物联网将人、机、物广泛互联,由于分布式节点多、数据传输分散、监管不到位等原因,物联网的安全与隐私问题更加突出,已成为物联网安全管理需要重点关注的内容。
一、物联网用户隐私与安全问题凸显
物联网直接暴露于互联网,容易遭受网络攻击。据Gartner调查,近20%的企业或机构在过去的3年内遭受了至少一次物联
网攻击,用户隐私也因此遭受着较大的泄露风险。
(一)智能玩具隐私泄露
物联网已融入玩具世界,使玩具具有信息处理功能并越来越智能。如某款芭比娃娃玩具,能够将儿童的谈话传到云端,不仅能分析小朋友的语言,并且还能做出“符合逻辑”的回话,再通过玩具内置的扬声器与儿童交谈。但该款芭比娃娃易受黑客的攻击,黑客不仅可查看用户的账户信息、系统信息及云服务器上存储的音频文件等,还进一步可获得家庭地址等信息。此外,黑客不仅能够利用芭比娃娃来窃取个人信息,还可以找到更新其服务器信息的方法,并通过麦克风向芭比娃娃发送其设定的回复内容。
(二)智能家居安全
智能家居已在公众生活中越来越普遍,在极大地方便日常生活的同时,也存在不容忽视的安全问题。如某品牌的智能家居系统,黑客可以利用其智能系统存在的漏洞完全控制一个用户账户,然后远程劫持家用电器智能传感器,包括冰箱、干衣机、洗碗机、微波炉以及吸尘机器人等。
(三)智慧医疗安全
黑客可以利用远程医疗设备通信协议中存在的安全设计缺陷与硬件设备安全漏洞,通过远程控制心脏起搏器等方式杀人于无形之中。
2014年5月,美国知名科技媒体撰稿人吉姆曾特(KimZetter)对现代医院医疗设备展开了一次详尽的调查,指出目前医院所使用的大多数医疗设备都存在着被黑客入侵的风险,而这一风险甚至可能会造成致命的后果。美国食品及制药管理局已经出台了要求医疗设备制造厂强制检查出厂设备安全性指导意见。
美国McAfee公司的资深信息安全专家巴纳比?杰克模拟了黑客入侵医疗设备的过程,操控设备能够按照他的意志“行凶”。巴纳比和团队利用无线电设备成功干扰了一台胰岛素泵的正常工作,利用计算机篡改胰岛素泵原本的工作流程,实现逆向通信。至此这台胰岛素泵就处于黑客的控制中,黑客可随意加快胰岛素泵的注射频率,短时间内把胰岛素注入病人体内,这样病人就会血糖急降,有可能因抢救不及时而死亡。巴纳比说,他在距离胰岛素泵91米以内的范围就可实现干扰,又不被患者本人和医护人员识破。
(四)可穿戴智能设备安全
随着移动互联网的普及,可穿戴智能市场备受关注,包括谷歌、苹果、三星在内的许多互联网公司都已推出可穿戴智能设备。谷歌眼镜被指存在重大的安全隐患。黑客可以通过电脑控制谷歌眼镜,从而获得用户的所见所闻及用户的密码等敏感信息。马萨诸塞大学的研究人员发现,黑客可以利用谷歌眼镜盗取用户智能手机密码,从而进入用户智能手机,并盗取手机中的数据。
从技术层面上说,黑客完全有能力通过技术手段攻破并控制物联网设备,可穿戴设备是与人们生活关联度最高的联网设备,出现问题可能不止是损失钱财,严重的甚至会威胁到使用者的生命安全。
二、物联网的隐私安全威胁与攻击
隐私安全威胁是制约物联网应用的重要障碍。物联网应用广泛,其体系结构基本相同,隐私安全威胁主要集中在感知层
和处理层,包括以下几个方面。
(一)非法访问
用户利用物联网漏洞,非授权接入网络和使用网络资源,甚至发起网络攻击。用户非授权访问网络内部数据,包括用户个人信息、用户资料、路由信息等。
(二)位置隐私泄露
位置隐私泄露是物联网隐私的重要威胁,主要指物联网在提供各种位置服务时面临的位置隐私泄露问题,包括用户位置隐私、传感器节点位置隐私、基于位置服务中的位置隐私等。
(三)通信传输脆弱性
物联网一般使用无线射频信号进行通信,其固有的通信脆弱性很容易遭受外界攻击,如攻击者干扰认证信息、影响基站工作、信号劫持、侦听、篡改、重放等多种形式的攻击。
(四)拒绝服务
由于物联网节点数目大、分布广,一些漏洞容易被攻击者利用和控制,形成僵尸网络,对网络发起分布式拒绝服务攻击,会显著降低网络通信性能,甚至导致网络瘫痪。
(五)恶意软件感染
物联网终端设备种类繁多,客户端软件和应用程序也是不胜枚举,攻击者很可能利用感知终端或节点的漏洞植入木马、病毒等,实施偷窥隐私、劫持勒索,或作为跳板渗透和攻击其他网络。
三、物联网隐私保护规范
传统时代的隐私保护具有被动和防御特点,信息时代背景下的隐私保护应具有主动性与支配性,隐私保护在利益与风险之间权衡,既关注更强、更灵活的隐私保护,又支持网络资源共享和互联互通。无论欧美还是我国的网络隐私保护法规尚在通用层面,物联网隐私保护的实施可从中借鉴。
欧美等国家对隐私关注较早,隐私保护规范也相对完善,不同组织、国别的隐私保护规范侧重点有所不同。
(一)早期经合组织的隐私保护规范
经合组织早在1974年就成立了一个关于个人信息和隐私权保护的专家组,发布了《保护个人信息跨国传送及隐私权指导纲领》(1980)以及《经济合作发展组织全球网络隐私权保障政治宣言》(1998),重点是关于个人信息跨国传送中的数据保护,并做了原则性的规定,分国内适用原则和国际适用原则。前者包括搜集限制、目的明确、利用限制、个人参与等,后者主要包括促进自由流通和合法限制。该规则对成员国约束力较弱,也没有详细规定如何制定立法,一些原则无法落实,但它承认了个人信息流动的重要性,确立了隐私政策协调的方向,对后来隐私政策的确立和实施有积极的参考意义。
(二)美国的隐私保护规范
美国是世界上最早提出并通过法规对隐私权予以保护的国家,在1974年通过《隐私法案》,1986年颁布《电子通讯隐私法案》,1988年又制定了《电脑匹配与隐私权法》及《网上儿童隐私权保护法》,明确了信息主体的权利(如个人信息公开的同意权、知情权、修改权,收集个人信息的政府或企业须承担的义务等),以及将儿童网上隐私的保护列在最优先的地位。
(三)欧洲的隐私保护规范
对于欧洲个人信息保护法,追溯其渊源可以从1981年欧共体的《个人信息保护公约》,到1995年《个人数据保护指令》,再到2016年《刑事犯罪领域个人信息保护指令》。欧盟于2018年5月颁布了史上最严网络数据隐私保护法《通用数据保护条例》,这是对1995年《数据保护指令》的修订、拓宽和升级,加强了欧盟所有网络用户的数据隐私权利,明确提高了企业对数据的保护责任,并显著完善了有关监管机制。对个人数据的隐私和保护将更加的透明和具有可操作性。虽然目前只在欧盟生效,其他国家即便不能照搬这一条例,但可以看出,加强个人隐私保护已是大势所趋。
(四)我国的隐私保护规范
我国物联网隐私保护依据也是主要从相关法规中套用,这些法规主要给予原则性指导。
2017年,全国信息安全标准化技术委员会发布了国家标准《信息安全技术个人信息去标识化指南(征求意见稿)》,明确了去标识化的定义,为披露和保护个人信息的行为提供标准依据,有利于保障数据主体的隐私安全。
2017年实施的《中华人民共和国网络安全法》以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》分别明确了个人信息保护的最少够用原则和个人信息侵害的刑法适用准则。
2018年1月,篮球比分法制办公布《未成年人网络保护条例(送审稿)》,向社会各界征求意见,明确搜集未成年个人信息应以醒目标识告知,以及应获未成年人或其监护人同意、控制等原则。
2018年3月颁布的《民法总则》中以民事权利的方式规范个人信息保护,这是我国民事基本法对个人信息保护的首次明确规定,也为今后更完善的个人信息保护相关立法(如《个人信息保护法》)奠定了基础。
从国内外有关隐私保护的法规可以看出,我国在个人信息保护的立法理念上与现行国际规则及欧美个人信息保护相关法律逐步实现接轨,分别从制度和技术层面,明确个人信息保护原则,并提供标准依据。
四、物联网隐私保护指导原则
物联网隐私保护要以用户为中心,根据不同行业物联网的特点,将隐私保护机制嵌入系统设计之初,通过立法、合规性审查、生命周期管理、隐私泄露惩罚机制,提高隐私保护的主动性。
(一)立法
借鉴国内外优秀的隐私保护法规和理念,通过订立法律规范,明确隐私保护原则和责任,构建一套预防性、高要求的隐私保护规范和标准。
(二)合规性
合规是指企业或组织遵守法律法规、监管要求。物联网企业须加强产品的合规性管理,能够针对个人信息保护相关的法律法规、监管要求说明遵守情况,以示其合规性。信息安全测评部门对物联网客户端的个人信息保护方案与措施进行合规性测评。
(三)用户参与
充分支持用户对其个人信息的知情权和控制权,用户能够支配个人信息处理进程,包括收集、存储、传递、披露、使用、修改和删除等过程或操作,增加个人信息管理的透明度,对个人信息的任何操作和使用须告知用户,并支持用户获得最大程度的隐私授权选项。
(四)主动性
将重要安全问题提前到源头解决,积极、主动地将隐私保护策略和实施融入产品的设计和开发中,确保隐私保护和系统的一体化,使其成为系统代码的一部分,能够更有效地提高物联网安全和预防信息泄露。
(五)生命周期管理
除对某些个人信息实施加密保护外,明确个人信息的生成(收集)、使用、公开、销毁等各个环节的管理,实施有效措施防止信息被非法访问。
五、物联网隐私保护技术
技术保护是落实隐私保护规范中保护原则的关键途径,主要涉及物联网的信息收集、存储、传输、访问以及位置等方面的保护。
(一)敏感数据保护技术
物联网安全体系主要涵盖感知、网络、平台和应用4个方面,包括数据的采集、传输、存储、处理、分析和使用,物联网隐私信息的泄露主要涉及系统不安全、不可控的问题,通常应用密码技术实现物联网中人、物、信息和网络的机密性、真实性、完整性和抗抵赖等属性,为物联网数据安全、信任建立、监管审计提供基础支撑。当前,针对物联网实际应用,亟待研发轻量级密码技术,如轻量级认证、密文检索、解密权限管理等技术,推动物联网应用安全。
(二)位置隐私保护技术
物联网节点位置隐私保护分为固定位置隐私保护和移动位置隐私保护,主要使用加密技术、匿名服务器技术、匿名区域和位置随机化技术等。关注最多的是匿名区域算法中的K-匿名模型。在轨迹隐私保护中,主要方法是引入轨迹噪声或动态假名。不同的位置隐私保护方法各有侧重点,实际引入时需考虑隐私保护与服务质量之间的平衡。
(三)物联网安全测评技术
物联网安全测评是发现系统风险隐患、提高物联网安全与可靠性的重要基础。物联网安全测评主要集中在以下几个方面:1.物联网隐私保护度测评,即隐私保护技术的合规性测评以及能够保护物联网隐私的程度;2.物联网隐私保护措施的服务质量,反映在一定隐私保护强度下,能够提供的服务质量,既包括物联网应用的服务质量,也应包括应急处理措施;3.代价评估,物联网的安全与隐私保护措施所需的资源代价,包括存储、计算、传输等资源的消耗。
以往的物联网设备制造商通常并没有很强的安全背景,也缺乏标准来说明一个产品是否安全,很多安全问题来自于不安全的设计。目前国内已发布《物联网参考体系结构》《网络安全等级保护基本要求4:物联网安全扩展要求》《信息安全技术物联网安全参考模型及通用要求》等系列国家标准或行业标准,为物联网厂商提供系统的安全要求、安全的开发规范、设备安全检测规范等,能够有力促进物联网安全技术提升,推进物联网合规性检测,生产出合规的、安全可靠的物联网设备。
物联网隐私保护与传统互联网的隐私保护有许多共通之处,但物联网存在节点分布广泛、行业应用类型多、信息处理和存储能力低、涉及大量隐私信息和可移动性等特点,使得物联网安全方案有其独特的一面。随着物联网设备的普及,物联网的安全威胁程度在某些方面不亚于传统网络,加强物联网技术保护、合规性审查与安全测评势在必行。
(原载于《保密科学技术》杂志2018年9月刊)