设想一下这样的场景:当我们睁开朦胧的睡眼,清晨的第一缕阳光便透过窗户,随着窗帘自动拉开,整个卧室慢慢变亮;当我们洗漱完毕走进厨房,智能厨房系统早已自动准备好了一份丰盛的早餐。
在“万物互联”的时代,不论是可以监测睡眠状态的智能手环、“懂你所想”的智能家居等智能设备,还是每天为交通出行提供可靠参考信息的车联网、智慧交通等智能应用,抑或是工业生产中监测、控制生产的智能传感器、工业机器人,物联网应用无处不在,它的安全与否,则与人们的生产生活息息相关。
是“受害者”还是“帮凶”
中国信息安全测评中心专家委员会副主任黄殿中告诉笔者,截至2015年,全球有近50亿个终端设备接入互联。去年,我国物联网技术的产业规模已经突破7500亿元,已在安防、交通、医疗、电力、农业、林业、环保、金融等领域得到应用,并有望在2017年成为下一个万亿级的信息技术产业。
然而,随着物联网的不断推进和应用落地,其安全问题却日益凸显。
日前,美国发生了被誉为全球首起利用物联网设备进行大规模ddos(分布式拒绝服务)攻击的网络瘫痪事件。多达10万台的物联网设备遭“未来”病毒感染,以发送通信请求占用网络资源,导致美国东海岸和欧洲部分地区出现大规模的网络瘫痪。
“美国的攻击事件说明,在物联网时代,每一个联网设备、系统或终端应用都可能成为攻击源、被攻击目标或攻击者的帮凶。”中国信息安全评测中心副主任李守鹏对笔者说。
“发展”和“安全”孰轻孰重
在中国工程院院士何德全看来,当前物联网发展迅猛但安全问题频发,甚至对安全的威胁还有继续增长的态势,这些都是人们之前对物联网安全性考虑不足造成的。
“国家开始发展物联网时的顶层设计和协议都做得很好,但物联网的‘发展’和‘安全建设’犹如车的两个轮子,只有互相配合好才能平稳行驶,找到它们之间的平衡点至关重要。”何德全说。
何德全认为,物联网作为一个比互联网更复杂多样、具有更大跨度尺寸的系统,要更多地从其复杂性、分散性等方面考虑其安全问题。
例如,在传输方面,互联网只需把握住传输的前、后两端,而物联网传输的全生命周期都要保持;功能方面,物联网的各个节点不仅要保证数据安全,还要考虑动作、控制的安全等。
专家普遍认为,大部分物联网体系架构缺乏安全认证机制,物联网产业链涉及的环节过多,海量终端实时在线易成攻击“帮凶”,政策管理及标准研制方面缺乏整体的框架体系,也是构成当前物联网安全事件频发的原因。
“简化”是否可行
不过,“虽然现阶段物联网的安全性欠佳,但长远来看,物联网的安全性将比互联网更优。”以色列捷邦安全软件科技有限公司全球物联网软件研发总监yiftachcohen在接受笔者采访时说。
“像物联网这种复杂的多因素系统,可以通过‘简化’来处理。西方的网络安全公司也都提出了用‘简化’思路解决物联网问题的方法,并已达成了一定的共识。”何德全说。
cohen表达了与何德全相似的观点。他认为,对物联网来说,工程师需要在设计上保证从物联网设备到云端链接的唯一性和安全性,然后再将云端开放给用户,也就是注重端对端的保密,使用轻量级密码的简化方法。
“简化虽然可能会增加一点网络攻击的漏洞,但如果算细账的话,至少‘攻’和‘防’的不对称性可以减少,在安全上的投入也会更少。”何德全说。
专家还表示,物联网设备等微电子器件的国产化、政策的持续性、安全标准和规范的落实、安全立法等也是解决物联网安全问题的关键。
“在可预见的未来,物联网领域将是安全问题高发地和网络安全治理的重点区。我们在政、企、科研机构共同努力,强化技术保障能力的同时,也应防患于未然,建立物联网信息安全重大事件响应机制,提升事件处理能力。”黄殿中说。
微信扫描二维码,关注公众号。