导 读
360近日发布的《典型IoT设备网络安全分析报告》是国内首次通过大数据分析检测智能设备安全状况的分析报告。该报告指出,用户对IoT设备安全的担忧,排名为首的是隐私泄露及盗窃;其次是人身安全、支付安全、病毒攻击和WIFI风险。远程弱口令、预置后门、敏感信息泄露则是IoT设备的三大常见漏洞。
来源:引石安评INSComment(INSComment)
作者:引石老王
物联网智库 转载
导 读
360近日发布的《典型IoT设备网络安全分析报告》是国内首次通过大数据分析检测智能设备安全状况的分析报告。该报告指出,用户对IoT设备安全的担忧,排名为首的是隐私泄露及盗窃;其次是人身安全、支付安全、病毒攻击和WIFI风险。远程弱口令、预置后门、敏感信息泄露则是IoT设备的三大常见漏洞。
引子
360近日发布的《典型IoT设备网络安全分析报告》是国内首次通过大数据分析检测智能设备安全状况的分析报告。该报告指出,用户对IoT设备安全的担忧,排名为首的是隐私泄露及盗窃;其次是人身安全、支付安全、病毒攻击和WIFI风险。远程弱口令、预置后门、敏感信息泄露则是IoT设备的三大常见漏洞。
2018年以来,物联网的安全风险事件频频曝光,同时,央视也进行了相关信息安全风险的通报!在用户的心中,智能设备的安全正逐步成为购买产品开始关注的主要问题。
而随着通讯技术的快速发展,智能设备如果离开信息安全防御,那它的智能将变得没有价值可言。
基于无线通讯的物联网应用
在物联网中,由于设备多、分布广,所以大部分的通讯都是通过无线通讯来解决的。目前对于室外无线通讯的方式来讲,一个是4G/5G宽带,一个就是NB窄带。随着通讯技术的发展,相信在今后家庭网络的使用也会逐步向这两种无线通讯方式靠拢,那些传统的WIFI、蓝牙、zigbee等通讯也许将会被逐步替代。
随着运营商通讯的覆盖,5年后,无论是在室内还是室外,每个智能产品的通讯都会是独立的,家庭网关等这类设备可能会逐步转型消亡。物联网应用的大部分通讯都将基于运营商5G和NB技术。
由于无线通讯技术的快速迭代,运营商们对安全技术又严重缺失,所以运营商无线通讯应用的安全风险也会随之而来,基于无线通讯的安全防御刻不容缓。这一点,也说明在无线通讯领域,信息安全行业具有巨大的市场潜力。
基于无线通讯的应用安全风险
5G与NB这两种通讯技术应用,有着各自不同的应用场景。对于5G来讲,由于是宽带,所以可以进行大流量传输。比如:电影视频、语音、高质量图片等。但用户在享受流量的同时,也会带来高额的通讯费用。
而对于运营商来讲,流量费用是他们获取利润的基础,所以即便是将来通讯资费会越来越低,却很难做到彻底免费。而NB由于是窄带通讯,所以仅适合那些短数据的通讯场景,当然资费自然就会低的很多,成本也会降低很多。所以,在通讯资费和成本投入上,NB通讯技术会有更大的优势。当然,选择哪种通讯方式,核心还是应用场景。
在物联网实际应用场景中,两种通讯往往会集中在一起使用。比如一辆智能驾驶汽车,它可能一方面需要通过5G来满足车辆使用者在车里的娱乐要求,也需要通过NB来及时回传行车的关键数据,从而下发正确的指令来指导汽车的行驶。所以,对于智能驾驶汽车来讲,基于无线应用的安全防御手段就变得尤为重要,否则一旦出现信息安全问题,后果不敢想象。今年特斯拉出事就涉及到智能汽车的信息安全防御问题。
基于无线应用的安全防御手段
对于5G通讯的信息数据保护,至少要实现对数据发送方及发送数据的加密验证。这些发送的数据中,有些数据本身可能就是可公开的,安全级别要求也并不高,所以控制好数据发送的源头,加入对数据发出方的认证识别,同时对数据流进行防篡改处理就可以实现基本的安全防御。
由于5G是宽带通讯,所以通讯安全的实现可以采用传统的互联网网络安全手段进行实现。但对于NB窄带通讯的应用,一般终端节点较多,且上传的数据往往都是关键的用于业务分析的短数据。这些数据上传服务端经分析后,再从服务端下发执行指令至设备,设备进行指令执行。所以,一旦传输数据被修改,执行指令被替换,那结果就会变得非常可怕。
由于NB属于窄带通讯,本身的带宽就不够,所以往往在加入安全防御手段后,可能会导致通讯数据量加大,设备功耗加大,这样不仅拖慢了整个设备的执行效率,有的甚至根本无法使用。因此,在无线通讯的物联网应用中,如何解决NB窄带通讯的安全防御是今后物联网应用安全防御的一个重要问题。
基于NB应用的安全防御要求
如何让NB窄带通讯可以得以妥善解决,在不影响整个通讯速率和执行效率的前提下,实现智能设备应用的安全,是目前众多安全专家、技术人员在思考的问题。
从目前可行的安全防御技术中,我们知道:要实现数据的安全可靠,必须要通过非对称安全体系才可以实现数据的安全可靠。因为非对称体系实现了对数据安全的两个核心:加密解密和签名验证。然而目前的现状是:有很多设备仅仅采用对称加密、自有协议,甚至口令登陆就想实现设备的安全防御,这种防御对于一个技术高手来讲,实际上形同虚设。
从实际应用上来讲,非对称体系可以完成在网络中各类设备的接入身份认证,设备与设备之间的数据机密传输,以及服务端与设备通讯的指令防劫持篡改。而实现这些安全防御的核心就是密钥,在NB窄带应用中,要实现高强度、短密钥、轻量级的安全系统就变得非常重要了。
物联网应用的安全现状
面对物联网应用的安全现状,国内很多安全公司都推出了物联网安全解决方案,但实际上大多还都是原有互联网信息安全解决方案的延续。从物联网安全的普及的角度来讲,一方面很多的物联网应用还没有完全成熟起来,另一方面,安全作为事后感知的技术,也还没有让用户真正的认知。
所以在这种情况下,商业利益至上的设备商、运营商们也就逐步省略了安全,加大功能宣传,将尽快获得商业利益作为第一位了。360发布的《典型IoT设备网络安全分析报告》其实也是从另一个角度让大家看到了智能设备的安全现状。
近期,工业信息化部网络安全管理局的检查通报,也让每个人大跌眼镜。
现状如此,连这些知名的大企业、甚至是大巨头们都是如此面对安全,就更不必说其他的企业了。
所以,引石老王也提醒广大用户:面对越来越多的安全风险,在选择智能设备的时候,一定要关注设备的信息安全防护,设备安全就是保障自身的信息安全。这一点,随着国家安全法律的出台,时间证明将会让每一个用户逐步成熟起来。
结束语
随着物联网、人工智能技术的发展,信息安全将成为无法避开的风险。本文开篇就讲过,2018年,用户已经逐步开始关注安全。而信息安全也一定会成为物联网参与者的重点解决的问题。
近年来,安全专家、技术高手们也一直在研究物联网应用安全的各种防御手段。由华北电力大学物联网专业带头人、信息安全专家魏振华博士提出的IPK标识公钥技术,基于非对称安全体系,与传统的PKI证书体系相互融合,不仅解决了宽带通讯的证书应用,也将窄带通讯的安全进行了很好的解决,可以完全满足基于NB窄带通讯的业务应用。
早在2015年,麦肯锡《物联网:超越市场炒作之外的价值》报告中预测全球物联网市场规模将在2025以前成长达到3.9-11.1万亿美元,在2025年达到约11%的全球经济占有率。
针对即将到来巨大市场,已经有更多的设备商、产品商意识到安全的重要性,资本市场对安全企业也开始关注。更多的企业、团队加入其中,都希望通过自身的努力,为我们即将到来的智能生活做好安全保障。
不过,安全是一种专业技术性很强的专业,它不同于商业应用技术。它需要有多年的技术沉淀和安全基础来支撑。所以,未来物联网信息安全的方向,更需要 “安全皆服务”的业务模式,这种安全技术服务模式可以将专业的安全服务变得简单、容易,让设备提供商、运营商们更容易获得安全技术,从而更好地实现对用户的服务。
往期热文(点击文章标题即可直接阅读):