【中國安防展覽網(wǎng) 媒體導(dǎo)讀】2016年世界物聯(lián)網(wǎng)博覽會(huì)信息安全高峰論壇上�����,中國工程院何德全院士指出��,物聯(lián)網(wǎng)是我國信息產(chǎn)業(yè)發(fā)展難得的機(jī)遇��,相對(duì)互聯(lián)網(wǎng)����,物聯(lián)網(wǎng)是一個(gè)更加復(fù)雜���、更加多樣��、更大跨度的系統(tǒng)���,要充分考慮其安全問題��。
在剛剛舉辦的2017安全極客大賽極棒(GeekPwn)年中賽上����,一位非科班出身的“業(yè)余”選手利用共享單車系統(tǒng)的安全漏洞����,從位于香港海上郵輪的比賽現(xiàn)場(chǎng),操控遠(yuǎn)在千里之外上海的共享單車完成了開鎖�、騎行消費(fèi)。這只是比賽現(xiàn)場(chǎng)的“白帽”黑客們破解物聯(lián)網(wǎng)安全漏洞的諸多炫技之一�。也許在他們的眼里,物聯(lián)網(wǎng)世界中活蹦亂跳的我們�����,無異于在裸奔��。
根據(jù)HP的一份研究報(bào)告��,約有70%的消費(fèi)類IoT設(shè)備存在安全隱患,自帶招“黑”體質(zhì)�����。而根據(jù)OTA(Online Trust Alliance)的研究�,近被報(bào)告的IoT安全漏洞,100%是可以避免的���。這不免讓人疑惑���,IoT安全既然可以有功法護(hù)體,為什么實(shí)際做起來那么難�?
復(fù)雜的網(wǎng)絡(luò)
現(xiàn)實(shí)中,阻礙IoT安全策略實(shí)施的個(gè)因素���,是物聯(lián)網(wǎng)系統(tǒng)的復(fù)雜性��。一個(gè)典型的物聯(lián)網(wǎng)系統(tǒng)結(jié)構(gòu)包括邊緣節(jié)點(diǎn)(用戶設(shè)備端)��、網(wǎng)關(guān)和云平臺(tái)三部分��,在邊緣節(jié)點(diǎn)之間�����、邊緣節(jié)點(diǎn)與網(wǎng)關(guān)之間以及網(wǎng)關(guān)與云之間���,又是通過不同的無線或有線通信協(xié)議互聯(lián)的。理想的安*方案��,應(yīng)該是能夠?qū)崿F(xiàn)“端(用戶設(shè)備)到端(云)”全面的安全防護(hù)�。而現(xiàn)實(shí)的情況是,物聯(lián)網(wǎng)系統(tǒng)通常是由來自不同制造商和用戶的軟���、硬件組成�����,并由不同人進(jìn)行管理和維護(hù)的�,每個(gè)環(huán)節(jié)都會(huì)有自己不同的安全策略����,而系統(tǒng)整體的安全性往往是由“短的那塊木板”決定的。
尤為重要的一點(diǎn)是��,我們熟知的互聯(lián)網(wǎng)(Internet)是基于IP技術(shù)的網(wǎng)絡(luò)�,在過去的20多年中,互聯(lián)網(wǎng)已經(jīng)形成了一套基于IP的比較成熟的安全體系,比如TLS(安全傳輸層協(xié)議)�,構(gòu)成了互聯(lián)網(wǎng)安全的基石。而IoT的名稱中雖然也有”Internet”��,但實(shí)際部署中出于低成本��、低功耗�����、特殊應(yīng)用場(chǎng)景等方面的考慮���,物聯(lián)網(wǎng)系統(tǒng)中采用了大量非IP的通信協(xié)議�,如ZigBee����。這種“混合”網(wǎng)絡(luò)讓物聯(lián)網(wǎng)系統(tǒng)變得更為復(fù)雜,數(shù)據(jù)在傳輸過程中需要在網(wǎng)關(guān)間進(jìn)行多次轉(zhuǎn)化和加解密操作�,增加了安全體系的復(fù)雜性。同時(shí)����,非IP網(wǎng)絡(luò)環(huán)境的存在也使得很多基于IP的成熟的安全技術(shù),如TLS協(xié)議����、加解密算法����,無法直接被IoT設(shè)備所利用�。雖然這種“復(fù)雜”的局面在技術(shù)上并非無解,但是對(duì)于和用戶來說需要額外的時(shí)間和資源的投入�����,這將是一筆不小的負(fù)擔(dān)���。
成本,成本�,成本
IoT安全設(shè)施的第二個(gè)制約因素是“成本”。從邊緣節(jié)點(diǎn)來看�,物聯(lián)網(wǎng)中大多數(shù)用戶終端設(shè)備都是結(jié)構(gòu)簡(jiǎn)單、低功耗�����、低成本的����,在設(shè)計(jì)規(guī)劃時(shí)往往很少、甚至根本沒有考慮安全預(yù)算。提升邊緣節(jié)點(diǎn)的安全級(jí)等級(jí)�����,直接的就是需要額外的硬件投入����,不論采用具有安全性能的MCU,還是添加安全協(xié)處理芯片���。這對(duì)于很多OEM��,特別是會(huì)為幾美分的BOM成本斤斤計(jì)較的消費(fèi)類物聯(lián)網(wǎng)產(chǎn)品來說�����,確實(shí)是件讓人犯難的事���。類似的成本“糾結(jié)”,在網(wǎng)關(guān)和云端安全性提升時(shí)��,同樣也會(huì)出現(xiàn)���。
而這還不是安全成本的全部�����。在整個(gè)物聯(lián)網(wǎng)系統(tǒng)生命周期中��,必須有人去對(duì)系統(tǒng)中的設(shè)備連接進(jìn)行安全性的設(shè)置和管理��,如授權(quán)�、加密等,這種對(duì)設(shè)備安全性的“個(gè)性化”管理也是一個(gè)可觀的成本���,不論是設(shè)備制造商還是用戶��、運(yùn)營商,總要有人去承擔(dān)這樣的成本�。隨著網(wǎng)絡(luò)的規(guī)模的增加,這一成本壓力會(huì)更突出���。
再有��,提升物聯(lián)網(wǎng)安全性�����,對(duì)不安全設(shè)備的廢止或改造�����,還可能給用戶帶來“沉沒成本”����,使其以往的投資打水漂。為了保護(hù)既有投資�,用戶在決策時(shí)做折中也是在所難免,這也是導(dǎo)致物聯(lián)網(wǎng)安全“革命”難于徹底的一個(gè)原因��。
安全團(tuán)隊(duì)
拖IoT安全“后腿”第三個(gè)因素���,就是人��。在傳統(tǒng)的技術(shù)認(rèn)知中���,設(shè)備安全是嵌入式的事兒,而互聯(lián)網(wǎng)安全是IT工程師的事兒�����,而物聯(lián)網(wǎng)帶來的技術(shù)的融合���,也需要相關(guān)從業(yè)者的意識(shí)和知識(shí)的重構(gòu)�����。這在物聯(lián)網(wǎng)發(fā)展的初期�����,這樣的“人”是很難得的����。一個(gè)稱職的物聯(lián)網(wǎng)安全團(tuán)隊(duì),可確保從產(chǎn)品和系統(tǒng)設(shè)計(jì)之初��,就將安全問題考慮進(jìn)去��,而不是在出現(xiàn)問題之后再亡羊補(bǔ)牢���。因?yàn)樵絹碓蕉嗟氖聦?shí)證明,在物聯(lián)網(wǎng)系統(tǒng)啟用之后再來考慮增加安全性的問題��,注定會(huì)是一場(chǎng)失敗的戰(zhàn)斗��。
好了�����,這就是我們?cè)贗oT安全方面面臨的困局。但是IoT安全確實(shí)是一件不得不做的事情�,拒絕“裸奔”,應(yīng)該是我們物聯(lián)網(wǎng)價(jià)值觀中的底線����。
原文標(biāo)題:裸奔嗎?IoT安全����,做起來為什么這么難?
版權(quán)與免責(zé)聲明:
凡本網(wǎng)注明“來源:智慧城市網(wǎng)”的所有作品,均為浙江興旺寶明通網(wǎng)絡(luò)有限公司-智慧城市網(wǎng)合法擁有版權(quán)或有權(quán)使用的作品����,未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品���。已經(jīng)本網(wǎng)授權(quán)使用作品的���,應(yīng)在授權(quán)范圍內(nèi)使用,并注明“來源:智慧城市網(wǎng)”�。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任����。
本網(wǎng)轉(zhuǎn)載并注明自其它來源(非智慧城市網(wǎng))的作品,目的在于傳遞更多信息��,并不代表本網(wǎng)贊同其觀點(diǎn)或和對(duì)其真實(shí)性負(fù)責(zé)�����,不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體���、網(wǎng)站或個(gè)人從本網(wǎng)轉(zhuǎn)載時(shí)��,必須保留本網(wǎng)注明的作品第一來源��,并自負(fù)版權(quán)等法律責(zé)任�����。
如涉及作品內(nèi)容��、版權(quán)等問題�����,請(qǐng)?jiān)谧髌钒l(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系��,否則視為放棄相關(guān)權(quán)利��。
移動(dòng)版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號(hào)
