前言：尋找寫作靈感？中文期刊網用心挑選的物聯網智能端安全對國家安全威脅對策，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要:由于防護體系尚不完備、攻防實力對比嚴重失衡、短板效應作用明顯等因素，物聯網智能終端安全問題日益突出，且對國家安全產生重要影響。一是個人生物信息恐被竊取利用，二是社會生產生活恐受嚴密監視，三是國家基礎設施恐遭跨網襲擊，四是虛擬網絡攻擊恐變物理殺傷。為此提出加強安全技術研發、建立安全認證制度、規范安全使用管理、完善安全法規體系等對策建議，以應對物聯網智能終端安全威脅挑戰。

關鍵詞:物聯網；智能終端；國家安全；網絡安全

近年來，隨著移動通信網絡、云計算、人工智能等信息技術的快速發展，面向智能穿戴、智能家居、智能交通、智能辦公等應用場景的物聯網智能終端也迅速發展起來，廣泛進入社會生產生活之中。據中國經濟信息社的《2019—2020年中國物聯網發展年度報告》顯示，中國移動物聯網連接數已突破12億，物聯網終端設備連接量占全球比重超過60%，已經成為物聯網第一大國［1］。然而，與計算機和智能手機等傳統終端不同，物聯網智能終端種類繁雜、安全防護性弱，普遍存在安全漏洞，已經成為網絡安全領域的重災區，不僅對企業和個人的隱私、財產甚至人身安全構成嚴重威脅，而且對國家安全也構成了嚴峻挑戰。分析物聯網智能終端安全問題的現狀及根源，研判物聯網智能終端安全對國家安全威脅影響，形成強化物聯網領域國家安全的思路辦法，是貫徹落實總書記總體國家安全觀的內在要求，對有效維護國家安全和社會穩定具有重要的理論價值和實踐意義。

一、物聯網智能終端安全問題發展現狀

(一)物聯網智能終端安全事件多發頻發

在物聯網行業快速發展的背景下，物聯網安全事件頻發，據Gartner調查，近20%的企業或相關機構在過去三年內遭受了至少一次基于物聯網的攻擊［2］。2019年4月，安全研究者披露了可能是迄今最為嚴重的物聯網攝像頭安全漏洞，受影響監控攝像頭數量超過200萬個，來自包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、Sricam、和HVCAM等多個攝像頭廠商，該漏洞可能使黑客能夠訪問監視攝像機，監視和操縱視頻源或植入惡意軟件［3］。2020年6月16日，以色列網絡安全公司JSOF公開了19個嚴重影響TreckTCP/IP協議棧的0day漏洞(又名“Ripple20”)，全球數億臺物聯網終端設備，小到家用打印機、攝像頭，大到工業控制系統和樓宇自動化設備，都面臨被入侵的風險。這一漏洞涉及醫療、航空、運輸、家用設備、企業、能源、電信、零售等行業，眾多世界500強的公司，如惠普，施耐德電氣，英特爾等，都深受其害［4］。2020年12月，美國FBI公告稱，一些不法分子正在劫持安全性較弱的智能設備，包括具有視頻和音頻功能的家庭監控設備，進行swatting攻擊［5］。

(二)物聯網智能終端安全成為研究熱點

早在2014年9月，工信部電信研究院《2014年物聯網白皮書》，預見性地指出，物聯網安全將成為未來熱點［6］。2017年12月26日，中國首部《物聯網智能終端信息安全白皮書》正式，至今已連續4年。中國學術界對物聯網智能終端安全的研究熱度也在持續升高，截至2021年3月18日，在中國期刊網以“物聯網+終端+安全”收索篇關摘(篇名、關鍵詞、摘要)，共獲論文2752篇，年度分布總體呈逐年上升態勢(如圖1所示)，其主題包括智能家居、監控系統、車聯網、傳感器、隱私保護、安全管控等。隨著物聯網快速發展，其安全問題也引起了相關管理部門的高度重視。2019年7月，全國信息安全標準化技術委員會正式《物聯網安全參考模型及通用要求》《物聯網感知終端應用安全技術要求》《物聯網感知層網關安全技術要求》《物聯網數據傳輸安全技術要求》《物聯網感知層接入通信網的安全要求》等5項國家標準。2021年1月，工信部就《物聯網基礎安全標準體系建設指南》(征求意見稿)公開征求意見，提出到2022年初步建立物聯網基礎安全標準體系，到2025年推進形成完善的物聯網基礎安全標準體系［7］。

(三)各國高度重視物聯網智能終端安全

萬物互聯時代的智能終端安全威脅，已經從單一的信息安全擴展到民生安全、經濟安全、城市安全、社會安全乃至國家安全［8］。2016年10月，美國域名解析服務商“動態網絡服務公司”的物聯網設備被“未來”惡意軟件攻擊，導致美國主要公共服務、社交平臺、民眾網絡服務癱瘓。為此，美國國土安全部緊急于2016年11月15日了《保障物聯網安全戰略原則(1.0版)》，其部長杰伊•約翰遜表示，“保障物聯網安全已演變為國土安全問題”［9］。2018年10月，英國政府針對物聯網設備制造商了一項新的自愿行為準則，旨在確保智能家居設備、智能攝像頭、可穿戴設備和聯網玩具等物聯網終端設備免受外部攻擊和數據泄露［10］。2020年9月3日，澳大利亞政府《實踐準則:為消費者保護物聯網》，提出“實施漏洞披露策略”“確保實施個人數據保護”“確保通信安全”等13項基礎原則［11］。2020年9月14日，美國眾議院通過了《2020年物聯網網絡安全改進法案》，明確終端設備安全性是對國家安全的新興挑戰，要求將終端設備引入美國聯邦政府使用前必須解決網絡安全問題［12］。2020年11月，歐盟網絡安全局了《物聯網安全準則》，涵蓋了整個物聯網供應鏈，包括硬件、軟件和服務的整個物聯網生命周期，為構建、部署和評估物聯網技術提供安全指南［13］。

二、物聯網智能終端安全問題主要根源

(一)防護體系尚未形成

在系統層面，傳統的互聯網安全防護體系是建立在Linux和Windows兩類系統之上的，而由于物聯網終端設備往往追求小型化、輕量化甚至迷你化，導致其電源、性能及相關硬件資源極為有限，只能采用UClinux、Freertos、Openwrt等嵌入式操作系統［14］，有的甚至是非標準的定制系統，致使傳統網絡終端安全方案無法與其適配;在協議層面，目前物聯網普遍使用ZigBee、NB—IOT、4\5G等通信協議［15］，這些協議在互聯網上很少使用，傳統網絡安全策略也難對其有效覆蓋;在應用層面，物聯網智能終端的應用程序不僅要與云端通信，甚至要與其他設備直接進行數據交換，整個應用鏈路需要多重安全管理，如設備身份認證、硬件加解密、OTA升級等，環節越多風險越大;在數據層面，物聯網智能終端應用場景會產生大量數據，比如生物信息數據、用戶行為數據、運動軌跡數據、地理環境數據等等，這些數據的產生、存儲、傳輸、處理、應用等過程涉及用戶、設備和云端資源的復雜交互，建立完整有效的防護策略和安全架構，防止數據被惡意盜采、泄露、篡改、銷毀，是對物聯網智能終端安全的重要挑戰。

(二)攻防實力對比失衡

首先，由于物聯網智能終端設備種類繁雜，更新速度快，缺乏完整的共用安全體系，尤其是對新型產品而言，其安全防護開發需要企業獨立承擔，這對于初創期的中小企業而言是一項巨大的附加成本。據國家信息安全漏洞共享平臺(CNVD)公布的數據顯示，所有物聯網終端中，80%的設備存在隱私泄露或濫用風險，80%的設備使用弱密碼，70%的設備的網絡通訊沒有加密，60%設備的web界面存在漏洞，60%設備的軟件更新未做加密［16］。其次，大部分物聯網智能終端設備源于對傳統電子電器設備的智能化改造，例如智能電視、智能冰箱、智能照明等，相關企業往往重點關注“物聯網+”對其產品的賦能作用，但卻忽視了隨之而來網絡安全問題，或者說在安全觀念和技術能力上無法滿足安全防護要求。例如，根據網絡安全公司PaloAltoNetworks研究顯示，醫院中83%互聯網醫學成像設備運行在過時的軟件上，即使這些軟件包含黑客可以利用的已知漏洞，也無法更新［17］。最后，反觀網絡進攻一方，全球的網絡黑客已經將目光聚焦到數以億計的近乎于“裸奔”的物聯網智能終端設備上，通過入侵這些網絡終端設備竊取數據、傳播病毒、發起網絡攻擊等。根據NETSCOUT在2018年下半年的威脅情報報告顯示，物聯網設備一旦連接到互聯網就會受到攻擊所需的平均時間僅為五分鐘［18］。

(三)短板效應防不勝防

物聯網是傳統互聯網的一種延伸和拓展。然而，以計算機為主要終端的互聯網，其網絡行為主體主要是人，計算機只是人的行為工具;而物聯網中的行為主體則主要是各種智能設備，這些設備普遍具有自主能力，可以通過物聯網自主進行設備間的信息交互和操作控制。類型多樣、規模巨大的網絡終端鏈接成一個龐大的、動態的、復雜的物聯網系統，任一接入這一系統的智能終端都會對整個物聯網以及互聯網產生安全影響，任何微小的節點都有可能成為發動網絡攻擊的起點，終端設備的“技術最短板”決定了整個物聯網的“安全水位”。例如，2017年北美一家賭場遭受一起網絡攻擊，黑客利用該賭場的一個連接互聯網的智能魚缸，入侵到賭場內部網絡，找到了網絡中的其他漏洞，從而對系統進行攻擊，并利用魚缸把賭場數據傳回位于芬蘭的一臺設備［19］。當前，許多物聯網智能終端設備制造企業尚在消費級物聯網部署的初期，都會將安全性作為低優先級的考慮因素，很難付出額外的精力投入在安全能力研發上，更不會考慮具體產品如何與整個安全系統對接，致使安全漏洞頻出，嚴重拉低了整個網絡的安全水平。

三、物聯網智能終端安全對國家安全威脅影響

(一)個人生物信息恐被竊取利用

目前，大多數物聯網智能終端設備都使用了生物身份識別技術進行用戶登錄和設備管理。與傳統口令密碼不同，指紋、聲紋、人臉、虹膜等生物信息具有唯一性，且不可更改，一旦被竊取，其后果不可逆轉。2019年，在一個名為“Genesis”的網絡犯罪市場上，有6萬多組全數字指紋被公開銷售［20］;2021年2月26日，公安部信息稱，2020年全國破獲竊取和販賣人臉數據案件22起，抓獲犯罪嫌疑人60名［21］。個人生物信息一旦出現大規模失泄，犯罪分子和敵對勢力便可利用其接管相關設備和網絡，不僅個人人身財產安全受到威脅，更關鍵的是，金融、電信、能源、交通、醫療等所有涉及網絡和終端設備的領域都將面臨巨大安全挑戰，并由此可能引發社會恐慌。

(二)社會生產生活恐受嚴密監視

物聯網智能終端數據采集能力非常強，小到智能手表、智能眼鏡、智能話筒，大到智能汽車、無人機，都配置有圖像、聲音、位置等信息采集功能。這些智能終端及其數據一旦失管失控，它們將成為敵對勢力的“千里眼”和“順風耳”，我生產生活將遭受嚴密監視。2019年7月，安全研究人員發現，亞馬遜、谷歌和蘋果的智能音箱存在嚴重的隱私侵犯問題，一份安全報告甚至披露亞馬遜雇傭了數千名審計員來收聽智能音箱Echo用戶的語音記錄［22］;2019年12月，浙江溫州警方破獲了一起非法控制家用攝像頭案，數十萬只家用攝像頭遭破解，用戶隱私慘遭泄露［23］;當前，眾多新型汽車安裝有GPS、攝像頭、雷達等傳感器，在行駛過程中實時采集道路以及周邊的環境信息，據不完全統計，特斯拉汽車自動行駛一天，將有3.9G數據上傳至海外服務器［24］。顯然，物聯網智能終端的廣泛使用已經對國家安全保密工作產生嚴重沖擊。

(三)國家基礎設施恐遭跨網襲擊

關系國計民生和公共安全的國家基礎設施歷來是敵對勢力攻擊的重點。2019年3月，委內瑞拉遭受網絡攻擊，包括首都在內的18個州電力中斷，持續超過24小時，導致地鐵無法運行和大規模交通擁堵，機場、醫院、移動網絡等基礎設施均受到極大影響［25］。2019年4月26日，黑客襲擊了色列國家供水系統，致使數百臺機器同時崩潰，并企圖將水氯含量提升到危險水平［26］。當前，我國金融、電力、水利、鐵路、航空等基礎設施的運行、管理和控制已經實現信息化和網絡化。隨著智能化的發展，這些領域越來越多地開始使用一些新型物聯網智能設備，也越來越多地出現個人物聯網智能終端被帶入工作場所甚至接入工作網絡的情況。這些安全性較低的智能終端，無疑是網絡防護“大堤”上的“蟻穴”，成為敵對勢力對我核心網絡和關鍵系統進行入侵攻擊的通道和跳板，對國家安全構成重大威脅。

(四)虛擬網絡攻擊恐變物理殺傷

連接互聯網的物聯網智能終端在成為網絡空間新門戶的同時，也成為了通過虛擬世界操控物理世界的新媒介。2020年7月，騰訊研究報告稱，黑客可遠程控制設備充電行為，造成元器件燒毀甚至爆炸等嚴重后果，影響全球數億臺相關終端設備安全［27］;2020年9月，以色列推出新型反無人機系統，可以入侵目標無人機控制網絡，“接管”其飛行活動和攻擊行為［28］;2020年10月，研究人員成功演示通過入侵廣告牌來誤導特斯拉自動駕駛汽車發生碰撞［29］。從智能醫療器械、智能交通工具到智能制造裝備、智能工業機器人，物聯網智能終端作為物理實體，普遍具備威脅人身安全、破壞生產生活的潛在能力。物聯網智能終端設備一旦成為敵人對我實施遠程攻擊的武器，并從體系內部對我核心部位進行物理打擊，其對國家安全的影響將極其嚴重。

四、維護物聯網智能終端安全的思路舉措

(一)加強物聯網智能終端安全技術研發

強化計算、存儲等通用芯片自主可控，尤其要提升安全芯片、通信射頻芯片和身份識別芯片等核心安全部件的國產化水平，確保底層硬件安全;發展物聯網智能終端操作系統安全驗證、分級控制和漏洞檢測技術，加緊傳感器訪問控制、外圍接口管理、移動通信加密等技術研發，確保應用層軟件安全;加強物聯網智能終端數據防護，創新本地用戶數據訪問管理技術，強化云端用戶數據安全與隱私保護，確保信息層數據安全。

(二)建立物聯網智能終端安全認證制度

針對不同智能終端類型的安全風險特點，按行業分領域細化安全能力要求和安全檢測標準;設立智能終端安全認證權威機構，負責相關產品的安全測試、鑒定和認證管理;實施安全風險一票否決制度，對未獲安全認證許可的智能終端設備一律禁止銷售、使用;推動安全認證由終端產品向供應鏈上游發展，系統防范安全風險鏈條;建立認證標準、檢測手段、等級管理、產品清單等動態發展機制，不斷完善安全認證體系。

(三)規范物聯網智能終端安全使用管理

嚴格規定黨政軍核心涉密人員、院校企業科技研發人員、重要基礎設施運行維護人員等使用智能終端保密要求;對政府機關、軍事單位、涉密企業、科研機構等采購、使用智能終端設備施行安全等級管理和備案審查;完善重大活動安全保密制度，加強對活動現場音視頻設備的安全檢查，嚴禁人員佩戴智能手表、智能眼鏡、智能耳機等設備參加涉密活動;建立涉密單位智能設備全生命周期安全管理制度，定期進行安全檢查和升級維護。

(四)完善物聯網智能終端安全法規體系

抓緊制定《智能終端安全管理條例》，加大對利用物聯網智能終端實施違法犯罪和威脅國家安全行為的懲處力度，明確設備生產企業和銷售商對維護智能終端安全的法律義務，規范智能終端管理部門和使用單位的安全管理職責。在國家安全法、網絡安全法、保密法等法律法規中增加物聯網智能終端安全相關條款，對違規使用智能終端致使國家安全利益遭受重大損失的行為，可按危害國家安全罪或危害公共安全罪論處。總書記多次強調，沒有網絡安全就沒有國家安全，網絡安全和信息化對一個國家很多領域都是牽一發而動全身的［30］。隨著移動通信、人工智能等信息技術的持續進步，人類在智能化發展的道路上將不斷前進。物聯網智能終端作為智能化應用的重要載體，必將得到快速充分的發展。然而，作為互聯網的應用和延伸，物聯網及其終端設備的安全性對互聯網安全構成直接影響，對國家通訊、電力、交通、軍事網絡、金融系統以及核電站等關系國計民生的重要部門和行業構成嚴重威脅。見微知著，未雨綢繆。要站在維護國家安全的戰略高度，運用技術、管理、法律、制度等多種手段，強化智能終端安全管控，提升物聯網安全水平，筑牢國家網絡安全防線，為國家智能化建設發展奠定堅實的安全基石。

作者：趙陽 單位：國防科技大學國防科技戰略研究智庫