设想一下这样的场景:当我们睁开朦胧的睡眼,清晨的第一缕阳光便透过窗,随着窗帘的自动拉开缓缓的照亮了整个卧室;当我们洗漱完毕走进厨房,智能厨房系统早已自动准备好了一份营养丰盛的早餐。
在“万物物联”的时代,不论是可以监测睡眠状态的智能手环、“懂你所想”的智能家居等智能设备,还是每天为交通出行提供可靠参考的车联网、智慧交通、智慧医疗等智能应用场景,亦或是工业生产中监测、控制生产的智能传感器、工业机器人,“物联网”应用无处不在,它的安全与否,则与我们的生产生活息息相关。
在11月1日举办的“2016世界物联网博览会信息安全高峰论坛暨第九届信息安全漏洞分析与风险评估大会”上,多位院士、业界专家齐聚无锡,共同探讨物联网信息安全。
信息安全的“受害者”还是“帮凶”?
中国信息安全测评中心专家委员会副主任黄殿中告诉《中国科学报》记者,截止2015年,全球有近50亿个终端设备接入互联。2015年,我国物联网技术的产业规模已经突破7500亿元,已在安防、交通、医疗、电力、农业、林业、环保、金融等领域得到应用,并有望在2017年成为下一个万亿级的信息技术产业。
然而,随着物联网的不断推进和应用落地,物联网的安全问题却日益凸显。
2016年10月21日,美国发生了被誉为全球首起利用“物联网”设备进行大规模DDoS(分布式拒绝服务)攻击的网络瘫痪事件。多达10万台(也有人估计数量多达百万台甚至亿级)的物联网设备遭“未来”病毒感染,以发送通信请求来占用网络资源,导致美国东海岸和欧洲部分地区出现大规模的网络瘫痪。
“美国的攻击事件说明,在物联网时代,每一个联网设备、系统或终端应用都可能成为攻击源、被攻击目标或攻击者的帮凶。”中国信息安全评测中心副主任李守鹏对《中国科学报》记者说。
物联网“发展”和“安全建设”孰轻孰重?
在中国工程院院士何德全看来,当前物联网发展迅猛但安全问题却屡出不断、甚至对安全的威胁还有继续增长的态势,这些都基于我们之前对物联网安全性考虑不足所造成的。
“国家开始发展物联网时的顶层设计和协议都做的很好,但物联网的‘发展’和‘安全建设’犹如车的两个轮子,只有互相配合好才能平稳行驶,找到他们之间的‘平衡点’至关重要。”何德全说。
何德全认为,认识事物要通过“比较”,物联网作为一个比互联网更加复杂多样、具有更大跨度尺寸的系统,要更多的从其复杂性、分散性等方面来考虑其安全问题。
与互联网相比,物联网链接的端口数量多、结构简单,厂家、标准等分散,大大加强了其多样性和复杂性;在传输方面,互联网只需要把握住传输的前、后两端即可,而物联网传输的全生命周期都要保持,否则就会有安全问题;功能方面,物联网的各个节点不仅要保证数据安全,还要考虑动作、控制的安全等。
专家普遍认为,大部分物联网体系架构缺乏安全认证机制、物联网产业链涉及的环节过多、海量终端实时在线易成攻击“帮凶”、政策管理及标准研制方面缺乏整体的框架体系,也是构成当前物联网安全事件频发的原因。
“传统的互联网设备复杂,每一个存储过程、文件的上传下载过程都可能被攻击者利用,而物联网设备简单,甚至只需要一开一关。虽然现阶段物联网的安全性欠佳,但长远来看,物联网的安全性将比互联网更优。”以色列捷邦安全软件科技有限公司(Check Point)全球物联网软件研发总监Yiftach Cohen(依夫塔哈·可恩)在接受《中国科学报》记者专访时说。
“简化”是否可行?
“像物联网这种复杂的多因素的系统,可以通过‘简化’来处理。西方的网络安全公司也都提出了用‘简化’来解决物联网的方法,并已达成了一定的共识。”何德全说。
Cohen(依夫塔哈·可恩)表达了与何德全相似的观点。他认为,对物联网来说,工程师们需要在设计上保证从物联网设备到云端链接的唯一性和安全性,然后再将云端开放给用户,也就是注重端对端的保密,使用轻量级密码的‘简化’方法。
“简化虽然可能会增加一点网络攻击的漏洞,但是如果算细账的话,至少 ‘攻’和‘防’的不对称性可以减少一些,在安全的投入也会更少一点,安全的效益会更好了,而得到相对安全的一个结果。”何德全说。
专家表示,物联网设备等微电子器件的国产化、政策的持续性、安全标准和规范的落实、加强安全立法、提高人们的物联网安全意识、注重物联网人才培养等也是解决物联网的安全问题的关键。
“在可预见的未来,物联网领域都将是安全高发地和网络安全治理的重点区。我们在政、企、科研机构共同努力,强化技术保障能力的同时,也应防范于未然,建立物联网信息安全重大事件信息相应机制,提升事件处理能力。”黄殿中说。