物聯(lián)網(wǎng)Internet of things(IoT)被稱為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后,信息世界的“第三次浪潮。市場分析公司高德納(Gartnert)發(fā)布的數(shù)據(jù)顯示,2020年,全球聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)260億臺,物聯(lián)網(wǎng)市場規(guī)模將達(dá)1.9萬億美元。眾多投資者、創(chuàng)業(yè)者在物聯(lián)網(wǎng)賽道上擦拳磨掌,野心勃勃地要投出、創(chuàng)出下一個(gè)BTA。
隨著物聯(lián)網(wǎng)的迅速發(fā)展,其背后的網(wǎng)絡(luò)安全隱患也日益引人關(guān)注。4月19日,國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱國家互聯(lián)網(wǎng)應(yīng)急中心,英文縮寫CNCERT)發(fā)布《2016年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》。報(bào)告顯示,物聯(lián)網(wǎng)智能設(shè)備或成“穩(wěn)定”攻擊源。
智能設(shè)備網(wǎng)絡(luò)攻擊將更頻繁
報(bào)告介紹,近年來隨著智能可穿戴設(shè)備、智能家居、智能路由器等終端設(shè)備和網(wǎng)絡(luò)設(shè)備的迅速發(fā)展和普及利用,針對物聯(lián)網(wǎng)智能設(shè)備的網(wǎng)絡(luò)攻擊事件比例呈上升趨勢。攻擊者利用物聯(lián)網(wǎng)智能設(shè)備漏洞可獲取設(shè)備控制權(quán)限,或用于用戶信息數(shù)據(jù)竊取、網(wǎng)絡(luò)流量劫持等其他黑客地下產(chǎn)業(yè)交易,或用于被控制形成大規(guī)模僵尸網(wǎng)絡(luò)。
2016年CNVD(國家信息安全漏洞共享平臺)收錄物聯(lián)網(wǎng)智能設(shè)備漏洞1117個(gè)。漏洞類型主要為權(quán)限繞過、信息泄露、命令執(zhí)行等,其中弱口令(或內(nèi)置默認(rèn)口令)漏洞極易被利用,實(shí)際影響十分廣泛,成為惡意代碼攻擊利用的重要風(fēng)險(xiǎn)點(diǎn)。
報(bào)告認(rèn)為,因?yàn)槲锫?lián)網(wǎng)智能設(shè)備普遍是24小時(shí)在線,感染惡意程序后也不易被用戶察覺,形成了“穩(wěn)定”的攻擊源。而2017年情況會更加嚴(yán)峻。隨著無人機(jī)、自動駕駛汽車等的普及和智慧城市的發(fā)展,聯(lián)網(wǎng)智能設(shè)備的漏洞披露數(shù)量將大幅增加,針對或利用物聯(lián)網(wǎng)智能設(shè)備的網(wǎng)絡(luò)攻擊將更為頻繁。
“互聯(lián)網(wǎng)+”將安全威脅帶入傳統(tǒng)產(chǎn)業(yè)
國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部主任嚴(yán)寒冰表示,我國幾乎所有傳統(tǒng)行業(yè)、傳統(tǒng)應(yīng)用與服務(wù)都在被互聯(lián)網(wǎng)改變。互聯(lián)網(wǎng)在給各個(gè)行業(yè)帶來創(chuàng)新和發(fā)展的同時(shí),也打破了傳統(tǒng)產(chǎn)業(yè)封閉的模式,使其轉(zhuǎn)變?yōu)殚_放模式,這就是為什么虛擬的網(wǎng)絡(luò)安全事件可以轉(zhuǎn)變?yōu)楝F(xiàn)實(shí)世界安全威脅的原因。
《2016年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》中表述,互聯(lián)網(wǎng)金融、工業(yè)互聯(lián)網(wǎng)等融合的新興行業(yè)快速發(fā)展,但引發(fā)新的網(wǎng)絡(luò)安全威脅也不容忽略。互聯(lián)網(wǎng)金融整合了信息流和資金流,信息流的風(fēng)險(xiǎn)很可能引發(fā)資金流損失;工業(yè)控制系統(tǒng)更為智能化、網(wǎng)絡(luò)化,開放互聯(lián)帶來的惡意嗅探行為增多,被惡意攻擊的風(fēng)險(xiǎn)不斷加大。
2016年,全球發(fā)生的多起工控領(lǐng)域重大事件。例如,8月卡巴斯基安全實(shí)驗(yàn)室揭露了針對工控行業(yè)的“食尸鬼”網(wǎng)絡(luò)攻擊活動,該攻擊主要對中東和其他國家的工業(yè)企業(yè)發(fā)起定向網(wǎng)絡(luò)入侵。
國內(nèi)工控系統(tǒng)規(guī)模巨大,安全漏洞、惡意探測等均給我國工控系統(tǒng)帶來一定安全隱患。工控系統(tǒng)主要存在緩沖區(qū)溢出、缺乏訪問控制機(jī)制、弱口令、目錄遍歷等漏洞風(fēng)險(xiǎn)。2016年CNCERT共發(fā)現(xiàn)我國聯(lián)網(wǎng)工控設(shè)備2504個(gè),協(xié)議主要涉及S7Comm、Modbus、SNMP、EtherNetIP、Fox、FINS等,廠商主要為西門子、羅克韋爾、施耐德、歐姆龍等。
傳統(tǒng)互聯(lián)網(wǎng)安全與現(xiàn)實(shí)世界安全問題相交織引發(fā)的安全威脅更為復(fù)雜,產(chǎn)生的后果也更為嚴(yán)重。
如今,互聯(lián)網(wǎng)日益普及,創(chuàng)業(yè)者想完全避開網(wǎng)絡(luò)的影響基本不可能,在推出優(yōu)質(zhì)產(chǎn)品的同時(shí),網(wǎng)絡(luò)安全防范措施也需部署完備,小心提防伸向項(xiàng)目背后“黑手”。
京公網(wǎng)安備 11010502049343號