作者:中国信息安全测评中心专家委员会副主任 黄殿中
当今,物联网是世界信息产业创新的第三股浪潮,它不仅为社会的繁荣进步创造了崭新的“生态系统”、开创了全新的“时代标志”,更对我们未来的网络安全治理工作提出更高层次、更加严苛的“使命要求”。因此,面对物联网新时代的安全新特征,我们需准确把握时代的发展脉搏、认清物联网安全的治理大势,这是未来落实“两个百年”奋斗目标和建设世界网络强国的客观需求。具体来说:
第一,物联网应用的新变化勾勒未来社会的“新愿景”物联网作为“大智物移云”时代的革命性力量,正以前所未有的步伐加速向我们走来,并融入人们的生产生活、社会发展及网络治理的方方面面。它联结着虚拟空间与现实世界,正为经济繁荣打造“新引擎”,不断释放网络空间“新潜能”,同时也为我们的社会与生活带来诸多新变化,其中有三项变化最值得关注。变化1:从业态发展现状看,物联网的智能应用已从“默默无闻”向“万众瞩目”质变转型。随着物联网与智慧城市、智能产业、智能生活等领域融合,它所蕴藏的“万亿市场”效应,正在悄然开启社会潜藏的“钻石矿”,将为智能社会的“繁荣变革”,共享经济的“智慧创新”,以及新兴业态的“星火燎原”提供不竭动力。变化2:从网络互联模式看,物联网的融合应用已使“物物互联”向“人物互联”跨越转型。它掀起社会治理的大变革,带来生产与生活方式的大融合,为构建“人类命运共同体”开启万物互联的新时代,开创经济繁荣的新未来,更为全球科技的发展进步奠定潜能无限的“聚宝盆”。变化3:从体系创新趋势看,物联网与新技术新应用的融合交织将使网络安全工作由“有边界防护”向“无边界安全”治理转型。未来的物联网势必与大数据、人工智能、区块链等前沿科技深度融合,物联网安全将是互联网安全的拓展与延伸,万物互联将开拓安全治理的“新疆土”、凸显“无边界安全”问题,使得安全防护由静态向动态、有边向无边迅速延展。
第二,物联网时代的新特质伴生着安全层面的“新挑战”古语有云,“天下之患,最不可为者,名为治平无事,而其实有不测之忧”。国内物联网发展欣欣向荣,同时也呈现复杂多变、动态未知的规律和特征,其发展与应用伴随着新的风险与挑战,需要我们认真思考、沉着应对。具体来说主要有以下四类风险:
风险1:技术层面,物联网技术的现实窘境使得网络安全的旧疾顽症“老病未愈、新病又生”
当前,我国物联网发展面临着战略前沿技术部署及研发工作滞后,给技术发展的弯道超车埋下隐患;物联网的核心技术以及关键技术装备受制于人,又使“卡脖子”风险陡然提升。今年的“中兴事件”集中暴露出,我国网络核心技术的软肋与短板,即“洋芯”掌控着大量包括物联网设备在内的信息技术产业的核心命门,致使我们的发展心中无底、缺芯少魂。
风险2:个人层面,物联智能化管控不当,将为隐私泄露埋下“导火索”、给人身安全植入“定时弹”
随着智慧生活方式的不断扩展与升级,物联网越来越多地将传感器、智能设备、数据信息和云端存储等有机串联,一旦某一点遭黑客入侵,其放大、连锁效应将助推网络黑客肆意窃取个人隐私数据,多维度掌握公民海量敏感信息;在人身安全上,物联网的智能化进一步放大了网络攻击的严重后果。近年来,世界某款知名品牌汽车多次被曝光由于存在安全漏洞,可致攻击者远程控制车辆,进而直接威胁驾驶人员安全;而今年8月,委内瑞拉所发生的无人机暗杀总统马杜罗的未遂事件则进一步反映出,以物联网为代表的数据武器、车联网、智慧医疗等智慧应用,正在成为网络风险的巨大隐患,人身威胁的潜在引爆点。
风险3:社会层面,物联网攻击的“四两拨千斤”效应,可能动摇社会稳定的安全根基
今年8月,全球先后召开了三场顶级网络安全大会,通过大会的研究成果和网络黑客的现场演示,我们看到,物联网基础设施已成为网络恶意活动的重要攻击目标。比如,网络黑客通过入侵生产生活的物联设备形成僵尸网络,可导致严重事件;通过对工业传感器的网络攻击,可肆意扰乱城市供水系统。2016年美国多个城市出现大面积断网事件,则是黑客利用了大量摄像头、DVR(数字视频录像机)以及互联网路由器等物联网设备中的弱口令漏洞,从而植入恶意代码,成功实施网络攻击。这一系列真实案例告诫我们,物联网的隐患再小,一旦发生现实危害,也能以小博大,对整个社会经济运行大局的破坏力不可低估。
风险4:国家层面,物联网安全若治理缺位,可能引发“骨牌效应”,其破坏力难以预料
去年,维基解密发布的文件显示,美国中情局可将智能电视、手机等物联网设备变成监听监控器材,凭借物联网破解“任何事情”、攻击“任何地方”。同年,美军发布名为《塑造陆军网络》的战略文件,将物联网定位为“最重要的技术情报手段之一”,认为它能实现数字传感、计算和通信能力等的高度集成,从而提高网络作战的实施效能。美军利用物联网制造“智能武器”,实现情报搜集、作战协同和威胁他国国家安全的能力可见一斑。同时,随着物联网与其他新技术新应用的结合,当中任何一个环节的安全隐患或风险若被放大,其所造成的连锁反应将指数级爆发。因此,物联网被国际社会公认为“能对国家安全带来深刻变化的颠覆性技术”,如管控不当,将动摇国家的长治久安、社会的和谐稳定。
第三,物联网治理的新使命疾呼安全发展的“新思维”西方发达国家在物联网安全治理上,不断推进理念创新、优化顶层战略、完善政策法规、引领标准制定、寻求技术突破,更为人才的培育打造沃土。这些举措为我们今后的安全工作提供了宝贵的经验启示。面对物联网发展的新特点和新挑战,我们要在总体国家安全观和网络强国战略思想的指引下,培育智能、动态、科学的“系统安全新思维”,与时俱进、积极稳妥地处理好四对关系的转型问题:
一是处理好发展和安全的辩证关系,重视国家统筹和顶层设计,实现由“发展先行”向“安全并行”战略转型。国家应充分发挥好政府的牵头引领作用,抓好物联网安全体系建设的顶层设计和战略规划,尽快出台“物联网安全发展战略”;通过战略引领、政府引导,推动各地方、各部门牢固树立安全与发展并重的理念,切实将物联网安全摆上重要议事日程,制定方案措施、完善政策保障、健全激励机制、强化督促落实;同时,在治理上,要站在战略高度对物联网安全进行系统管控、全局统筹,使得发展和安全并行。
二是处理好绝对安全和相对安全的辩证关系,实现由片面追求“绝对安全”向“动态防御”系统思维观念转型。物联网安全比互联网安全更复杂、更多变,它对实时性、安全可信性和资源保证等都有很高的要求。面对物联网安全的新特征,我们不能不计成本地追求绝对安全,应重视培育“智能、可信、科学、动态的安全防御观念”,通过研究大数据、区块链等创新科技在物联网安全场景中的应用,利用人工智能、机器学习等技术优势,发现、检测、预警、防范物联网安全问题,为物联网安全构建“智能生态圈”和“动态防御体系”。
三是处理好自主创新和消化吸收再创新的辩证关系,要高度重视核心技术攻关突破,实现由“卡脖子风险”向“自主可控”发展转型。物联网核心技术的自主可控与科研攻关事关未来安全治理成败。在把好核心技术这个最大“命门”、化解关键技术长期受制于人的安全“窘境”上,我们必须高度重视物联网安全力量的队伍建设和政策扶持。物联网核心技术攻关,唯在创新、贵在得人。未来,在物联网安全人才和国家专控力量的建设上,我们需把优秀的人才真正凝聚到核心部门、技术部门和科研攻关部门中来,利用人才培养、创新攻关,实现关键技术、前沿技术和颠覆性技术的自主研发和安全可控,奋起直追,破除受制于人的安全魔咒。
四是处理好优势继承和机制创新的辩证关系,推动物联网安全测评工作由过去的“单一、零散”向“网络化、平台化、系统化”升级转型。我国物联网安全治理不但需要机制创新,更需要把现有国家互联网安全治理的有效管控措施,科学辩证地应用到万物互联时代中。在安全测评方面,国内科研机构、测评机构等应进一步加大对物联网安全基础理论、关键技术、漏洞隐患分析及新型网络攻击防范技术的专项投入和研发力度,建立起适合物联网时代特点的新型安全测评体系,使测评工作由单一、零散、抽样的静态测评向网络化、平台化、规模化、系统化的动态安全测评升级转型。在漏洞管控方面,我们要积极培育高人一筹、早人一步、多人一招的分析研判手段;面对风险预警和漏洞消控,做到手段更多、措施更好、效果更强,进而为物联网安全治理工作开阔眼界、拓展思路、开创新局。
(本文刊登于《中国信息安全》杂志2018年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。