賽迪智庫網(wǎng)絡安全所劉玉琢表示����,首先,物聯(lián)網(wǎng)最大的安全風險來源于傳感器網(wǎng)絡���,傳感器網(wǎng)絡中有大量的物聯(lián)網(wǎng)設備�����,任何一個安全性較差的IoT設備和服務都可以成為物聯(lián)網(wǎng)攻擊的入口�;其次�����,由于物聯(lián)網(wǎng)設備低功耗的特點,很難在設備中嵌入大量的安全機制�����,導致多數(shù)物聯(lián)網(wǎng)設備都缺乏內(nèi)置的安全防范功能����,容易受到惡意軟件和黑客的攻擊;最后���,物聯(lián)網(wǎng)僵尸網(wǎng)絡使DDoS攻擊的規(guī)模急劇增長����,一旦黑客控制大量僵尸節(jié)點���,非常容易向中樞發(fā)動攻擊���,2016年美國東部一所大學就遭到了DDos攻擊,罪魁禍首就是校園周圍5000多臺受感染的IoT設備構成的僵尸網(wǎng)絡�。
綠盟科技星云實驗室負責人劉文懋認為��,此次“入侵物聯(lián)網(wǎng)系統(tǒng)案”是一個聚端、管�����、云與一體的典型物聯(lián)網(wǎng)安全事件����,當前,物聯(lián)網(wǎng)云平臺正成為不法分子新一輪攻擊點����,與傳統(tǒng)的攻擊物聯(lián)網(wǎng)設備不同,云端的破壞力更加巨大且極易造成嚴重的經(jīng)濟損失�����。
劉文懋表示�,對于設備使用方或者運營方而言,更要有數(shù)據(jù)信息安全的意識����,從制度上、流程上���、源頭上加強對數(shù)據(jù)信息安全的管控��。
從國家層面來看���,網(wǎng)絡安全首先需要國家出臺政策進一步完善��。劉文懋表示���,當前,監(jiān)管機構正陸續(xù)起草廣泛的物聯(lián)網(wǎng)安全保護法規(guī)�,為應對多年來不斷發(fā)生的數(shù)據(jù)泄露和網(wǎng)絡攻擊,針對物聯(lián)網(wǎng)的快速發(fā)展我們可以看到一套全面的物聯(lián)網(wǎng)絡法規(guī)正逐漸興起��。
從云平臺及設備廠商來看����,企業(yè)亟需構建安全閉環(huán)。劉文懋表示����,傳統(tǒng)安全手段不能滿足特定場景下的安全防護,企業(yè)在滿足合規(guī)性的前提下仍需部署一個以防護����、響應、檢測為一體的安全機制,在違規(guī)操作頻繁發(fā)生時立即給予預測阻斷性維護�,增加自身安全能力�����。
劉玉琢認為�,保障物聯(lián)網(wǎng)安全首先要加強IoT設備的安全。可以從兩個方面考慮增加設備的安全性:一方面���,可以增加IoT設備的存儲空間���,這樣就可以在IoT設備中嵌入安全軟件,這么做的弊端是成本會急劇上升�����;另一方面��,可以減少設備不必要的功能�,正所謂功能越多,漏洞便越多�。
其次要加強IoT傳輸網(wǎng)絡的安全。一方面�����,要加強網(wǎng)絡通信協(xié)議自身的安全防護,因為目前越來越多的黑客瞄準通信協(xié)議入手進行破解攻擊��;另一方面���,要對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行加密����,防止數(shù)據(jù)明文傳輸被輕易截獲����。
最后要要強化對物聯(lián)網(wǎng)安全管理。包括定期更新IoT設備的補丁��、更改默認密碼等大家熟知的安全措施���;還包括要上一些安全監(jiān)測��、預警的系統(tǒng)����,一旦發(fā)現(xiàn)異常流量等問題��,及時對攻擊進行阻斷;還有就是要定期組織對物聯(lián)網(wǎng)的安全評估��,請第三方專業(yè)機構對網(wǎng)絡層���、設備層等IoT各方面進行檢測和評估����。
此外��,劉玉琢特別指出�����,應該正確處理安全與效率的關系�����,在安全的前提下��,提高物聯(lián)網(wǎng)工作的效率��,不同場景下的物聯(lián)網(wǎng)劃分成不同的安全等級����。
例如,關鍵信息基礎設施�����、軍事等領域的物聯(lián)網(wǎng)必然要先保證其安全性��,然后才是提高效率問題���。針對不同級別的物聯(lián)網(wǎng)場景����,對其安全保護措施也不相同���,例如���,電力、能源等領域IoT設備的安全要求必然要高于智能門鎖����、智能電視等一般生活場景下的IoT設備。在部分非關鍵�、非重要的場景,可以更多地追求效率�;但是在關鍵領域�,要保證安全第一�。
日前,工業(yè)和信息化部網(wǎng)絡安全管理局局長趙志國在2019數(shù)博會中指出���,進一步做好新形勢下網(wǎng)絡與數(shù)據(jù)安全工作���,一是要凝聚共識,構建新時代網(wǎng)絡與數(shù)據(jù)安全工作的“同心圓”���;二是要聚焦重點,有效提升網(wǎng)絡與數(shù)據(jù)安全保障能力�����;三是要創(chuàng)新引領���,積極發(fā)展壯大網(wǎng)絡與數(shù)據(jù)安全產(chǎn)業(yè)���;四是要共治共享,營造網(wǎng)絡與數(shù)據(jù)安全良好生態(tài)����。
打造安全可控的操作系統(tǒng)與物聯(lián)網(wǎng)平臺需要接受實踐的檢驗和時間的考驗�,我們從互聯(lián)網(wǎng)時代一路走來��,面對和克服了大大小小的病毒與漏洞威脅����,物聯(lián)網(wǎng)安全的攻與防也是一個不斷博弈的過程,冰凍三尺非一日之寒�����,安全技術的不斷迭代與完善也非一朝一夕可以完成����,更不會一勞永逸。
