賽迪智庫網(wǎng)絡安全所劉玉琢表示,首先���,物聯(lián)網(wǎng)最大的安全風險來源于傳感器網(wǎng)絡����,傳感器網(wǎng)絡中有大量的物聯(lián)網(wǎng)設備��,任何一個安全性較差的IoT設備和服務都可以成為物聯(lián)網(wǎng)攻擊的入口��;其次,由于物聯(lián)網(wǎng)設備低功耗的特點�����,很難在設備中嵌入大量的安全機制,導致多數(shù)物聯(lián)網(wǎng)設備都缺乏內(nèi)置的安全防范功能��,容易受到惡意軟件和黑客的攻擊��;最后�����,物聯(lián)網(wǎng)僵尸網(wǎng)絡使DDoS攻擊的規(guī)模急劇增長�,一旦黑客控制大量僵尸節(jié)點����,非常容易向中樞發(fā)動攻擊����,2016年美國東部一所大學就遭到了DDos攻擊�,罪魁禍首就是校園周圍5000多臺受感染的IoT設備構成的僵尸網(wǎng)絡。
綠盟科技星云實驗室負責人劉文懋認為��,此次“入侵物聯(lián)網(wǎng)系統(tǒng)案”是一個聚端��、管、云與一體的典型物聯(lián)網(wǎng)安全事件�����,當前���,物聯(lián)網(wǎng)云平臺正成為不法分子新一輪攻擊點�,與傳統(tǒng)的攻擊物聯(lián)網(wǎng)設備不同��,云端的破壞力更加巨大且極易造成嚴重的經(jīng)濟損失。
劉文懋表示����,對于設備使用方或者運營方而言,更要有數(shù)據(jù)信息安全的意識�����,從制度上��、流程上�����、源頭上加強對數(shù)據(jù)信息安全的管控。
從國家層面來看����,網(wǎng)絡安全首先需要國家出臺政策進一步完善�。劉文懋表示���,當前,監(jiān)管機構正陸續(xù)起草廣泛的物聯(lián)網(wǎng)安全保護法規(guī)�,為應對多年來不斷發(fā)生的數(shù)據(jù)泄露和網(wǎng)絡攻擊,針對物聯(lián)網(wǎng)的快速發(fā)展我們可以看到一套全面的物聯(lián)網(wǎng)絡法規(guī)正逐漸興起�。
從云平臺及設備廠商來看,企業(yè)亟需構建安全閉環(huán)�。劉文懋表示,傳統(tǒng)安全手段不能滿足特定場景下的安全防護��,企業(yè)在滿足合規(guī)性的前提下仍需部署一個以防護��、響應���、檢測為一體的安全機制�,在違規(guī)操作頻繁發(fā)生時立即給予預測阻斷性維護����,增加自身安全能力��。
劉玉琢認為����,保障物聯(lián)網(wǎng)安全首先要加強IoT設備的安全。可以從兩個方面考慮增加設備的安全性:一方面���,可以增加IoT設備的存儲空間���,這樣就可以在IoT設備中嵌入安全軟件����,這么做的弊端是成本會急劇上升;另一方面�,可以減少設備不必要的功能,正所謂功能越多����,漏洞便越多。
其次要加強IoT傳輸網(wǎng)絡的安全�。一方面,要加強網(wǎng)絡通信協(xié)議自身的安全防護�,因為目前越來越多的黑客瞄準通信協(xié)議入手進行破解攻擊;另一方面���,要對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行加密,防止數(shù)據(jù)明文傳輸被輕易截獲�。
最后要要強化對物聯(lián)網(wǎng)安全管理。包括定期更新IoT設備的補丁��、更改默認密碼等大家熟知的安全措施�����;還包括要上一些安全監(jiān)測�����、預警的系統(tǒng),一旦發(fā)現(xiàn)異常流量等問題��,及時對攻擊進行阻斷���;還有就是要定期組織對物聯(lián)網(wǎng)的安全評估����,請第三方專業(yè)機構對網(wǎng)絡層、設備層等IoT各方面進行檢測和評估�����。
此外�,劉玉琢特別指出����,應該正確處理安全與效率的關系,在安全的前提下��,提高物聯(lián)網(wǎng)工作的效率��,不同場景下的物聯(lián)網(wǎng)劃分成不同的安全等級�����。
例如�,關鍵信息基礎設施��、軍事等領域的物聯(lián)網(wǎng)必然要先保證其安全性,然后才是提高效率問題����。針對不同級別的物聯(lián)網(wǎng)場景��,對其安全保護措施也不相同����,例如,電力����、能源等領域IoT設備的安全要求必然要高于智能門鎖、智能電視等一般生活場景下的IoT設備�����。在部分非關鍵�、非重要的場景�����,可以更多地追求效率��;但是在關鍵領域,要保證安全第一�����。
日前,工業(yè)和信息化部網(wǎng)絡安全管理局局長趙志國在2019數(shù)博會中指出�����,進一步做好新形勢下網(wǎng)絡與數(shù)據(jù)安全工作����,一是要凝聚共識,構建新時代網(wǎng)絡與數(shù)據(jù)安全工作的“同心圓”��;二是要聚焦重點�,有效提升網(wǎng)絡與數(shù)據(jù)安全保障能力;三是要創(chuàng)新引領���,積極發(fā)展壯大網(wǎng)絡與數(shù)據(jù)安全產(chǎn)業(yè)����;四是要共治共享�,營造網(wǎng)絡與數(shù)據(jù)安全良好生態(tài)����。
打造安全可控的操作系統(tǒng)與物聯(lián)網(wǎng)平臺需要接受實踐的檢驗和時間的考驗�,我們從互聯(lián)網(wǎng)時代一路走來�����,面對和克服了大大小小的病毒與漏洞威脅�,物聯(lián)網(wǎng)安全的攻與防也是一個不斷博弈的過程����,冰凍三尺非一日之寒,安全技術的不斷迭代與完善也非一朝一夕可以完成��,更不會一勞永逸����。
