Masato Matsuoka

1 文章

网络与基础设施的网络安全

“物联网”一词作为行业专业术语已使用多年。”物联网”开创了一个崭新的时代:越来越多的家用电器和汽车进行了联网。而与此同时,许多企业也同样将目光瞄准了这一潜力巨大的商机。然而,正如你所知,人们不禁开始问道”这些联网的设备与汽车是否足够安全能免于网络威胁的侵扰”。 尤金•卡巴斯基在《美国今日》日报对其的专访中再一次阐述了对于”物联网”的看法。其表达的观点与美国联邦贸易委员会主席Edith Ramirez在美国拉斯维加斯举办的CES消费电子展上所发表的言论完全一致。毫无疑问,网络安全依然是无法回避的问题。专家们依然未能找到最佳方案以解决这一重大的安全问题,就如同我们目前所面临的其它类型网络安全问题一样。 现实中,由于物联网所拥有的巨大潜力,因此被公认为是一个”全新市场”。根据《福布斯杂志》这篇文章的报道,思科(Cisco)公司宣称到2020年,所谓的”万物网”的经济价值将增加到19万亿美元。而高德纳公司估计,到2020年物联网的产品/服务提供商的收入将达到3000亿美元。IDC公司则预测物联网解决方案的市场规模将从2013年的1.9万亿美元扩大到2020年的7.1万亿美元,相当于增加了3.7倍。 用于记录个人生物特征、健康和位置信息的电子设备—例如目前全球流行的可穿戴设备—也同样属于物联网的范畴。然而就风险程度而言,物联网并非遍布荆棘。 由于此类设备完全属于个人范畴,并非是我们日常生活和社会活动所必须用到的基础设施。换句话说,你完全可以不去使用可穿戴设备或云服务,如此便能有效降低数据泄露风险。这完全取决于你自己。 另一方面,真正的物联网主要由系统或服务构成,即传统上被称为”M2M”(机对机)的机制。这些设备借助环境/社会基础设施紧密集成(或预计将被集成),因此网络安全与我们所讨论的关键基础设施同样非常重要。 例如,你们中有些人可能已听说过智能电网或微电网。这些系统能通过对家庭用电量与风能/太阳能或燃气热电联产系统的发电量进行平衡,从而对区域用电量进行管理。而安装在每一户家庭的智能电表则用于对此进行监视。据报道,日本东京电力公司已安装了数千台此类智能电表。因此在不久的将来,我们完全可以说这些初期安装的智能电表为智能电网的最终部署奠定了具有重要意义的基础。 那网络犯罪分子是如何利用这一机制的漏洞实施网络犯罪活动的呢?例如,他们完全可以将错误的用电量数据发到智能电表从而减少或增加所付电费。 我们不难发现的是,还有许多其它针对重要基础设施的网络攻击存在。例如,网络犯罪分子可以通过黑客入侵掌控整个交通控制系统,从而制造交通恐慌、故意引发车祸甚至破坏整个公共交通系统。这些事件不仅会影响到我们的日常生活,甚至还会为整个社会造成经济损失。 诸如此类的服务中断事件在过去常有发生,包括软件/系统内产生的bug/混乱,或者发生自然灾害。就目前而言,网络攻击造成的事故也加入了这一行列。 我们需要从这些事故中吸取经验,随后将更加安全的机制运用到物联网系统中,从而将其作为社会/生活基础设施的一部分使用。更准确地说,物联网系统的运营商和开发商理应扣心自问: 1. 我是否将用户便利性置于安全性之上? 如何有效降低网络攻击者的可利用性十分重要,如此便能提高系统安全性。用户的使用便利性同样能为网络攻击者所利用。去年有关默认设置下使用的网络摄像头造成个人隐私遭侵犯的事件见诸于各大媒体。这一事件告诉我们设备制造商应将安全问题考虑在内。还有不要忘了对数据和通讯进行加密。 2. 我是否认为”只读”系统就是安全的? “只读”系统其实并不安全。应用程序只是在内存中暗暗运行,因此网络攻击者完全可以找到黑客入侵的方法。网络设备通常安装Linux操作系统,而众所周知Linux操作系统内存在大量可被利用的漏洞。一旦网络攻击者完全控制了设备,就能黑客入侵整个物联网系统。 3. 我是否认为我的设备就永远不会被劫持? 每一台设备都有可能被劫持。因此对包括连接节点在内的整个系统安全进行监控就显得十分重要。此外,拥有借助每一个节点检测异常现象的方法也同样重要。是否还记得Stuxnet病毒成功渗透那些保护严密的伊朗核设施? 4. 我是否削减了测试成本? 渗透测试十分重要。应该依照您的系统安全需求认真地组织测试。因此我们强烈建议在你的正常开发过程中进行这些测试。 5. 我是否认为安全其实并不需要? 安全是最重要的要求之一。从规划/部署系统或服务的一开始就应该将其考虑在内。缺少足够安全措施的部署,物联网就无法成为我们安全生活/社会基础设施的一部分。 如果无法给出正面的回答,这不仅对于开发人员或公司是一个非常严重的问题,同样还会危及到其他普通大众。