廣告
廣告
回看10萬臺物聯網終端被侵案:物聯網安全亟需閉環
通信產業網|2019-05-28 08:38:34
作者:黨博文來源:通信產業網

【通信產業網訊】(記者 黨博文)5月17日,湖北省公安廳網絡安全保衛總隊通報了“武漢網警破獲湖北省首例入侵物聯網系統案”,案件中一物聯網科技公司10萬臺設備一夜之間脫網掉線,無法正常運行,造成了嚴重的經濟損失。

物聯網作為與互聯網深度融合的產物,推動了產業鏈、價值鏈的重塑再造,讓設計、生產、服務等全產業鏈的生產模式成為常態,在提高生產效率的同時,也為設備信息安全隱患埋下了伏筆,隨著“湖北省首例入侵物聯網系統案”落下帷幕,事件雖已水落石出,但是物聯網到底安全可靠這一問題又被擺在了臺面,在物聯網飛速發展的今天,安全與效率像是霎時間變成了“悖論”。

物聯網安全是如何誕生的?

timg.jpg

物聯網的出現打破了傳統行業相對封閉可信的環境,打通了互聯網與設備間的互聯互通,在提高生產效率的同時,也造成了木馬、病毒等安全風險產生的威脅。

造成這一原因主要是因為物聯網整體技術較為復雜,很多技術仍處于“中西合璧”的狀態,在一定程度上造成了不穩定性和安全隱患。

其次,由于網絡安全事件具有很強的隱蔽性,一個技術漏洞、安全風險可能隱藏了幾年都不被發現,這也是長期潛在的安全隱患。

最后,我國在企業普遍與網絡安全企業深度合作較少,在面對病毒等網絡攻擊時的應對不足。

眾所周知,物聯網所蘊含的價值遠超消費互聯網,當我們正在享受著物聯網帶來的高效工作的同時,不法分子也正在時刻伺機竊取這塊缺乏看守的“蛋糕”,回看此次事件,經審查核實,該公司離職員工通過破解了該公司的物聯網服務器,利用系統的漏洞將終端設備進行惡意升級,從而導致100余臺設備系統損壞,無法正常工作,同時離職人員還模擬了終端設備,遠程給該公司服務器發送偽造離線報文,導致10萬臺設備離線。

u=2021542433,566588103&fm=11&gp=0.jpg

賽迪智庫網絡安全所劉玉琢表示,首先,物聯網最大的安全風險來源于傳感器網絡,傳感器網絡中有大量的物聯網設備,任何一個安全性較差的IoT設備和服務都可以成為物聯網攻擊的入口;其次,由于物聯網設備低功耗的特點,很難在設備中嵌入大量的安全機制,導致多數物聯網設備都缺乏內置的安全防范功能,容易受到惡意軟件和黑客的攻擊;最后,物聯網僵尸網絡使DDoS攻擊的規模急劇增長,一旦黑客控制大量僵尸節點,非常容易向中樞發動攻擊,2016年美國東部一所大學就遭到了DDos攻擊,罪魁禍首就是校園周圍5000多臺受感染的IoT設備構成的僵尸網絡。

綠盟科技星云實驗室負責人劉文懋認為,此次“入侵物聯網系統案”是一個聚端、管、云與一體的典型物聯網安全事件,當前,物聯網云平臺正成為不法分子新一輪攻擊點,與傳統的攻擊物聯網設備不同,云端的破壞力更加巨大且極易造成嚴重的經濟損失。

劉文懋表示,對于設備使用方或者運營方而言,更要有數據信息安全的意識,從制度上、流程上、源頭上加強對數據信息安全的管控。

從國家層面來看,網絡安全首先需要國家出臺政策進一步完善。劉文懋表示,當前,監管機構正陸續起草廣泛的物聯網安全保護法規,為應對多年來不斷發生的數據泄露和網絡攻擊,針對物聯網的快速發展我們可以看到一套全面的物聯網絡法規正逐漸興起。

從云平臺及設備廠商來看,企業亟需構建安全閉環。劉文懋表示,傳統安全手段不能滿足特定場景下的安全防護,企業在滿足合規性的前提下仍需部署一個以防護、響應、檢測為一體的安全機制,在違規操作頻繁發生時立即給予預測阻斷性維護,增加自身安全能力。

劉玉琢認為,保障物聯網安全首先要加強IoT設備的安全。可以從兩個方面考慮增加設備的安全性:一方面,可以增加IoT設備的存儲空間,這樣就可以在IoT設備中嵌入安全軟件,這么做的弊端是成本會急劇上升;另一方面,可以減少設備不必要的功能,正所謂功能越多,漏洞便越多。

其次要加強IoT傳輸網絡的安全。一方面,要加強網絡通信協議自身的安全防護,因為目前越來越多的黑客瞄準通信協議入手進行破解攻擊;另一方面,要對網絡中傳輸的數據進行加密,防止數據明文傳輸被輕易截獲。

最后要要強化對物聯網安全管理。包括定期更新IoT設備的補丁、更改默認密碼等大家熟知的安全措施;還包括要上一些安全監測、預警的系統,一旦發現異常流量等問題,及時對攻擊進行阻斷;還有就是要定期組織對物聯網的安全評估,請第三方專業機構對網絡層、設備層等IoT各方面進行檢測和評估。

此外,劉玉琢特別指出,應該正確處理安全的效率的關系,在安全的前提下,提高物聯網工作的效率,不同場景下的物聯網劃分成不同的安全等級。

例如,關鍵信息基礎設施、軍事等領域的物聯網必然要先保證其安全性,然后才是提高效率問題。針對不同級別的物聯網場景,對其安全保護措施也不相同,例如,電力、能源等領域IoT設備的安全要求必然要高于智能門鎖、智能電視等一般生活場景下的IoT設備。在部分非關鍵、非重要的場景,可以更多地追求效率;但是在關鍵領域,要保證安全第一。

3.jpg

日前,工業和信息化部網絡安全管理局局長趙志國在2019數博會中指出,進一步做好新形勢下網絡與數據安全工作,一是要凝聚共識,構建新時代網絡與數據安全工作的“同心圓”;二是要聚焦重點,有效提升網絡與數據安全保障能力;三是要創新引領,積極發展壯大網絡與數據安全產業;四是要共治共享,營造網絡與數據安全良好生態。

打造安全可控的操作系統與物聯網平臺需要接受實踐的檢驗和時間的考驗,我們從互聯網時代一路走來,面對和克服了大大小小的病毒與漏洞威脅,物聯網安全的攻與防也是一個不斷博弈的過程,冰凍三尺非一日之寒,安全技術的不斷迭代與完善也非一朝一夕可以完成,更不會一勞永逸。

5

責任編輯:黨博文

【歡迎關注通信產業網官方微信(微信號:通信產業網)】

版權聲明:凡來源標注有“通信產業報”或“通信產業網”字樣的文章,凡標注有“通信產業網”或者“www.kwusmw.tw”字樣的圖片版權均屬通信產業報社,未經書面授權,任何人不得復制、摘編等用于商業用途。如需轉載,請注明出處“通信產業網”。

發表評論
評論More+
合作伙伴
×
左肖家肖是什么生肖