物联网信息安全难题怎么解
“要像管理食品安全一样,管理物联网安全问题,任何器件,不论是传感器件还是传输器件,都要经过严格的标识,只有这样才能保证其安全。”1日,在2016世界物联网博览会信息安全高峰论坛上,中国工程院院士何德全说。
何德全表示,与互联网一般连接几十亿到上百亿端口相比,物联网至少要连接几万亿端口,器件数量更多,这种量变会引起质变。虽然物联网连接的物件比较简单,但由于其地域、厂家甚至标准的分散,使其多样性和复杂性大大增强,而安全性和复杂性是成正比的,这也就使其安全问题更加不可控。
“破解物联网信息安全问题,一定要知道其漏洞在哪里,然后做出针对性的响应。就像一栋楼的安全设计人员,首先一定要了解这栋楼的架构才知道去哪里安装防盗门窗。”无锡物联网产业研究院副院长沈杰说。
对刚刚过去10天的美国DNS服务商Dyn遭遇DDoS攻击事件,沈杰很是痛心。那起事件中,大量摄像头被黑客利用,作为一种攻击源头。究其原因,沈杰分析,首先,大部分物联网用户和厂商安全意识非常缺乏,无人职守的设备认证体系非常脆弱,这些摄像头里面都有一个后门的账号,但大家都没有意识到要去修改和保护它;其次,现在整个物联网产业环节比较多,然而到目前为止还没有部署安全防护体系,物联网事实上不仅是一个纯通讯的问题,关联到整个物理世界,缺乏统一的顶层设计;再就是设备本身的信任问题、身份问题,到底该怎样认证仍有很多的挑战。
的确,安天公司创始人、首席技术架构师肖新光表示,他在和国内知名摄像头厂家接触中,发现其客服被询问最多的问题就是“忘记了口令”。很多人为了追求使用的便利性,往往使用默认口令,或是口令非常简单,这就使黑客有机可乘。
“10月21日美国这起事件的后果被严重夸大了,而大量物联网设备早已被木马感染这个事实反而被忽视了。这些设备并不只是攻击的工具和跳板,其就是社会的基础传感器和感知单元,最坏的事情,并不是其入侵后被用于DDoS其他节点,而是其被入侵这个事实本身。”肖新光说。
在肖新光看来,物联网带来的安全威胁主要是提升了网络攻击对实体空间数据的获取能力,增大了网络攻击转化为实体空间后果的风险,为网络攻击提供更多可利用的节点。与此对比,网络安全工作者还没有形成系统的安全认知,目前看存在的主要问题是以基础核心技术的短板为核心焦虑,以合规检查和单点环境对抗为主要手段,对系统的整体性威胁的流动性和连接部的脆弱性考虑不足。
尽管如此,何德全认为,物联网安全问题既是挑战也是难得的机遇。物联网器件如此之多,这对解决我国的微电子、器件产业国产化问题就是机会,只有国产化才能从根本上解决我国物联网的安全问题。与此同时,如果物联网实现了国产化,进而也可以倒逼整个信息产业的国产化,这样困扰我们多年的问题就解决了。
“物联网安全不是一家企业能够独善其身的,需要加强企业间的协同合作。”360企业安全集团高级副总裁何新飞说,一是数据协同,核心就是要有统一的数据标准、交换信息以及认证,如果名字都不一样,就无法进行信息的交换;二是智能协同,发现风险后,如何有效控制和降低这种风险,需要情报和策略的协同;再就是产业协同。(科技日报无锡11月1日电)