近年來,物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展勢(shì)頭迅猛。工信部副部長(zhǎng)羅文在9月召開的2017世界物聯(lián)網(wǎng)無錫峰會(huì)上透露���,中國(guó)的物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模已從2009年的1700億元躍升至2016年的超過9300億元����,年復(fù)合增長(zhǎng)率超過25%����。有預(yù)測(cè)稱,到2018年��,全球物聯(lián)網(wǎng)市場(chǎng)規(guī)模將超過千億美元�����,年均復(fù)合增長(zhǎng)率保持在31%以上��。
與此同時(shí)�,物聯(lián)網(wǎng)設(shè)備的數(shù)量也在成倍增長(zhǎng)。市場(chǎng)研究機(jī)構(gòu)Gartner預(yù)測(cè)�,2017年全球物聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)到84億臺(tái),2020年這一數(shù)字將增至208億臺(tái)��,復(fù)合增速高達(dá)34%�����。
隨之而來的,是越來越棘手的安全問題����。2015年12月23日,烏克蘭電力系統(tǒng)遭到攻擊����,造成伊萬諾-弗蘭科夫斯克地區(qū)大面積停電�����,約140萬人受到影響�����。2016年10月21日��,黑客利用全球十多萬臺(tái)智能設(shè)備�����,對(duì)美國(guó)進(jìn)行了史上最大規(guī)模的DDoS(
拒絕訪問服務(wù))攻擊����,導(dǎo)致美國(guó)東海岸出現(xiàn)大面積斷網(wǎng)����,主要公共服務(wù)��、社交平臺(tái)�����、民眾網(wǎng)絡(luò)服務(wù)幾乎處于癱瘓狀態(tài)��。
以往出現(xiàn)在科幻片中的場(chǎng)景�����,在當(dāng)下正在一步步成為現(xiàn)實(shí)��。
打補(bǔ)丁式的存在
物聯(lián)網(wǎng)安全的棘手不僅在于“大”��,還在于“多”和“雜”��,從個(gè)人����、家庭�����、社會(huì)到國(guó)家��,層出不窮����。市場(chǎng)調(diào)研公司Forrester(弗雷斯特)對(duì)全球組織的一項(xiàng)調(diào)查表明�����,47%使用或計(jì)劃使用物聯(lián)網(wǎng)的商業(yè)組織在行業(yè)應(yīng)用中曾遇到過安全問題��。西班牙國(guó)家數(shù)字安全中心統(tǒng)計(jì)數(shù)據(jù)顯示����,2014年僅西班牙的核心基礎(chǔ)設(shè)施就被攻擊了63次�,2016年增加到479次,兩年內(nèi)上升了7倍�,2017年一季度更是高達(dá)247次,使相關(guān)設(shè)施出現(xiàn)700余次事故���。
“物聯(lián)網(wǎng)將許多原本與網(wǎng)絡(luò)隔離的設(shè)備連接到網(wǎng)絡(luò)中�����,為生活提供了便利�,但也大大增加了設(shè)備遭受攻擊的風(fēng)險(xiǎn)。因?yàn)椴煌愋偷奈锱c物之間是可能存在聯(lián)系的����,攻擊某一節(jié)點(diǎn),就會(huì)殃及另一個(gè)節(jié)點(diǎn)�,將影響轉(zhuǎn)移、擴(kuò)大�����?����!北本┥裰菥G盟信息安全科技股份有限公司工控安全產(chǎn)品部總監(jiān)王曉鵬告訴《經(jīng)濟(jì)》記者��,目前我國(guó)還沒有爆發(fā)過類似于美國(guó)和烏克蘭的大規(guī)模物聯(lián)網(wǎng)安全事件���,因?yàn)楝F(xiàn)階段我國(guó)核心基礎(chǔ)設(shè)施的可開放接口較少�����,安全性相對(duì)有保障�,但是隨著未來廣泛物聯(lián)的發(fā)展,接口也將被逐步開放���?�!耙阑加谖慈?,就要了解物與物之間的潛在聯(lián)系�,分析各個(gè)節(jié)點(diǎn)所承載的內(nèi)容、存在的安全問題��,以及會(huì)造成的影響�。”他認(rèn)為����,物聯(lián)網(wǎng)時(shí)代����,人們的思考方式將不再是頭對(duì)頭、腳對(duì)腳的單點(diǎn)式�����,而是系統(tǒng)地、由點(diǎn)到面地看問題�。
與備受黑客青睞不同,安全在行業(yè)內(nèi)的身份卻顯得有些尷尬���,中國(guó)科學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室副主任徐震將其形容為“一種打補(bǔ)丁式的存在”�����?�!拔疑蠈W(xué)的時(shí)候���,老師告訴我們,安全就像五星級(jí)飯店里的馬桶��,不急的時(shí)候是不會(huì)有人想起它的���?��!痹谛煺鹂磥恚畮啄赀^去了���,安全的這一狀態(tài)依然沒有發(fā)生質(zhì)的改變��。
他告訴記者�,群體做事是講究?jī)?yōu)先級(jí)的,安全是伴生技術(shù)����,是伴隨主導(dǎo)產(chǎn)業(yè)的發(fā)展而成熟起來的?���!拔锫?lián)網(wǎng)真正落地也就是在近3年的時(shí)間,還屬于新產(chǎn)業(yè)��,尚不成熟�����,在發(fā)展過程中往往會(huì)先考慮往前走的問題�,一般不會(huì)系統(tǒng)考慮安全,等遇到了問題��,再想辦法解決���,互聯(lián)網(wǎng)是這樣,物聯(lián)網(wǎng)亦是如此�?��!?/p>
用戶安全訴求低,付費(fèi)是必然趨勢(shì)
“你會(huì)為家里的物聯(lián)網(wǎng)設(shè)備購(gòu)買安全網(wǎng)關(guān)嗎?”
采訪中�,王曉鵬向《經(jīng)濟(jì)》記者拋出了這樣一個(gè)問題。帶著這個(gè)問題����,記者對(duì)身邊的朋友進(jìn)行了調(diào)查,他們無一例外地都選擇了“不會(huì)”�����。
對(duì)于這個(gè)結(jié)果��,王曉鵬表示并不驚訝�����,“因?yàn)樵诨ヂ?lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)時(shí)代��,很多安全軟件都是免費(fèi)的��,用戶已經(jīng)將其看作是理所應(yīng)當(dāng)?shù)?��,要改變這種習(xí)慣�����,將安全作為一個(gè)單獨(dú)的部件進(jìn)行銷售�,短期內(nèi)是比較難被接受的?!?/p>
但實(shí)際上,幾乎任何可以連接至其他設(shè)備�,并且終端用戶可訪問的設(shè)備,都是有可能存在風(fēng)險(xiǎn)的��。賽門鐵克安全報(bào)告顯示�,2016年全球超過670萬臺(tái)的物聯(lián)網(wǎng)設(shè)備淪為了“僵尸網(wǎng)絡(luò)軍隊(duì)”?����!耙环矫?���,這些設(shè)備大多都連接在公共網(wǎng)絡(luò)中,很容易被其他網(wǎng)絡(luò)接觸到����,受攻擊的幾率比較大;另一方面��,部分物聯(lián)網(wǎng)設(shè)備本身就存在安全漏洞,為黑客攻擊提供了可乘之機(jī)����。”清華大學(xué)物聯(lián)網(wǎng)技術(shù)中心副主任趙濱認(rèn)為��,后者的主要根源在于當(dāng)前用戶的安全訴求太低����。
“對(duì)于大部分用戶而言,手機(jī)APP被劫持了����,都會(huì)很緊張,因?yàn)樯婕柏?cái)產(chǎn)安全�����。但是如果家里的攝像頭被攻擊了����,其緊張程度就不會(huì)那么高了,有的甚至都毫無察覺���?�!蓖鯐赠i坦言����,作為一名安全從業(yè)者,他在家中發(fā)現(xiàn)了物聯(lián)網(wǎng)設(shè)備漏洞�����,也不一定會(huì)及時(shí)找廠商進(jìn)行反映溝通���。
用戶的安全訴求不高�,設(shè)備廠商就沒有足夠的動(dòng)力去開發(fā)研究安全屬性��。金雅拓調(diào)查數(shù)據(jù)顯示�,在安全投資水平方面,物聯(lián)網(wǎng)設(shè)備制造商和服務(wù)提供商在物聯(lián)網(wǎng)設(shè)備安全保護(hù)上的投資僅占其物聯(lián)網(wǎng)總預(yù)算的11%�。“商家是講究成本的�����,就當(dāng)前的用戶需求來講�,一個(gè)攝像頭���、一臺(tái)冰箱是否具備安全屬性,對(duì)于產(chǎn)品本身的銷量不會(huì)有太大的影響�����,廠商當(dāng)然也就不會(huì)給予過多的關(guān)注�。有些廠商在編碼時(shí)就只按照自己的規(guī)范去編����,編完之后有沒有安全漏洞他們并不關(guān)注?����!蓖鯐赠i認(rèn)為�,要提高物聯(lián)網(wǎng)設(shè)備本身的安全屬性,就要引導(dǎo)用戶增強(qiáng)對(duì)隱私的保護(hù)意識(shí)��,增加安全訴求����,抬高安全門檻,“只有用戶的需求提高了�����,形成規(guī)模了,安全需求才能真正涌現(xiàn)出來�,才能倒逼設(shè)備制造商和服務(wù)提供商為安全買單”。
與此同時(shí)�����,用戶對(duì)安全付費(fèi)的認(rèn)識(shí)也會(huì)有所改變�。“就未來發(fā)展來看��,付費(fèi)是必然趨勢(shì)�。”但王曉鵬認(rèn)為�����,付費(fèi)的方式將會(huì)更加多元化�。“安全可以單獨(dú)購(gòu)買����,也可以由物聯(lián)網(wǎng)廠商提供一個(gè)整體打包的智能家居解決方案,其中既包含智能化又擁有安全屬性的部件�����,這樣對(duì)于普通用戶來說會(huì)更容易接受?!?/p>
合規(guī)性要求缺位,政府驅(qū)動(dòng)不足
“我們?cè)?jīng)為一家電器廠商做過一個(gè)安全項(xiàng)目����,其目的不是為了滿足中國(guó)物聯(lián)網(wǎng)家居設(shè)備的安全需求,而是為了出口美國(guó)時(shí)����,能夠達(dá)到他們的相關(guān)安全要求���。在監(jiān)管層面���,美國(guó)是有立法的,而中國(guó)沒有��?!蓖鯐赠i無奈地說。
實(shí)際上����,美國(guó)的立法也是從近兩年才開始的����。2016年美國(guó)東海岸斷網(wǎng)事件之后����,美國(guó)國(guó)土安全部便于次月發(fā)布了《保護(hù)物聯(lián)網(wǎng)策略準(zhǔn)則(1.0版)》,呼吁物聯(lián)網(wǎng)生態(tài)體系在設(shè)計(jì)�����、生產(chǎn)及使用物聯(lián)網(wǎng)設(shè)備與系統(tǒng)時(shí)�����,皆應(yīng)負(fù)起保障物聯(lián)網(wǎng)安全的責(zé)任�。
今年5月,美國(guó)總統(tǒng)特朗普簽署13800號(hào)總統(tǒng)行政令——《加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》��,其中內(nèi)容之一就是要增強(qiáng)美國(guó)應(yīng)對(duì)僵尸網(wǎng)絡(luò)及其他自動(dòng)化和分布式威脅的能力�����。
6月13日�,美國(guó)商務(wù)部下屬的國(guó)家電信和信息管理局發(fā)布征求評(píng)議文件《促進(jìn)利益相關(guān)者對(duì)僵尸網(wǎng)絡(luò)和其他自動(dòng)威脅的行動(dòng)》,要求各私營(yíng)企業(yè)���、研究機(jī)構(gòu)�、社會(huì)團(tuán)體圍繞減少僵尸網(wǎng)絡(luò)威脅和維護(hù)物聯(lián)網(wǎng)終端設(shè)備安全問題,提出法律�����、政策����、標(biāo)準(zhǔn)、技術(shù)等方面的建議���。
8月1日,美國(guó)4名國(guó)會(huì)議員聯(lián)名提交了一項(xiàng)關(guān)于物聯(lián)網(wǎng)安全的法案《2017物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》�,希望通過設(shè)定聯(lián)邦政府采購(gòu)物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn),來改善美政府所面臨的物聯(lián)網(wǎng)安全問題�����。盡管該法案只著眼于聯(lián)邦政府的設(shè)備采購(gòu)方面��,且有待審定通過�����,但美國(guó)軟件公司Sonatype依然認(rèn)為,其將有助于推動(dòng)整個(gè)物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的發(fā)展����。
對(duì)于中國(guó)的這種缺失,一位業(yè)內(nèi)受訪專家認(rèn)為主要有兩點(diǎn)原因����。一方面,與美國(guó)相比�,我國(guó)的物聯(lián)網(wǎng)應(yīng)用落地較晚,目前還處于起步和發(fā)展階段�,且尚未出現(xiàn)過大規(guī)模的被攻擊事件,社會(huì)和國(guó)家對(duì)物聯(lián)網(wǎng)安全的重視程度還不夠��。另一方面����,我國(guó)的物聯(lián)網(wǎng)產(chǎn)業(yè)監(jiān)管部門較多,工信部��、網(wǎng)信辦等都有業(yè)務(wù)交叉�����,眾口難調(diào),很難在短時(shí)間內(nèi)形成一個(gè)統(tǒng)一的合規(guī)性要求����。
“政府的合規(guī)性要求是不能缺位的?�!痹谛煺鹂磥?���,驅(qū)動(dòng)物聯(lián)網(wǎng)設(shè)備安全發(fā)展有兩大動(dòng)力,一個(gè)是用戶安全訴求�,另一個(gè)就是政府的合規(guī)性要求。前者是自下而上的市場(chǎng)約束�����,后者則是自上而下的強(qiáng)制立法����,二者缺一不可����。“政府提出要求了�����,市場(chǎng)的基本面才能形成,設(shè)備廠商�����、服務(wù)提供商與安全企業(yè)才會(huì)有動(dòng)力去推進(jìn)����。”
安全企業(yè)與廠商“話題”少
作為安全重要的輸出方��,安全企業(yè)在物聯(lián)網(wǎng)時(shí)代的盈利模式還尚不清晰��,尋找與廠商的交集點(diǎn)�,是它們突破瓶頸的關(guān)鍵?����!熬拖駜蓚€(gè)人相親��,一個(gè)是搞IT的��,一個(gè)是做會(huì)計(jì)的����,兩個(gè)人沒有共同語(yǔ)言���,突然有一天要求會(huì)計(jì)用電腦錄入數(shù)據(jù),這時(shí)搞IT的不僅可以給予指導(dǎo)��,甚至還能解決電腦中病毒的問題����,話題一下子就有了?��!蓖鯐赠i告訴記者���,安全企業(yè)和廠商缺少的就是這種“話題”。
“我們也跟一些廠商討論過�����,他們?cè)诠ぷ髦袝?huì)出現(xiàn)一些通過傳統(tǒng)工控專業(yè)技術(shù)手段很難找出問題的情況�����,這時(shí)候他們就會(huì)有意識(shí)地聯(lián)系安全企業(yè)��,來一起進(jìn)行研究和探討�����,這對(duì)于業(yè)務(wù)的完整度和平穩(wěn)度有很大的幫助�。”但王曉鵬表示���,目前這種合作還是比較少的��。在他看來��,物聯(lián)網(wǎng)設(shè)備安全問題不是某個(gè)單一參與方能夠解決的���,其需要的是一個(gè)生態(tài)鏈?��!霸O(shè)備安全事件發(fā)生后����,用戶安全需求增加�,設(shè)備廠商和服務(wù)提供商開始尋求解決方案,此時(shí)的安全企業(yè)要轉(zhuǎn)變思路��,改變之前‘賣盒子’的單一運(yùn)營(yíng)模式,向應(yīng)用安全方向轉(zhuǎn)變�����?���!彼J(rèn)為,未來���,安全企業(yè)與設(shè)備廠商的關(guān)聯(lián)度會(huì)越來越高���,尤其是在車聯(lián)網(wǎng)等對(duì)安全要求較高的領(lǐng)域,安全企業(yè)的參與會(huì)愈發(fā)深入�����。
同時(shí)���,安全的縱深發(fā)展也對(duì)安全從業(yè)人員提出了新的要求�?!鞍踩且粋€(gè)交叉性特別強(qiáng)的行業(yè),其雖然在方案上有統(tǒng)一的標(biāo)準(zhǔn)�,但在實(shí)際應(yīng)用中也會(huì)根據(jù)應(yīng)用場(chǎng)景�����、用戶需求點(diǎn)和痛點(diǎn)的不同而發(fā)生變化。對(duì)于安全人員來說���,做某一個(gè)行業(yè)�����、領(lǐng)域的安全�,就必須要了解這個(gè)行業(yè)的知識(shí)和背景�,這樣才能更專業(yè)更系統(tǒng)地解決好該行業(yè)的安全問題?!蓖鯐赠i說。
