在物联网的城市化建设方面,中国电信杭州分公司日前宣布,杭州成为中国电信首个物联网用户破2000万的城市,其典型应用为智慧消防、智慧城市、智慧医疗等领域。相关报道指出,中国电信物联网用户超3亿,其中北京、上海、杭州3个城市物联网用户规模分别超千万级。
针对物联网在我国飞速发展现状,安全419推出《物联网安全解决方案》系列选题,选题以调研采访形式,走访国内专业物联网安全企业,深入了解我国物联网安全领域发展现状的同时,挖掘优秀的、针对不同领域的物联网安全建设解决方案,供不同的垂直领域用户在进行安全建设时能够有的放矢。
产业物联网安全已成必备一环 消费物联网安全愈发重要
在回答如何理解物联网安全重要性这一话题时,Vincent指出,物联网安全是整个网络安全的一个体系分支,物联网分为产业物联网和消费物联网。在产业物联网一侧,最近几年不断完善的法律法规(指三法一条例)、物联网安全国家标准、等级保护2.0单独开设物联网安全扩展要求等等举措使得政企单位对于物联网安全意识提到了一个相对较高的水平。从实践来看,在智慧城市的项目规划当中,物联网安全已成为同步建设的必备一环。
但Vincent仍然认为在产业物联网这一侧,其安全的重要性方面仍然有很大的提升空间,这需要多方努力共同促进。在具体举措方面,他认为最重要的是以下两点:
第一,从用户视角出发,需要认清物联网安全的防护价值。比如能让用户看到安全产品和方案能够解决防范哪些安全问题,对业务稳定的安全价值,用这种安全能力量化且有可感知将有助持续提升物联网安全防护意识;
第二,很多建设单位已经知道物联网安全的重要性,只是不知道在实际中该如何建设。Vincent指出,产业物联网包罗万象,这就需要政府行业监管部门为不同应用场景制定以适应其自身业务需要的细分场景的安全建设规范或标准,从而让相关建设方有章可循,合规开展物联网安全建设。
Vincent还谈及消费物联网的安全话题,消费物联网比较容易理解,就是我们身边常出现的智能联网设备,比如智能手表、扫地机器人等等。具体的安全事件如今年315晚会披露的儿童智能手表容易被植入恶意程序,泄漏儿童的位置、行为轨迹等信息,此类安全性容易被忽视,但危害极高。
Vincent指出,对于个人终端用户而言,在其使用消费物联网设备时,自身对设备安全其实是有需求,但个人用户为安全单独付费意愿不高,同时智能设备的安全可感知方面较差,所以消费级物联网终端的安全责任在商业模式上要归属于设备制造商。总结来看,随着终端用户越来越关注消费物联网设备的安全性,智能终端安全可靠的品质将成为赢得用户青睐的重要因素。
物联网安全闭环当中的各方责任 网络安全厂商责任重担在肩
“物联网技术迭代及创新应用的同时,安全是个绕不开的问题,需同步建设,安全滞后会让相关企业付出几倍甚至是几十倍代价。”中国信息安全测评中心总工程师王军此前接受安全419采访时曾表达出这一观点。在这一观点下,参与建设的各方需要承担哪些责任?
面对这一问题时Vincent指出,物联网安全闭环当中有以下4个角色,分别是智能终端厂商、物联网建设方、监管部门及网络安全厂商。
从产业物联网角度来说,其中智能终端厂商的责任是有义务提供更加安全的终端设备,不能让设备“带病入网”。Vincent指出,目前相关组织正在不断出台具体的标准规范,用以强化智能终端厂商在这方面的责任,及具体的安全回溯机制。
对于物联网建设方而言,以智慧园区建设为例,需要在建设过程中同步规划智慧园区的整体安全体系,要保障整体网络的安全性、传感设备户外部署的安全性等等,这就需要为感知层、网络层、应用层、平台层建设一系列安全防护手段。
监管部门方面,物联网领域尚未形成完整的安全监管标准闭环,需要推动物联网领域制定细分场景的安全监管标准。Vincent还指出,在标准方面,国家已于2018年出台了顶层的物联网安全建设标准——5项物联网安全国标,以及2019年等保2.0对物联网安全的新增扩展要求,但标准方面仍然需要持续细化,其具体安全技术要求要下沉到具体的行业和项目建设场景当中。
网络安全厂商在其中的责任与义务则是提供物联网安全产品及解决方案咨询及服务,以及为具体客户场景的安全标准规范的制定提供建议。在整个物联网的安全生态当中,网络安全厂商责任和义务相对较重。在安全标准方面,以安恒信息为例,近年参与编写了包括公安视频网、车联网、智能门锁、智能家居等数项物联网相关标准及规范导则,也深度参与到地方智慧物联安全建设与标准编制,如安恒信息作为安全编写组组长单位,就牵头组织了上海市新型城域物联感知基础设施建设导则中网络安全部分的编写工作。
物联网安全现状不容乐观 物联网安全是安恒信息战略方向之一
谈及物联网安全现状,无论是从产业物联网还是消费物联网角度去观察,Vincent都认为现状不容乐观。他表示,从产业物联网一侧来看,过去发生的一些典型案例影响的甚至是国家安全;在消费物联网一侧,小到智能手表的安全问题,大到智能联网汽车的安全风险,特别是后者一定会挑起人们的敏感神经,因为其安全性不仅仅影响的是网络空间,甚至可以真实影响到现实物理世界,危及人们的人身安全。
Vincent总结了现阶段下物联网安全的建设痛点:
第一,一部分智能终端厂商源于传统行业,而传统行业大多欠缺信息化安全建设能力。其自身的安全开发能力薄弱甚至是完全缺失,是造成现有智能终端设备的安全性普遍不足的根本原因。Vincent举例说明,在某博览会上,安全人员仅使用一个“小盒子”就破解了在场所有的智能设备。传统行业转型进军智能制造时,必须补齐网络安全这方面能力。
第二,不同的智能终端对于安全同步建设存在巨大差异,比如在室外部署的物联网设备,需要的是低功耗,或者是精简设计,这就对同步的安全开发提出了挑战。为不同联网设备提供专属的安全开发,对于厂商而言是个巨大挑战,从物联网建设一方而言,也需要为之制定灵活的配套安全举措。
第三,物联网设备带病运营普遍存在,在设备开源系统组件的供应链环节,在持续的安全研究下,安全漏洞陆续被发现,这就要求不断对联网设备进行升级维护。难点在于联网设备数量较大,部分设备没有条件进行便利的升级维护,甚至是无法升级,这对持续运营的物联网安全带来巨大挑战。
第四,近年来物联网应用飞速增长,物联网应用场景中连接规模之大,已经引起了黑客组织极大的兴趣。此前美国东海岸大规模断网事件,正是由物联网僵尸网络攻击所造成。这就要求物联网设备安全防护要与黑客技术不断较量,即需要持续的安全投入,从而让联网设备始终处于有效安全保护之下。
第五,任何一个产业都有自身的产业链,在物联网一侧也同样,从芯片、模组,终端、网关平台、到用户,有较长的产业链。每一产业链环节的企业都会去在成本控制与安全成本支出之间寻找平衡,这也直接导致了安全并没有处于同一水平之上。
第六,物联网场景采用了大量非标准化协议,与传统IT网络当中TCP/IP协议,应用广泛不断完善相比,其协议的健壮程度需要大量实践与长时间的积累。这也意味着,对于暴露在外部的物联网设备,在敏感数据的采集、传输、存储的各个阶段,因为其特有协议的非健壮性都有可能产生泄露、监听的安全风险。
Vincent表示,正因为物联网安全现状不容乐观,相应的安全痛点多,各方有着急迫的安全建设需求,这也是其所在的部门乃至安恒信息的持续投入、研发相应产品的动力源。据悉,安恒信息已将物联网安全作为公司未来重要战略发展方向之一,其物联网安全产品和解决方案正加速迭代,随时为各方把守物联网安全大门,赋能物联网产业健康发展。
为万物互联搭建全生命周期安全防护体系
在谈及安恒信息如何解决物联网安全这一问题时,Vincent表示安恒信息物联网安全深度融合IT和IoT,并根据物联网安全的核心痛点,提出建设“感知万物、检测异常、安全防护、通报预警、闭环处置”为一体的物联网全生命周期的安全防护体系。
在物联网的感知层安恒信息推出了物联网安全心硬件产品。Vincent指出,加上安恒信息此前推出的内置版嵌入式安全心,可以给物联网厂商或物联网建设单位多种方案可选项。可以理解为,这一系列措施可以为现阶段的物联网安全,以及不同物联网设备提供更佳的易用性。
在物联网的网络层方面,安恒信息则推出了物联网安全准入系统。该系统主要帮助用户建立物联网资产的准入门槛,实现仅用户授权终端接入;网络层另外一款安全产品是物联网安全监测平台,它可以自动发现网络内所有物联网资产,并且实施全面的安全状态监测;此外,他们还针对物联网场景开发了专属蜜罐系统,实现物联网场景下的攻击诱捕,不断夯实产品物联网安全威胁检测能力。
在物联网平台层,安恒信息推出了物联网安全感知与管理平台,该平台可以对物联网建设单位整体物联网应用场景下的安全能力统一管理,将多维的安全设备数据统一汇聚、分析、计算、模型算法挖掘,最后平台可视化集中展现,便于用户单位整体把控安全态势,进行日常安全运营工作。
此外,无论对于产业物联网或消费物联网,安恒信息均可提供专业化的安全开发、安全咨询、安全渗透测试、安全托管运营等服务,结合安全管理规范,形成安全产品+安全技术+安全服务+安全管理为一体的物联网全生命周期安全防护体系。
谈及安恒信息物联网安全核心优势时,Vincent表示,安恒信息物联网产品研发强贴合客户的真实需求,形成产品方案,真正解决用户问题。基于这样的产品研发理念和过去十几年的网络安全经验积累,安恒信息打造了极强的感知层终端识别、网络层安全异常检测、安全防护以及平台层安全管理能力。
也基于此,安恒信息一路走来,得到了很多行业第三方的认可:
2018年,荣获全国政法智能化建设雪亮工程优秀创新案例奖;
2019年,安恒信息视频监控物联网态势感知平台荣获雪亮工程十大创新产品;
荣获2020中国物联网优秀产品奖;
荣获20201年世界物联网博览会金奖;
2019、2020、2021三年蝉联“物联之星”年度评选之最具影响力物联网安全企业奖。
结语,关于物联网安全的未来
在采访的尾声环节,Vincent进一步表达了物联网安全的重要性。万物互联是大势所趋,在5G、人工智能等技术的催化下,数字化改革浪潮的推进下,万物互联正在加速。如何打造更好的安全产品方案,赋能物联网全生命周期安全,是物联网产业健康、快速发展的重要保障。
物联网技术应用广泛,是万亿级产业市场,安恒信息公司将始终以构建安全可信的数字世界为使命,持续专注物联网安全核心技术研究、产品研发,助力万物安全互联!