物聯(lián)網(wǎng)用戶信息安全素養(yǎng)研究

趙 潔

（江蘇第二師范學(xué)院 數(shù)學(xué)與信息技術(shù)學(xué)院，江蘇 南京 210013）

0 引 言

物聯(lián)網(wǎng)作為全球戰(zhàn)略新興產(chǎn)業(yè)受到各國(guó)的高度重視，在工業(yè)控制、農(nóng)業(yè)生產(chǎn)、智能家居、物流、安防，甚至教育、養(yǎng)老等領(lǐng)域持續(xù)快速增長(zhǎng)。物聯(lián)網(wǎng)已與社會(huì)民生、政治經(jīng)濟(jì)緊密相連，一旦出現(xiàn)安全問題，可能危及人身、公共和國(guó)家安全。在大力推進(jìn)物聯(lián)網(wǎng)技術(shù)創(chuàng)新的同時(shí)，應(yīng)該重視培養(yǎng)和提升物聯(lián)網(wǎng)用戶的信息安全素養(yǎng)。

1 物聯(lián)網(wǎng)的安全形勢(shì)

GSMA（全球移動(dòng)通信系統(tǒng)協(xié)會(huì)）預(yù)測(cè)[1]，2025年全球物聯(lián)網(wǎng)設(shè)備將超過250億個(gè)。人們?cè)诠ぷ魃钪袑⑹褂酶嗟奈锫?lián)網(wǎng)設(shè)備，而物聯(lián)網(wǎng)用戶的安全意識(shí)普遍較弱，固件、補(bǔ)丁等基礎(chǔ)安全能力匱乏，一旦出現(xiàn)有效的惡意控制方式，影響將迅速擴(kuò)散，再加上設(shè)備數(shù)量龐大，其作為網(wǎng)絡(luò)武器的威力不可小覷。

2016年10月，一場(chǎng)超大規(guī)模的DDoS攻擊導(dǎo)致美國(guó)長(zhǎng)達(dá)5 h的大面積斷網(wǎng)，此次攻擊恰是利用了約150萬臺(tái)網(wǎng)絡(luò)攝像頭組建的“僵尸網(wǎng)絡(luò)”[2]。2017年11月，某品牌智能家居被爆出嚴(yán)重的安全漏洞，攻擊者能遠(yuǎn)程劫持該品牌掃地機(jī)器人，將設(shè)備的內(nèi)置攝像頭變成網(wǎng)絡(luò)監(jiān)視器[3]。2020年7月初，以色列網(wǎng)絡(luò)安全公司JSOF的研究人員在Treck，Inc.開發(fā)的TCP/IP軟件庫(kù)中發(fā)現(xiàn)了19個(gè)0day漏洞。該漏洞在整個(gè)供應(yīng)鏈行業(yè)中產(chǎn)生連鎖反應(yīng)，可導(dǎo)致高達(dá)數(shù)億的IoT設(shè)備受到拒絕服務(wù)和遠(yuǎn)程命令執(zhí)行等攻擊的影響[4]?？ò退够鶎?shí)驗(yàn)室的安全部門發(fā)現(xiàn)，單是2019年上半年就檢測(cè)到超過1億起對(duì)物聯(lián)網(wǎng)終端的攻擊[5]。物聯(lián)網(wǎng)的安全問題已成為阻礙物聯(lián)網(wǎng)發(fā)展的一大重要因素。

2 物聯(lián)網(wǎng)的安全特性

與傳統(tǒng)網(wǎng)絡(luò)不同，物聯(lián)網(wǎng)不是簡(jiǎn)單的互聯(lián)網(wǎng)的延伸，其信息交換擴(kuò)展到了任何物體與物體之間，它涵蓋了互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)、車聯(lián)網(wǎng)、智能家居網(wǎng)、工業(yè)控制網(wǎng)等。體系結(jié)構(gòu)上，物聯(lián)網(wǎng)的感知層是互聯(lián)網(wǎng)不具備的，它通過感知自動(dòng)采集數(shù)據(jù)。感知節(jié)點(diǎn)分散、數(shù)量龐大，一般屬無人值守作業(yè)，安全性和數(shù)據(jù)完整性都易遭到破壞。

互聯(lián)網(wǎng)終端一般是計(jì)算機(jī)或智能手機(jī)，其操作系統(tǒng)主流品種相對(duì)集中，而物聯(lián)網(wǎng)環(huán)境中硬件種類繁雜，嵌入式操作系統(tǒng)多種多樣，增加了維護(hù)管理的難度和安全復(fù)雜度；互聯(lián)網(wǎng)主要進(jìn)行人與人之間的信息傳遞與溝通，一般允許系統(tǒng)重啟進(jìn)行恢復(fù)，信息延遲并不對(duì)溝通帶來太大影響；而物聯(lián)網(wǎng)網(wǎng)絡(luò)傳輸多數(shù)有較高的實(shí)時(shí)性要求，在能源控制、遠(yuǎn)程醫(yī)療、智能安防等領(lǐng)域一旦發(fā)生時(shí)延，其可靠性將受到嚴(yán)重威脅。

從網(wǎng)絡(luò)形態(tài)來說，互聯(lián)網(wǎng)的終端大多處于受保護(hù)的環(huán)境中，而物聯(lián)網(wǎng)終端的傳輸網(wǎng)絡(luò)大多處于未受保護(hù)的環(huán)境之中；互聯(lián)網(wǎng)TCP/IP通信協(xié)議是國(guó)際規(guī)范，而物聯(lián)網(wǎng)尚未形成統(tǒng)一的國(guó)際標(biāo)準(zhǔn)和行業(yè)規(guī)范。

物聯(lián)網(wǎng)設(shè)備的多樣性與軟件的脆弱性、感知節(jié)點(diǎn)的分散性、數(shù)據(jù)采集的規(guī)模性、網(wǎng)絡(luò)形態(tài)的多樣性都面臨著前所未有的安全挑戰(zhàn)。

3 物聯(lián)網(wǎng)信息安全素養(yǎng)研究的意義

層出不窮的安全事件已經(jīng)證明，系統(tǒng)最大的安全漏洞往往不是系統(tǒng)本身，而是人。如果人不具備相應(yīng)的信息安全素養(yǎng)，再先進(jìn)的系統(tǒng)也不堪一擊。物聯(lián)網(wǎng)雖然是物物相連，但人的參與和管控將決定著整個(gè)體系的良性運(yùn)作。物聯(lián)網(wǎng)的安全問題不僅僅是技術(shù)問題，很多因素難以通過技術(shù)手段實(shí)現(xiàn)。只有通過用戶教育，進(jìn)行科學(xué)嚴(yán)謹(jǐn)?shù)墓芾恚層脩粢庾R(shí)到物聯(lián)網(wǎng)各環(huán)節(jié)信息安全的重要性、具備一定的物聯(lián)網(wǎng)安全技能，才能正確使用好物聯(lián)網(wǎng)，減少被利用和被泄密的幾率，使信息安全隱患降到最低。

在各國(guó)搶占物聯(lián)網(wǎng)研究高地的契機(jī)，聚焦物聯(lián)網(wǎng)重要環(huán)節(jié)的“人”的信息安全素養(yǎng)教育，不僅有利于鞏固物聯(lián)網(wǎng)的發(fā)展成果，更有利于構(gòu)建完善的物聯(lián)網(wǎng)體系，是保障物聯(lián)網(wǎng)良性發(fā)展的“精神”和“靈魂”。

物聯(lián)網(wǎng)用戶信息安全素養(yǎng)的培養(yǎng)區(qū)別于傳統(tǒng)的互聯(lián)網(wǎng)時(shí)代。筆者在知網(wǎng)上檢索主題為“物聯(lián)網(wǎng)”加上“信息安全”的結(jié)果為2 322篇，與物聯(lián)網(wǎng)技術(shù)規(guī)范、行業(yè)標(biāo)準(zhǔn)、法律法規(guī)和發(fā)展應(yīng)用的研究熱潮相比，物聯(lián)網(wǎng)中重要因素的參與者“人”的教育研究?jī)H有8篇。檢索主題為“信息安全素養(yǎng)”的論文有148篇，加上“物聯(lián)網(wǎng)”后，檢索結(jié)果為0篇。因此，在物聯(lián)網(wǎng)環(huán)境下聚焦信息安全素養(yǎng)的研究具有一定的前瞻性和現(xiàn)實(shí)意義。

4 物聯(lián)網(wǎng)信息安全素養(yǎng)的提升策略研究

國(guó)內(nèi)學(xué)者認(rèn)為信息素養(yǎng)包括信息意識(shí)、信息知識(shí)、信息能力和信息道德四個(gè)方面[6]?？陀^分析物聯(lián)網(wǎng)的特征、物聯(lián)網(wǎng)的安全需求，本著可操作性的原則，本文提出物聯(lián)網(wǎng)環(huán)境下提升信息安全素養(yǎng)的策略。在此，將物聯(lián)網(wǎng)的信息安全素養(yǎng)分為物聯(lián)網(wǎng)信息安全意識(shí)、物聯(lián)網(wǎng)信息安全知識(shí)、物聯(lián)網(wǎng)信息安全技能和物聯(lián)網(wǎng)信息安全道德4個(gè)部分。

4.1 物聯(lián)網(wǎng)信息安全意識(shí)

物聯(lián)網(wǎng)信息安全意識(shí)是具備物聯(lián)網(wǎng)信息安全素養(yǎng)的基本前提。物聯(lián)網(wǎng)時(shí)代，普通大眾的生產(chǎn)生活與物聯(lián)網(wǎng)緊密相連，人們隨身攜帶的手機(jī)、智能手環(huán)、門禁鑰匙，隨時(shí)使用的移動(dòng)支付、定位導(dǎo)航、健康管理等，任何物品都可以通過射頻識(shí)別、傳感器、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等信息采集設(shè)備，進(jìn)行信息的交換和通信。這個(gè)過程必定會(huì)產(chǎn)生大量的關(guān)于誰、什么時(shí)間、在哪里、與誰、如何、進(jìn)行了哪些交互的數(shù)據(jù)，這些數(shù)據(jù)包含了大量的系統(tǒng)管理信息和大量的個(gè)人隱私信息，如果處理不當(dāng)，在數(shù)據(jù)交互時(shí)會(huì)遭到惡意收集、惡意利用，威脅到系統(tǒng)、設(shè)備甚至人身的安全。

7.牛腺病毒病。犢牛接種腺病毒后，10～14 d能產(chǎn)生中和抗體，中和抗體至少可以保持10周。當(dāng)前還沒有很好的免疫預(yù)防方法。

人們對(duì)于物聯(lián)網(wǎng)使用環(huán)節(jié)中各安全要素的認(rèn)識(shí)水平，決定了物聯(lián)網(wǎng)信息安全與人之間的風(fēng)險(xiǎn)關(guān)系。只有當(dāng)人們意識(shí)到可能發(fā)生的危害、感知到其重要性，才有可能自覺履行維護(hù)物聯(lián)網(wǎng)安全的行為規(guī)范，主動(dòng)關(guān)心物聯(lián)網(wǎng)信息安全的發(fā)展形勢(shì)，甚至能達(dá)到主動(dòng)學(xué)習(xí)物聯(lián)網(wǎng)信息安全知識(shí)的目標(biāo)。

物聯(lián)網(wǎng)信息安全意識(shí)的提升不能僅依賴于個(gè)人自發(fā)行為，物聯(lián)網(wǎng)用戶教育也不能僅依靠產(chǎn)品說明書進(jìn)行單向告知。物聯(lián)網(wǎng)設(shè)備提供方往往強(qiáng)調(diào)的是設(shè)備的功能與效果，忽視或回避可能存在的安全隱患。建議制定相應(yīng)的行業(yè)規(guī)范，提倡設(shè)備研發(fā)和推廣方充分測(cè)試和收集設(shè)備的安全問題，在技術(shù)手段無法解決時(shí)，重視必要的用戶提醒和培訓(xùn)，將用戶安全意識(shí)提高到必要的水平。對(duì)于無法測(cè)試和預(yù)見的隱患，辦好“國(guó)家網(wǎng)絡(luò)安全宣傳周”這樣的活動(dòng)，增加物聯(lián)網(wǎng)安全宣傳內(nèi)容，擴(kuò)大受眾面，對(duì)于增加物聯(lián)網(wǎng)用戶的安全意識(shí)有積極作用。

4.2 物聯(lián)網(wǎng)信息安全知識(shí)

物聯(lián)網(wǎng)信息安全知識(shí)是具備物聯(lián)網(wǎng)信息安全素養(yǎng)的基礎(chǔ)。用戶要了解基本的物聯(lián)網(wǎng)信息安全知識(shí)，了解各種網(wǎng)絡(luò)攻擊形式如病毒、木馬、拒絕服務(wù)攻擊的危害，了解數(shù)據(jù)竊聽、數(shù)據(jù)劫持、中間人攻擊、重放攻擊等常見的物聯(lián)網(wǎng)信息安全隱患，了解信息加密、隱私保護(hù)、身份認(rèn)證、安全管理的意義，掌握基本的信息安全防護(hù)知識(shí)。

目前中小學(xué)和大學(xué)課程中，均有信息安全相關(guān)內(nèi)容的設(shè)置。如《普通高中信息技術(shù)課程標(biāo)準(zhǔn)（2017年版）》中提到：學(xué)生要具備信息安全的基礎(chǔ)知識(shí)與基本技能，理解信息社會(huì)倫理道德和法律法規(guī)，成為合格的、具有信息素養(yǎng)的信息社會(huì)公民。在“信息系統(tǒng)與社會(huì)”模塊中設(shè)置了“信息安全與信息社會(huì)責(zé)任”的學(xué)習(xí)內(nèi)容，時(shí)長(zhǎng)為2課時(shí)[7]。以江蘇省普通高校人才培養(yǎng)目標(biāo)中“大學(xué)計(jì)算機(jī)”課程為例，有兩節(jié)內(nèi)容與培養(yǎng)信息安全相關(guān)，分別是“信息安全與網(wǎng)絡(luò)空間安全”和“網(wǎng)絡(luò)安全技術(shù)”，一般占用2課時(shí)。筆者認(rèn)為此類內(nèi)容課時(shí)偏少，還未能引起普遍的重視，應(yīng)適當(dāng)增加該環(huán)節(jié)的授課課時(shí)，通過安排講座和豐富有趣的活動(dòng)，提高在校學(xué)生的物聯(lián)網(wǎng)信息安全知識(shí)水平。

各級(jí)單位的信息化水平不斷提高，物聯(lián)網(wǎng)的應(yīng)用場(chǎng)景不斷增加，各級(jí)部門應(yīng)該定期就物聯(lián)網(wǎng)信息安全形勢(shì)和本行業(yè)信息化特點(diǎn)進(jìn)行主題培訓(xùn)。一方面物聯(lián)網(wǎng)的發(fā)展變化非常迅速，另一方面新型的黑客攻擊也在不斷的變化形式，信息安全知識(shí)日新月異，物聯(lián)網(wǎng)用戶的知識(shí)儲(chǔ)備需要與時(shí)俱進(jìn)。

4.3 物聯(lián)網(wǎng)信息安全技能

這是培養(yǎng)物聯(lián)網(wǎng)信息安全素養(yǎng)的目標(biāo)。主要培養(yǎng)面對(duì)物聯(lián)網(wǎng)信息安全問題時(shí)的分析、判斷、防范和處理能力。了解正確配置、使用和管理物聯(lián)網(wǎng)軟、硬件的基本步驟，發(fā)現(xiàn)安全問題時(shí)的應(yīng)急處理步驟等實(shí)際操作技能。

對(duì)于物聯(lián)網(wǎng)應(yīng)用行業(yè)而言，須結(jié)合實(shí)際的應(yīng)用場(chǎng)景進(jìn)行定期的、專業(yè)的培訓(xùn)和演練。技能包括能正確使用掃描工具發(fā)現(xiàn)系統(tǒng)或設(shè)備的漏洞，進(jìn)行主動(dòng)修復(fù)；能正確配置防火墻，進(jìn)行內(nèi)外網(wǎng)的隔離防御；能使用數(shù)據(jù)備份工具進(jìn)行日常業(yè)務(wù)數(shù)據(jù)的備份，在遇到數(shù)據(jù)丟失時(shí)能夠及時(shí)還原。能根據(jù)業(yè)務(wù)需要，進(jìn)行既嚴(yán)密又靈活的安全管理；在系統(tǒng)或設(shè)備被惡意侵占后，能夠及時(shí)發(fā)現(xiàn)問題并做出正確的處理等。

目前普遍存在的問題是，暫時(shí)還沒有專門針對(duì)物聯(lián)網(wǎng)的信息安全技能提升平臺(tái)。物聯(lián)網(wǎng)安全與傳統(tǒng)的網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、隱私安全等有共通之處，但因?yàn)槠涓兄獙泳W(wǎng)絡(luò)節(jié)點(diǎn)的多樣性、低處理能力、無人值守等特點(diǎn)，節(jié)點(diǎn)本身可能被惡意控制、感知信息可能被非法獲取、節(jié)點(diǎn)與外部設(shè)備的互相識(shí)別和認(rèn)證等問題均與傳統(tǒng)網(wǎng)絡(luò)存在差異。因此，專門的物聯(lián)網(wǎng)信息安全技能提升平臺(tái)將亟待有助于廣大物聯(lián)網(wǎng)用戶的信息安全素養(yǎng)提升。

4.4 物聯(lián)網(wǎng)信息安全道德

這是培養(yǎng)物聯(lián)網(wǎng)信息安全素養(yǎng)的方向。主要研究物聯(lián)網(wǎng)信息保護(hù)的法律法規(guī)，了解物聯(lián)網(wǎng)信息安全保護(hù)的責(zé)任和義務(wù)，從而形成物聯(lián)網(wǎng)行為的道德規(guī)范和普遍認(rèn)同的倫理標(biāo)準(zhǔn)。物聯(lián)網(wǎng)用戶規(guī)模不斷擴(kuò)大，每個(gè)人在享用技術(shù)便利的同時(shí)，都有義務(wù)維護(hù)物聯(lián)網(wǎng)生態(tài)平衡，以法律法規(guī)為道德和行為準(zhǔn)繩進(jìn)行自我約束和自我保護(hù)。

物聯(lián)網(wǎng)作為快速發(fā)展的新生事物，相關(guān)法律法規(guī)的健全明顯滯后于技術(shù)的創(chuàng)新。兒童智能玩具成為竊聽?zhēng)蛢?、物?lián)網(wǎng)智能手表泄露用戶隱私、智能門鎖被越權(quán)打開、惡意軟件攻擊大量的物聯(lián)網(wǎng)設(shè)備等，因?yàn)槿狈π袠I(yè)約束、沒有行之有效的制裁手段，惡意事件不斷出現(xiàn)。

近兩年各國(guó)不斷推進(jìn)物聯(lián)網(wǎng)安全立法。日本在2019年初對(duì)《電氣通信事業(yè)法》進(jìn)行修訂，要求2020年4月起物聯(lián)網(wǎng)終端設(shè)備必須具有防止非法登錄功能[8]。2020年初美國(guó)加州頒布《加利福尼亞州的物聯(lián)網(wǎng)安全法案》要求所有連接設(shè)備要保護(hù)用戶數(shù)據(jù)免遭非授權(quán)訪問[9]。2020年1月英國(guó)立法加強(qiáng)物聯(lián)網(wǎng)安全，要求制造商必須為每臺(tái)物聯(lián)網(wǎng)設(shè)備設(shè)置獨(dú)一無二的密碼，而非默認(rèn)的出廠設(shè)置等[10]。

我國(guó)對(duì)于信息安全的重視在逐漸上升。2017年6月我國(guó)頒布實(shí)施《中華人民共和國(guó)網(wǎng)絡(luò)安全法》；2019年12月正式發(fā)布實(shí)施《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等國(guó)家標(biāo)準(zhǔn)；2020年7月《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》公布，公開征求意見。而物聯(lián)網(wǎng)信息安全保護(hù)立法目前分布在多部法律法規(guī)中，沒有形成完整的法律體系。要通過法律手段營(yíng)造物聯(lián)網(wǎng)健康發(fā)展的優(yōu)質(zhì)環(huán)境，推進(jìn)“物聯(lián)網(wǎng)安全”立法，是未來物聯(lián)網(wǎng)發(fā)展的必經(jīng)之路。

5 結(jié) 語

物聯(lián)網(wǎng)發(fā)展迅速，物聯(lián)網(wǎng)的安全問題成為制約物聯(lián)網(wǎng)全面發(fā)展不可回避的因素。與互聯(lián)網(wǎng)時(shí)代的安全相比，物聯(lián)網(wǎng)安全更具有大眾性，與所有人的日常生活密切相關(guān)。在加快推進(jìn)物聯(lián)網(wǎng)技術(shù)創(chuàng)新的同時(shí)，不能忽視廣大物聯(lián)網(wǎng)用戶的認(rèn)知教育和技能培養(yǎng)。物聯(lián)網(wǎng)用戶的信息安全素養(yǎng)是推進(jìn)物聯(lián)網(wǎng)全面健康發(fā)展的重要因素。