物聯網信息安全（緒論）李永忠教授江蘇科技大學計算機學院2022.9.2物聯網信息安全的重要性信息安全在物聯網中重要性和作用顯而易見。現在軍事中的物、地探測現在交通中的車輛檢測智能小區中的RFID物聯網信息安全關系到國家的信息安全2014年2月27日電，據央視新聞報道，習近平主持召開中央網絡安全和信息化小組首次會議，要求把我國建設成為網絡強國。習近平任小組組長。加強網絡安全，才能維護國家安全。安全是互聯網發展的前提和基礎。物聯網以互聯網為依托。開設《物聯網信息安全》課程的必要性現有《網絡與信息安全》課程可否替換《物聯網信息安全》？早期的想法：可以替換現在的想法：不可替換，有其特殊性《物聯網信息安全》教材應該涵蓋《網絡與信息安全》課程內容，并有所拓展。二者差異：“專用”、“通用”二者協同：通用寓于“專用”二者貫通：有“通用”貫通“專用”《物聯網信息安全》可以上升為新的研究熱點感知中的；RFID數據傳輸與處理中的：大數據、多維、時間序列應用中的：開放、跨域、共享、云物聯網信息安全：物聯網工程專業的核心知識體系《物聯網信息安全》課程大綱本課程作為物聯網工程專業的核心專業課程課程目標：針對物聯網工程專業的需要，對物聯網信息安全的內涵、知識領域和知識單元進行了科學合理的安排，目標是提升讀者對物聯網信息安全的“認知”和“實踐”能力。教材內容與特色：本教材根據物聯網工程“卓越工程師”培養計劃的要求編寫、結合教學過程積累的經驗，注重應用性。面向卓越計劃，注重物聯網信息安全的應用能力培養。在介紹信息安全技術和網絡安全技術的基礎上，重點講述物聯網信息安全。物聯網安全按照物聯網的層次體系分為三大部分：物聯網感知層安全、物聯網網絡層安全和物聯網應用層安全。并介紹了典型物聯網EPCglobal、WPAN和M2M的安全技術。本書內容編排循序漸進、由淺入深的闡述了物聯網安全技術，內容編排符合認識規律，邏輯性強。教學建議本課程建議授課課時 48~56；本課程建議實踐課時 8~10。教學章節教學要求課時第1章物聯網安全概述了解物聯網的概念與特征了解物聯網的體系結構了解物聯網的特征和安全需求了解物聯網的安全結構講授2第2章網絡信息安全技術基礎物了解網絡安全基本概念掌握數據加密技術掌握DES算法和RSA算法了解散列函數與消息摘要原理掌握數字簽名技術掌握網絡層安全協議掌握防火墻技術掌握入侵檢測技術、入侵防御等網絡安全技術講授4-10實踐2教學建議第3章物聯網安全體系結構及物理安全掌握物聯網安全體系結構掌握物聯網的安全技術措施掌握物理安全威脅與防范講授4實踐2第4章物聯網感知層安全了解感知層安全與信息安全關系掌握RFID安全技術掌握輕量級密碼技術掌握傳感器網絡安全技術掌握物聯網終端系統安全技術掌握WiFi/3G/4G/ZigBee等安全技術了解位置隱私信息保護技術講授6實踐2第5章物聯網網絡層安了解網絡層安全需求掌握近距離無線接入安全--WLAN安全技術掌握遠距離無線接入安全--移動網安全掌握擴展接入網的安全技術掌握物聯網核心網安全--6LoWPAN和RPL的安全技術掌握下一代網絡與網絡安全技術講授8實踐2教學建議第6章物聯網應用層了解應用層安全需求掌握Web安全技術掌握中間件安全技術掌握數據安全技術掌握云計算安全技術講授4實踐2第7章物聯網安全技術應用掌握物聯網系統安全設計方法掌握物聯網安全技術應用了解物聯網門禁系統應用了解物聯網安防監控系統設計了解物聯網智能監獄監控報警系統講授8實踐2第8章典型物聯網安全實例了解EPCglobal物聯網安全應用實例了解無線個域網的遠程醫療系統的安全技術應用理解M2M安全技術了解車聯網的安全技術講授4實踐2使用教材江蘇省“十二五”重點建設教材：《物聯網信息安全》（第2版）李永忠主編西安科技大學出版社第1章物聯網信息安全概述李永忠江蘇科技大學計算機學院2017.09.02本章導引物聯網作為戰略性新興產業，在各國政府大力推動下，正在迎來一輪建設高峰，其信息安全和風險問題也得到各國政府的廣泛重視。由于物聯網是一個融合計算機、通信和控制等相關技術的復雜系統，因而物聯網面臨的信息安全問題更加復雜。本章主要論述物聯網的基本概念和特征,探討物聯網的信息安全現狀和面臨的信息安全威脅。1.1物聯網的概念與特征物聯網的概念與起源物聯網（InternetofThings，IoT）代表了未來計算與通信技術發展的方向，被認為是繼計算機、Internet之后，信息產業領域的第三次發展浪潮。最初，IoT是指基于Internet利用射頻標簽（RadioFrequencyIdentificationRFID）技術、電子產品編碼（ElectronicProductCodeEPC）標準在全球范圍內實現的一種網絡化物品實時信息共享系統。后來，IoT逐漸演化成為一種融合了傳統網絡、傳感器、AdHoc無線網絡、普適計算和云計算等信息與通信技術（InformationandCommunicationsTechnology,ICT）的完整的信息產業鏈。物聯網的概念與起源物聯網被稱為繼計算機、互聯網之后，世界信息產業的第三次浪潮。《國務院關于加快培育和發展戰略性新興產業的決定》將以物聯網為代表的新一代信息技術列為重點培育和發展的戰略性新興產業，《國民經濟和社會發展第十二個五年規劃綱要》對培育發展以物聯網代表的新一代信息技術戰略性新興產業做了全面部署。

物聯網的概念由于目前對于物聯網的研究尚處于起步階段，物聯網的確切定義尚未統一。物聯網一般的英文名稱為“InternetofThings”。顧名思義，物聯網就是一個將所有物體連接起來所組成的物-物相連的互聯網絡。物聯網，作為新技術，定義千差萬別。一個普遍被大家接受的定義為：物聯網是通過使用射頻識別（RadioFrequencyIdentification，RFID）、傳感器、紅外感應器、全球定位系統、激光掃描器等信息采集設備，按約定的協議，把任何物品與互聯網連接起來，進行信息交換和通訊，以實現智能化識別、定位、跟蹤、監控和管理的一種網絡。物聯網的定義全面感知、可靠傳送、智能處理人與自然和諧相處需要更多地感知物理世界物聯網=物理世界與信息網絡的無縫連接智能交通遠程醫療智能家居環境監測公共安全綠色農業工業監控物聯網是指通過信息傳感設備按照約定的協議，把任何物品與信息網絡連接起來，進行信息交換和通訊，以實現智能化的識別、定位、跟蹤、監控和管理的一種網絡，它是在互聯網基礎上的延伸和擴展的網絡。物流管理物聯網的特征與傳統的互聯網相比，物聯網具有以下三個主要特征：全面感知1．全面感知“感知”是物聯網的核心。物聯網是具有全面感知能力的物品和人所組成的，為了使物品具有感知能力，需要在物品上安裝不同類型的識別裝置，例如：電子標簽（Tag）、條形碼與二維碼等，或者通過傳感器、紅外感應器等感知其物理屬性和個性化特征。利用這些裝置或設備，可隨時隨地獲取物品信息，實現全面感知。可靠傳遞2．可靠傳遞數據傳遞的穩定性和可靠性是保證物-物相連的關鍵。為了實現物與物之間信息交互，就必須約定統一的通信協議。由于物聯網是一個異構網絡，不同的實體間協議規范可能存在差異，需要通過相應的軟、硬件進行轉換，保證物品之間信息的實時、準確傳遞。智能處理3．智能處理物聯網的目的是實現對各種物品（包括人）進行智能化識別、定位、跟蹤、監控和管理等功能。這就需要智能信息處理平臺的支撐，通過云計算、人工智能等智能計算技術，對海量數據進行存儲、分析和處理，針對不同的應用需求，對物品實施智能化的控制。物聯網的起源與發展物聯網概念的起源可以追溯到1995年，比爾·蓋茨在《未來之路》一書中對信息技術未來的發展進行了預測1998年，麻省理工學院（MIT）提出基于RFID技術的唯一編號方案，即產品電子代碼（ElectronicProductCode，EPC），并以EPC為基礎，研究從網絡上獲取物品信息的自動識別技術。1999年，美國自動識別技術（AUTO-ID）實驗室首先提出“物聯網”的概念。物聯網概念的正式提出是在國際電信聯盟（ITU）發布了《ITU互聯網報告2005：“TheInternetofThings”》報告中。物聯網的起源與發展2007年，美國率先在馬薩諸塞州劍橋城打造全球第一個全城無線傳感網。2009年1月IBM首席執行官彭明盛提出“智慧地球”的概念2009年6月，歐盟委員會正式提出了《歐盟物聯網行動計劃》1999年，中科院就啟動了傳感網的研究2009年8月7日，溫家寶總理在無錫微納傳感網工程技術研發中心視察并發表重要講話，提出了“感知中國”的理念2010年物聯網新專業設立各國均把物聯網作為未來信息化戰略的重要內容23共同點:融合各種信息技術，突破互聯網的限制，將物體接入信息網絡，實現“物聯網”在網絡泛在的基礎上，將信息技術應用到各個領域，從而影響到國民經濟和社會生活的方方面面未來信息產業的發展在由信息網絡向全面感知和智能應用兩個方向拓展、延伸和突破。日本：2009年8月i-Japan戰略中國：2009年8月感知中國歐盟：2009年6月物聯網行動計劃美國：2008年底IBM向美國政府提出的”智慧的地球”戰略強調傳感等感知技術的應用，提出建設智慧型基礎設施具體而務實，強調RFID的廣泛應用，注重信息安全在u-Japan的基礎上，強調電子政務和社會信息服務應用中國發展物聯網的戰略意義保障國家信息安全國土安全促進工業化與信息化融合

感知中國，贏得未來搶占信息產業第三次浪潮的制高點物聯網TD成功的重大契機物聯網發展面臨的問題

標準統一化問題協議與安全問題核心技術商業模式與產業鏈問題配套政策和規范的制定與完善物聯網的應用物聯網應用層主要面向用戶需求，利用所獲取的感知數據，經過前期分析和智能處理，為用戶提供特定的服務。目前，物聯網應用的研究已經擴展到智能交通、智能物流、智能電網、環境監測、金融安防、工業監測、智能家居、醫療健康等多個領域。物聯網的體系結構認識任何事物都要有一個從整體到局部的過程，尤其對于結構復雜、功能多樣的系統更是如此。物聯網也不例外。首先，需要了解物聯網的整體結構，然后進一步討論其中的細節。物聯網是一個開放型體系架構，由于處于發展階段，不同的組織和研究群體，對物聯網提出了不同的體系結構。但不管是三層體系結構、四層體系結構還是五層體系結構，其關鍵技術是相通和類同的。可首先介紹一種物聯網五層體系結構，物聯網三、四層體系結構在此基礎上進行組合即可實現。1.2物聯網安全問題分析物聯網安全問題的來源是多方面的，包括傳統的網絡安全問題、計算系統的安全問題和物聯網感知過程中的特殊安全問題等。1、物聯網標簽掃描引起的信息泄露問題2、物聯網射頻標受到惡意攻擊的問題3、標簽用戶可能被跟蹤定位的問題4、物聯網的不安全因素可能通過互聯網進行擴散的問題5、物聯網加密機制有待健全的問題6、物聯網的安全隱患會加劇工業控制網絡的安全威脅物聯網的安全特征（1）已有的對傳感網、互聯網、移動網、安全多方計算、云計算等的一些安全解決方案在物聯網環境中可以部分使用，但另外部分可能不再適用。首先，物聯網所對應的傳感網的數量和終端物體的規模是單個傳感網所無法相比的；其次，物聯網所聯接的終端設備或器件的處理能力將有很大差異，它們之間可能需要相互作用；再次，物聯網所處理的數據量將比現在的互聯網和移動網都大得多。物聯網的安全特征（2）即使分別保證了感知控制層、數據傳輸層和智能處理層的安全，也不能保證物聯網的安全。這是因為物聯網是融合幾個層次于一體的大系統，許多安全問題來源于系統整合；物聯網的數據共享對安全性提出了更高的要求；物聯網的應用將對安全提出了新要求，比如隱私保護不不是單一層次的安全需求，但卻是物聯網應用系統不可或缺的安全需求。鑒于以上原因，對物聯網的發展需要重新規劃并制定可持續發展的安全架構，使物聯網在發展和應用過程中，其安全防護措施能夠不斷完善。2019年十大物聯網安全事件2019年十大物聯網安全事件回顧2019年，設備安全依然是2019年物聯網安全的焦點問題：從智能家居設備中的隱私問題到僵尸網絡，乃至全球范圍內基于物聯網僵尸網絡發動的分布式拒絕服務(DDoS)攻擊。未來很長一段時間，物聯網安全威脅都將是最大的安全威脅之一，物聯網安全支出在信息安全整體市場的占比也將快速提升，根據賽迪顧問《2019中國網絡安全發展白皮書》，2018年中國物聯網安全市場規模達到88.2億，增速高達34.7%，明顯高于行業平均增速。

2019年值得關注的十大物聯網安全（系列）事件2019年十大物聯網安全事件一、物聯網設備的系統性安全缺陷和隱私風險

2019年1月份，安全研究人員發現沃爾瑪和百思買等大型零售商銷售的熱門聯網或智能家居設備普遍存在嚴重安全漏洞和隱私問題。送檢的12種不同的物聯網設備均發現安全問題，包括缺少數據加密和缺少加密證書驗證。這些設備包括來自不同制造商的智能相機、智能插頭和安防產品，包括iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。這次安全“體檢”為整個物聯網行業敲響了警鐘。2019年十大物聯網安全事件二、酒店偷拍攝像頭引發全民恐慌2019年，國內影響最大物聯網安全事件非酒店偷拍莫屬。過去兩年間酒店偷拍事件層出不窮，從單體民宿、自如、Airbnb到威斯汀酒店和皇冠假日酒店都不能幸免，甚至前合肥市公安局長都曾中招。對于有隱私潔癖的用戶來說，幾乎到了要背帳篷去酒店野營的地步了。面對日益高漲的個人隱私保護需求，各路安全廠商和創業公司紛紛行動起來。除了爆火的Ping之外，百度安全app和360手機衛士都推出了“偷拍檢測”功能，但是APP端檢測的一個弊端是智能檢測同局域網(WiFi)段的偷拍攝像頭，對于獨立聯網和離線攝像頭無能為力，并不能做到百分之百的靠譜，充其量只能算是輔助措施，消費者需要對此有足夠清醒的認識，必要的時候人肉排查+超輕雙人帳篷依然是終極方案。2019年十大物聯網安全事件三、震驚全美的Ring智能門鈴和安防監控頭丑聞除了酒店，家庭監控攝像頭也不省心。2019年末，亞馬遜旗下的Ring的隱私問題和安全丑聞激增，并且仍在持續發酵中。作為全球最火的家庭安防硬件產品之一——Ring曝出安全漏洞，黑客可以監控用戶家庭，而且Ring還會暴露用戶的WiFi密碼。大量用戶投訴自己的私生活被黑客傳到網上，甚至還有黑客通過Ring攝像頭跟搖籃里的嬰兒打招呼。更糟糕的是，Ring的隱私政策也成了眾矢之的。Ring承認與美國600多個警察部門合作，提供用戶視頻。11月份一些美國參議員要求亞馬遜披露如何確保Ring家庭攝像頭的安全性，以及都有誰可以訪問這些錄像。2019年十大物聯網安全事件四、安全漏洞迭出，智能門鎖遭遇安全危機研究人員在智能門鎖SmartDeadbolts中發現了一種流行的智能鎖漏洞，攻擊者可以利用這些漏洞遠程打開門并闖入房屋。智能鎖的制造商HickoryHardware已將補丁程序部署到了GooglePlay商店和AppleAppStore上受影響的應用程序。這只是2019年眾多智能門鎖安全漏洞的冰山一角。6月，研究人員警告說，U-tec制造的智能門鎖Ultraloq出現故障，攻擊者可以追蹤該設備的使用地點并完全控制該鎖。7月，兩位安全研究人員發現了ZipaMicro智能家居三個安全漏洞，如果把它們連接在一起就可能會被濫用，而結果就是導致用戶家的智能門鎖會被輕易打開。國內方面，2018年國內智能門鎖品牌已超過3500個，2019年市場規模有望突破200億元。雖然經歷年初央視曝光“小黑盒”、APP遠程控制漏洞，但是國內智能門鎖硬件、軟件、云端等各個攻擊面的安全問題并未得到更多用戶的重視。相關的安全開發、安全測試檢測（包括白帽子漏洞發掘）、技術標準和規范相對滯后。2019年十大物聯網安全事件五、導致物聯網設備大規模“變磚”的惡意軟件

6月份，一名14歲的黑客使用一種名為Silex的惡意軟件來欺騙多達4,000個不安全的物聯網設備，然后突然關閉了其命令和控制服務器。Silex將不安全的IoT設備作為攻擊目標，使其癱瘓（類似2017年的BrickerBot惡意軟件一樣）。Silex專門針對運行Linux或Unix操作系統，采用默認或者已知密碼的的物聯網(IoT)設備，破壞設備的磁盤分區，刪除其防火墻和網絡配置，并最終使其完全“變磚”。

2019年十大物聯網安全事件六、200萬物聯網攝像頭“裸奔”聯網攝像頭是蓬勃發展的智慧城市的關鍵組件，同時其安全問題的嚴峻性也日益凸顯。今年4月份，安全研究者披露了可能是迄今最為嚴重的物聯網攝像頭安全漏洞，受影響監控攝像頭數量超過200萬個，來自包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEOCoolcam、Sricam、EyeSight和HVCAM等多個攝像頭廠商。這些產品都使用了某國內廠商開發的名為iLnkP2P的P2P通訊組件。該組件包含兩個漏洞，可能使遠程黑客能夠找到并接管設備中使用的易受攻擊的攝像機并監視其所有者。此外，七月物聯網攝像頭制造商Swann修補了其聯網攝像頭中的一個漏洞，該漏洞使遠程攻擊者可以訪問其視頻源。9月，多達80萬個基于IP的閉路電視攝像機暴露在零日漏洞攻擊之下，該漏洞可能使黑客能夠訪問監視攝像機，監視和操縱視頻源或植入惡意軟件。

2019年十大物聯網安全事件七、智能玩具不再“好玩”聯網智能玩具仍然不安全。去年12月，安全研究人員發現，各種兒童專用的聯網玩具存在很多先天性的安全問題，例如缺少設備配對的身份驗證，以及聯網帳戶缺乏加密。在2019年美國黑帽大會上，研究人員展示了LeapPadUltimate兒童教育平板電腦的安全檢測結果，表示該平板電腦存在許多安全問題，包括允許不良行為者跟蹤設備，向孩子發送消息或發起中間人攻擊。LeapPad平板電腦的一個應用程序PetChat（寵物聊天）也存在安全問題。PetChat應用程序創建一個Wi-FiAd-Hoc連接，并使用簡單的SSID“PetChat”廣播到附近的其他兼容設備。研究人員能夠使用名為WiGLE的工具——一個收集不同無線熱點信息的網站，在全球范圍內將位置和其他信息存儲在中央數據庫中，以識別平板電腦。這意味著“任何人都可以使用PetChat通過在公共Wi-Fi上找到它們，或跟蹤其設備的MAC地址來識別LeapPads的位置。2019年十大物聯網安全事件八、兒童智能手表安全問題爆發與其他物聯網和智能設備類似，兒童智能手表也存在先天性的安全缺陷，例如可以暴露兒童的位置數據和個人信息，從而為各種隱患制造伏筆。2019年因安全問題被曝光的智能手表產品包括中國的M2智能手表，該智能手表存在的缺陷可能會泄露用戶的個人和GPS數據，并允許攻擊者監聽和操縱對話。此外安全研究人員還發現SmartwatchTicTocTrack存在大量安全問題，這些問題使黑客能夠跟蹤和呼叫孩子。更糟糕的是，與其他智能硬件產品類似，智能手表的安全缺陷很有可能是全行業的系統性風險。2019年十大物聯網安全事件九、智能音箱：大熱必死在亞馬遜、谷歌、阿里、百度等各路人工智能廠商數年風風火火的暖場演出后，2019年智能音箱市場終于迎來總爆發。但在安全問題上，無論是特斯拉電動車還是智能音箱，一旦被信息安全界關注，終究難逃“大熱必死“的魔咒。安全研究人員調查發現亞馬遜、谷歌和蘋果的智能音箱存在嚴重的隱私侵犯問題。一份安全報告甚至披露亞馬遜雇傭了數千名審計員來收聽Echo用戶的語音記錄。蘋果的Siri和GoogleHome也由于類似的原因而受到抨擊，有報道稱Google員工可以識別和捕獲家庭暴力或機密商務電話的聲音。除此之外，企業高管和商務人士偏愛的差旅神器Bose降噪耳機，也曾因為竊聽用戶隱私被起訴，指控Bose一直在通過BoseConnect應用監視用戶，并監聽用戶所有的對話和播放的內容。總之，音響設備的安全問題和隱私威脅，往往比我們想象的更為可怕。2019年十大物聯網安全事件十、物聯網僵尸網絡野蠻生長自從2014年從冰箱上發動首個物聯網僵尸網絡攻擊后，臭名昭著的MiraiIoT物聯網僵尸網絡在2016年一戰成名，通過創記錄的DDoS攻擊沖垮了包括Twitter、Netflix和Github等多家大型互聯網站點，導致“半個美國掉線”，甚至公有云服務商Akamai也迫于Mirai的淫威停止了對爆料獨立安全博客KrebsonSecurity的庇護。

2019年，恐怖的Mirai僵尸網絡繼續保持高速增長，同時也改變了其TTP（戰術、技術和程序）。據研究人員分析，Mirai的活動在2018年第一季度至2019年第一季度之間幾乎翻了一番。安全分析人員指出，在過去的一年中，Mirai擴展了其技術，以瞄準更多的處理器和更多的企業級硬件。2019年十大物聯網安全事件信息安全界和人權組織就曾指出趨勢：物聯網僵尸網絡將取代集權國家成為互聯網言論的終極審查者。基于物聯網僵尸網絡的超大規模DDoS攻擊，已經展現了自己在言論審查方面的“威權”，已經遠超任何一個國家政府的審查能力。甚至在美國這樣一個標榜言論自由的國家，沒有人能夠保護Krebs這樣一個享有盛譽的安全技術博客。踏入新十年，物聯網安全領域逐漸成熟，但也伴隨著新一波的風險。就在不久之前，“物聯網安全”這個術語聽起來還有點自相矛盾。但現在，對物聯網安全重要性的認知已經達到了空前的高度。聯網設備如今已滲透到我們生活的方方面面，從家居到工廠無處不在，惡意黑客如今手握大把形形色色的終端目標。2020年后未來物聯網安問題一.智能樓宇安全問題引人關注2020年，智能樓宇安全問題可能會成為設施管理者的首要考慮。Gartner的調查研究表明，2020年，80%的聯網設備與樓宇相關，智能樓宇為對手提供了新的攻擊途徑。但在明年此類攻擊會不會大幅增加的問題上，專家們意見不一。HoneywellBuildingSolutions網絡安全全球總監MirelSehic預期會出現大幅增長。攻擊者可能將樓宇管理系統作為跳板，用以獲取IT數據，以及操縱建筑控制。

2013年塔吉特信用卡數據泄露后，聯網樓宇系統的前景就成了主要的網絡安全顧慮。該事件中，塔吉特的暖通空調供應商被入侵，攻擊者能夠進入其內部網絡，包括其支付系統。僅此一項，黑客就卷走了4,000萬信用卡號。2020年后未來物聯網安問題二.5G安全開始嶄露頭角

2019年時，5G看起來還只是理論上的可能性。上半年，5G在商展和個別地區展示性現身，但現在，電信公司紛紛開始推出他們的5G網絡。到2020年，隨著5G部署持續推出，攻擊亦將接踵而至。5G最終成為基礎協議的前景意味著，從監視和交通攝像頭到車輛的所有東西都會通過該協議連接。這就有可能給攻擊者提供癱瘓社區、城市甚至整個國家的康莊大道了。5G還可以為主要使用不同無線協議的設備提供連接。比如，5G可以作為LPWAN設備接入云端的回傳線路。盡管有抗干擾屬性，但與其他無線通信方式一樣，5G也易于遭受拒絕服務攻擊和阻塞。2020年后未來物聯網安問題三.托管安全服務市場激增近些年，很多公司企業開始拋棄獨自管理安全的想法。增長中的一個細分市場就是托管安全服務，KennethResearch的研究概要中稱，該細分市場年增長率達到了15%。2020年，托管安全服務市場的增長率還將更高。總體上看，正在進行數字化轉型的很多公司企業，都難以找到足夠的專業人才來處理復雜性不斷增加的網絡安全問題。于是，他們將目光轉向了托管服務。2020年后未來物聯網安問題四.OT網絡安全巨頭重要性日顯隨著安全儀表系統已成當前攻擊目標的事實曝光，運營技術(OT)網絡安全某種程度上已日漸獲得重視。Honeywell的MirelSehic預期該趨勢在2020年還將繼續加速，因為屆時將有更多的OT環境擁抱數字化。其中一個因素就是這個市場仍不成熟。從安全角度看，OT領域的現狀類似于十年前的IT領域。而十年前，想找到適用IT環境的安全標準是很難的。網絡安全人員能夠找到一些NIST指南，但想找與之略有差別的適用于特定工業環境的指南，就完全不是那么回事兒了。這種狀況促成了專注OT的組織的興起，比如西門子的CharterofTrust（信任憲章）和非盈利性基金會MITREEngenuity的CenterforThreat-InformedDefense（威脅知情防御中心）。Howard預期2020年將有更多專注于OT網絡標準的組織出現：“在安全問題上，OT領域比IT領域更難。畢竟，在IT領域，筆記本A與筆記本B和服務器C之間的差別并不是那么巨大，尤其是在操作系統整合的情況下。但RockwellPLC和Honeywell制造系統之間就是天差地別了。”2020年后未來物聯網安問題四.IOT網絡安全巨頭重要性日顯PASGlobal首席運營官MarkCarrigan觀察到，ISA/IEC62443和《歐洲網絡指令》之類針對OT的安全標準有所增長，NIST、NERC、SANS和互聯網安全中心這樣的機構也推出了很多針對OT的框架。Carrigan在電子郵件中對媒體說道：“2020年，隨著這些框架和標準的逐步采納，網絡風險將會減小。但是，公司企業采納和驗證這些框架與標準需要消耗一些資源，會增加工業網絡安全開支與復雜性。由于標準和框架的采納相對不成熟，公司企業可能需要評估多個框架采納情況，由此，進一步增加成本與復雜性。”2020年后未來物聯網安問題五.物聯網安全：從設計階段開始——物聯網安全保障沒有哪個產品設計者會想創建毫無安全性可言的聯網產品。除非他工作的公司難以協調上市時間、成本和客戶體驗。不過，Arm物聯網服務小組策略副總裁CharleneMarini認為，鑒于物聯網安全所獲得的關注度，情況正在不斷改善。她在郵件中透露：物聯網設備制造商和聯網設備部署者會設置功能升級計劃，確保物聯網系統的安全。這種思維的轉變將意味著，設備制造商開始重視創建受信可連接可管理產品。新的物聯網安全思維模式包括，在設計階段嵌入生命周期管理功能、以安全和隱私原則為前提編寫軟件，以及為部署者提供可用設備更新。對于部署物聯網設備的公司企業而言，這種思維的轉變還涉及引入有經驗的專家幫助管理大規模物聯網網絡。2020年后未來物聯網安問題六.AI炒作繼續，但垂直AI方法興起網絡安全領域中圍繞人工智能的炒作開始降溫。但別期望情況會有巨大改善。“AI”這標簽被拍到了幾乎所有東西上，其中很多不過是決策樹、算法或軟件。當然，這并不是說AI沒有巨大的潛力。但真正的術語“AI”某種程度上成了沒什么特指的潮詞。Augury是一家專注運用工業物聯網傳感器監視機器健康狀況的公司，其策略副總裁ArtemKroupenev對AI在網絡安全領域的前景保持樂觀。考慮到AI當前的成熟度，為特定用例精心設計的產品，會比采用通用方法制造的產品更加有效。說到人工智能在網絡安全中的使用，Cerrudo解釋稱：如果你想提供更好的解決方案，你就必須收窄自己的焦點，著重投入研發。AI使用持續增長，不斷成熟，用得越有針對性，就會越精確。拓寬范圍只會增加復雜性和降低效率。2020年后未來物聯網安問題從2016年起，物聯網智庫每年都會推出一份物聯網產業生態全景圖譜，跟蹤產業生態進展、收集主要參與者信息、發掘行業發展趨勢。堅持“從產業關聯廣度和深度觀察，探索物聯網如何對經濟結構深刻變革帶來的影響”的初衷，對過去一年的物聯網市場進行回顧，形成最新版的物聯網產業生態圖譜。物聯網的安全需求不管安全威脅的來源與途徑的多樣化和來源的普遍化，我們可以將物聯網的安全需求歸結為如下幾個方面：物聯網接入安全、物聯網通信安全、物聯網數據隱私安全和物聯網計算系統安全等幾個方面。物聯網接入安全在接入安全中，感知層的接入安全是重點。首先，一個感知節點不能被未經過認證授權的節點或系統訪問，這涉及到感知節點的信任管理、身份認證、訪問控制等方面的安全需求。因此，傳感器網絡除了可能遭受同現有網絡相同的安全威脅外，還可能受到惡意節點的攻擊、傳輸的數據被監聽或破壞、數據的一致性差等安全威脅。物聯網的安全需求物聯網通信安全由于物聯網中的通信終端呈指數增長，而現有的通信網絡承載能力有限，當大量的網絡終端節點接入現有網絡時，將會給通信網絡帶來更多的安全威脅。首先，大量終端節點的接入肯定會帶來網絡擁塞，而網絡擁塞會給攻擊者帶來可趁之機，從而對服務器產生拒絕服務攻擊；其次，由于物聯網中的設備傳輸的數據量較小，一般不會采用復雜的加密算法來保護數據，從而可能導致數據在傳輸的過程中遭到攻擊和破壞；最后，感知層和網絡層的融合也會帶來一些安全問題。另外，在實際應用中，大量使用無線傳輸技術，而且大多數設備都處于無人值守的狀態，使得信息安全得不到保障，很容易被竊取和惡意跟蹤。而隱私信息的外泄和惡意跟蹤給用戶帶來了極大的安全隱患。物聯網的安全需求物聯網數據處理安全隨著物聯網的發展和普及，數據呈現爆炸式增長，個人和企業追求更高的計算性能，軟、硬件維護費用日益增加，使得個人和企業的設備已無法滿足需求。因此云計算、網格計算、普適計算、云計算等應運而生。雖然這些新型計算模式解決了個人和企業的設備需求，但同時也使他們承擔著對數據失去直接控制的危險。因此，針對數據處理中的外包數據的安全隱私保護技術顯得尤為重要了。由于傳統的加密算法在對密文的計算、檢索方面表現的差強人意，故需要研究可在密文狀態下進行檢索和運算的加密算法就顯得十分必要了。物聯網的安全需求物聯網應用安全物聯網的應用領域非常廣泛，滲透到了現實生活中的各行各業，由于物聯網本