“要像管理食品安全一樣,管理物聯網安全問題,任何器件,不論是傳感器件還是傳輸器件,都要經過嚴格的標識,只有這樣才能保證其安全。”1日,在2016世界物聯網博覽會信息安全高峰論壇上,中國工程院院士何德全說。
何德全表示,與互聯網一般連接幾十億到上百億端口相比,物聯網至少要連接幾萬億端口,器件數量更多,這種量變會引起質變。雖然物聯網連接的物件比較簡單,但由于其地域、廠家甚至標準的分散,使其多樣性和復雜性大大增強,而安全性和復雜性是成正比的,這也就使其安全問題更加不可控。
“破解物聯網信息安全問題,一定要知道其漏洞在哪里,然后做出針對性的響應。就像一棟樓的安全設計人員,首先一定要了解這棟樓的架構才知道去哪里安裝防盜門窗。”無錫物聯網產業研究院副院長沈杰說。
對剛剛過去10天的美國DNS服務商Dyn遭遇DDoS攻擊事件,沈杰很是痛心。那起事件中,大量攝像頭被黑客利用,作為一種攻擊源頭。究其原因,沈杰分析,首先,大部分物聯網用戶和廠商安全意識非常缺乏,無人職守的設備認證體系非常脆弱,這些攝像頭里面都有一個后門的賬號,但大家都沒有意識到要去修改和保護它;其次,現在整個物聯網產業環節比較多,然而到目前為止還沒有部署安全防護體系,物聯網事實上不僅是一個純通訊的問題,關聯到整個物理世界,缺乏統一的頂層設計;再就是設備本身的信任問題、身份問題,到底該怎樣認證仍有很多的挑戰。
的確,安天公司創始人、首席技術架構師肖新光表示,他在和國內知名攝像頭廠家接觸中,發現其客服被詢問最多的問題就是“忘記了口令”。很多人為了追求使用的便利性,往往使用默認口令,或是口令非常簡單,這就使黑客有機可乘。
“10月21日美國這起事件的后果被嚴重夸大了,而大量物聯網設備早已被木馬感染這個事實反而被忽視了。這些設備并不只是攻擊的工具和跳板,其就是社會的基礎傳感器和感知單元,最壞的事情,并不是其入侵后被用于DDoS其他節點,而是其被入侵這個事實本身。”肖新光說。
在肖新光看來,物聯網帶來的安全威脅主要是提升了網絡攻擊對實體空間數據的獲取能力,增大了網絡攻擊轉化為實體空間后果的風險,為網絡攻擊提供更多可利用的節點。與此對比,網絡安全工作者還沒有形成系統的安全認知,目前看存在的主要問題是以基礎核心技術的短板為核心焦慮,以合規檢查和單點環境對抗為主要手段,對系統的整體性威脅的流動性和連接部的脆弱性考慮不足。
盡管如此,何德全認為,物聯網安全問題既是挑戰也是難得的機遇。物聯網器件如此之多,這對解決我國的微電子、器件產業國產化問題就是機會,只有國產化才能從根本上解決我國物聯網的安全問題。與此同時,如果物聯網實現了國產化,進而也可以倒逼整個信息產業的國產化,這樣困擾我們多年的問題就解決了。
“物聯網安全不是一家企業能夠獨善其身的,需要加強企業間的協同合作。”360企業安全集團高級副總裁何新飛說,一是數據協同,核心就是要有統一的數據標準、交換信息以及認證,如果名字都不一樣,就無法進行信息的交換;二是智能協同,發現風險后,如何有效控制和降低這種風險,需要情報和策略的協同;再就是產業協同。
京公網安備 11010502049343號