如果你对一个使用物联网家电的人说,嘿,你的电视让地球另一端的网站挂掉了,他们也许会说,OK!酷!我并不在乎,我仍然可以看电视,电视仍正常运作。人们在买物联网产品时,安全并不是首要考虑因素,挑选烤面包机或是洗衣机,一定是考量价钱、功能,再来是外型。厂商花很少的资源在信息安全上,而随着市面上物联网产品越来越多,信息安全的隐患也越来越大。
在无锡举行的2016世界物联网博览会上,物联网安全成为政界、学界、业界和民间关注的热点。多位专家呼吁,应尽快建立物联网的安全防护、管控和应急响应机制。
一个传感器“吃掉”500亿物联网成黑客攻击新领地
2015年圣诞节前2天,乌克兰60座变电站突然遭受黑客攻击,导致140万居民家中停电。调查发现,黑客利用恶意软件在电力公司的主控电脑与变电站连接系统中植入病毒,导致系统全体瘫痪。
作为新一代信息通信技术的高度集成,物联网把物与物相联成网,形成对数据信息的感知、分析和控制。由于物联网往往与云计算、大数据、移动互联网等新技术融合应用,物联网的安全问题较传统互联网更加多元、复杂,不仅存在隐私泄漏的风险,甚至可能威胁到人身和产业安全。
今年8月,在美国拉斯维加斯举行的黑帽大会上,黑客们成功地利用一款智能灯泡传播了病毒。去年,国内多家媒体调查发现,儿童智能手表存在着泄漏位置和用户信息、通话信息被监听等安全漏洞。近来甚至有黑客声称,可以在9米之外入侵植入式心脏起搏器,实现“遥控杀人”。
卡巴斯基实验室关键基础设施保护全球市场总经理Andrey Suvorov接受交汇点专访。王梦然/摄
如果工业物联网出现差错,造成的损失更是惊人。俄罗斯卡巴斯基实验室关键基础设施保护全球市场总经理Andrey Suvorov告诉记者,根据实验,黑客只需要3小时就能使一个500千伏的变电站瘫痪;一个大型油泵从被攻击到发生事故不超过14个小时。而在一个价值500亿的闭环系统中,只要一个传感器出现问题,整个系统就有可能全面崩溃。
“物联网终端数量多、分布广、种类多,正在成为网络攻击的新领地、信息窃取的新战场。”中国信息安全测评中心专家委员会副主任黄殿中表示,全球物联网正在从概念进入实质性推进的新阶段。随着各种新型应用的落地实践与大范围推广,物联网安全事件开始呈现爆发性增长,安全问题已经越来越突出。
院士提供新思路
解决物联网安全问题不妨参考钱学森造导弹合理“简化”
黑客能入侵你的物联网汽车关闭刹车系统;14岁的孩子出于好奇入侵铁路系统,导致火车相撞乘客受伤;今年九月底,美国上千家网站遭受大规模DDOS攻击,攻击源头正是中了木马病毒的智能家居产品“僵尸物联网”……来自以色列的CheckPoint公司全球副总裁EitanErez在物联网信息安全高峰论坛举出的一系列真实发生的案例,让人震惊地意识到,物理网信息安全问题是明显而且存在于眼前的危机。
正如论坛中中国工程院院士何德全所总结得那样,安全与发展是人类发展二大基本需求,对于物联网而言也概莫能外。何德全说,物联网的安全与发展,就相当于一架马车上的两个轮子,只有找到结合点、平衡点,想明白两者如何配合好,马车才能有序平稳地前进。
“厘清物联网的功能、结构、特征等特性,能帮助我们找到结合点、平衡点。”何德全分享的第一个观点,倒有些“反其道而行”的“哲学”思维,他说,相较于互联网,物联网更加复杂和分散,我们要解决物联网的安全问题,可以借鉴钱学森解决导弹瓶颈问题,建立“湍流”概念的思路,即通过合理的简化来解决复杂问题。
何德全建议,我们的物联网产品从器件到认证,可以使用轻量级密码,尽量简化。“相当于将一把钥匙放在一个抽屉中,找起来不影响效率。”何德全说,也许有人会说,简化的物联网会给黑客更多可乘之机,但要防御这一级别的攻击,我们更有信心,“攻防不对称”对我国今后的物联网发展埋下的隐患更加巨大。
图为论坛现场。王梦然/摄
像管食品一样管物联网,提早布局防产业“虚胖”
今年以来,随着物联网发展进入快车道,物联网安全问题正在全世界引起越来越大的关注。
今年1月,美国联邦贸易委员会研究人员指出,许多智能设备没有对用户隐私信息进行加密,物联网存在安全隐患。在今年的国际消费电子展上,对物联网安全的关注度超越智能家居、可穿戴设备和无人驾驶汽车,首次跃居第一位。
正在举行的2016世界物联网博览会同样对物联网安全给予高度关注。中国工程院院士邬贺铨在接受记者采访时表示,物联网使得人类的控制能力更强,也使得病毒和木马的破坏力更强,这是物联网发展面临的一个巨大挑战。邬贺铨院士呼吁,应尽快建立对物联网安全的预防、监测和应急响应机制,防止物联网产业“虚胖”,后程乏力。
如何应对物联网安全课题?学界、业界在此次物博会上贡献了不少“金点子”。国家物联网基础标准工作组总体组组长沈杰博士认为,解决安全问题,首先要在政策管理及标准研制方面加强顶层设计。他介绍,我国早在2013年就出台了《关于推进物联网有序健康发展的指导意见》,但有关安全防控措施至今尚未进入实质化执行阶段。在标准方面,我国已有3项物联网安全关键技术纳入了国际标准体系,但在标准体系建设方面还未能跟上物联网发展的步伐。
中国信息安全测评中心副主任李守鹏呼吁,要改变物联网“重发展轻安全、先发展后安全”的观念,在技术层面加快物联网安全测试及防范技术的研究创新和关键突破,构建物联网安全防护解决方案。“要像对待食品安全、航空安全那样管控物联网安全。”
“痛点”变“起点”倒逼信息产业国产化
今年10月9日,习近平总书记在中共中央政治局集体学习时强调,“加快推进国产自主可控替代计划,构建安全可控的信息技术体系。”实现安全可控,成为我国以物联网为代表的网络信息领域一个重要任务。
“物联网安全,是挑战,也是一个巨大的机遇。把握住机遇,有望加快高端传感器的国产化进程,实现我国在物联网领域的赶超。”中国工程院院士何德全介绍,在物联网关键基础设备和核心技术产品上,我国对进口的依赖一直很高。实施国产替代计划,将使我国的微电子和器件产业获得飞速发展,倒逼信息产业加快国产化进程。
一个安全的物联网,信息的真实、透明和共享是其中核心要义。中央网信办有关人士表示,推进物联网安全战略,将有助于建立信息公开、共享机制,推动电子政务走出“信息孤岛”,实现政府转型。
记者了解到,目前,国内外物联网组织机构对物联网安全研究的热情颇高,各大企业争相进入。未来,物联网安全领域必将成为产业界新一轮争夺的焦点。正像以色列CheckPoint公司全球副总裁EitanErez所说:“关注物联网安全,将是在新一轮信息革命中领先一步的重大战略选择。”
交汇点记者 马薇 王梦然