物聯網將人、機、物廣泛互聯，由于分布式節點多、數據傳輸分散、監管不到位等原因，物聯網的安全與隱私問題更加突出，已成為物聯網安全管理需要重點關注的內容。

一、物聯網用戶隱私與安全問題凸顯

物聯網直接暴露于互聯網，容易遭受網絡攻擊。據Gartner調查，近20%的企業或機構在過去的3年內遭受了至少一次物聯

網攻擊，用戶隱私也因此遭受著較大的泄露風險。

（一）智能玩具隱私泄露

物聯網已融入玩具世界，使玩具具有信息處理功能并越來越智能。如某款芭比娃娃玩具，能夠將兒童的談話傳到云端，不僅能分析小朋友的語言，并且還能做出“符合邏輯”的回話，再通過玩具內置的揚聲器與兒童交談。但該款芭比娃娃易受黑客的攻擊，黑客不僅可查看用戶的賬戶信息、系統信息及云服務器上存儲的音頻文件等，還進一步可獲得家庭地址等信息。此外，黑客不僅能夠利用芭比娃娃來竊取個人信息，還可以找到更新其服務器信息的方法，并通過麥克風向芭比娃娃發送其設定的回復內容。

（二）智能家居安全

智能家居已在公眾生活中越來越普遍，在極大地方便日常生活的同時，也存在不容忽視的安全問題。如某品牌的智能家居系統，黑客可以利用其智能系統存在的漏洞完全控制一個用戶賬戶，然后遠程劫持家用電器智能傳感器，包括冰箱、干衣機、洗碗機、微波爐以及吸塵機器人等。

（三）智慧醫療安全

黑客可以利用遠程醫療設備通信協議中存在的安全設計缺陷與硬件設備安全漏洞，通過遠程控制心臟起搏器等方式殺人于無形之中。

2014年5月，美國知名科技媒體撰稿人吉姆曾特（KimZetter）對現代醫院醫療設備展開了一次詳盡的調查，指出目前醫院所使用的大多數醫療設備都存在著被黑客入侵的風險，而這一風險甚至可能會造成致命的后果。美國食品及制藥管理局已經出臺了要求醫療設備制造廠強制檢查出廠設備安全性指導意見。

美國McAfee公司的資深信息安全專家巴納比?杰克模擬了黑客入侵醫療設備的過程，操控設備能夠按照他的意志“行兇”。巴納比和團隊利用無線電設備成功干擾了一臺胰島素泵的正常工作，利用計算機篡改胰島素泵原本的工作流程，實現逆向通信。至此這臺胰島素泵就處于黑客的控制中，黑客可隨意加快胰島素泵的注射頻率，短時間內把胰島素注入病人體內，這樣病人就會血糖急降，有可能因搶救不及時而死亡。巴納比說，他在距離胰島素泵91米以內的范圍就可實現干擾，又不被患者本人和醫護人員識破。

（四）可穿戴智能設備安全

隨著移動互聯網的普及，可穿戴智能市場備受關注，包括谷歌、蘋果、三星在內的許多互聯網公司都已推出可穿戴智能設備。谷歌眼鏡被指存在重大的安全隱患。黑客可以通過電腦控制谷歌眼鏡，從而獲得用戶的所見所聞及用戶的密碼等敏感信息。馬薩諸塞大學的研究人員發現，黑客可以利用谷歌眼鏡盜取用戶智能手機密碼，從而進入用戶智能手機，并盜取手機中的數據。

從技術層面上說，黑客完全有能力通過技術手段攻破并控制物聯網設備，可穿戴設備是與人們生活關聯度最高的聯網設備，出現問題可能不止是損失錢財，嚴重的甚至會威脅到使用者的生命安全。

二、物聯網的隱私安全威脅與攻擊

隱私安全威脅是制約物聯網應用的重要障礙。物聯網應用廣泛，其體系結構基本相同，隱私安全威脅主要集中在感知層

和處理層，包括以下幾個方面。

（一）非法訪問

用戶利用物聯網漏洞，非授權接入網絡和使用網絡資源，甚至發起網絡攻擊。用戶非授權訪問網絡內部數據，包括用戶個人信息、用戶資料、路由信息等。

（二）位置隱私泄露

位置隱私泄露是物聯網隱私的重要威脅，主要指物聯網在提供各種位置服務時面臨的位置隱私泄露問題，包括用戶位置隱私、傳感器節點位置隱私、基于位置服務中的位置隱私等。

（三）通信傳輸脆弱性

物聯網一般使用無線射頻信號進行通信，其固有的通信脆弱性很容易遭受外界攻擊，如攻擊者干擾認證信息、影響基站工作、信號劫持、偵聽、篡改、重放等多種形式的攻擊。

（四）拒絕服務

由于物聯網節點數目大、分布廣，一些漏洞容易被攻擊者利用和控制，形成僵尸網絡，對網絡發起分布式拒絕服務攻擊，會顯著降低網絡通信性能，甚至導致網絡癱瘓。

（五）惡意軟件感染

物聯網終端設備種類繁多，客戶端軟件和應用程序也是不勝枚舉，攻擊者很可能利用感知終端或節點的漏洞植入木馬、病毒等，實施偷窺隱私、劫持勒索，或作為跳板滲透和攻擊其他網絡。

三、物聯網隱私保護規范

傳統時代的隱私保護具有被動和防御特點，信息時代背景下的隱私保護應具有主動性與支配性，隱私保護在利益與風險之間權衡，既關注更強、更靈活的隱私保護，又支持網絡資源共享和互聯互通。無論歐美還是我國的網絡隱私保護法規尚在通用層面，物聯網隱私保護的實施可從中借鑒。

歐美等國家對隱私關注較早，隱私保護規范也相對完善，不同組織、國別的隱私保護規范側重點有所不同。

（一）早期經合組織的隱私保護規范

經合組織早在1974年就成立了一個關于個人信息和隱私權保護的專家組，發布了《保護個人信息跨國傳送及隱私權指導綱領》（1980）以及《經濟合作發展組織全球網絡隱私權保障政治宣言》（1998），重點是關于個人信息跨國傳送中的數據保護，并做了原則性的規定，分國內適用原則和國際適用原則。前者包括搜集限制、目的明確、利用限制、個人參與等，后者主要包括促進自由流通和合法限制。該規則對成員國約束力較弱，也沒有詳細規定如何制定立法，一些原則無法落實，但它承認了個人信息流動的重要性，確立了隱私政策協調的方向，對后來隱私政策的確立和實施有積極的參考意義。

（二）美國的隱私保護規范

美國是世界上最早提出并通過法規對隱私權予以保護的國家，在1974年通過《隱私法案》，1986年頒布《電子通訊隱私法案》，1988年又制定了《電腦匹配與隱私權法》及《網上兒童隱私權保護法》，明確了信息主體的權利（如個人信息公開的同意權、知情權、修改權，收集個人信息的政府或企業須承擔的義務等），以及將兒童網上隱私的保護列在最優先的地位。

（三）歐洲的隱私保護規范

對于歐洲個人信息保護法，追溯其淵源可以從1981年歐共體的《個人信息保護公約》，到1995年《個人數據保護指令》，再到2016年《刑事犯罪領域個人信息保護指令》。歐盟于2018年5月頒布了史上最嚴網絡數據隱私保護法《通用數據保護條例》，這是對1995年《數據保護指令》的修訂、拓寬和升級，加強了歐盟所有網絡用戶的數據隱私權利，明確提高了企業對數據的保護責任，并顯著完善了有關監管機制。對個人數據的隱私和保護將更加的透明和具有可操作性。雖然目前只在歐盟生效，其他國家即便不能照搬這一條例，但可以看出，加強個人隱私保護已是大勢所趨。

（四）我國的隱私保護規范

我國物聯網隱私保護依據也是主要從相關法規中套用，這些法規主要給予原則性指導。

2017年，全國信息安全標準化技術委員會發布了國家標準《信息安全技術個人信息去標識化指南（征求意見稿）》，明確了去標識化的定義，為披露和保護個人信息的行為提供標準依據，有利于保障數據主體的隱私安全。

2017年實施的《中華人民共和國網絡安全法》以及《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》分別明確了個人信息保護的最少夠用原則和個人信息侵害的刑法適用準則。

2018年1月，國務院法制辦公布《未成年人網絡保護條例（送審稿）》，向社會各界征求意見，明確搜集未成年個人信息應以醒目標識告知，以及應獲未成年人或其監護人同意、控制等原則。

2018年3月頒布的《民法總則》中以民事權利的方式規范個人信息保護，這是我國民事基本法對個人信息保護的首次明確規定，也為今后更完善的個人信息保護相關立法（如《個人信息保護法》）奠定了基礎。

從國內外有關隱私保護的法規可以看出，我國在個人信息保護的立法理念上與現行國際規則及歐美個人信息保護相關法律逐步實現接軌，分別從制度和技術層面，明確個人信息保護原則，并提供標準依據。

四、物聯網隱私保護指導原則

物聯網隱私保護要以用戶為中心，根據不同行業物聯網的特點，將隱私保護機制嵌入系統設計之初，通過立法、合規性審查、生命周期管理、隱私泄露懲罰機制，提高隱私保護的主動性。

（一）立法

借鑒國內外優秀的隱私保護法規和理念，通過訂立法律規范，明確隱私保護原則和責任，構建一套預防性、高要求的隱私保護規范和標準。

（二）合規性

合規是指企業或組織遵守法律法規、監管要求。物聯網企業須加強產品的合規性管理，能夠針對個人信息保護相關的法律法規、監管要求說明遵守情況，以示其合規性。信息安全測評部門對物聯網客戶端的個人信息保護方案與措施進行合規性測評。

（三）用戶參與

充分支持用戶對其個人信息的知情權和控制權，用戶能夠支配個人信息處理進程，包括收集、存儲、傳遞、披露、使用、修改和刪除等過程或操作，增加個人信息管理的透明度，對個人信息的任何操作和使用須告知用戶，并支持用戶獲得最大程度的隱私授權選項。

（四）主動性

將重要安全問題提前到源頭解決，積極、主動地將隱私保護策略和實施融入產品的設計和開發中，確保隱私保護和系統的一體化，使其成為系統代碼的一部分，能夠更有效地提高物聯網安全和預防信息泄露。

（五）生命周期管理

除對某些個人信息實施加密保護外，明確個人信息的生成（收集）、使用、公開、銷毀等各個環節的管理，實施有效措施防止信息被非法訪問。

五、物聯網隱私保護技術

技術保護是落實隱私保護規范中保護原則的關鍵途徑，主要涉及物聯網的信息收集、存儲、傳輸、訪問以及位置等方面的保護。

（一）敏感數據保護技術

物聯網安全體系主要涵蓋感知、網絡、平臺和應用4個方面，包括數據的采集、傳輸、存儲、處理、分析和使用，物聯網隱私信息的泄露主要涉及系統不安全、不可控的問題，通常應用密碼技術實現物聯網中人、物、信息和網絡的機密性、真實性、完整性和抗抵賴等屬性，為物聯網數據安全、信任建立、監管審計提供基礎支撐。當前，針對物聯網實際應用，亟待研發輕量級密碼技術，如輕量級認證、密文檢索、解密權限管理等技術，推動物聯網應用安全。

（二）位置隱私保護技術

物聯網節點位置隱私保護分為固定位置隱私保護和移動位置隱私保護，主要使用加密技術、匿名服務器技術、匿名區域和位置隨機化技術等。關注最多的是匿名區域算法中的K-匿名模型。在軌跡隱私保護中，主要方法是引入軌跡噪聲或動態假名。不同的位置隱私保護方法各有側重點，實際引入時需考慮隱私保護與服務質量之間的平衡。

（三）物聯網安全測評技術

物聯網安全測評是發現系統風險隱患、提高物聯網安全與可靠性的重要基礎。物聯網安全測評主要集中在以下幾個方面：1.物聯網隱私保護度測評，即隱私保護技術的合規性測評以及能夠保護物聯網隱私的程度；2.物聯網隱私保護措施的服務質量，反映在一定隱私保護強度下，能夠提供的服務質量，既包括物聯網應用的服務質量，也應包括應急處理措施；3.代價評估，物聯網的安全與隱私保護措施所需的資源代價，包括存儲、計算、傳輸等資源的消耗。

以往的物聯網設備制造商通常并沒有很強的安全背景，也缺乏標準來說明一個產品是否安全，很多安全問題來自于不安全的設計。目前國內已發布《物聯網參考體系結構》《網絡安全等級保護基本要求4：物聯網安全擴展要求》《信息安全技術物聯網安全參考模型及通用要求》等系列國家標準或行業標準，為物聯網廠商提供系統的安全要求、安全的開發規范、設備安全檢測規范等，能夠有力促進物聯網安全技術提升，推進物聯網合規性檢測，生產出合規的、安全可靠的物聯網設備。

物聯網隱私保護與傳統互聯網的隱私保護有許多共通之處，但物聯網存在節點分布廣泛、行業應用類型多、信息處理和存儲能力低、涉及大量隱私信息和可移動性等特點，使得物聯網安全方案有其獨特的一面。隨著物聯網設備的普及，物聯網的安全威脅程度在某些方面不亞于傳統網絡，加強物聯網技術保護、合規性審查與安全測評勢在必行。

（原載于《保密科學技術》雜志2018年9月刊）