設(shè)想一下這樣的場景:當我們睜開朦朧的睡眼,清晨的第一縷陽光便透過窗戶,隨著窗簾自動拉開,整個臥室慢慢變亮;當我們洗漱完畢走進廚房,智能廚房系統(tǒng)早已自動準備好了一份豐盛的早餐。
在“萬物互聯(lián)”的時代,不論是可以監(jiān)測睡眠狀態(tài)的智能手環(huán)、“懂你所想”的智能家居等智能設(shè)備,還是每天為交通出行提供可靠參考信息的車聯(lián)網(wǎng)、智慧交通等智能應(yīng)用,抑或是工業(yè)生產(chǎn)中監(jiān)測、控制生產(chǎn)的智能傳感器、工業(yè)機器人,物聯(lián)網(wǎng)應(yīng)用無處不在,它的安全與否,則與人們的生產(chǎn)生活息息相關(guān)。
是“受害者”還是“幫兇”
中國信息安全測評中心專家委員會副主任黃殿中告訴筆者,截至2015年,全球有近50億個終端設(shè)備接入互聯(lián)。去年,我國物聯(lián)網(wǎng)技術(shù)的產(chǎn)業(yè)規(guī)模已經(jīng)突破7500億元,已在安防、交通、醫(yī)療、電力、農(nóng)業(yè)、林業(yè)、環(huán)保、金融等領(lǐng)域得到應(yīng)用,并有望在2017年成為下一個萬億級的信息技術(shù)產(chǎn)業(yè)。
然而,隨著物聯(lián)網(wǎng)的不斷推進和應(yīng)用落地,其安全問題卻日益凸顯。
日前,美國發(fā)生了被譽為全球首起利用物聯(lián)網(wǎng)設(shè)備進行大規(guī)模ddos(分布式拒絕服務(wù))攻擊的網(wǎng)絡(luò)癱瘓事件。多達10萬臺的物聯(lián)網(wǎng)設(shè)備遭“未來”病毒感染,以發(fā)送通信請求占用網(wǎng)絡(luò)資源,導致美國東海岸和歐洲部分地區(qū)出現(xiàn)大規(guī)模的網(wǎng)絡(luò)癱瘓。
“美國的攻擊事件說明,在物聯(lián)網(wǎng)時代,每一個聯(lián)網(wǎng)設(shè)備、系統(tǒng)或終端應(yīng)用都可能成為攻擊源、被攻擊目標或攻擊者的幫兇。”中國信息安全評測中心副主任李守鵬對筆者說。
“發(fā)展”和“安全”孰輕孰重
在中國工程院院士何德全看來,當前物聯(lián)網(wǎng)發(fā)展迅猛但安全問題頻發(fā),甚至對安全的威脅還有繼續(xù)增長的態(tài)勢,這些都是人們之前對物聯(lián)網(wǎng)安全性考慮不足造成的。
“國家開始發(fā)展物聯(lián)網(wǎng)時的頂層設(shè)計和協(xié)議都做得很好,但物聯(lián)網(wǎng)的‘發(fā)展’和‘安全建設(shè)’猶如車的兩個輪子,只有互相配合好才能平穩(wěn)行駛,找到它們之間的平衡點至關(guān)重要。”何德全說。
何德全認為,物聯(lián)網(wǎng)作為一個比互聯(lián)網(wǎng)更復雜多樣、具有更大跨度尺寸的系統(tǒng),要更多地從其復雜性、分散性等方面考慮其安全問題。
例如,在傳輸方面,互聯(lián)網(wǎng)只需把握住傳輸?shù)那?、后兩端,而物?lián)網(wǎng)傳輸?shù)娜芷诙家3?功能方面,物聯(lián)網(wǎng)的各個節(jié)點不僅要保證數(shù)據(jù)安全,還要考慮動作、控制的安全等。
專家普遍認為,大部分物聯(lián)網(wǎng)體系架構(gòu)缺乏安全認證機制,物聯(lián)網(wǎng)產(chǎn)業(yè)鏈涉及的環(huán)節(jié)過多,海量終端實時在線易成攻擊“幫兇”,政策管理及標準研制方面缺乏整體的框架體系,也是構(gòu)成當前物聯(lián)網(wǎng)安全事件頻發(fā)的原因。
“簡化”是否可行
不過,“雖然現(xiàn)階段物聯(lián)網(wǎng)的安全性欠佳,但長遠來看,物聯(lián)網(wǎng)的安全性將比互聯(lián)網(wǎng)更優(yōu)。”以色列捷邦安全軟件科技有限公司全球物聯(lián)網(wǎng)軟件研發(fā)總監(jiān)yiftachcohen在接受筆者采訪時說。
“像物聯(lián)網(wǎng)這種復雜的多因素系統(tǒng),可以通過‘簡化’來處理。西方的網(wǎng)絡(luò)安全公司也都提出了用‘簡化’思路解決物聯(lián)網(wǎng)問題的方法,并已達成了一定的共識。”何德全說。
cohen表達了與何德全相似的觀點。他認為,對物聯(lián)網(wǎng)來說,工程師需要在設(shè)計上保證從物聯(lián)網(wǎng)設(shè)備到云端鏈接的唯一性和安全性,然后再將云端開放給用戶,也就是注重端對端的保密,使用輕量級密碼的簡化方法。
“簡化雖然可能會增加一點網(wǎng)絡(luò)攻擊的漏洞,但如果算細賬的話,至少‘攻’和‘防’的不對稱性可以減少,在安全上的投入也會更少。”何德全說。
專家還表示,物聯(lián)網(wǎng)設(shè)備等微電子器件的國產(chǎn)化、政策的持續(xù)性、安全標準和規(guī)范的落實、安全立法等也是解決物聯(lián)網(wǎng)安全問題的關(guān)鍵。
“在可預見的未來,物聯(lián)網(wǎng)領(lǐng)域?qū)⑹前踩珕栴}高發(fā)地和網(wǎng)絡(luò)安全治理的重點區(qū)。我們在政、企、科研機構(gòu)共同努力,強化技術(shù)保障能力的同時,也應(yīng)防患于未然,建立物聯(lián)網(wǎng)信息安全重大事件響應(yīng)機制,提升事件處理能力。”黃殿中說。