【中國安防展覽網 媒體導讀】2016年世界物聯網博覽會信息安全高峰論壇上���,中國工程院何德全院士指出�,物聯網是我國信息產業發展難得的機遇���,相對互聯網�����,物聯網是一個更加復雜�、更加多樣����、更大跨度的系統�,要充分考慮其安全問題。
在剛剛舉辦的2017安全極客大賽極棒(GeekPwn)年中賽上���,一位非科班出身的“業余”選手利用共享單車系統的安全漏洞,從位于香港海上郵輪的比賽現場�,操控遠在千里之外上海的共享單車完成了開鎖�、騎行消費����。這只是比賽現場的“白帽”黑客們破解物聯網安全漏洞的諸多炫技之一。也許在他們的眼里���,物聯網世界中活蹦亂跳的我們,無異于在裸奔���。
根據HP的一份研究報告,約有70%的消費類IoT設備存在安全隱患,自帶招“黑”體質。而根據OTA(Online Trust Alliance)的研究�����,近被報告的IoT安全漏洞,100%是可以避免的��。這不免讓人疑惑���,IoT安全既然可以有功法護體����,為什么實際做起來那么難?
復雜的網絡
現實中�����,阻礙IoT安全策略實施的個因素�,是物聯網系統的復雜性����。一個典型的物聯網系統結構包括邊緣節點(用戶設備端)、網關和云平臺三部分��,在邊緣節點之間�����、邊緣節點與網關之間以及網關與云之間�,又是通過不同的無線或有線通信協議互聯的�����。理想的安*方案��,應該是能夠實現“端(用戶設備)到端(云)”全面的安全防護。而現實的情況是,物聯網系統通常是由來自不同制造商和用戶的軟��、硬件組成����,并由不同人進行管理和維護的,每個環節都會有自己不同的安全策略����,而系統整體的安全性往往是由“短的那塊木板”決定的��。
尤為重要的一點是,我們熟知的互聯網(Internet)是基于IP技術的網絡����,在過去的20多年中�,互聯網已經形成了一套基于IP的比較成熟的安全體系��,比如TLS(安全傳輸層協議)��,構成了互聯網安全的基石���。而IoT的名稱中雖然也有”Internet”�,但實際部署中出于低成本、低功耗�、特殊應用場景等方面的考慮����,物聯網系統中采用了大量非IP的通信協議�,如ZigBee。這種“混合”網絡讓物聯網系統變得更為復雜��,數據在傳輸過程中需要在網關間進行多次轉化和加解密操作���,增加了安全體系的復雜性����。同時,非IP網絡環境的存在也使得很多基于IP的成熟的安全技術,如TLS協議�����、加解密算法����,無法直接被IoT設備所利用���。雖然這種“復雜”的局面在技術上并非無解���,但是對于和用戶來說需要額外的時間和資源的投入����,這將是一筆不小的負擔���。
成本�,成本�����,成本
IoT安全設施的第二個制約因素是“成本”�。從邊緣節點來看���,物聯網中大多數用戶終端設備都是結構簡單���、低功耗����、低成本的,在設計規劃時往往很少�����、甚至根本沒有考慮安全預算��。提升邊緣節點的安全級等級����,直接的就是需要額外的硬件投入�,不論采用具有安全性能的MCU,還是添加安全協處理芯片�。這對于很多OEM�,特別是會為幾美分的BOM成本斤斤計較的消費類物聯網產品來說����,確實是件讓人犯難的事。類似的成本“糾結”����,在網關和云端安全性提升時,同樣也會出現。
而這還不是安全成本的全部�����。在整個物聯網系統生命周期中��,必須有人去對系統中的設備連接進行安全性的設置和管理���,如授權��、加密等,這種對設備安全性的“個性化”管理也是一個可觀的成本�����,不論是設備制造商還是用戶���、運營商���,總要有人去承擔這樣的成本���。隨著網絡的規模的增加����,這一成本壓力會更突出。
再有,提升物聯網安全性,對不安全設備的廢止或改造,還可能給用戶帶來“沉沒成本”���,使其以往的投資打水漂�����。為了保護既有投資��,用戶在決策時做折中也是在所難免�,這也是導致物聯網安全“革命”難于徹底的一個原因��。
安全團隊
拖IoT安全“后腿”第三個因素�����,就是人。在傳統的技術認知中����,設備安全是嵌入式的事兒�����,而互聯網安全是IT工程師的事兒,而物聯網帶來的技術的融合,也需要相關從業者的意識和知識的重構���。這在物聯網發展的初期,這樣的“人”是很難得的。一個稱職的物聯網安全團隊���,可確保從產品和系統設計之初,就將安全問題考慮進去,而不是在出現問題之后再亡羊補牢����。因為越來越多的事實證明�,在物聯網系統啟用之后再來考慮增加安全性的問題����,注定會是一場失敗的戰斗。
好了,這就是我們在IoT安全方面面臨的困局����。但是IoT安全確實是一件不得不做的事情,拒絕“裸奔”��,應該是我們物聯網價值觀中的底線����。
原文標題:裸奔嗎?IoT安全,做起來為什么這么難?
版權與免責聲明:
凡本網注明“來源:智慧城市網”的所有作品����,均為浙江興旺寶明通網絡有限公司-智慧城市網合法擁有版權或有權使用的作品��,未經本網授權不得轉載���、摘編或利用其它方式使用上述作品���。已經本網授權使用作品的,應在授權范圍內使用�����,并注明“來源:智慧城市網”���。違反上述聲明者�����,本網將追究其相關法律責任��。
本網轉載并注明自其它來源(非智慧城市網)的作品,目的在于傳遞更多信息��,并不代表本網贊同其觀點或和對其真實性負責�,不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網站或個人從本網轉載時�,必須保留本網注明的作品第一來源��,并自負版權等法律責任。
如涉及作品內容、版權等問題,請在作品發表之日起一周內與本網聯系�,否則視為放棄相關權利��。
移動版
智慧城市網APP
智慧城市網小程序
微信公眾號
