新时代下的网络安全新态势

 

 

日前，笔者家中路由器控制端显示连入未知设备，出于安全工作者的职业警觉，赶忙将其阻断并修改了WIFI密码。当前形势下，网络侵入的威胁对象不仅仅是PC与移动终端，物联网的普及使得包括空调、电视机、冰箱等一系列传统家用电器纷纷成为攻击者的目标。网络威胁带来的不只是经济上的损失，万物互联的大范围普及和发展，网络安全与我们的人身安全息息相关。或许过不了多久，《速度与激情》中僵尸汽车的情境将在现实生活中上演，物联网的攻防将愈演愈烈。

 

世界经济论坛2019年全球风险报告显示，数据欺诈或盗窃、网络攻击等技术类型的风险，较比2018年的发生率有增无减。2018年和2019年的报告对网络攻击和数据泄露都进行了大量的分析讨论。报告中指出，由于企业的重视程度较低，网络攻击和数据泄露已经对社会造成了巨大的破坏。随着万物互联的迅猛发展，数以亿计的人已经以某种不可靠方式暴露了他们的个人数据，并且许多企业在被攻击之后遭受了不可逆的经济和声誉损害。

 

作为第三次工业革命的重要代表，物联网生产方式正在全球范围内蓬勃发展，已对全球社会生活的方方面面产生影响，并将产生越来越深广的影响，网信事业代表着新的生产力、新的发展方向，应该也能够在践行新发展理念上先行一步，而发展物联网生产方式，无疑可以成为“践行新发展理念”的重要抓手。凡此种种表明：新发展理念顺应了全球第三次工业革命发展大势，充分践行这些新发展理念，也必将使我们引领全球发展大势。物联网正在对“生产方式”、“价值原则”、“社会有机体”、“生产与消费的主体”等人类社会生活的多方面产生越来越大的影响。

 

以全面互联为基础，无论是基于“物与物”连接的物联网还是基于“人、机、物”联接的工业互联网都是新时代下安全从业者的重点研究对象。工业互联网通过数据流动和分析，形成智能化变革，形成新的模式和新的业态。它的一些协议跟传统的TCP/IP协议不同，TCP/IP协议网络已经经过30多年的防护，积累了许多安全检测方法，因此防范的方式也很多。但是我们对工业互联网在防范风险认识上还有很多不足。首先是系统的高风险性。工业互联网是一个更大的网络，包括无人车、VR/AR、智能家电等，但目前还没有形成一个统一的关于网络安全的防范指导，也没有形成体系和标准。其次是现在工业互联网附着在云平台上，云平台的脆弱性要比传统数据存储大得多，别有用心的人更容易入侵，带来的危害也会更大。

 

对于物联网，一般来说架构分为感知层、网络层、平台层和应用层。按照物联网架构的特性，每一层都面临着安全风险。攻击者利用漏洞侵入到物联网层，用户数据也同样面临着巨大威胁。

 

物联网层	安全威胁	描述
感知层	设备仿冒	攻击者通过利用物联网终端的安全漏洞，获得节点的身份和密码信息，假冒身份与其他节点进行通信，进行非法的行为或恶意攻击
	设备入侵	物联网感知设备存在漏洞，或者使用缺省密码，被攻击者控制，或者安装恶意代码，成为僵尸主机
	隐私数据泄露	被入侵后，攻击者窃取感知设备的信息
网络层	网络嗅探	感知层接入网络到平台层，平台层与应用层之间的网络连接，存在明文传输网络嗅探的威胁
	信息篡改	由于缺乏人证和网络加密手段，攻击者嗅探后更改数据，后台接收到的是被篡改的数据
平台层	平台入侵	物联网平台操作系统、平台组件和服务程序自身漏洞和设计缺陷易导致未授权的访问、数据破坏和泄露
	数据泄露	攻击者窃取、篡改、删除数据，物联网平台层是感知层的数据汇聚节点，影响整个物联网应用
	APT威胁	高级持续性威胁，攻击者利用零日漏洞等高级攻击，持续不停地对平台系统攻击
应用层	业务中断	攻击导致应用程序无法与平台通讯，获取感知数据失败，无法与感知设备交互
	间谍软件	应用程序所在的主机或者移动设备安装了间谍软件，窃取物联网数据
	勒索软件	应用程序所在的主机或者移动设备安装了勒索软件，磁盘数据被加密，无法与物联网应用交互

 

基于物联网的安全威胁、应用场景和特定安全需求，要建立全局化的安全视角、体系化的安全架构，全方位涵盖端、管、云平台、数据安全、隐私保护、端到端安全管控运维等，构建多道物联网安全防线，实现纵深化防御。

 

首先需要业界一起推动物联网安全架构落地应用和不断完善，加快相关国际国内标准的制定，为产业健康发展提供战略指引；

其次需要网络运营商和终端、芯片厂家一起加大关键技术的研发投入和应用推广，做到核心技术、加密算法的自主可控；

同时，需要应用开发厂家在设计阶段开始考虑安全需求，并且在产品上线后开展安全漏洞管理，快速响应安全威胁；

最后，需要整个产业界高度重视用户的数据安全，因为随着可穿戴设备、智能交通、电子医疗等物联网业务的发展，物联网中交互的数据更加重要、更加隐私，甚至关乎用户生命安全，需要终端、网络、应用每个环节都做好数据安全保障，实现合规运营。

 

万物互联，安全先行。物联网及工业互联网的产业安全、健康发展需要产业各方一起，加强行业内和行业间的协同合作，共同打造安全可控的物联网生态体系，迈向万物感知、万物互联、万物智能的全新时代。