发生极端事件，将对我国智能物联网应用造成极大影响。3.技术发展情况智能物联网AIoT由物联网IoT发展而来。“物联网”概念由美国麻省理工学院在上世纪90年代提出，近几年随着物联网应用的不断发展，物联网除第6页共12页了数据采集、存储、处理等基本功能外，开始具备深度分析、预测运行状态或用户习惯等A I能力，变得越来越“智能”。因此，从 2017年开始在网络中出现 A I与 IoT融合的新概念“AAT”。随着技术的不断发展，AIoT概念也在不断演进，终端设备计算能力不断提升，A I已经在云、端两侧赋能，有了 A I的加持，物联网也不再只是万物互联，AIoT将传统IoT“万物互联”升级为“万物智能互联”，连接只是基础，自动化、智能化才是目的。AIoT也不再是一项独立的技术，而是多种技术融合的应用形态。AIoT赋能硬件具备自主学习和预判能力，结合云端大数据支撑和5G通讯技术，为场景提供更智能的应用方案。作为各大传统行业智能化升级的通道，AIoT已经在T0B/T0G（企业用户/政府用户）端的工业制造、智慧安消防等场景中实现规模落地；在 ToC（个人用户）侧，智能家庭、数字家庭逐步得到广大消费者的青睐。未来AIoT势必成为数字化产业升级的典型代表，并将在感知、传输、应用及服务等层面逐步深化。目前各国都在大力发展AIoT产业，AIoT已成为全球新一轮科技革命与产业变革的核心驱动。美国是较早发展AIoT的国家之一，2015年投入1.5亿美元建设智慧城市，2020年 5 月美国公布了一项两党、两院提案，计划在未来5年向美国国家科学基金会投资1000亿美元，用于推动AI、高性能计算、机器人、自动化等10个领域的研究。同年，欧盟拟设立7500亿欧元复苏基金，加大 5G、6G、人工智能等众多科技领域的投资。我国在“十三五规划”和“十四五规划”中都对物联网相关产业做了布局。十四五规划提出“加快发展现代产业体系，推动经济体系优化升级”，将5G、工业互联网等列为重点布局的新型基础设施。2020年 9 月 27日，工业和信息化部、中央网络安全和信息化委员会办公室、科技部、生态环境部、住房和城乡建设部、农业农村部、国家卫生健康委员会、国家能源局等八部委联合印发了 物联网新型基础设施建设三年行动计划（2021-2023年）,为接下来三年中国AIoT发展指明道路。同时，各国也普遍认识到，AIoT安全是AIoT持续高效发展的关键基础，都非常重视AIoT安全。美国国土安全部2016年发布了 保障物联网安全战略原则，要求设计阶段考虑安全更新、漏洞管理、安全操作方法、提升透明第7页共12页度、谨慎接入互联网等安全问题。美国国家标准与技术研究院(NIST)也开展了物联网环境下增强网络弹性及应对僵尸网络威胁解决方案的研究。2019年美国加州批准全球首部物联网安全法规一 一 物联网设备网络安全法，美国众议院2020年又通过了 物联网网络安全改进法案，要求美国联邦机构和供应商仅使用符合安全要求的物联网设备，并制定物联网安全标准。欧盟于2017年 11月 20日发布了 欧盟关键信息基础设施环境中的物联网安全基线指南，内容主要包括物联网的体系架构、威胁和风险分析、安全方法和实践、差距分析以及物联网安全改进指南。我国2013年发布 国务院关于推进物联网有序健康发展的指导意见，提出应建立健全物联网安全测评、风险评估、安全防范、应急处置等机制。2017年制定 物联网“十三五”规划，明确了构建完善标准体系、提升安全保障能力等具体任务目标。2019年，信安标委印发 全国信息安全标准化技术委员会2019年度工作要点，明确加快工业控制系统安全、汽车网络安全、智能门锁安全等重点领域标准研制。2021年，工信部发布 物联网基础安全标准体系建设指南(2021版)，明确物联网终端、网关、平台等关键基础环节的安全要求，并提出到2022年底要初步建立物联网基础安全标准体系，研制重点行业标准10项以上；到 2025年要形成较为完善的物联网基础安全标准体系，满足物联网基础安全保障需要，促进物联网基础安全能力提升。IoT相关的法律法规、政策指引和安全标准规划了物联网发展的道路，同时也为AIoT的安全发展提出了明确的要求。4.技术产业落地情况AIoT产业主要包括“端”、“边”、“管”、“云”、“用”、“产业服务”六大板块。在六大板块中，“用”是指AIoT技术产业落地应用情况，从核心驱动力角度可以分为消费驱动型、政策驱动型和产业驱动型三种。消费驱动型以智能家庭为代表，包括智能家电、智能照明、智能音箱、智能摄像头、智能机器人、智能锁等多种智能设备。2021年全球智能家庭产业就达到300亿美元。政策驱动型以智慧安消防为代表，AIoT应用于各类摄像头终端设备，通过第8页共12页AI、大数据、云计算等技术对海量数据结构化处理并实时分析，优化了各类安消防系统，取得了较好成果。我国在AIoT与安消防融合领域走在世界前列。产业驱动型以智慧工业为代表，智能感知终端实时采集大量、复杂的机器数据，并基于数据提升对设备的监控管理以及后续服务，提高设备的自适应和主动智能能力，主要应用在数字化排产、供应链优化、设备管理、预测性维护、工业视觉功能等方面。AIoT在工业领域的应用明显提升了生产效率、生产质量、产线良率，为定制化、柔性生产、产业数字化转型奠定了基础。目前我国AIoT产业初具规模，仅三大运营商已经商用部署的NB-IoT网络连接数就占亚太地区的90%以上、全球物联网连接数的60%以上。物联网应用在我国疫情防控期间的轨迹追踪、体温监控、无人配送、人流分析等给民众留下了深刻印象，改变了民众生活方式和技术认知，推动了 AIoT产品和技术融入各类社会活动。在“碳达峰、碳中和”领域，AIoT都有与能源、建筑、交通、工业、农业等行业结合来促进降低碳排放的应用场景，“双碳”目标的推进将带动AIoT更广泛应用。元宇宙是通过多种人工智能技术和智能物联设备对物理世界的数字化和虚拟化，为物理世界更高效运转提供服务。AIoT作为链接虚实的桥梁，是元宇宙的基础。元宇宙的兴起和发展势必将带动AIoT技术和产品的应用，为产业的发展提供更广阔空间。5.意见和建议结合我国实际情况，需提高对AIoT安全的重视程度，从更高的维度组织、实施、监管、维护智能物联网安全体系。5.1.瞄准内生安全，打造以密码为核心的物联网安全体系相对于互联网和移动通信网安全而言，物联网安全研究处于起步阶段。由于物联网本身特点，使其研究难度增大。当前已有一些轻量级加密、认证算法，但是还没有提出完整的适用于物联网的整体安全方案。围绕物联网的行业应用和安全需求，应加强以密码为核心的物联网整体安全框架设计，在物联网芯片、模组、设备、网络和系统等多个层次推动密码技第9页共12页术融合，实现从物联网感知、传输、存储到应用的全过程密码安全保障，以一体化、协同化、智能化物联网安全理念，提升物联网内生安全，明确物联网安全目标和保障对象，描述物联网安全角色与职责，提出物联网安全总体要求，确保物联网安全可持续发展。5.2.结合物联网业务特性，加速新技术在物联网安全的应用一是大力推动人工智能在物联网安全的应用。物联网广泛互联、异构特性需要智能化的发现、威胁识别和处理能力。充分利用人工智能技术，提高对物联网各类终端自动感知，根据不同网络进行协议自适配、连接自动化等操作；对安全威胁自动识别、安全隐患自适应分析和处理。二是大力推动大数据技术在物联网安全中的应用。物联网海量部署，必然带来海量数据计算和高速处理需求。要积极运用大数据技术开展数据分析、数据融合、数据呈现、数据预测等工作，构建基于大数据的安全防护体系。三是加大区块链技术在物联网安全中的应用。区块链本身去中心化、分布式、抗抵赖的特性，与物联网海量节点具有天然的契合点，能有效解决物联网中各类伪节点的安全隐患，降低单元内计算处理数据量，减少各类安全冲突，有力确保物联网各类节点安全。5.3.以新基建为契机，建立物联网领域安全设备泛在化部署新体系国家启动新基建战略部署，要求利用新一代信息技术赋能国家重要领域基础设施。5G和物联网作为新基建的重要内容，将迎来大规模部署新阶段。在物联网终端数量海量化、设备类型多样化、网络异构化、应用部署多样化等场景下，急需建立安全设备泛在化部署新体系。加强具有自适应性、云网端协同的物联网安全机制研究，加快在物联网架构安全、异构网络安全、认证与信任、隐私保护等方面突破，在物联网应用方面重点打造专用安全（加密）芯片、安全LoRa模块/NB-IoT模块、安全物联网网关、安全业务平台等产品。加大安全设备在物联网各领域的泛在化应用和规模化部署，协调推动处理好安全和业务发展的内在关系，在网络和系统等多个层次推动安全技术融合，在物联网设计、开发、应用、维护等多个环节同步考虑安全要素，大力推动物联网标识、智能装备安全网关、司法电子取证等产品和设备在物联网相关垂直第10页共12页行业的应用，实现安全设备在物联网的泛在化部署。5.4.加强全方位安全防护，以多层次立体式理念确保物联网安全一是在感知层加强感知节点物理防护和感知节点设备安全。加强对感知节点和终端进行有效的物理安全防护，要采取节点身份认证、数据加密、节点监控等安全防护手段，对标签身份进行统一管理，有效平衡安全性和认证效率，有效保护RFID安全性和隐私。二是在网络层加强节点和汇聚节点之间以及节点和网络之间的安全认证，特别是要使用标准算法、轻量级密码算法在物联网的终端设备和后台系统端点或传输过程中进行加密；提高入侵检测的手段，增强物联网端点智能安全能力。加强反病毒、反蠕虫软件在规模异构数据场景的适配和适应性改造。重点建立完善异构网络统一、兼容、一致的跨网认证机制和网络安全协议。加强数据传输过程的机密性、完整性、可用性的保护。三是在应用层重点开展数据智能化处理基础上，加强数据库访问控制策略方面的安全。加强数据溯源能力和网络取证能力，完善网络犯罪取证机制。以无感方式，在不影响物联网业务情况下，以安全服务化方式开展各项安全防护工作，有效开展物联网环境下的安全运维服务。止 匕 外，根据物联网具体业务及应用相关数据、对国家、社会和个人影响程度，建立分级分类保护制度。针对不同业务和应用需求，结合等保2.0,制定不同等级、不同场景下的安全防护措施，有效利用现有资源，开展有针对性的安全防护。5.5.强化供应链安全，建立供给侧需求侧安全协同新机制一是加强物联网的供应链安全。物联网由于覆盖面广，其产业链涉及的行业类型多、产品更将是丰富多样，厂商不计其数。但也应该看到，部分核心技术仍为一些国际寡头所掌控，我国应及早培育相关企业，打造安全可靠产品，掌握基于云化的安全管理策略和技术手段，采用集中和分布式相结合的方式，构建安全可靠、可控、可管、可追溯的供应链管理体系。同时开展供应链安全审查技术的研究，加强核心关键产品的安全审查力度，培育供应链安全相关人才，从多方面保障供应链的安全。第11页共12页二是构建物联网安全协同新机制。物联网产业发展和产品推广离不开行业，要进一步加强物联网在智能家居、工业互联网、车联网等行业的推广力度，进一步联动上游生产资料企业、中游设备生产制造商、下游个体和行业用户，建立覆盖行业生态链和全生命周期的安全协同新机制。同时，要加强安全技术与物联网在智能家居、智慧交通等垂直行业的有效衔接和融合，积极打造物联网安全产业生态，联合传感器元器件制造商、设备生产集成商、网络安全服务提供商、销售商等产业链各方力量，共同构建开放合作的物联网安全产业生态圈；积极建立网络安全企业和物联网企业、网络安全企业与物联网垂直行业企业的互动体验机制，在不断的应用实践中发现问题、解决问题，构建供给侧、需求侧的人、机、物安全协同新机制，共同促进物联网安全发展。5.6.成立AIoT综合工作组建议相关主管部门牵头，组织智能物联网建设、应用和管理等部门，成立“AIoT综合工作组”，负责拟制国家AIoT发展战略、产业规划和行动方案，指导行业制定具体的落实计划。5.7.强化AIoT供应链管理AIoT的应用与发展需强化在A I芯片、芯片操作系统和密码算法等方面的国产化管理，实现全链条的自主可控。明确智能物联网关键产品国产化、密码算法国产化的政策要求，制定关键产品审查备案制度，组织产业链调研，适时推出国产化扶持政策。5.8.加强基础共性技术研究AIoT芯片、操作系统、轻量级密码算法、M2M（机器到机器）安全通信等是有效解决AIoT防护难的关键基础技术。建议鼓励企业发挥市场主体的优势作用，积极联合高校、研究院所等开展相关理论和技术的研究，采用试点、规范、推广的步骤，在不同的行业不断强化自主可控关键技术的研究与应用。第12页共12页