物联网(IoT)实现了物与物、物与人之间的泛在连接,让万物互联从理想走向了现实。从车联网、工业物联网乃至家居物联网,物联网正在为越来越多的行业注入新的发展活力。
在十四五规划中,“物联网”被划定为7大数字经济重点产业之一,并明确指出将在基础设施、接入能力、应用场景三个方面进行布局。毫无疑问,物联网已成为我国十四五建设的重要组成部分,将迎来持续增长空间。
然而,物联网技术在为民生、经济和企业发展带来新机遇的同时,由此引发的黑客攻击、网络攻击、信息泄露、隐私保护等安全问题层出不穷,危害更加突出,物联网安全日益受到企业和消费者的广泛担忧和重视。如何有效地利用物联网技术的优势为自身发展创造价值,成为了物联网行业参与者的“必答题”。
为此,针对“物联网安全”这一核心命题,本期「产业安全观智库访谈」邀请到了中国信息通信研究院安全研究所主任柯皓仁和行业资深CSO周智坚两位专家,从物联网安全的当前规律和未来趋势出发,解析IoT安全的痛点和建设思路。
物联网应用持续落地,背后的安全问题亟待解决
Q1:物联网在带来诸多便利的同时,安全性也正在被全社会广泛关注。从近年的物联网安全事件中,可以发现哪些普遍性的规律和趋势?
柯皓仁:从整体规律来看,首先攻击方式现在比较多样化。从原来一些比较单一的手段,比如说在2000年-2010年之间,都是一些病毒木马、个人隐私等相关的攻击居多。但近几年,攻击目标、攻击手段也逐渐渗透了物联网应用的工业领域或者其他一些行业领域里。原来互联网的安全攻击面向应用,但是现在面向整个物联网的多种应用平台、多种的智能终端。
攻击技术也发生了变化,黑客或者其他的一些具有攻击目的组织,会利用人工智能,区块链这些新的技术发起攻击。特别是到了企业侧,物联网技术应用更加会引起具有商业目的或者敌对国家,有组织行为的攻击。整个攻击方式、工具、技术,相对于原来的个人黑客攻击还不太一样,它造成的危害也会比较大。
从大的趋势来讲,物联网应用的场景以后也要分多层级,去进行相应的安全设计和防护。因为个人更加注重个人隐私保护,但企业更加注重业务应用,包括工业数据或者业务数据安全性的保护。
另外,我们国家也在推数字化转型,重点面向一些国有工业、企业进行工业转移升级、工业4.0,在这个过程中物联网技术应用比较多,物联网安全会更加受到国家关注。在大的趋势上,整个物联网安全相关的一些政策标准会趋于完善,但是目前刚刚起步,虽然物联网已经提了十几年了,但是整个物联网安全的顶层设计,不管是指南性的,或者说标准政策的、法规性的还是比较弱。
周智坚:我个人理解物联网目前还没有大规模的推广,它其实还在一个概念阶段。但是物联网爆发的时间很快会出现,因为国家现在在做整个国企的数字化转型。从趋势来讲,接下来五年到十年的时间,物联网的趋势会越来越明显。
物联网就相当于我们把手机全部放在网上,只要放在网上,它就会有安全问题;相当于生产环境里面所有的东西,都暴露在互联网上,它的安全问题影响会非常大。这也就意味着安全是企业的深层问题。
Q2:您认为当前物联网行业还存在哪些普遍性的安全痛点?
柯皓仁:第一,针对用户的个人应用场景,包括消费互联网、移动互联网。首先终端的多样性,在通信层面我们使用的无线的通信协议,包括Zigbee、传统的电信通信3G,4G,5G、工业领域的通讯协议,智能终端的变化防护起来的话就会比较困难。另外,因为物联网在端一侧大规模、海量的应用,对于防护者来讲的很难做到有效的防护。针对个人用户,物联网应用加大了便利性,但是个人隐私保护,还处于相对不成熟的阶段。这也是防护的重点、想解决的痛点。
第二,从企业侧来讲,应用手段已经相对比较成熟了,但很多企业不敢用,就是所谓的安全痛点在。因为他不知道企业应用物联网技术后,会存在哪些安全风险或者带来一些新的安全危险,可能造成的安全损失比获得的便利性要更加严重。对于物联网应用的普及和推广,作为企业用户,就会有这样的顾虑。
从这个层面看有一些痛点亟待解决。但是企业用户更加需要去解决顶层设计、从整个安全闭环管理上,去解决业务上的安全防护要求,对于企业用户会是比较合适的道路。
周智坚:关键问题是行业没有形成大的、实际上的场景趋势。物联网的参与者,比如物联网平台、以及IoT设备的制造商,他们之间都没有很好的标准,就会有很多的乱象,这是最大的痛点。
这种痛点就导致因为没有场景,企业投入安全面临到底有多少产出的问题,他利益是不成正比,这是最根本的核心问题,并不是他不想去做安全。当场景足够广泛以及安全问题对他的投入产出比影响足够大的时候,那么这种痛点自然而然就会消失。
安全厂商该如何应对,确保物联网产业安全?
Q3:对于物联网安全体系建设,您有哪些建议呢?
柯皓仁:可以从两个方向来讨论,一个是安全管理,一个是安全技术体系的建立。
首先,从安全管理体系的话,也分几个维度:
第一,整个国家的主管部门、行业主管部门到产业链各方,要完善顶层的体系建设、安全管理体系建设,比如行业主管部门应该推动完善一些顶层设计、标准政策、技术标准、管理标准,顶层的建设意见、指南规范等的建设。
第二,回到应用物联网本身,整个安全管理体系的建设能够形成企业内部的安全管理闭环,包括安全风险识别、安全风险管理、组织架构、安全风险评估、应急演练,能够去发现安全事件,进行应急的处置和恢复。
其次,回到安全技术体系,从大的层面上,逐渐完善我们云管边端每个层面的安全技术能力的建设。
- 端一侧,相应技术体系构建,用一些新的技术,把相应的安全技术进行进一步的提升;
- 终端一侧,会有轻量级的安全防护解决方案,有相应的产品的孵化和应用;
- 网络一侧,针对不同的物联网层级,有不同的安全技术防护内容,比如在5G网络环境下,怎么样去利用5G本身提升的安全性能,怎么样在5G+物联网应用过程中,去建设整个安全防护的技术体系。
针对安全防护对象不同、物联网应用的场景不同,去设计安全技术体系,比如数据安全,到底是保护的是个人信息,还是保护企业侧的物联网应用业务数据、生产数据。
所以说,分类别或者分级别去进行安全技术体系的构建,从端、云、平台侧,去构建相对比较完善的技术体系。
周智坚:对于安全,我自己有一个概念叫1+1+N,即一句话的安全架构+一个安全ERP+N个安全产品。未来的物联网安全跟现在的产业物联网数字化转型的区别就在于它加了IoT设备,整个设备从生产、制造设计到运输和部署整个环节的安全问题,因为是一整个生态链很难控制。我对于IoT安全的体系建设的展望:IoT设备的安全加上1+1+N,就能从框架上比较全面的覆盖整个物联网行业的安全风险。
Q4:物联网产业和安全产业应该如何联动去持续优化安全能力,专业的安全厂商可以提供哪些助力?
柯皓仁:目前物联网安全厂商专业划分不多,很多传统的安全厂商、头部企业都有自己的产业互联网、物联网的安全事业部或者分支。但从本身的赋能来讲,技术能力、技术体系是趋向一致的,并没有特别大的变革。物联网安全企业它本身的驱动力是有的,行业是逐步上升的趋势。一些产业预测物联网安全是持续增长,到2025、 2030可能会有一个比较好的市场爆发。
我认为存在这两种发展道路:第一,像头部的安全企业,或者是传统的网络安全企业,针对物联网安全再去细化或者做整个产品线的迭代,产品的应用能够深入推广,逐渐形成第一梯队。第二,从工信部的角度来讲的,也希望能够培育出来细分领域的龙头物联网安全企业,对产业是比较好的趋势。
但是要把物联网安全企业和物联网产业充分结合起来,要打通的东西还比较多。除了顶层设计上缺失外,物联网的一些设备终端的提供商,不管是从他的能力上或者成本角度来讲,对于安全的驱动力是弱的。但是物联网安全企业他了解安全风险的隐患,有大的驱动力去投入。
不仅如此,个人用户和企业用户对物联网安全企业也提出了不同需求,比如专注于消费物联网还是回到企业一端,有两个大的区别。这也注定了物联网安全企业,在整个物联网产业链条上要寻找好自己的定位。
总的来讲,未来5-10年,包括一些权威的产业预测,物联网安全企业的发展还是向好的。
周智坚:实际上,物联网行业跟现在所处的数字化转型或者产业互联不同的点在于,数字化转型可能只是把业务信息化、数据化、甚至自动化。但是物联网会把所有的生产性设备都互联化了,成为了生产的一部分,物联网安全跟企业本身融为了一体、跟业务是完全融合的。这也是物联网安全的特点:没有安全,物联网的产品本身就很难去走向市场,安全也是它物联、互动的关键。
所以物联网时代,它的产业跟安全的结合点应该要实现一体化的运营,安全也要数字化、自动化。这样的话,它们的联动、生态才能不断的扩展,往健康的方向去走。
目前安全厂家做准备就行了,因为盈利的时代还没有来,它只要关注。比如说关注现在IoT设备到底有哪些?看看他们到底有哪些问题。
我有三个建议:第一,对于设备这一块,要有评价的标准,可以是服务。第二,对于设备本身符不符合安全等级,要有检测的平台或者模拟攻击的平台去检测它。第三,整个平台的运营过程中,要按照安全的数字化运营的方式,我刚才提到的安全1+1+N的方式去做,1+1+N现在也有很多企业都在做。打好现在的基础,那么以后loT来了自然而然的就能赶上一波好时代。
写在最后
近几年基于物联网技术的智慧城市、工业互联网、智慧医疗等相继落地,我国物联网市场规模不断扩大。数据显示,到2024年中国物联网市场支出将增加到3133亿美元。然而,物联网还面临着需求碎片化、技术复杂多变,安全事件频发、安全风险扩大,以及成本过高、盈利模式不明确、缺乏顶层设计、行业标准等多层次的问题。这也就对物联网的发展提出了进一步的要求,多方共建共治共享成为大势所趋。
作为产业安全的领导者,腾讯一直深耕物联网等前沿技术领域的安全研究。在车联网方面,汇总了实验室过去四五年间在车联网安全上的经验积累,发布了专注于嵌入式系统的全自动安全基线审计的渗透测试辅助平台工具sysAuditor,可以把90%共性安全问题检测出来;为促进行业规范化发展,腾讯牵头的国际标准“物联网异构设备的数据安全要求”成功通过了国际电信联盟的审议并立项。在生态建设上,与泰尔实验室共建创新研发中心,护航物联网产业安全。未来,腾讯将持续开放安全能力,共建繁荣的物联网产业生态。
来源:freebuf.com 2021-04-09 10:57:57 by: 腾讯安全
请登录后发表评论
注册