基础设施物联网安全风险分析

图1 基础设施物联网（远程抄表示意图）

近几年物联网的快速发展，消费级物联网安全问题已经逐渐被人关注，人们开始担心自己的汽车、家电、摄相头被人远程控制，威胁个人隐私与安全。相比消费级物联网的安全问题，基础设施物联网的安全问题更为严重，危害更大，一旦发生事故会影响社会稳定。

在2008年，土耳其的一个石油管道发生过被攻击的事件。该石油管道是通过IP连接的网络监控摄像头所监控的，旨在保护管道设施。但具有讽刺意味的是，攻击者利用摄像头的漏洞闯入网络，控制了石油管道。然后他们植入恶意软件并远程获得控制器在管道阀门站的控制权。之后，他们通过改变石油压力炸毁了管道。他们还远程关闭了管道的应急系统，使管道的业主没有立即意识到被攻击。

基础设施物联网的主要安全风险有以下几点：

1、DTU设备使用2G/3G/4G信号进行传输数据，只要在DTU设备附近放一个伪基站，就可以拦截这些数据，并控制终端设备。

2、DTU设备与服务器之间数据明文传输，很容易被拦截、篡改、伪造。

3、服务器直接暴露在互联网上，服务器很容易被攻击，上面所述的石油管道事故就是服务器被入侵导致。

近几年电信运营商也提出了使用APN/VPDN方案来保护基础设施物联网的安全，APN/VPDN方案完成了从基站到服务器之间的数据传输加密，同时保护服务器不用被暴露到互联网上，但APN/VPDN方案依旧无法解决伪基站的问题。

同时，物联网厂商开始与VPN厂商合作，在DTU设备、3G/4G路由器内置PPTP/L2TP/IPSec VPN/SSL VPN客户端，通过VPN实现加密传输，实现防伪基站、对数据进行加密传输，防止数据被拦截、篡改、伪造，同时保护服务器不用被暴露到互联网上。

原文始发于微信公众号（菜鸟小新）：基础设施物联网安全风险分析