【51CTO.com原创稿件】就在上周,为期三天的2017年北京国际互联网科技博览会暨世界网络安全大会在北京展览馆拉开帷幕。会议召开的第二天,记者参加了由梆梆安全主办的物联网安全论坛。在整整一下午的时间里,来自政府机构的领导、高等院校专家学者、安全厂商、用户共同探讨了物联网安全的市场、技术、实践、服务、生态等各个环节的发展现状、面临的挑战及未来趋势。
据悉,本届大会由北京市公安局联合市委网信办共同主办,是“4.29首都网络安全日”宣传系列中的重要组成部分,物联网安全论坛也吸引了大量专业人士参加。中国计算机学会计算机安全专业委员会主任严明主持了本届论坛,工信部信息化和软件服务业司系统安全处郭娴、北京市公安局网络安全保卫总队党委委员副总队长胡蓉、北京市网信办网络信息技术安全处副处长刘缨等领导也受邀发言致辞。
在分论坛结束后,记者采访了本次论坛承办方梆梆安全董事长兼CEO阚志刚博士、梆梆安全研究院院长卢佐华女士。他们与记者分享了对于物联网安全的思考,有的观点非常有新意,记者与二位沟通之后颇有收获。
构建物联网安全共同体
阚志刚表示,这次之所以承办物联网安全分论坛,其实并没有考虑过多商业因素,一方面他觉得429首都网络安全宣传日系列活动是北京市的重要活动,北京市企业有义务参与这些活动;另一方面,物联网是未来很重要的发展方向,梆梆安全做了两到三年物联网安全方面的研究,本次很荣幸受邀成为主办方,梆梆安全认为这是一件非常有意义的事情,于是花了很大精力邀请物联网安全业内的重量级嘉宾参与。
“我们希望通过物联网安全分论坛,正式发出呼吁——构建物联网安全共同体,让更多的人可以加入其中。”阚志刚解释道,梆梆安全想从五个方面来构造物联网安全的共同体,即监管机构、政府、科研院所、安全厂商、设备厂商。其实换一个角度而言,也是希望各方面力量从客户、产品、政策、社会环境以及安全智库等多个角度共同参与。
卢佐华认为建立物联网安全共同体非常有必要,她和记者分享了一条消息:今年麻省理工发布了2017年全球十大突破性技术,物联僵尸网络赫然列在突破性技术当中,与之形成鲜明对比的是其他九大技术都是从正面出发为人类造福,而这次科技破坏性技术取得重大突破,引人深思。这从侧面也反映出,从工业界到学术界,从美国乃至全球,都把物联网安全看成了未来三到五年最重要的一个技术突破点。
以科研思路打造行业标准
梆梆安全之所以发出这样的呼吁,也是因为他们早已经意识到,物联网安全的范围太大,远不是一个人、一家企业或一个组织能够单独完成的。虽然物联网安全共同体是开放的组织,但是这不意味着没有技术门槛。阚志刚表示,他希望能和每个行业市场的企业都达成合作,建立民间物联网安全智库,一个纯学术、纯技术的组织。梆梆安全计划从科研思路推进,撰写白皮书,归纳基础架构,通过共同体产生一个完整的体系,最后形成行业标准。
记者了解到,梆梆安全已经开始着手共同体的构建工作,他们同智能家居厂商、无人机厂商、汽车厂商都建立了不同的安全实验室,并成立各种组织联盟。据悉在2017年,梆梆安全计划出品三本物联网安全相关白皮书,梆梆安全如此“实干家”的行事风格着实令人佩服。
物联网安全原罪与挑战
物联网安全的本质是什么?所有安全的源头在哪?阚志刚将物联网安全风险的本质归纳成四个方面:代码之殇、联网之疫、攻防之悖、隐私消失。除此之外,安全技术也挑战重重。
他告诉记者,挑战首先来自成本,附加的安全成本如果过高,那么IoT厂商往往宁愿选择放弃安全部署,忽略安全问题;其次是复杂的安全生态,在万物互联时代,智能终端种类繁多,系统由感知、通讯、应用三部分组成,攻击面广,安全风险高;再次是技术创新不足,终端设备计算能力相对较弱,像密码技术这样的传统保护措施难以应用。最后一点是应对策略不足,目前产业对于物联网安全威胁的研究尚处于起步阶段,对攻击的复杂性掌控不足,安全防御往往处于被动状态。
“我们倡导在一个融合开放共享共治的环境下,能够为物联网安全添砖加瓦,从安全检测、安全保护、实施响应、情报威胁四个方面,争取为我们的客户提供全站式的物联网安全服务。”他表示。
找准切入点 看物联网安全解决之道
在采访中,卢佐华告诉记者,物联网安全与传统安全有本质的不同,安全厂商需要有新的防御思路。她以车联网为例,一辆汽车销售之后,汽车系统的升级主动权不再掌握在厂商中,车主可能十几年都不会更新程序,那么一旦不法分子发现汽车系统中的漏洞,就很容易实施攻击并获取大量汽车的操控权。因此梆梆安全提出微边界的概念,正是希望通过细颗粒度的安全解决方案维护物联网的广阔边界。
阚志刚认为,物联网安全要解决三个技术难点:
一是对物联网安全的认证,他告诉记者,物联网海量接入端面临的首要安全问题就是身份识别,而解决这个问题的前提就是必须满足“成本低、性能高”,例如PUF物理非克隆函数技术,可以通过很小的电路识别出某个联网设备是否唯一;
第二个技术难点是如何对物联网传感器简单的运行环境进行加固保护,实现嵌入式安全。
第三个难点在于能否构建可信操作环境,在现在芯片和固件上实现更有效的安全。他说目前国内的可信计算、拟态计算、透明计算就在致力于解决这个问题。
“进攻的角度和保护的角度,会产生两种完全不同的运营方式。梆梆安全坚持从保护角度和客户待在一起。” 阚志刚强调。
在整个采访中,阚志刚有一句话非常令记者动容,他说梆梆安全做的物联网安全研究起步非常早,但这并不意味着梆梆安全最后一定会站在领奖台上。然而即便如此,梆梆安全也要做最大的努力和尝试,“物联网安全有很多切入点,梆梆安全最终选择程序安全作为市场切入点,包括源程序、协议、固件的安全。这是我们在移动互联网产业取得的经验,希望可以将之扩展到物联网安全,将安全功能嫁接到芯片中,实现更高水平的防护效果。”
梆梆安全展台吸引了大量参展观众
南京邮电大学校长杨震教授曾经说过,物联网发展的终极目标是打造一个“智慧地球”。虽然现在物联网的应用仍处于起步阶段,但是有理由相信,惠及众生的那一天必将会到来。而记者也由衷希望,在那一天到来之前,梆梆安全CEO阚志刚所期望达成的物联网安全共同体能够早日实现,持续护航物联网的成长壮大。
作者:周雪
来源:51CTO