信息化觀察網(wǎng)

隨著5G通信技術(shù)應(yīng)用落地和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，“萬(wàn)物+”時(shí)代漸行漸近。不過(guò)，隨著IoT多層弱點(diǎn)的逐一暴露，智能設(shè)備被劫持、IoT設(shè)備DDoS攻擊、勒索軟件滋生等隨之而來(lái)的安全問(wèn)題將會(huì)出現(xiàn)井噴式的爆發(fā)。

擁有一臺(tái)智能網(wǎng)聯(lián)汽車(chē)，可以讓一次川藏線自駕游多輕松？“可以不必準(zhǔn)備地圖和指南針，也不必?fù)?dān)心手機(jī)沒(méi)電，車(chē)載藍(lán)牙電話、汽車(chē)自適應(yīng)巡航及車(chē)載導(dǎo)航可以讓我們放心舒適地享受旅程和風(fēng)景。但是——”亞信安全通用企業(yè)事業(yè)部副總經(jīng)理劉政平話鋒一轉(zhuǎn)，“如果智能汽車(chē)被黑客駭入，一場(chǎng)美好的旅行分分鐘化為人在囧途。”

這是亞信安全滲透測(cè)試及應(yīng)急響應(yīng)團(tuán)隊(duì)在5月9日于成都由亞信安全發(fā)起并承辦的2018 C3（Cyber、Cloud、Communication）安全峰會(huì)上的一次模擬演示。隨著黑客的入侵，智能汽車(chē)先后收到假的燃油耗盡警報(bào)、假的道路救援信息、車(chē)載娛樂(lè)信息被勒索、車(chē)載電話通訊錄被盜并被用于向親人詐騙……劉政平說(shuō)，在這個(gè)過(guò)程中，黑客可以一邊利用GPS定位獲取車(chē)主的實(shí)時(shí)信息，一邊通過(guò)車(chē)載娛樂(lè)系統(tǒng)漏洞入侵，并利用相關(guān)信息實(shí)施詐騙和勒索。

“萬(wàn)物互聯(lián)時(shí)代帶來(lái)便利性的同時(shí)，新的風(fēng)險(xiǎn)如影隨形。”劉政平如此評(píng)述說(shuō)。

物聯(lián)網(wǎng)安全問(wèn)題將迎來(lái)井噴

近年來(lái)，物聯(lián)網(wǎng)（IoT）、車(chē)聯(lián)網(wǎng)以及自動(dòng)駕駛發(fā)展迅速，備受關(guān)注，但隨之而來(lái)的安全問(wèn)題更不容忽視。“我們正在從百億的連接走向萬(wàn)億的連接，從‘互聯(lián)網(wǎng)+’走向‘萬(wàn)物+’的時(shí)代，萬(wàn)物互聯(lián)成為我們數(shù)字生活彼岸必不可少的最重要的未來(lái)。在這個(gè)新的數(shù)字化革命浪潮中，網(wǎng)絡(luò)安全尤其是關(guān)鍵信息基礎(chǔ)設(shè)施安全非常重要。”亞信集團(tuán)董事長(zhǎng)田溯寧直言，物聯(lián)網(wǎng)安全是時(shí)代未來(lái)發(fā)展的護(hù)城河。

據(jù)Gartner2017年2月發(fā)布的數(shù)據(jù)，2020年，全球?qū)⒂?04億物聯(lián)網(wǎng)裝置，包括智能垃圾桶、智能玩具、智能量表、攝像頭、智能電視及照明設(shè)備和汽車(chē)設(shè)備。其中，汽車(chē)相關(guān)的物聯(lián)網(wǎng)設(shè)備將占近1/6，占比最高。

車(chē)聯(lián)網(wǎng)安全也將會(huì)是未來(lái)物聯(lián)網(wǎng)安全中投入最高的。劉政平解釋說(shuō)，車(chē)聯(lián)網(wǎng)汽車(chē)在為人們帶來(lái)諸如智能導(dǎo)航、自動(dòng)泊車(chē)、輔助駕駛、數(shù)字多媒體等駕駛體驗(yàn)的同時(shí)，由于其中所使用的計(jì)算和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計(jì)算和聯(lián)網(wǎng)架構(gòu)，也繼承了這些系統(tǒng)天然的安全缺陷。這就意味著，以往在桌面電腦、手機(jī)上所出現(xiàn)過(guò)的安全問(wèn)題，未來(lái)在智能網(wǎng)聯(lián)汽車(chē)中也同樣會(huì)出現(xiàn)。

在國(guó)家信息中心公共部安全處處長(zhǎng)邵國(guó)安看來(lái)，隨著5G通信技術(shù)應(yīng)用落地和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，“萬(wàn)物+”時(shí)代漸行漸近。不過(guò)，隨著IoT多層弱點(diǎn)的逐一暴露，智能設(shè)備被劫持、IoT設(shè)備DDoS攻擊、勒索軟件滋生等隨之而來(lái)的安全問(wèn)題將會(huì)出現(xiàn)井噴式的爆發(fā)。

能否做安全的“主人”？

“搞網(wǎng)絡(luò)安全的人整天如履薄冰。”自然資源部信息中心總工程師顧炳中感喟良多。他說(shuō)，一旦發(fā)現(xiàn)設(shè)備存在安全隱患，就要監(jiān)測(cè)、測(cè)評(píng)，找到漏洞、查代碼、堵住它。然而安全隱患好像永遠(yuǎn)都存在，這讓負(fù)責(zé)網(wǎng)絡(luò)安全的人深陷找漏洞、打補(bǔ)丁這樣的“輪回”之中。“什么時(shí)候我們能從安全的‘奴隸’，變成安全的‘主人’？”

在物聯(lián)網(wǎng)時(shí)代，如何從網(wǎng)絡(luò)安全的困境中解脫出來(lái)？顧炳中認(rèn)為，理論界、安全廠商和從事安全工作的同仁都要沉下心來(lái)思考和研究：安全到底面臨怎樣的實(shí)質(zhì)問(wèn)題？

“研究者能不能提供一個(gè)新的安全模式、手段或方法？網(wǎng)安企業(yè)能不能拿出一個(gè)新的安全產(chǎn)品讓我們不至于永遠(yuǎn)被動(dòng)？安全公司與業(yè)務(wù)系統(tǒng)等各方之間的聯(lián)動(dòng)能否做到構(gòu)造安全于無(wú)形？“顧炳中發(fā)出一串反問(wèn)后，接著說(shuō)道，“物聯(lián)網(wǎng)時(shí)代，我們希望大家共同解決安全問(wèn)題，而不是滿世界態(tài)勢(shì)感知、滿世界安全監(jiān)測(cè)、滿世界都是掃描漏洞發(fā)現(xiàn)問(wèn)題這類(lèi)方式。”

顧炳中還提出，在萬(wàn)物互聯(lián)、泛網(wǎng)絡(luò)化的前提下，意味著或許整個(gè)世界要在安全的環(huán)境下構(gòu)筑一個(gè)可信的安全鏈，以使應(yīng)用真正得到安全，而不是窮于應(yīng)付整個(gè)安全問(wèn)題。

安全廠商的新機(jī)會(huì)？

保障物聯(lián)網(wǎng)空間安全，無(wú)疑是安全廠商們必須要面對(duì)的命題。有分析人士認(rèn)為，在不遠(yuǎn)的將來(lái)，物聯(lián)網(wǎng)安全將在業(yè)務(wù)上為安全廠商帶來(lái)新的無(wú)盡的增長(zhǎng)。

以車(chē)聯(lián)網(wǎng)為例，劉政平認(rèn)為，無(wú)論是特斯拉的電池事故，還是大眾、奧迪近期引發(fā)輿論關(guān)注的自動(dòng)駕駛汽車(chē)事故和車(chē)載信息娛樂(lè)系統(tǒng)漏洞，都反映了車(chē)聯(lián)網(wǎng)安全的迫切性。“設(shè)想幾十萬(wàn)臺(tái)車(chē)召回重新維修或者刷系統(tǒng)，所帶來(lái)的不光是成本問(wèn)題，還有品牌形象等一系列影響，因此，車(chē)聯(lián)網(wǎng)安全以后會(huì)是車(chē)廠的剛需。”

饒有意味的是，在這次的C3安全峰會(huì)中，還設(shè)置了一個(gè)智能網(wǎng)聯(lián)汽車(chē)網(wǎng)絡(luò)安全閉門(mén)座談會(huì)。劉政平透露，這個(gè)會(huì)議主要是聚集各家車(chē)企討論如何打造安全的車(chē)內(nèi)裝置，并監(jiān)控和保護(hù)車(chē)內(nèi)關(guān)鍵組件的信息安全。該會(huì)議正是因?yàn)檫^(guò)去一年里詢問(wèn)亞信安全車(chē)聯(lián)網(wǎng)解決方案的車(chē)企越來(lái)越多而設(shè)置的。

不過(guò)，劉政平也表示，諸如車(chē)聯(lián)網(wǎng)這樣復(fù)雜的系統(tǒng)，面臨的安全挑戰(zhàn)也更加復(fù)雜。黑客可能會(huì)盯上智能汽車(chē)各種傳感器的漏洞。安全人員要做的不僅是搞定代碼，還要理解車(chē)廠的工作流程，擁有深入行業(yè)的專(zhuān)業(yè)知識(shí)。這就要求安全廠商從汽車(chē)最先開(kāi)始的研發(fā)、設(shè)計(jì)階段，就制定安全方案，與車(chē)廠展開(kāi)深度的合作，將安全解決方案固化在車(chē)輛生產(chǎn)的每一個(gè)環(huán)節(jié)。而這勢(shì)必是一個(gè)長(zhǎng)期的流程。

而如果將車(chē)聯(lián)網(wǎng)放大到物聯(lián)網(wǎng)，可能面臨的問(wèn)題更加復(fù)雜。因此，物聯(lián)網(wǎng)安全看起來(lái)是新的機(jī)會(huì)，但距離安全廠商真正從中盈利，還需要一段路要走。

亞信安全業(yè)務(wù)安全產(chǎn)品部的總監(jiān)張輝也認(rèn)為，“現(xiàn)在整個(gè)物聯(lián)網(wǎng)沒(méi)有打開(kāi)市場(chǎng)，缺真正殺手級(jí)的應(yīng)用和場(chǎng)景，當(dāng)還沒(méi)有大規(guī)模應(yīng)用的時(shí)候，什么（盈利預(yù)期）都是虛的。”

“萬(wàn)物皆有身份”筑安全基礎(chǔ)

話說(shuō)回來(lái)，針對(duì)物聯(lián)網(wǎng)安全，就全世界來(lái)看，目前還沒(méi)有一個(gè)正規(guī)的法案出臺(tái)，大家也都還處于試水階段。

邵國(guó)安介紹說(shuō)，據(jù)報(bào)道，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院近期發(fā)布了《物聯(lián)網(wǎng)安全解決方案研究報(bào)告》。報(bào)告稱(chēng)，由于沒(méi)有一套統(tǒng)一的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，多數(shù)物聯(lián)網(wǎng)的設(shè)備可能受到網(wǎng)絡(luò)攻擊，將對(duì)國(guó)家構(gòu)成重大威脅。報(bào)告分析了車(chē)聯(lián)網(wǎng)、智能醫(yī)療、智能建筑、智能制造以及消費(fèi)者5個(gè)領(lǐng)域的物聯(lián)網(wǎng)安全狀況、風(fēng)險(xiǎn)和威脅，建議美國(guó)政府提高物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。

而從技術(shù)上，亞信安全副總裁陸光明提出未來(lái)可用“可信身份體系”保障未來(lái)的網(wǎng)絡(luò)安全的理念。他認(rèn)為，“萬(wàn)物皆有身份”既是萬(wàn)物互聯(lián)基礎(chǔ)，也是萬(wàn)物互聯(lián)可信的基礎(chǔ)。

“將來(lái)物聯(lián)網(wǎng)的安全，要充分發(fā)揮邊緣控制能力。”陸光明舉例說(shuō)，比如家庭路由要跟家里的攝像頭有交互，它要驗(yàn)證這個(gè)攝像頭是否可信，諸如此類(lèi)，所有的智能設(shè)備都要先進(jìn)行登記。“在萬(wàn)物互聯(lián)的場(chǎng)景下，安全威脅因素更加多樣，特別是要確保低功耗、低成本、大規(guī)模、多樣化的物聯(lián)網(wǎng)設(shè)備具有可信的身份。”

陸光明還提到，物聯(lián)網(wǎng)不僅讓人與物之間的連接沒(méi)有屏障，它還使虛擬世界與物理世界逐漸融為一體，此二者之間要形成安全可信的交融，這讓身份安全所轄范圍更加廣泛。

不過(guò)，陸光明認(rèn)為，身份認(rèn)證體系是一項(xiàng)巨大的工程，需要全產(chǎn)業(yè)鏈的眾志成城：身份管理必須要延伸到很多低功耗、低成本的IoT產(chǎn)品上，不僅身份認(rèn)證技術(shù)上需要實(shí)現(xiàn)員工、合作伙伴、移動(dòng)應(yīng)用、消費(fèi)者、微服務(wù)、API以及云與云之間的貫通，更離不開(kāi)從軟件、硬件到芯片等各個(gè)環(huán)節(jié)的協(xié)同。