互聯網的全球權威組織——國際電信聯盟(ITU),發表了題為《The Internet of Things(物聯網)》的年度報告,向世界宣告物聯網的發展是不可阻擋的世界潮流。經過近幾年的發展,物聯網技術日漸成熟,影響日益擴大。我國高度重視物聯網的發展,并計劃給予大力扶持。然而,我們注意到物聯網技術的推廣和應用是一把雙刃劍,它在推動國民經濟和社會發展的同時,又將帶來很多新問題,尤為突出的是,物聯網的發展對信息安全保密工作提出了全新的嚴峻挑戰。我們只有而且必須高度重視這一新問題,以慎之又慎的態度及早研究并部署應對措施,才能在物聯網時代切實保護國家和人民的信息安全。
一、物聯網發展概況
物聯網(IOT,Internet of Things)是在“互聯網”概念的基礎上,將其用戶端延伸和擴展到物品。物聯網是互聯網未來不可逆的發展方向,國家高度重視。工業和信息化部部長李毅中在《科技日報》上發表署名文章,表示應深入推進物聯網的研發應用,并將其上升到“戰略性新興產業”高度。隨后,全國信息技術標準化技術委員會專門組建了傳感器網絡標準工作組,正式推動物聯網相關產業發展。目前,我國正全力支持兩個與物聯網相關的重大項目的研發,一個是國家重大專項之一的無線專項研發,另一個是CNGI(中國下一代互聯網(China'sNextGenerationInternet))的建設。
發展物聯網并不是時髦的理念吹捧,而是社會發展的實際需求,通過物聯網應用,人類社會將實現方便管理和精確管理,極大地提高管理的效率和準確率,因此,物聯網的應用是不可阻擋的世界潮流。物聯網用途廣泛,遍及智能交通、環境保護、政府工作、公共安全管理、平安家居、智能消防、工業監測、溯源管理、老人護理、個人健康等領域,在人類生產、生活的方方面面幾乎都能應用。據專家預測,物聯網全面應用后其業務量將達到目前人與人之間通信量30倍的龐大規模,將發展成為一個超大規模的新興市場。
二、信息安全保密問題分析
1
?信息安全保密面臨的嚴峻形勢
隨著信息網絡的迅猛發展,信息安全保密的重要性日益顯現,近年來,國內外信息安全保密相關事件頻發。在如此嚴峻的形勢下,物聯網的推廣和應用,無疑是讓原本脆弱的網絡信息安全保密問題雪上加霜。隨著物聯網的發展,信息保密將告別傳統的病毒感染、黑客入侵、信息泄漏等問題,跨入一個更加復雜多元、綜合交互的未知領域。假定物聯網規模是互聯網的30倍的話,那么,其信息安全保密問題帶來的負面影響可能遠大于目前互聯網負面影響的30倍。因此,如果物聯網不能保障信息的安全和保密,其結果將不堪設想。
2
物聯網帶來的新問題
網絡信息安全保密問題包括了信息的完整性、隱私性和可信度,隨著物聯網的發展,信息安全保密將遇到全新的問題和挑戰。
1無處不在的網絡帶來更多的信息安全保密隱患。
物聯網的“泛在網絡”包含兩層含義,一是該網絡在空間上無處不在;二是該網絡涉及社會的方方面面,在人們的生活工作中無處不在。在物聯網中,每個人甚至每件物品都將隨時隨地連接在這個網絡上,隨時隨地被感知。由于物聯網在很多場合都需要無線傳輸,這種暴露在公開場所之中的信號很容易被竊取,也更容易被干擾,這直接影響了整個物聯網體系的信息安全,將給信息安全保密帶來極大的隱患。
2全新的計算模式造成更多的信息安全保密隱憂。
物聯網的“云計算”,是指在物聯網中并沒有集中和固定的計算載體,所有的信息處理和計算,都融入和分配到網絡的服務器、傳感器和物品的智能標簽之中,形成所謂云計算的網格式計算模式。這種計算模式的分散性和不確定性,使存儲數據安全、黑客攻擊損失、以及保護隱私的法律風險等問題更加凸顯,帶來了更多信息安全保密的隱憂。
3復雜的網絡結構產生更多的信息安全保密漏洞。
首先,物聯網將通過有線長、短距離和無線長、短距離等各類型的網路,使各種結構的網絡相互連接,組成異構、多級、分布式的網絡。其次,物聯網接入設備性能不一,存儲和處理能力各不相同。所以,如此復雜的網絡結構,將使安全保密信息的傳遞和處理難以統一,導致統一的安全保密體系難以實現,產生更多的安全保密漏洞,使信息安全保密工作難度大增。
4龐大的網絡規模引發全新的信息安全保密問題。
假定物聯網的規模是互聯網的30倍,那么首先一個問題是現有的信息基礎網絡能否支撐物聯網龐大的數據業務量,如何避免出現海量數據的網絡擁塞及可能伴隨的數據丟失泄漏現象。其次,如何才能在保證一個智能物件能被數量龐大的,甚至是未知的其他設備識別和接受的同時,又保證其信息傳遞的完整性、隱私性和可信度。
5網絡結構和通信對象的變化導致全新的信息安全保密難題。
第一,在互聯網應用中網絡層和業務層相對獨立,而物聯網是在現有網絡基礎上集成了感知網絡和應用平臺,網絡結構的變化將帶來全新的安全保密問題。
第二,由于物聯網連接和處理的對象主要是機器(物)及其相關數據,其“所有權”特性導致物聯網信息安全保密要求比以處理“文本信息”為主的互聯網更高。
第三,由于物聯網眾多的接入設備很可能無人值守、丟失、處于運動狀態,或連接可能時斷時續,這導致了接入設備可信度差,可能出現偽造末端冒充替換侵入系統而且導致真正的末端無法使用的情況。
以上這三方面都將帶來物聯網節點的本地安全問題、網絡的傳輸與業務安全問題等全新的信息安全保密難題。
三、關于應對措施的思考
如何采取有效措施,避免系統崩潰、病毒攻擊和惡意破壞,防止個人信息、業務信息和財產丟失或被盜用,確保物聯網信息的完整性、隱私性和可信度,本文認為可以從如下幾個方面考慮:
1
借鑒互聯網的經驗教訓,重視信息認證
物聯網的發展應當借鑒互聯網發展過程中的經驗和教訓,避免重蹈互聯網在信息安全保密方面不足的覆轍。回顧互聯網的發展,我們看到互聯網在多數情況下只傳輸信息,不認證信息,在信息傳輸的同時,也成為病毒、黑客等惡意信息作案的工具,給信息安全保密帶來了很多問題。因此,物聯網不能僅僅感知、傳輸信息,必須對感知和傳輸的信息進行認證,阻止惡意信息的傳輸,確保信息的真實,保障物聯網的誠信有序,保護信息源及信息使用者的權益。
2
依靠自主創新解決信息安全保密問題
首先,如果重要的信息系統都采用國外的信息技術、裝備,那么對國家安全將構成諸多潛在的威脅。一旦這些信息被國外敵對勢力利用,對我國進行惡意攻擊,后果不堪設想。其次,“云計算”技術發展將導致全球的信息資源、服務和應用不可避免地向國際信息產業巨頭集中,如果大量的信息聚合后被加以分析、利用,國家信息安全將受到嚴峻挑戰。因此,國家信息安全保密工作必須建立在自主、可信、可控和產業化的基礎上。我國必須依靠自主創新,推進重要信息系統裝備、技術國產化進程,構建完整的信息安全保密體系來提高自主防范能力。這需要從國家層面出臺一系列的措施:一是制訂物聯網發展整體規劃,盡快制定相關的國家標準,并積極參與國際標準的制定,整合國內研究力量形成合力,推動國內自主創新,并努力將研究成果推向國際。二是加大力度支持關乎國家信息安全保密的信息技術、產品的研發和產業化建設,設立信息安全保密技術研發、產業化的重大項目,增加對信息安全保密關鍵技術研究的資金投入,突破關鍵核心技術,形成自主知識產權的信息安全保密技術和產品,加強信息安全保密解決方案的研發和公共服務平臺建設。三是制定優惠政策,引導和扶持具有自主知識產權的信息安全保密市場和企業發展壯大,培育具有國際競爭力的信息安全保密高科技企業。四是從國家戰略高度培養信息安全保密人才,加強與國外的經驗技術交流,及時掌握國際上最先進的安全保密防范手段和技術措施。
3
集中力量突破重點技術問題
1研發安全可靠的新一代認證技術。
傳統的認證技術多采用密碼(密鑰加密)認證。密碼認證技術是雙方認證技術,這種“對口令”技術從古至今沿用數千年,在互聯網中應用時為了提高安全系數,經常在傳輸、存儲等環節重復加密,但這樣的措施首先是占用了大量的網絡資源,再者是隨著計算機和網絡技術的發展,安全性急劇下降,因此才出現了諸如信用卡信息被盜用、美國國防部信息系統被入侵等信息安全事件。可見,發展物聯網必須著重研發新一代認證技術,如合址認證技術等,通過認證終端空間地址等難以造假的信息,使信息安全保密的保障措施得到質的提升。
2不斷優化網絡運行機制。
對于網絡加密機制和認證機制,在傳統互聯網中,網絡層和業務層是兩個獨立的層面。而在物聯網中,由于網絡連接和業務使用緊密結合,而且不同業務對安全級別的要求不同,因此,網絡層和業務層的機制在一定程度上可以實現整合,加密機制和認證機制可根據業務的提供方和業務的安全敏感程度進行靈活調整,這樣的特性為網絡優化研究提供了空間。利用物聯網這樣的網絡特性,通過網絡優化研究,理順網絡運行機制,將為信息安全保密工作提供必要的機制基礎。
3研發群組認證技術。
隨著物聯網的發展,網絡接入設備的數量越來越龐大,因此必須研究用群組概念解決群組認證的問題,研發相關的群組認證技術,并在技術中重點考慮信息安全保密問題。這將為信息安全保密防控提供有利的條件,對物聯網的持續健康發展至關重要。
4
加快相關法律法規體系的制定與完善
借鑒國外的發展經驗,我國應盡早研究物聯網技術在推廣應用和物聯網產業在發展過程中可能出現的新問題、新情況,制定規范物聯網發展的有關法律法規,通過各種有效手段規范物聯網技術的合法應用,調節物聯網技術引發的各種新型社會關系、社會矛盾,為我國物聯網產業的健康發展尤其是信息的安全保密提供有效的法律法規保障,使我國的物聯網真正發展成為一個開放、安全、可信任的網絡。
綜上所述,物聯網的發展是不可阻擋的世界潮流,它對國民經濟和社會發展產生極大推動作用的同時,又將帶來不可避免的信息安全保密新挑戰。而在現代信息社會中,誰掌握了信息,控制了網絡,誰就擁有整個世界。在物聯網技術高速發展的當下,信息安全保密已成為牽一發而動全身的全局性問題。我們只有而且必須高度重視這一新問題,以慎之又慎的態度盡早思考并部署應對措施,提高信息安全保密的防范能力,筑起銅墻鐵壁,才能切實保護國家和人民的信息安全。
