梆梆资讯
物联网安全全生命周期管理夯实物联网基础设施建设
2021-03-15
3月11日下午,第三届物联网产业创新发展大会(中国●成都)在成都高新区菁蓉汇7号楼1楼大会议室成功举办,本届大会以“融合创新·智能物联”为主题,在四川省经信厅和成都市经信局的联合指导下,由四川省物联网产业发展联盟、成都物联网产业发展联盟主办,成都电信承办。本届大会以“融合创新·智能物联”为主题,在四川省经信厅和成都市经信局的联合指导下,由四川省物联网产业发展联盟、成都物联网产业发展联盟主办,成都电信承办。梆梆安全受邀参与大会并发表演讲。
四川省经信厅相关负责人在致辞中表示,“十三五”期间,全省物联网产业按照“加强引导,培育主体;加强应用,产业同步;加强创新,引领发展;加强整合,提高效益”的总体推进思路,初步形成从上游物联网芯片、智能传感器到下游系统集成及应用服务较为完整的产业链,呈现出“一核心两支撑六园区”的产业空间分布。
成都在国内率先提出重点发力智能物联网产业新赛道,并作为全市“十四五”工业和信息化15个细分产业攻坚领域之一,锻长板、补短板、提能力,力争把智能物联网打造成为电子信息产业破万亿后又一新的增长极和动力源。
随着数以亿计的物联网终端接入互联网,智能物联网的概念越来越多地被提及,大量物联网设备接入引发新的网络安全威胁。梆梆安全物联网事业部总监李浩文在本次大会上分享了《物联网安全风险及方案》。
未来物联网的架构可能会被重构
物联网被业界普遍认为是继互联网之后的下一次技术革命,其所带来的设备激增已经在深刻影响人们的生活。在当前应用比较广泛的物联网场景如电力及能源物联网、网联汽车及智慧交通、工业互联网、可穿戴设备及智慧家居、植入及医疗设备、智慧城市及社区下,设备规模呈现出大基数、多样化趋势,而5G会加速这一趋势的演变,为实现安全、可扩展性和高效,物联网必须重新进行架构,边缘计算及边缘节点的重要程度可能会被重新思考。
物联网安全形势严峻
通过对流行度TOP 10的物联网智能设备的安全测试,发现几乎所有设备都存在高危漏洞,主要有五大类安全隐患:
l 80%的物联网设备存在隐私泄露或滥用风险;
l 80%的物联网设备允许使用弱密码;
l 70%的物联网设备与互联或者局域网的泄通讯没有加密;
l 60%的物联网设备的web界面存在安全漏洞;
l 60%的物联网设备下载软件或者更新时没有进行加密。
——数据来源:惠普安全研究院
近年来,物联网安全事件频发,儿童玩具、智能网联汽车、路由器、工业设备不断成为黑客利用的工具,对用户隐私、基础网络环境带来了很大的冲击,其所引发的影响不断从数字世界向物联世界扩散。造成整个物联网行业网络风险的原因大致可以分为以下几类:
攻击成本不高:购买价格不高,不需要购买昂贵的设备,大部分资料和文档可以从网上获取,花费的攻击时间也不长。
厂商安全意识有待提升:软硬件均预留很多调试接口,未做任何加固等保护工作,代码和通信传输漏洞比较多,对开源操作系统并未做任何安全处理。
容易大面积感染:使用同一个用户名和密码,大部分终端暴露在公网,同类终端使用相同或类似的软硬件方案。
终端越来越智能:终端普遍采用Linux操作系统,终端处理性能、运算性能和网络性能等都很强,终端自带的系统功能越来越多,系统和软件架构越来越复杂。
隐蔽性强,难发现:传统的平台扫描工具无法扫到终端层面,底层嵌入式系统,平台无法发现威胁,攻击发生前,终端无任何异状,深入终端系统层,更难被发现。
发生攻击难控制:一旦发生攻击,难以第一时间找到攻击源;除了第一时间切断业务,并没有太好的办法;攻击源分散,很难第一时间全部找到并清除,发生即为海量攻击。
物联网安全全生命周期管理夯实物联网基础设施建设
在演讲中,李浩文从4种常见的物联网形态及场景着手,剖析了物联网行业存在的安全风险以及安全现状。面对物理空间与数字空间前所未有的融合态势,网络空间安全策略的制定需要从端、管、云以及整个物联网设备的全生命周期安全管理入手。
梆梆安全自2015年开始物联网安全及相关保护技术的研究,已经积累了大量的实践经验,主要包括加密、防篡改、软件水印、软件多样化、反逆向技术、虚拟机、基于网络的保护和基于硬件的保护等。
在万物互联时代的当下,梆梆安全实现了物联网安全领域的突破,通过深入研究为国内网络安全业界和物联网各相关产业提供了丰富的理论基础,同时还在工业互联网、智能网联汽车、智慧家庭等场景践行了物联网安全防护最佳实践,为国内物联网安全体系建设探寻到了一条有效的路径。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1