黨博文

近日，湖北省公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊通報了“武漢網(wǎng)警破獲湖北省首例入侵物聯(lián)網(wǎng)系統(tǒng)案”，案件中一物聯(lián)網(wǎng)科技公司10萬臺設(shè)備一夜之間脫網(wǎng)掉線，無法正常運行，造成了嚴(yán)重經(jīng)濟損失。

物聯(lián)網(wǎng)作為與互聯(lián)網(wǎng)深度融合的產(chǎn)物，推動了產(chǎn)業(yè)鏈、價值鏈的重塑再造，讓設(shè)計、生產(chǎn)、服務(wù)等全產(chǎn)業(yè)鏈的生產(chǎn)模式成為常態(tài)，在提高生產(chǎn)效率的同時，也為設(shè)備信息安全隱患埋下了伏筆，隨著“湖北省首例入侵物聯(lián)網(wǎng)系統(tǒng)案”落下帷幕，事件雖已水落石出，但是物聯(lián)網(wǎng)如何做到安全可靠這一問題又被擺在上臺面，在物聯(lián)網(wǎng)飛速發(fā)展的今天，安全與效率像是霎時間變成了“悖論”。

物聯(lián)網(wǎng)安全是如何誕生的？

物聯(lián)網(wǎng)的出現(xiàn)打破了傳統(tǒng)行業(yè)相對封閉可信的環(huán)境，打通了互聯(lián)網(wǎng)與設(shè)備間的互聯(lián)互通，在提高生產(chǎn)效率的同時，也造成了木馬、病毒等安全風(fēng)險產(chǎn)生的威脅。

造成這一狀況的主要是因為物聯(lián)網(wǎng)整體技術(shù)較為復(fù)雜，很多技術(shù)仍處于“中西合璧”的狀態(tài)，在一定程度上造成了不穩(wěn)定性和安全隱患。

其次，由于網(wǎng)絡(luò)安全事件具有很強的隱蔽性，一個技術(shù)漏洞、安全風(fēng)險可能隱藏了幾年都不被發(fā)現(xiàn)，這也是長期潛在的安全隱患。

最后，我國的企業(yè)普遍與網(wǎng)絡(luò)安全企業(yè)深度合作較少，在面對病毒等網(wǎng)絡(luò)攻擊時的應(yīng)對能力不足。

眾所周知，物聯(lián)網(wǎng)所蘊含的價值遠超消費互聯(lián)網(wǎng)，當(dāng)我們享受物聯(lián)網(wǎng)帶來的高效工作的同時，不法分子也時刻伺機竊取這塊缺乏看守的“蛋糕”，回看此次事件，經(jīng)審查核實，該公司離職員工通過破解了該公司的物聯(lián)網(wǎng)服務(wù)器，利用系統(tǒng)的漏洞將終端設(shè)備進行惡意升級，從而導(dǎo)致100余臺設(shè)備系統(tǒng)損壞，無法正常工作，同時離職人員還模擬了終端設(shè)備，遠程給該公司服務(wù)器發(fā)送偽造離線報文，導(dǎo)致10萬臺設(shè)備離線。

賽迪智庫網(wǎng)絡(luò)安全所劉玉琢表示，首先，物聯(lián)網(wǎng)最大的安全風(fēng)險來源于傳感器網(wǎng)絡(luò)，傳感器網(wǎng)絡(luò)中有大量的物聯(lián)網(wǎng)設(shè)備，任何一個安全性較差的IoT設(shè)備和服務(wù)都可以成為物聯(lián)網(wǎng)攻擊的入口;其次，由于物聯(lián)網(wǎng)設(shè)備低功耗的特點，很難在設(shè)備中嵌入大量的安全機制，導(dǎo)致多數(shù)物聯(lián)網(wǎng)設(shè)備都缺乏內(nèi)置的安全防范功能，容易受到惡意軟件和黑客的攻擊;最后，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)使DDoS攻擊的規(guī)模急劇增長，一旦黑客控制大量僵尸節(jié)點，非常容易向中樞發(fā)動攻擊。2016年美國東部一所大學(xué)就遭到了DDos攻擊，罪魁禍?zhǔn)拙褪切@周圍5000多臺受感染的IoT設(shè)備構(gòu)成的僵尸網(wǎng)絡(luò)。

綠盟科技星云實驗室負責(zé)人劉文懋認(rèn)為，此次“入侵物聯(lián)網(wǎng)系統(tǒng)案”是一個聚端、管、云與一體的典型物聯(lián)網(wǎng)安全事件，當(dāng)前，物聯(lián)網(wǎng)云平臺正成為不法分子新一輪攻擊點，與傳統(tǒng)的攻擊物聯(lián)網(wǎng)設(shè)備不同，云端的破壞力更加巨大且極易造成嚴(yán)重的經(jīng)濟損失。

劉文懋表示，對于設(shè)備使用方或者運營方而言，更要有數(shù)據(jù)信息安全的意識，從制度上、流程上、源頭上加強對數(shù)據(jù)信息安全的管控。

從國家層面來看，網(wǎng)絡(luò)安全首先需要國家出臺政策進一步完善。劉文懋表示，當(dāng)前，監(jiān)管機構(gòu)正陸續(xù)起草廣泛的物聯(lián)網(wǎng)安全保護法規(guī)，為應(yīng)對多年來不斷發(fā)生的數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊，針對物聯(lián)網(wǎng)的快速發(fā)展我們可以看到一套全面的物聯(lián)網(wǎng)絡(luò)法規(guī)正逐漸興起。

從云平臺及設(shè)備廠商來看，企業(yè)亟需構(gòu)建安全閉環(huán)。劉文懋表示，傳統(tǒng)安全手段不能滿足特定場景下的安全防護，企業(yè)在滿足合規(guī)性的前提下仍需部署一個以防護、響應(yīng)、檢測為一體的安全機制，在違規(guī)操作頻繁發(fā)生時立即給予預(yù)測阻斷性維護，增加自身安全能力。

安全從物聯(lián)網(wǎng)設(shè)備抓起

劉玉琢認(rèn)為，保障物聯(lián)網(wǎng)安全首先要加強IoT設(shè)備的安全?？梢詮膬蓚€方面考慮增加設(shè)備的安全性：一方面，可以增加IoT設(shè)備的存儲空間，這樣就可以在IoT設(shè)備中嵌入安全軟件，這么做的弊端是成本會急劇上升;另一方面，可以減少設(shè)備不必要的功能，正所謂功能越多，漏洞便越多。

其次要加強IoT傳輸網(wǎng)絡(luò)的安全。一方面，要加強網(wǎng)絡(luò)通信協(xié)議自身的安全防護，因為目前越來越多的黑客瞄準(zhǔn)通信協(xié)議入手進行破解攻擊;另一方面，要對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行加密，防止數(shù)據(jù)明文傳輸被輕易截獲。

最后要強化對物聯(lián)網(wǎng)安全管理。包括定期更新IoT設(shè)備的補丁、更改默認(rèn)密碼等大家熟知的安全措施;還包括要上一些安全監(jiān)測、預(yù)警的系統(tǒng)，一旦發(fā)現(xiàn)異常流量等問題，及時對攻擊進行阻斷;還有就是要定期組織對物聯(lián)網(wǎng)的安全評估，請第三方專業(yè)機構(gòu)對網(wǎng)絡(luò)層、設(shè)備層等IoT各方面進行檢測和評估。

此外，劉玉琢特別指出，應(yīng)該正確處理安全與效率的關(guān)系，在安全的前提下，提高物聯(lián)網(wǎng)工作的效率，不同場景下的物聯(lián)網(wǎng)劃分成不同的安全等級。

例如，關(guān)鍵信息基礎(chǔ)設(shè)施、軍事等領(lǐng)域的物聯(lián)網(wǎng)必然要先保證其安全性，然后才是提高效率問題。針對不同級別的物聯(lián)網(wǎng)場景，對其安全保護措施也不相同，例如，電力、能源等領(lǐng)域IoT設(shè)備的安全要求必然要高于智能門鎖、智能電視等一般生活場景下的IoT設(shè)備。在部分非關(guān)鍵、非重要的場景，可以更多地追求效率;但是在關(guān)鍵領(lǐng)域，要保證安全第一。

日前，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局局長趙志國在2019數(shù)博會上指出，進一步做好新形勢下網(wǎng)絡(luò)與數(shù)據(jù)安全工作，一是要凝聚共識，構(gòu)建新時代網(wǎng)絡(luò)與數(shù)據(jù)安全工作的“同心圓”;二是要聚焦重點，有效提升網(wǎng)絡(luò)與數(shù)據(jù)安全保障能力;三是要創(chuàng)新引領(lǐng)，積極發(fā)展壯大網(wǎng)絡(luò)與數(shù)據(jù)安全產(chǎn)業(yè);四是要共治共享，營造網(wǎng)絡(luò)與數(shù)據(jù)安全良好生態(tài)。

打造安全可控的操作系統(tǒng)與物聯(lián)網(wǎng)平臺需要接受實踐的檢驗和時間的考驗，我們從互聯(lián)網(wǎng)時代一路走來，面對并克服了大大小小的病毒與漏洞威脅，物聯(lián)網(wǎng)安全的攻與防也是一個不斷博弈的過程，冰凍三尺非一日之寒，安全技術(shù)的不斷迭代與完善也非一朝一夕可以完成，更不會一勞永逸。