持續增長的物聯網行業,安全體系建設跟上了嗎?| 產業安全觀智庫訪談

騰訊安全發表於2021-04-09

物聯網(IoT)實現了物與物、物與人之間的泛在連線,讓萬物互聯從理想走向了現實。從車聯網、工業物聯網乃至家居物聯網,物聯網正在為越來越多的行業注入新的發展活力。

在十四五規劃中,“物聯網”被劃定為7大數字經濟重點產業之一,並明確指出將在基礎設施、接入能力、應用場景三個方面進行佈局。毫無疑問,物聯網已成為我國十四五建設的重要組成部分,將迎來持續增長空間。

然而,物聯網技術在為民生、經濟和企業發展帶來新機遇的同時,由此引發的駭客攻擊、網路攻擊、資訊洩露、隱私保護等安全問題層出不窮,危害更加突出,物聯網安全日益受到企業和消費者的廣泛擔憂和重視。如何有效地利用物聯網技術的優勢為自身發展創造價值,成為了物聯網行業參與者的“必答題”。

為此,針對“物聯網安全”這一核心命題,本期「產業安全觀智庫訪談」邀請到了中國資訊通訊研究院安全研究所主任柯皓仁行業資深CSO周智堅兩位專家,從物聯網安全的當前規律和未來趨勢出發,解析IoT安全的痛點和建設思路。

持續增長的物聯網行業,安全體系建設跟上了嗎?| 產業安全觀智庫訪談

物聯網應用持續落地,背後的安全問題亟待解決

Q1:物聯網在帶來諸多便利的同時,安全性也正在被全社會廣泛關注。從近年的物聯網安全事件中,可以發現哪些普遍性的規律和趨勢?

柯皓仁 :從整體規律來看,首先攻擊方式現在比較多樣化。從原來一些比較單一的手段,比如說在2000年-2010年之間,都是一些病毒木馬、個人隱私等相關的攻擊居多。但近幾年,攻擊目標、攻擊手段也逐漸滲透了物聯網應用的工業領域或者其他一些行業領域裡。原來網際網路的安全攻擊面嚮應用,但是現在面向整個物聯網的多種應用平臺、多種的智慧終端。

攻擊技術也發生了變化,駭客或者其他的一些具有攻擊目的組織,會利用人工智慧,區塊鏈這些新的技術發起攻擊。特別是到了企業側,物聯網技術應用更加會引起具有商業目的或者敵對國家,有組織行為的攻擊。整個攻擊方式、工具、技術,相對於原來的個人駭客攻擊還不太一樣,它造成的危害也會比較大。

從大的趨勢來講,物聯網應用的場景以後也要分多層級,去進行相應的安全設計和防護。因為個人更加註重個人隱私保護,但企業更加註重業務應用,包括工業資料或者業務資料安全性的保護。

另外,我們國家也在推數字化轉型,重點面向一些國有工業、企業進行工業轉移升級、工業4.0,在這個過程中物聯網技術應用比較多,物聯網安全會更加受到國家關注。在大的趨勢上,整個物聯網安全相關的一些政策標準會趨於完善,但是目前剛剛起步,雖然物聯網已經提了十幾年了,但是整個物聯網安全的頂層設計,不管是指南性的,或者說標準政策的、法規性的還是比較弱。

周智堅:我個人理解物聯網目前還沒有大規模的推廣,它其實還在一個概念階段。但是物聯網爆發的時間很快會出現,因為國家現在在做整個國企的數字化轉型。從趨勢來講,接下來五年到十年的時間,物聯網的趨勢會越來越明顯。

物聯網就相當於我們把手機全部放在網上,只要放在網上,它就會有安全問題;相當於生產環境裡面所有的東西,都暴露在網際網路上,它的安全問題影響會非常大。這也就意味著安全是企業的深層問題。 

Q2:您認為當前物聯網行業還存在哪些普遍性的安全痛點?

柯皓仁:第一,針對使用者的個人應用場景,包括消費網際網路、移動網際網路。首先終端的多樣性,在通訊層面我們使用的無線的通訊協議,包括Zigbee、傳統的電信通訊3G,4G,5G、工業領域的通訊協議,智慧終端的變化防護起來的話就會比較困難。另外,因為物聯網在端一側大規模、海量的應用,對於防護者來講的很難做到有效的防護。針對個人使用者,物聯網應用加大了便利性,但是個人隱私保護,還處於相對不成熟的階段。這也是防護的重點、想解決的痛點。

第二,從企業側來講,應用手段已經相對比較成熟了,但很多企業不敢用,就是所謂的安全痛點在。因為他不知道企業應用物聯網技術後,會存在哪些安全風險或者帶來一些新的安全危險,可能造成的安全損失比獲得的便利性要更加嚴重。對於物聯網應用的普及和推廣,作為企業使用者,就會有這樣的顧慮。

從這個層面看有一些痛點亟待解決。但是企業使用者更加需要去解決頂層設計、從整個安全閉環管理上,去解決業務上的安全防護要求,對於企業使用者會是比較合適的道路。

周智堅:關鍵問題是行業沒有形成大的、實際上的場景趨勢。物聯網的參與者,比如物聯網平臺、以及IoT裝置的製造商,他們之間都沒有很好的標準,就會有很多的亂象,這是最大的痛點。

這種痛點就導致因為沒有場景,企業投入安全面臨到底有多少產出的問題,他利益是不成正比,這是最根本的核心問題,並不是他不想去做安全。當場景足夠廣泛以及安全問題對他的投入產出比影響足夠大的時候,那麼這種痛點自然而然就會消失。

安全廠商該如何應對,確保物聯網產業安全?

Q3:對於物聯網安全體系建設,您有哪些建議呢?

柯皓仁:可以從兩個方向來討論,一個是安全管理,一個是安全技術體系的建立。

首先,從安全管理體系的話,也分幾個維度:

第一,整個國家的主管部門、行業主管部門到產業鏈各方,要完善頂層的體系建設、安全管理體系建設,比如行業主管部門應該推動完善一些頂層設計、標準政策、技術標準、管理標準,頂層的建設意見、指南規範等的建設。

第二,回到應用物聯網本身,整個安全管理體系的建設能夠形成企業內部的安全管理閉環,包括安全風險識別、安全風險管理、組織架構、安全風險評估、應急演練,能夠去發現安全事件,進行應急的處置和恢復。

其次,回到安全技術體系,從大的層面上,逐漸完善我們雲管邊端每個層面的安全技術能力的建設。

  • 端一側,相應技術體系構建,用一些新的技術,把相應的安全技術進行進一步的提升;
  • 終端一側,會有輕量級的安全防護解決方案,有相應的產品的孵化和應用;
  • 網路一側,針對不同的物聯網層級,有不同的安全技術防護內容,比如在5G網路環境下,怎麼樣去利用5G本身提升的安全效能,怎麼樣在5G+物聯網應用過程中,去建設整個安全防護的技術體系。

針對安全防護物件不同、物聯網應用的場景不同,去設計安全技術體系,比如資料安全,到底是保護的是個人資訊,還是保護企業側的物聯網應用業務資料、生產資料。

所以說,分類別或者分級別去進行安全技術體系的構建,從端、雲、平臺側,去構建相對比較完善的技術體系。

周智堅:對於安全,我自己有一個概念叫1+1+N,即一句話的安全架構+一個安全ERP+N個安全產品。未來的物聯網安全跟現在的產業物聯網數字化轉型的區別就在於它加了IoT裝置,整個裝置從生產、製造設計到運輸和部署整個環節的安全問題,因為是一整個生態鏈很難控制。我對於IoT安全的體系建設的展望:IoT裝置的安全加上1+1+N,就能從框架上比較全面的覆蓋整個物聯網行業的安全風險。
Q4:物聯網產業和安全產業應該如何聯動去持續最佳化安全能力,專業的安全廠商可以提供哪些助力?

柯皓仁:目前物聯網安全廠商專業劃分不多,很多傳統的安全廠商、頭部企業都有自己的產業網際網路、物聯網的安全事業部或者分支。但從本身的賦能來講,技術能力、技術體系是趨向一致的,並沒有特別大的變革。物聯網安全企業它本身的驅動力是有的,行業是逐步上升的趨勢。一些產業預測物聯網安全是持續增長,到2025、 2030可能會有一個比較好的市場爆發。

我認為存在這兩種發展道路:第一,像頭部的安全企業,或者是傳統的網路安全企業,針對物聯網安全再去細化或者做整個產品線的迭代,產品的應用能夠深入推廣,逐漸形成第一梯隊。第二,從工信部的角度來講的,也希望能夠培育出來細分領域的龍頭物聯網安全企業,對產業是比較好的趨勢。

但是要把物聯網安全企業和物聯網產業充分結合起來,要打通的東西還比較多。除了頂層設計上缺失外,物聯網的一些裝置終端的提供商,不管是從他的能力上或者成本角度來講,對於安全的驅動力是弱的。但是物聯網安全企業他了解安全風險的隱患,有大的驅動力去投入。

不僅如此,個人使用者和企業使用者對物聯網安全企業也提出了不同需求,比如專注於消費物聯網還是回到企業一端,有兩個大的區別。這也註定了物聯網安全企業,在整個物聯網產業鏈條上要尋找好自己的定位。

總的來講,未來5-10年,包括一些權威的產業預測,物聯網安全企業的發展還是向好的。

周智堅:實際上,物聯網行業跟現在所處的數字化轉型或者產業互聯不同的點在於,數字化轉型可能只是把業務資訊化、資料化、甚至自動化。但是物聯網會把所有的生產性裝置都互聯化了,成為了生產的一部分,物聯網安全跟企業本身融為了一體、跟業務是完全融合的。這也是物聯網安全的特點:沒有安全,物聯網的產品本身就很難去走向市場,安全也是它物聯、互動的關鍵。

所以物聯網時代,它的產業跟安全的結合點應該要實現一體化的運營,安全也要數字化、自動化。這樣的話,它們的聯動、生態才能不斷的擴充套件,往健康的方向去走。

目前安全廠家做準備就行了,因為盈利的時代還沒有來,它只要關注。比如說關注現在IoT裝置到底有哪些?看看他們到底有哪些問題。

我有三個建議:第一,對於裝置這一塊,要有評價的標準,可以是服務。第二,對於裝置本身符不符合安全等級,要有檢測的平臺或者模擬攻擊的平臺去檢測它。第三,整個平臺的運營過程中,要按照安全的數字化運營的方式,我剛才提到的安全1+1+N的方式去做,1+1+N現在也有很多企業都在做。打好現在的基礎,那麼以後loT來了自然而然的就能趕上一波好時代。

寫在最後

近幾年基於物聯網技術的智慧城市、工業網際網路、智慧醫療等相繼落地,我國物聯網市場規模不斷擴大。資料顯示,到2024年中國物聯網市場支出將增加到3133億美元。然而,物聯網還面臨著需求碎片化、技術複雜多變,安全事件頻發、安全風險擴大,以及成本過高、盈利模式不明確、缺乏頂層設計、行業標準等多層次的問題。這也就對物聯網的發展提出了進一步的要求,多方共建共治共享成為大勢所趨。

作為產業安全的領導者,騰訊一直深耕物聯網等前沿技術領域的安全研究。在車聯網方面,彙總了實驗室過去四五年間在車聯網安全上的經驗積累,釋出了專注於嵌入式系統的全自動安全基線審計的滲透測試輔助平臺工具sysAuditor,可以把90%共性安全問題檢測出來;為促進行業規範化發展,騰訊牽頭的國際標準“物聯網異構裝置的資料安全要求”成功透過了國際電信聯盟的審議並立項。在生態建設上,與泰爾實驗室共建創新研發中心,護航物聯網產業安全。未來,騰訊將持續開放安全能力,共建繁榮的物聯網產業生態。

 

 


相關文章