物联网安全白皮书 （2018 年） 中国信息通信研究院 中国移动信息安全管理与运行中心 2018年9月 版权声明 本白皮书版权属于中国信息通信研究院（工业和信息化部 电信研究院），并受法律保护。转载、摘编或利用其它方式使用 本白皮书文字或者观点的，应注明“来源：中国信息通信研究 院（工业和信息化部电信研究院）”。违反上述声明者，本院将 追究其相关法律责任。 前 言 自 2005 年国际电信联盟（ITU）正式提出“物联网”这一概念 以来，物联网在全球范围内迅速获得认可，并成为信息产业革命第 三次浪潮和第四次工业革命的核心支撑。物联网技术的发展创新， 深刻改变着传统产业形态和社会生活方式，催生了大量新产品、新 服务、新模式，引发了产业、经济和社会发展新浪潮。 与此同时，数以亿计的设备接入物联网，物联网产业规模不断 壮大，针对用户隐私、基础网络环境的安全攻击不断增多，网络安 全问题已成为限制物联网服务广泛部署的障碍之一。 为促进物联网及其生态系统的健康发展，控制物联网面临的安 全风险，我院与中国移动通信集团有限公司信息安全管理与运行中 心牵头，联合中移物联网有限公司联合、360 企业安全集团、北京神 州绿盟科技有限公司共同研究编制物联网安全白皮书（2018）。 本白皮书从物联网安全发展态势出发，从物联网服务端系统、 终端系统以及通信网络三个方面，分析物联网面临的安全风险，构 建物联网安全防护策略框架，并提出物联网安全技术未来发展方向 及建议。 目 录 一、物联网安全发展态势 ................................... 1 （一）全球物联网市场规模快速增长，安全支出持续增加 .... 1 （二）物联网系统直接暴露于互联网，容易遭到网络攻击 .... 3 （三）物联网安全风险威胁用户隐私保护，冲击关键信息基础设 施安全 ................................................ 6 二、物联网安全风险分析 ................................... 7 （一）物联网应用系统模型 .............................. 7 （二）物联网服务端安全风险 ............................ 9 （三）物联网终端安全风险 ............................. 11 （四）物联网通信网络安全风险 ......................... 14 （五）各典型应用场景风险分析 ......................... 15 三、物联网安全防护策略 .................................. 18 （一）物联网安全防护策略框架 ......................... 18 （二）物联网服务端安全防护策略 ....................... 19 （三）物联网终端安全防护策略 ......................... 21 （四）物联网通信网络安全防护策略 ..................... 22 四、物联网安全未来发展展望 .............................. 24 （一）推动物联网安全技术标准落地及合规性检测 ......... 24 （二）以攻促防推进物联网安全技术发展 ................. 25 （三）构建物联网全生命周期立体防御体系 ............... 25 （四）联合行业力量打造物联网安全生态 ................. 26 （五）探索新技术在物联网安全领域的应用 ............... 26 物联网安全白皮书（2018） 中国信息通信研究院 一、物联网安全发展态势 （一）全球物联网市场规模快速增长，安全支出持续 增加 一方面，全球联网设备数量高速增长，“万物互联”成为全球 网络未来发展的重要方向。据 GSMA 预测，2025 年全球物联网设备 （包括蜂窝及非蜂窝）联网数量将达到 252 亿如图 1.1，远高于 2017 年的 63 亿；同时，物联网市场规模将达到目前的四倍。此外，工业 物联网设备联网数量在 2016 年至 2025 年间，将从 24 亿增加到 138 亿，增幅达五倍左右1，工业互联网设备联网数量也将在 2023 年超过 消费物联网设备联网数量如图 1.2。 图 1.1 全球物联网设备联网数量 IoT: the next wave of connectivity and services（https://www.gsmaintelligence.com/research/2018/04/iot-thenext-wave-of-connectivity-and-services/665/） 1 1 中国信息通信研究院 物联网安全白皮书（2018） 全球消费物联网设备及工业物联网设备联网数量（2016-2025） 百万（美元） 15000 12000 9000 6000 3000 0 2016 2017 2018 2019 2020 消费物联网 2021 2022 工业物联网 2023 2024 2025 图 1.2 全球消费物联网设备及工业物联网设备联网数量 LoRa、NB-IoT 和 5G 等通信技术的发展让万物互联成为现实。 尤其面向低耗流物联网终端的 NB-IoT，作为万物互联网络的一个重 要分支，适合广泛部署在智慧城市、智慧交通、智能生产和智能家 居等众多领域。 另一方面，物联网安全事件频发，全球物联网安全支出将不断 增加。当前，基于物联网（IoT）的攻击已经成为现实。据 Gartner 调查，近 20％的企业或相关机构在过去三年内遭受了至少一次基于 物联网的攻击。为了防范安全威胁，Gartner 预测 2018 年全球物联网 安全支出将达到 15 亿美元，比 2017 年增长 28％，预计到 2021 年物 联网安全支出将达到 31 亿美元2如表 1.1。 2 Gartner Says Worldwide IoT Security Spending Will Reach $1.5 Billion in 2018 （https://www.gartner.com/en/newsroom/press-releases/2018-03-21-gartner-says-worldwide-iot-securityspending-will-reach-1-point-5-billion-in-2018） 2 物联网安全白皮书（2018） 中国信息通信研究院 表 1.1 全球物联网安全支出预测（单位：百万美元）（来源：Gartner） 2016 2017 2018 2019 2020 2021 终端安全 240 302 373 459 541 631 网关安全 102 138 186 251 327 415 专业服务 570 734 946 1221 1589 2071 总计 912 1174 1506 1931 2457 3118 （二）物联网系统直接暴露于互联网，容易遭到网络 攻击 当前，大量物联网设备及云服务端直接暴露于互联网，这些设 备和云服务端存在的漏洞（如：心脏滴血、破壳等漏洞）一旦被利 用，可导致设备被控、用户隐私泄露、云服务端数据被窃取等安全 风险，甚至会对基础通信网络造成严重影响。 从全球分布来看，路由器、视频监控设备暴露数量占比较高。 路由器暴露数量超过 3000 万台，视频监控设备暴露数量超过 1700 万 台如图 1.3。 路由器 视频监控设备 17721864 2437401 3053700 437637 2703452 9761 1755557 469807 898173 63495 696734 67735 616849 63334 596829 587645 防火墙 调制解调器 交换机 设备类型 33859116 3549962 打印机 VPN VoIP 网桥 0 10000000 20000000 暴露数量（台） 30000000 40000000 全球 图 1.3 全球和国内物联网相关设备暴露情况 3 中国 中国信息通信研究院 物联网安全白皮书（2018） 其中，我国国产设备的暴露占比突出。在路由器方面，华为暴 露设备数量最多，逾 900 万台，AVM、Technicolor、MikroTik、华硕、 TP-Link 等 11 家厂商的全球暴露数量超过了百万规模如图 1.4。在视 频监控设备方面，海康威视和浙江大华的视频监控设备暴露严重， 其中，海康威视暴露设备总量超过了 580 万台，浙江大华、D-Link 厂商名称 等厂商的视频监控设备暴露数量也都达到了百万量级如图 1.5。 华为 AVM Technicolor MikroTik 华硕 TP-Link Netgear Westell 水星 中兴 思科 迅捷 Broadcom Alcatel D-Link Actiontec TP-LINK Linksys 磊科 9352855 3025049 2645734 2595936 2360431 2032403 1919385 1765952 1482575 1120313 1094010 684810 682851 495995 440076 272854 248337 184643 174919 0 2000000 4000000 6000000 8000000 暴露数量（台） 图 1.4 暴露的路由器设备厂商分布（全球） 4 10000000 物联网安全白皮书（2018） 中国信息通信研究院 图 1.5 暴露的视频监控设备厂商分布（全球） 同时，我国暴露于互联网的路由器及视频监控设备数量排名全 球前列，路由器数量超过 350 万台，仅次于美国如图 1.6。视频监控 设备数量超过 240 万台，位居第一；其次分别为越南、美国、巴西、 国家名称 印度等如图 1.7。 3597984 3549962 3337290 美国 中国 墨西哥 德国 巴西 俄罗斯 沙特阿拉伯 土耳其 英国 新西兰 澳大利亚 埃及 泰国 多米尼加 意大利 加拿大 印度 哈萨克斯坦 阿根廷 西班牙 2828767 2317144 1500422 1356857 1327653 1041244 982838 902227 598761 529594 520642 513025 459470 420