當前位置：物聯網 → 市場動態 → 正文

IPV6給物聯網帶來的是機遇還是挑戰？美國這樣做

責任編輯：editor004 |來源：企業網D1Net 2018-01-15 12:14:13 本文摘自：E安全

美國商務部（簡稱DoC）與國土安全部（DHS）已經出臺一份網絡安全報告草案——《提高互聯網與通信生態系統對僵尸網絡及其它自動分布式威脅的抵御能力》，報告對于IPv6這一網絡安全新協議得到廣泛采用后將引發的潛在影響感到擔憂，建議美國政府出資組織關于物聯網安全性的公眾意識宣傳活動，通過教育向民眾傳達物聯網危險性，并將網絡安全作為未來工程學學位的必修內容。

美國提議通過教育向民眾傳達物聯網危險性-E安全

　　報告專注僵尸網絡帶來的安全威脅

這份網絡安全報告草案長達38頁，屬于2017年5月新一屆政府班子上任后所提出的網絡安全總統行政令的后續產物。報告確定了政府、各行業以及消費者當前在網絡安全方面所面臨的問題：即專注于僵尸網絡的威脅。報告中對威脅因素進行了客觀的分析，屬于一份專業的政策文件。

就報告本身來看，其惟一關注的問題就是美國政府應當在正在進行的互聯網與物聯網安全斗爭當中建立主導權，但其中給出的許多實際建議尚不盡如人意，例如“確定實現適應性、可持續且安全的技術市場的明確途徑”所需要建立的關鍵性“目標”、“推動創新”乃至“建立聯盟”等陳述，都顯得太過模糊。

長久以來美國政府一直對行業事務采取不干預的傳統做派，而大部分互聯網業務也掌握在私營企業手中，美國商務部與國土安全部（DHS）幾乎無力對相關事宜作出管理。這份報告確定了其中的問題所在，同時給出了解決問題的最佳方案。

物聯網設備消費者需要提高安全意識

此次報告強調，物聯網市場不能也不應該指望消費者對其購買的設備的安全性負責。

此份報告正確地指出，這一市場“非常類似于上世紀九十年代的桌面計算領域”，即存在大量不安全因素。報告指出，“物聯網設備往往缺乏這種以安全為重點的功能。此類系統已經成為當前惡意攻擊者眼中最具吸引力的目標，并在這一生態系統中占有越來越大的比重。”

此外，“消費者不會直接因設備遭到入侵而面臨影響，相反消費者可能永遠不會意識到自己的設備已經成為僵尸網絡的一部分。從消費者的角度來看，網絡攝像頭仍然正常工作，而冰箱也仍能正常制冷”這就夠了。

美國提議通過教育向民眾傳達物聯網危險性-E安全

一旦設備被引入僵尸網絡當中，讓設備持有者為此負責顯然不切實際。這種缺乏明確后果的感染問題很難促使消費者為其采取任何用于提升安全性的必要措施，例如在可能的前提下對設備進行更新。

此份報告同時提到，軟件與固件安全更新以及相關最佳實踐正是解決物聯網安全問題的一種行之有效的方案，但實際上只有極少數企業或個人在堅持這類實踐。因此，報告認為與以往多年一樣，廠商需要考慮將安全機制融入設備之內，包括自動安全更新。

報告指出，“在理想情況下，面向消費者銷售的設備應內置安全設計機制。消費級產品應盡可能基于安全角度設計，應包含自動安全更新機制，同時盡可能降低甚至消除（用戶）對產品管理層面的要求。”

有必要制定安全基準

美國政府不會對行業施加強制性壓力，相反，報告認為政府應與企業合作制定“面向家庭與工業IoT設備的安全概要，以作為具有廣泛接受度的基準性文件”。

報告同時建議利用美國政府自身的大型采購方角色“通過在相關環境內實施物聯網設備基準安全配置要求的方式加速這一過程”。這種作法聽起來相當靠譜，且在某種程度上類似于DNSSEC與IPv6的推廣方式。

報告中另一個更進一步建議是：要求政府面向消費者組織物聯網安全意識宣傳活動，認為“聯邦政府應組織一項公眾意識宣傳活動，以推動家庭物聯網設備安全性與品牌層面的正確認可與采用。”

此后，報告還主張將更多政府預算花在研發工作當中，從而“支持DDoS防范與緩解能力的提升，同時構建基礎性技術方案以防止僵尸網絡的形成”。

美國提議通過教育向民眾傳達物聯網危險性-E安全

考慮IPv6可能帶來的安全威脅

報告對于IPv6這一網絡安全新協議得到廣泛采用后將引發的潛在影響感到擔憂。IPv6將為每一臺設備提供其惟一IP地址，這意味著數以百萬計的新設備更易受到入侵與黑客攻擊的影響。而利用IPv4與NAT將各設備部署在同一IP地址之后的作法能夠帶來更理想的安全保障效果。這是普及IPv6必然面臨的問題。這份草案亦強調，應調查“IPv6的部署會給攻擊與防御活動的經濟性狀況產生怎樣的影響”，并提出應確保互聯網服務供應商采取更行之有效的激勵措施。

IPv6的一大優勢在于，安全人員能夠更輕松地發現哪些特定設備已經遭到入侵。但與此同時，Mirai等僵尸網絡也將因此“受益”，因為其能夠攻擊擁有自己IP地址的設備（通常為網絡攝像機）。相比之下，“NAT工具是一種偶然性防火墻，可直接屏蔽大規模掃描工具以防止家庭環境中的設備受到惡意軟件傳播及廣泛感染活動的影響。”

此份報告甚至深入討論了命名空間快速擴張可能帶來的問題：“從理論層面講，IPv6的地址空間非常巨大，無法利用現有工具進行掃描。但專家們已經觀察到，新型掃描技術同樣能夠在這樣的背景下發現易受攻擊的設備。”

如何解決上述難題？重點在于實現“網絡邊緣的進一步創新”。

報告當中還提到了一系列其它思路、意見與建議，其中大多包含“應當”一詞，這樣的表述在一定程度上削弱了要求的緊迫感。但作為最核心的要求，報告提到下一代工程師應當接受必要的關鍵技能培訓。學術界與美國網絡安全教育項目合作，將網絡安全作為所有工程類學科的基本要求。——聽起來相當可行，而這只是這份剛剛發布的報告中的亮點之一。

美國政府正在公開征求意見。

關鍵字：物聯網 Mirai DNSSEC