5月17日,湖北省公安厅网络安全保卫总队通报了“武汉网警破获湖北省首例入侵物联网系统案”,案件中一物联网科技公司10万台设备一夜之间脱网掉线,无法正常运行,造成了严重经济损失。
物联网作为与互联网深度融合的产物,推动了产业链、价值链的重塑再造,让设计、生产、服务等全产业链的生产模式成为常态,在提高生产效率的同时,也为设备信息安全隐患埋下了伏笔,随着“湖北省首例入侵物联网系统案”落下帷幕,事件虽已水落石出,但是物联网到底安全可靠这一问题又被摆在了台面,在物联网飞速发展的今天,安全与效率像是霎时间变成了“悖论”。
物联网安全是如何诞生的?
物联网的出现打破了传统行业相对封闭可信的环境,打通了互联网与设备间的互联互通,在提高生产效率的同时,也造成了木马、病毒等安全风险产生的威胁。
造成这一原因主要是因为物联网整体技术较为复杂,很多技术仍处于“中西合璧”的状态,在一定程度上造成了不稳定性和安全隐患。
其次,由于网络安全事件具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏了几年都不被发现,这也是长期潜在的安全隐患。
最后,我国在企业普遍与网络安全企业深度合作较少,在面对病毒等网络攻击时的应对不足。
众所周知,物联网所蕴含的价值远超消费互联网,当我们正在享受着物联网带来的高效工作的同时,不法分子也正在时刻伺机窃取这块缺乏看守的“蛋糕”,回看此次事件,经审查核实,该公司离职员工通过破解了该公司的物联网服务器,利用系统的漏洞将终端设备进行恶意升级,从而导致100余台设备系统损坏,无法正常工作,同时离职人员还模拟了终端设备,远程给该公司服务器发送伪造离线报文,导致10万台设备离线。
赛迪智库网络安全所刘玉琢表示,首先,物联网最大的安全风险来源于传感器网络,传感器网络中有大量的物联网设备,任何一个安全性较差的IoT设备和服务都可以成为物联网攻击的入口;其次,由于物联网设备低功耗的特点,很难在设备中嵌入大量的安全机制,导致多数物联网设备都缺乏内置的安全防范功能,容易受到恶意软件和黑客的攻击;最后,物联网僵尸网络使DDoS攻击的规模急剧增长,一旦黑客控制大量僵尸节点,非常容易向中枢发动攻击,2016年美国东部一所大学就遭到了DDos攻击,罪魁祸首就是校园周围5000多台受感染的IoT设备构成的僵尸网络。
绿盟科技星云实验室负责人刘文懋认为,此次“入侵物联网系统案”是一个聚端、管、云与一体的典型物联网安全事件,当前,物联网云平台正成为不法分子新一轮攻击点,与传统的攻击物联网设备不同,云端的破坏力更加巨大且极易造成严重的经济损失。
刘文懋表示,对于设备使用方或者运营方而言,更要有数据信息安全的意识,从制度上、流程上、源头上加强对数据信息安全的管控。
从国家层面来看,网络安全首先需要国家出台政策进一步完善。刘文懋表示,当前,监管机构正陆续起草广泛的物联网安全保护法规,为应对多年来不断发生的数据泄露和网络攻击,针对物联网的快速发展我们可以看到一套全面的物联网络法规正逐渐兴起。
从云平台及设备厂商来看,企业亟需构建安全闭环。刘文懋表示,传统安全手段不能满足特定场景下的安全防护,企业在满足合规性的前提下仍需部署一个以防护、响应、检测为一体的安全机制,在违规操作频繁发生时立即给予预测阻断性维护,增加自身安全能力。
刘玉琢认为,保障物联网安全首先要加强IoT设备的安全。可以从两个方面考虑增加设备的安全性:一方面,可以增加IoT设备的存储空间,这样就可以在IoT设备中嵌入安全软件,这么做的弊端是成本会急剧上升;另一方面,可以减少设备不必要的功能,正所谓功能越多,漏洞便越多。
其次要加强IoT传输网络的安全。一方面,要加强网络通信协议自身的安全防护,因为目前越来越多的黑客瞄准通信协议入手进行破解攻击;另一方面,要对网络中传输的数据进行加密,防止数据明文传输被轻易截获。
最后要要强化对物联网安全管理。包括定期更新IoT设备的补丁、更改默认密码等大家熟知的安全措施;还包括要上一些安全监测、预警的系统,一旦发现异常流量等问题,及时对攻击进行阻断;还有就是要定期组织对物联网的安全评估,请第三方专业机构对网络层、设备层等IoT各方面进行检测和评估。
此外,刘玉琢特别指出,应该正确处理安全与效率的关系,在安全的前提下,提高物联网工作的效率,不同场景下的物联网划分成不同的安全等级。
例如,关键信息基础设施、军事等领域的物联网必然要先保证其安全性,然后才是提高效率问题。针对不同级别的物联网场景,对其安全保护措施也不相同,例如,电力、能源等领域IoT设备的安全要求必然要高于智能门锁、智能电视等一般生活场景下的IoT设备。在部分非关键、非重要的场景,可以更多地追求效率;但是在关键领域,要保证安全第一。
日前,工业和信息化部网络安全管理局局长赵志国在2019数博会中指出,进一步做好新形势下网络与数据安全工作,一是要凝聚共识,构建新时代网络与数据安全工作的“同心圆”;二是要聚焦重点,有效提升网络与数据安全保障能力;三是要创新引领,积极发展壮大网络与数据安全产业;四是要共治共享,营造网络与数据安全良好生态。
打造安全可控的操作系统与物联网平台需要接受实践的检验和时间的考验,我们从互联网时代一路走来,面对和克服了大大小小的病毒与漏洞威胁,物联网安全的攻与防也是一个不断博弈的过程,冰冻三尺非一日之寒,安全技术的不断迭代与完善也非一朝一夕可以完成,更不会一劳永逸。
