物聯(lián)網(wǎng)信息安全難題怎么解

“要像管理食品安全一樣，管理物聯(lián)網(wǎng)安全問題，任何器件，不論是傳感器件還是傳輸器件，都要經(jīng)過嚴(yán)格的標(biāo)識，只有這樣才能保證其安全?！?日，在2016世界物聯(lián)網(wǎng)博覽會信息安全高峰論壇上，中國工程院院士何德全說。

何德全表示，與互聯(lián)網(wǎng)一般連接幾十億到上百億端口相比，物聯(lián)網(wǎng)至少要連接幾萬億端口，器件數(shù)量更多，這種量變會引起質(zhì)變。雖然物聯(lián)網(wǎng)連接的物件比較簡單，但由于其地域、廠家甚至標(biāo)準(zhǔn)的分散，使其多樣性和復(fù)雜性大大增強(qiáng)，而安全性和復(fù)雜性是成正比的，這也就使其安全問題更加不可控。

“破解物聯(lián)網(wǎng)信息安全問題，一定要知道其漏洞在哪里，然后做出針對性的響應(yīng)。就像一棟樓的安全設(shè)計人員，首先一定要了解這棟樓的架構(gòu)才知道去哪里安裝防盜門窗?！睙o錫物聯(lián)網(wǎng)產(chǎn)業(yè)研究院副院長沈杰說。

對剛剛過去10天的美國DNS服務(wù)商Dyn遭遇DDoS攻擊事件，沈杰很是痛心。那起事件中，大量攝像頭被黑客利用，作為一種攻擊源頭。究其原因，沈杰分析，首先，大部分物聯(lián)網(wǎng)用戶和廠商安全意識非常缺乏，無人職守的設(shè)備認(rèn)證體系非常脆弱，這些攝像頭里面都有一個后門的賬號，但大家都沒有意識到要去修改和保護(hù)它；其次，現(xiàn)在整個物聯(lián)網(wǎng)產(chǎn)業(yè)環(huán)節(jié)比較多，然而到目前為止還沒有部署安全防護(hù)體系，物聯(lián)網(wǎng)事實上不僅是一個純通訊的問題，關(guān)聯(lián)到整個物理世界，缺乏統(tǒng)一的頂層設(shè)計；再就是設(shè)備本身的信任問題、身份問題，到底該怎樣認(rèn)證仍有很多的挑戰(zhàn)。

的確，安天公司創(chuàng)始人、首席技術(shù)架構(gòu)師肖新光表示，他在和國內(nèi)知名攝像頭廠家接觸中，發(fā)現(xiàn)其客服被詢問最多的問題就是“忘記了口令”。很多人為了追求使用的便利性，往往使用默認(rèn)口令，或是口令非常簡單，這就使黑客有機(jī)可乘。

“10月21日美國這起事件的后果被嚴(yán)重夸大了，而大量物聯(lián)網(wǎng)設(shè)備早已被木馬感染這個事實反而被忽視了。這些設(shè)備并不只是攻擊的工具和跳板，其就是社會的基礎(chǔ)傳感器和感知單元，最壞的事情，并不是其入侵后被用于DDoS其他節(jié)點(diǎn)，而是其被入侵這個事實本身?！毙ば鹿庹f。

在肖新光看來，物聯(lián)網(wǎng)帶來的安全威脅主要是提升了網(wǎng)絡(luò)攻擊對實體空間數(shù)據(jù)的獲取能力，增大了網(wǎng)絡(luò)攻擊轉(zhuǎn)化為實體空間后果的風(fēng)險，為網(wǎng)絡(luò)攻擊提供更多可利用的節(jié)點(diǎn)。與此對比，網(wǎng)絡(luò)安全工作者還沒有形成系統(tǒng)的安全認(rèn)知，目前看存在的主要問題是以基礎(chǔ)核心技術(shù)的短板為核心焦慮，以合規(guī)檢查和單點(diǎn)環(huán)境對抗為主要手段，對系統(tǒng)的整體性威脅的流動性和連接部的脆弱性考慮不足。

盡管如此，何德全認(rèn)為，物聯(lián)網(wǎng)安全問題既是挑戰(zhàn)也是難得的機(jī)遇。物聯(lián)網(wǎng)器件如此之多，這對解決我國的微電子、器件產(chǎn)業(yè)國產(chǎn)化問題就是機(jī)會，只有國產(chǎn)化才能從根本上解決我國物聯(lián)網(wǎng)的安全問題。與此同時，如果物聯(lián)網(wǎng)實現(xiàn)了國產(chǎn)化，進(jìn)而也可以倒逼整個信息產(chǎn)業(yè)的國產(chǎn)化，這樣困擾我們多年的問題就解決了。

“物聯(lián)網(wǎng)安全不是一家企業(yè)能夠獨(dú)善其身的，需要加強(qiáng)企業(yè)間的協(xié)同合作?！?60企業(yè)安全集團(tuán)高級副總裁何新飛說，一是數(shù)據(jù)協(xié)同，核心就是要有統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)、交換信息以及認(rèn)證，如果名字都不一樣，就無法進(jìn)行信息的交換；二是智能協(xié)同，發(fā)現(xiàn)風(fēng)險后，如何有效控制和降低這種風(fēng)險，需要情報和策略的協(xié)同；再就是產(chǎn)業(yè)協(xié)同。（記者 付麗麗）