中国信通院发布的《物联网白皮书》指出,微软、华为、软银、高通、BAT等全球知名企业均从不同环节布局物联网,产业大规模发展的条件正快速形成,未来2—3年将成为物联网产业生态发展的关键时期。
作为推进物联网建设的主力军,三大运营商已经把物联网提上日程,发布了物联网平台以及商用计划。目前,中国电信NB- IoT网络已经正式在川商用;而中国移动计划年内全国商用NB-IoT网络;中国联通也计划于2018年在全国部署商用NB-IoT网络。
但是据调查显示,60%企业可能因为安全问题暂时搁置部署物联网。这对处于上升趋势的物联网来说并不是一个好消息。有业内人士指出,只有当在安全等问题上取得新的突破之后,物联网的发展才会进入真正的爆发阶段。
三大运营商深度布局物联网
随着传统电信的增长乏力,物联网正成为运营商竞相角逐的新战场。6月28日,中国移动董事长尚冰在MWC上海大会的演讲中提出,中国移动将在全国346个城市启动移动物联网建设,年底前实现部分重点城市商用。2017年,物联网智能连接数增加1亿户,总规模达到2亿户。
中国联通也在MWCS前夕发布了物联网新一代连接管理平台。该平台具有四大差异化优势,将促进物联网行业的创新升级。这是继2015年中国联通首次发布物联网连接管理平台之后,再次发力物联网领域。中国电信也于近日发布了全球第一个NB-IoT业务套餐,被业内解读为NB-IoT商用模式的先行军和创新者。
三大运营商步调一致的发展物联网背后,也得到政策的帮扶。6月初,工业和信息化部发文,要求全面推进移动物联网(NB-IoT)建设发展,提出加快推进网络部署,构建NB-IoT网络基础设施。到2017年末,实现NB-IoT网络覆盖直辖市、省会城市等主要城市,基站规模达到40万个。到2020年,NB-IoT网络实现全国普遍覆盖,面向室内、交通路网、地下管网等应用场景实现深度覆盖,基站规模达到150万个。
在三大运营商的助力下,万物互联的时代将会更快的到来。数据显示,到2020年,预计全球的联网设备数量将会突破500亿个,但是如此庞大的连接数量,一旦出现安全问题,将会对人们的生产、生活造成巨大的损失。
万物互联下“危机四伏”
尽管物联网面临着新机遇和新增长,但是同样也面临着新的挑战。挑战存在多个层面,有网络投资不足、商业模式未明确、产业链不成熟等,但是在这其中安全性最为迫切和突出。
《2016物联网安全白皮书》指出,物联网是互联网的延伸,因此物联网的安全也是互联网安全的延伸。物联网的安全既构建在互联网的安全上,也有因为其业务环境而具有自身的特点。总的来说,物联网安全和互联网安全的关系体现在:物联网安全不是全新的概念,物联网安全比互联网安全多了感知层,传统互联网的安全机制可以应用到物联网,但是物联网安全比互联网安全更复杂。
从互联网刚刚普及到现在,人们经历了一次又一次的安全冲击。从2000年的CIH病毒到2015年的熊猫烧香病毒,我们一直处于病毒大规模爆发时期,而现在加密威胁软件和破坏性攻击已经成为威胁主流。在此期间,攻击者的意图和本质也发生了质的变化,以前的攻击者是为了哗众取宠。现在是为了实现政治、经济或者商业目的。所以其破坏性、隐蔽性也越来越强。
时至今日,有关机构发现平均每天有超过50万个新型威胁,在2016年勒索软件威胁增长幅度已经突破了752%,呈7.5倍的速度增长。
如今,运营商的IT基础架构发生翻天覆地的变化,加上新一代数据中心的建立。新型的威胁也变成勒索软件、诈骗、IoT设备劫持等方式,这种威胁普遍存在而且有愈演愈烈之势。其中IoT安全问题最为常见。
那么物联网安全到底来源于哪些方面的威胁呢?第一是来自于漏洞,也就是说大量的物联网设备因为使用系统、应用有可能存在相关的漏洞,包括不安全的设计以及不安全的编码、第三方的插件漏洞等都有可能导致物联网设备被攻击、利用。
第二开放了不该开放的网络端口,因为任何物联网设备,它需要有网络连接,那么在网络连接过程当中,如果开启了不该有的网络接口或者端口,就有可能存在潜在的网络被攻击的风险。
第三是不易侦测的文件变化,包括禁止行为,也就是说物联网设备并不是一个封闭式的系统,它同样有可能遭受到病毒、恶意软件的攻击。
第四缺乏强有力的认证机制,因为所有的物联网设备未来都要接受统一管理,分层管理,如果没有一个强有力的认证,包括授权机制,那么这些物联网设备将会成为未来黑客利用到的僵尸网络。
第五不安全的网络协议,大量的网络协议,尤其是物联网时代遇到的网络协议,有可能会存在各式各样的漏洞,一旦黑客抓住了这些漏洞,将这些漏洞利用在非法行为上,极有可能带来灾难性的后果。
如何应对物联网安全风险?
事实证明有关物联网安全的问题并不是危言耸听,物联网威胁已经实实在在展现在人们的日常生活中。有关报道称,某著名酒店相关的智能门锁被控制;门禁被控制;包括医疗设备被控制、城市应急系统被控制、也包括对于国家基础设施都有可能产生相关的危害。以及最近流行的WCRY勒索病毒,都在证明一个事实,这些威胁已经不是人们想当然的威胁,而是已经发生并存在的。
中国移动信息安全与运行中心总经理张滨指出,从运营商角度来讲,要降低物联网安全风险,就要坚持“点面结合、内外结合”,狠抓’标准制定、业务应用、安全评估、态势感知',全面建设立体化、端到端的物联网安全风险防控体系。
在中国移动看来,所谓点面结合,就需要抓住端到端的应用,形成相关安全解决方案,然后将安全体系和物联网应用对应起来。
内外结合则需要督促产品的研发部门以及开发部门,在产品研发以及上线过程中解决、解剖。同时,从大的系统来抓情报,抓态势感知,逼迫开发者去完善一些程序以达到基本的安全。
另外,抓体系需要构建物联网整体的安全保障体系,包括安全管理、安全管控、安全运营、安全的技术、安全测评和安全支撑等等。对此,中国移动已经制定了完整的方案,比如针对智能摄像头,智能监测端等方面的业务。功能上则按照不同的类别,按照基础功能进行组合,实时的进行管控,同时开展业务异常监测等监控,防范业务风险。
中国电子技术标准化研究院技术总监王立建先生则认为,安全防护说得很多,不如先从标准做起。但是到现在为止,没有一个真正针对物联网安全的国家标准。因为物联网不是公立的,所以不可能一个标准包打天下,任何一个标准都是在发展过程中产生的。
但是他透露,现在有一个和物联网安全有关的标准已经通过了网信办的审查,标准的第一步是感知层的电子标签,第二步是读写器链路后台。
王立建认为,现阶段物联网最危险的地方在于二维码上。因为现如今铺天盖地的二维码已经作为计算机网络的入口,而且它占的比重越来越大,每天都有很多人在通过扫一扫进入应用。因此他认为,物联网安全一定要先注重前端,前端不安全后端的安全更是不能得到保证,而现阶段业内恰恰忽略了这一点。