物聯網用戶信息安全素養研究

趙 潔

（江蘇第二師范學院 數學與信息技術學院，江蘇 南京 210013）

0 引 言

物聯網作為全球戰略新興產業受到各國的高度重視，在工業控制、農業生產、智能家居、物流、安防，甚至教育、養老等領域持續快速增長。物聯網已與社會民生、政治經濟緊密相連，一旦出現安全問題，可能危及人身、公共和國家安全。在大力推進物聯網技術創新的同時，應該重視培養和提升物聯網用戶的信息安全素養。

1 物聯網的安全形勢

GSMA（全球移動通信系統協會）預測[1]，2025年全球物聯網設備將超過250億個。人們在工作生活中將使用更多的物聯網設備，而物聯網用戶的安全意識普遍較弱，固件、補丁等基礎安全能力匱乏，一旦出現有效的惡意控制方式，影響將迅速擴散，再加上設備數量龐大，其作為網絡武器的威力不可小覷。

2016年10月，一場超大規模的DDoS攻擊導致美國長達5 h的大面積斷網，此次攻擊恰是利用了約150萬臺網絡攝像頭組建的“僵尸網絡”[2]。2017年11月，某品牌智能家居被爆出嚴重的安全漏洞，攻擊者能遠程劫持該品牌掃地機器人，將設備的內置攝像頭變成網絡監視器[3]。2020年7月初，以色列網絡安全公司JSOF的研究人員在Treck，Inc.開發的TCP/IP軟件庫中發現了19個0day漏洞。該漏洞在整個供應鏈行業中產生連鎖反應，可導致高達數億的IoT設備受到拒絕服務和遠程命令執行等攻擊的影響[4]?？ò退够鶎嶒炇业陌踩块T發現，單是2019年上半年就檢測到超過1億起對物聯網終端的攻擊[5]。物聯網的安全問題已成為阻礙物聯網發展的一大重要因素。

2 物聯網的安全特性

與傳統網絡不同，物聯網不是簡單的互聯網的延伸，其信息交換擴展到了任何物體與物體之間，它涵蓋了互聯網、移動通信網、車聯網、智能家居網、工業控制網等。體系結構上，物聯網的感知層是互聯網不具備的，它通過感知自動采集數據。感知節點分散、數量龐大，一般屬無人值守作業，安全性和數據完整性都易遭到破壞。

互聯網終端一般是計算機或智能手機，其操作系統主流品種相對集中，而物聯網環境中硬件種類繁雜，嵌入式操作系統多種多樣，增加了維護管理的難度和安全復雜度；互聯網主要進行人與人之間的信息傳遞與溝通，一般允許系統重啟進行恢復，信息延遲并不對溝通帶來太大影響；而物聯網網絡傳輸多數有較高的實時性要求，在能源控制、遠程醫療、智能安防等領域一旦發生時延，其可靠性將受到嚴重威脅。

從網絡形態來說，互聯網的終端大多處于受保護的環境中，而物聯網終端的傳輸網絡大多處于未受保護的環境之中；互聯網TCP/IP通信協議是國際規范，而物聯網尚未形成統一的國際標準和行業規范。

物聯網設備的多樣性與軟件的脆弱性、感知節點的分散性、數據采集的規模性、網絡形態的多樣性都面臨著前所未有的安全挑戰。

3 物聯網信息安全素養研究的意義

層出不窮的安全事件已經證明，系統最大的安全漏洞往往不是系統本身，而是人。如果人不具備相應的信息安全素養，再先進的系統也不堪一擊。物聯網雖然是物物相連，但人的參與和管控將決定著整個體系的良性運作。物聯網的安全問題不僅僅是技術問題，很多因素難以通過技術手段實現。只有通過用戶教育，進行科學嚴謹的管理，讓用戶意識到物聯網各環節信息安全的重要性、具備一定的物聯網安全技能，才能正確使用好物聯網，減少被利用和被泄密的幾率，使信息安全隱患降到最低。

在各國搶占物聯網研究高地的契機，聚焦物聯網重要環節的“人”的信息安全素養教育，不僅有利于鞏固物聯網的發展成果，更有利于構建完善的物聯網體系，是保障物聯網良性發展的“精神”和“靈魂”。

物聯網用戶信息安全素養的培養區別于傳統的互聯網時代。筆者在知網上檢索主題為“物聯網”加上“信息安全”的結果為2 322篇，與物聯網技術規范、行業標準、法律法規和發展應用的研究熱潮相比，物聯網中重要因素的參與者“人”的教育研究僅有8篇。檢索主題為“信息安全素養”的論文有148篇，加上“物聯網”后，檢索結果為0篇。因此，在物聯網環境下聚焦信息安全素養的研究具有一定的前瞻性和現實意義。

4 物聯網信息安全素養的提升策略研究

國內學者認為信息素養包括信息意識、信息知識、信息能力和信息道德四個方面[6]。客觀分析物聯網的特征、物聯網的安全需求，本著可操作性的原則，本文提出物聯網環境下提升信息安全素養的策略。在此，將物聯網的信息安全素養分為物聯網信息安全意識、物聯網信息安全知識、物聯網信息安全技能和物聯網信息安全道德4個部分。

4.1 物聯網信息安全意識

物聯網信息安全意識是具備物聯網信息安全素養的基本前提。物聯網時代，普通大眾的生產生活與物聯網緊密相連，人們隨身攜帶的手機、智能手環、門禁鑰匙，隨時使用的移動支付、定位導航、健康管理等，任何物品都可以通過射頻識別、傳感器、紅外感應器、全球定位系統、激光掃描器等信息采集設備，進行信息的交換和通信。這個過程必定會產生大量的關于誰、什么時間、在哪里、與誰、如何、進行了哪些交互的數據，這些數據包含了大量的系統管理信息和大量的個人隱私信息，如果處理不當，在數據交互時會遭到惡意收集、惡意利用，威脅到系統、設備甚至人身的安全。

7.牛腺病毒病。犢牛接種腺病毒后，10～14 d能產生中和抗體，中和抗體至少可以保持10周。當前還沒有很好的免疫預防方法。

人們對于物聯網使用環節中各安全要素的認識水平，決定了物聯網信息安全與人之間的風險關系。只有當人們意識到可能發生的危害、感知到其重要性，才有可能自覺履行維護物聯網安全的行為規范，主動關心物聯網信息安全的發展形勢，甚至能達到主動學習物聯網信息安全知識的目標。

物聯網信息安全意識的提升不能僅依賴于個人自發行為，物聯網用戶教育也不能僅依靠產品說明書進行單向告知。物聯網設備提供方往往強調的是設備的功能與效果，忽視或回避可能存在的安全隱患。建議制定相應的行業規范，提倡設備研發和推廣方充分測試和收集設備的安全問題，在技術手段無法解決時，重視必要的用戶提醒和培訓，將用戶安全意識提高到必要的水平。對于無法測試和預見的隱患，辦好“國家網絡安全宣傳周”這樣的活動，增加物聯網安全宣傳內容，擴大受眾面，對于增加物聯網用戶的安全意識有積極作用。

4.2 物聯網信息安全知識

物聯網信息安全知識是具備物聯網信息安全素養的基礎。用戶要了解基本的物聯網信息安全知識，了解各種網絡攻擊形式如病毒、木馬、拒絕服務攻擊的危害，了解數據竊聽、數據劫持、中間人攻擊、重放攻擊等常見的物聯網信息安全隱患，了解信息加密、隱私保護、身份認證、安全管理的意義，掌握基本的信息安全防護知識。

目前中小學和大學課程中，均有信息安全相關內容的設置。如《普通高中信息技術課程標準（2017年版）》中提到：學生要具備信息安全的基礎知識與基本技能，理解信息社會倫理道德和法律法規，成為合格的、具有信息素養的信息社會公民。在“信息系統與社會”模塊中設置了“信息安全與信息社會責任”的學習內容，時長為2課時[7]。以江蘇省普通高校人才培養目標中“大學計算機”課程為例，有兩節內容與培養信息安全相關，分別是“信息安全與網絡空間安全”和“網絡安全技術”，一般占用2課時。筆者認為此類內容課時偏少，還未能引起普遍的重視，應適當增加該環節的授課課時，通過安排講座和豐富有趣的活動，提高在校學生的物聯網信息安全知識水平。

各級單位的信息化水平不斷提高，物聯網的應用場景不斷增加，各級部門應該定期就物聯網信息安全形勢和本行業信息化特點進行主題培訓。一方面物聯網的發展變化非常迅速，另一方面新型的黑客攻擊也在不斷的變化形式，信息安全知識日新月異，物聯網用戶的知識儲備需要與時俱進。

4.3 物聯網信息安全技能

這是培養物聯網信息安全素養的目標。主要培養面對物聯網信息安全問題時的分析、判斷、防范和處理能力。了解正確配置、使用和管理物聯網軟、硬件的基本步驟，發現安全問題時的應急處理步驟等實際操作技能。

對于物聯網應用行業而言，須結合實際的應用場景進行定期的、專業的培訓和演練。技能包括能正確使用掃描工具發現系統或設備的漏洞，進行主動修復；能正確配置防火墻，進行內外網的隔離防御；能使用數據備份工具進行日常業務數據的備份，在遇到數據丟失時能夠及時還原。能根據業務需要，進行既嚴密又靈活的安全管理；在系統或設備被惡意侵占后，能夠及時發現問題并做出正確的處理等。

目前普遍存在的問題是，暫時還沒有專門針對物聯網的信息安全技能提升平臺。物聯網安全與傳統的網絡安全、系統安全、數據安全、隱私安全等有共通之處，但因為其感知層網絡節點的多樣性、低處理能力、無人值守等特點，節點本身可能被惡意控制、感知信息可能被非法獲取、節點與外部設備的互相識別和認證等問題均與傳統網絡存在差異。因此，專門的物聯網信息安全技能提升平臺將亟待有助于廣大物聯網用戶的信息安全素養提升。

4.4 物聯網信息安全道德

這是培養物聯網信息安全素養的方向。主要研究物聯網信息保護的法律法規，了解物聯網信息安全保護的責任和義務，從而形成物聯網行為的道德規范和普遍認同的倫理標準。物聯網用戶規模不斷擴大，每個人在享用技術便利的同時，都有義務維護物聯網生態平衡，以法律法規為道德和行為準繩進行自我約束和自我保護。

物聯網作為快速發展的新生事物，相關法律法規的健全明顯滯后于技術的創新。兒童智能玩具成為竊聽幫兇、物聯網智能手表泄露用戶隱私、智能門鎖被越權打開、惡意軟件攻擊大量的物聯網設備等，因為缺乏行業約束、沒有行之有效的制裁手段，惡意事件不斷出現。

近兩年各國不斷推進物聯網安全立法。日本在2019年初對《電氣通信事業法》進行修訂，要求2020年4月起物聯網終端設備必須具有防止非法登錄功能[8]。2020年初美國加州頒布《加利福尼亞州的物聯網安全法案》要求所有連接設備要保護用戶數據免遭非授權訪問[9]。2020年1月英國立法加強物聯網安全，要求制造商必須為每臺物聯網設備設置獨一無二的密碼，而非默認的出廠設置等[10]。

我國對于信息安全的重視在逐漸上升。2017年6月我國頒布實施《中華人民共和國網絡安全法》；2019年12月正式發布實施《信息安全技術網絡安全等級保護基本要求》《信息安全技術網絡安全等級保護測評要求》等國家標準；2020年7月《中華人民共和國數據安全法（草案）》公布，公開征求意見。而物聯網信息安全保護立法目前分布在多部法律法規中，沒有形成完整的法律體系。要通過法律手段營造物聯網健康發展的優質環境，推進“物聯網安全”立法，是未來物聯網發展的必經之路。

5 結 語

物聯網發展迅速，物聯網的安全問題成為制約物聯網全面發展不可回避的因素。與互聯網時代的安全相比，物聯網安全更具有大眾性，與所有人的日常生活密切相關。在加快推進物聯網技術創新的同時，不能忽視廣大物聯網用戶的認知教育和技能培養。物聯網用戶的信息安全素養是推進物聯網全面健康發展的重要因素。