【科技日?qǐng)?bào)】北理工閆懷志:物聯(lián)世界的安全網(wǎng)到底該怎么建
發(fā)布日期:2018-11-07 供稿:科技日?qǐng)?bào) 編輯:吳楠 審核:王征 閱讀次數(shù):
原文標(biāo)題:物聯(lián)世界的安全網(wǎng)到底該怎么建
原文鏈接:http://digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2018-11/07/content_407293.htm?div=-1
如今,越來(lái)越多的物聯(lián)網(wǎng)(IoT,Internet of Things)設(shè)備走進(jìn)了日常生活,給人們帶來(lái)了更為高效和便捷的體驗(yàn)。這些設(shè)備不僅給用戶提供了便利,也給黑客開(kāi)啟了另一扇“大門(mén)”。就在今年1月,HNS僵尸網(wǎng)絡(luò)用不到10天時(shí)間就感染了2萬(wàn)臺(tái)有安全缺陷的網(wǎng)絡(luò)攝像頭……
隨著物聯(lián)網(wǎng)與工業(yè)、金融、交通等領(lǐng)域的深度融合,相關(guān)安全問(wèn)題不再局限于個(gè)人范圍,而是影響到整個(gè)網(wǎng)絡(luò)空間。
如何才能在物聯(lián)網(wǎng)世界里筑起一道安全屏障?
近日,美國(guó)加利福尼亞州州長(zhǎng)杰里·布朗簽署了SB-327法案,該法案使加州成為美國(guó)首個(gè)推出物聯(lián)網(wǎng)安全法案的州政府。據(jù)悉,此法案將于2020年1月1日起正式實(shí)施,法案規(guī)定所有聯(lián)網(wǎng)設(shè)備的制造商都要為其產(chǎn)品配備安全設(shè)置,以防止信息被未授權(quán)訪問(wèn)或者修改。
該法案能否成為解決物聯(lián)網(wǎng)安全問(wèn)題的“解藥”?
新法案立意雖好,卻惹業(yè)界非議
有關(guān)SB-327法案的消息一出,便引來(lái)了廣泛關(guān)注,外界對(duì)此褒貶不一。肯定者認(rèn)為這是完善相關(guān)法律法規(guī)的良好開(kāi)端,而質(zhì)疑者則詬病該法案存在許多不足。
“相關(guān)安全專(zhuān)家認(rèn)為該法案的‘槽點(diǎn)’主要有3個(gè)方面。”北京理工大學(xué)網(wǎng)絡(luò)攻防對(duì)抗技術(shù)研究所所長(zhǎng)閆懷志在接受科技日?qǐng)?bào)記者采訪時(shí)表示,該法案的條文描述過(guò)于籠統(tǒng),存在許多模糊之處。法案主要規(guī)定了“連接設(shè)備的制造商應(yīng)為設(shè)備附上合理的安全功能”,但對(duì)“安全合理性”的界定比較模糊。
“該法案的核心思想是增加新的安全功能,而非去除不安全的功能,也就是將重點(diǎn)放在補(bǔ)缺而非除漏。這是法案的第二個(gè)‘槽點(diǎn)’。”閆懷志表示,“但補(bǔ)缺也是一把雙刃劍,新增加的安全功能可能會(huì)擴(kuò)大攻擊面,從而制造了新威脅。”
“其三,該法案未從整體上考慮安全問(wèn)題。”閆懷志說(shuō),該方案只強(qiáng)調(diào)了設(shè)置物聯(lián)網(wǎng)設(shè)備密碼口令等規(guī)定,而未提及遠(yuǎn)程登錄服務(wù)等其他協(xié)議驗(yàn)證系統(tǒng)。這些驗(yàn)證系統(tǒng)如存在缺陷,也會(huì)給系統(tǒng)帶來(lái)致命威脅。
法規(guī)、標(biāo)準(zhǔn)齊發(fā)力,形成體系化保障
這項(xiàng)法案或許難以擔(dān)起維護(hù)物聯(lián)網(wǎng)安全的重任,那么什么樣的制度設(shè)計(jì)才可以?
國(guó)際的通行做法是圍繞安全法律、法規(guī)制定配套標(biāo)準(zhǔn),輔以規(guī)范指南等,形成層次化、立體化的一整套安全保障約束體系。
早在2016年年底,美國(guó)國(guó)土安全部就發(fā)布了《保障物聯(lián)網(wǎng)安全戰(zhàn)略原則》,公開(kāi)表示“物聯(lián)網(wǎng)安全已演變?yōu)閲?guó)土安全問(wèn)題”。2017年8月,美國(guó)國(guó)會(huì)議員提交了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,希望通過(guò)設(shè)定聯(lián)邦政府采購(gòu)物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn),來(lái)改善美國(guó)政府所面臨的物聯(lián)網(wǎng)安全問(wèn)題。
比上述法規(guī)出臺(tái)時(shí)間更早,美國(guó)一些行業(yè)主管部門(mén)就發(fā)布了相關(guān)文件,以保障特定應(yīng)用領(lǐng)域的物聯(lián)網(wǎng)安全。2014年,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布了《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》,規(guī)定了關(guān)鍵基礎(chǔ)設(shè)施在解決網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題時(shí)的技術(shù)標(biāo)準(zhǔn);2016年,美國(guó)高速公路安全管理局發(fā)布了《現(xiàn)代汽車(chē)網(wǎng)絡(luò)安全最佳實(shí)踐》,明確了具有聯(lián)網(wǎng)功能車(chē)輛的安全保障要求。
“目前,與物聯(lián)網(wǎng)安全相關(guān)的約束規(guī)范以法規(guī)文件居多,其實(shí)配套標(biāo)準(zhǔn)也非常重要。沒(méi)有標(biāo)準(zhǔn)的‘保駕護(hù)航’,相關(guān)法規(guī)也難以較好地保護(hù)物聯(lián)網(wǎng)。”在閆懷志看來(lái),制定物聯(lián)網(wǎng)安全法規(guī)、標(biāo)準(zhǔn)時(shí),應(yīng)該特別注意各層次規(guī)范的地位和使命,既要做到分工明確、避免越俎代庖,又要做到相互配合,形成有機(jī)整體。
基于國(guó)情發(fā)展,管控措施逐步落地
“在技術(shù)層面上,我國(guó)在物聯(lián)網(wǎng)發(fā)展過(guò)程中遇到的安全問(wèn)題與美國(guó)并無(wú)顯著不同。但中美在基本國(guó)情、法律制度、技術(shù)發(fā)展水平上存在較大差異,因此不能對(duì)其照搬照抄。”閆懷志說(shuō)。
我國(guó)向來(lái)對(duì)物聯(lián)網(wǎng)安全問(wèn)題極為重視,已將物聯(lián)網(wǎng)列為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施。2017年6月1日起,我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全領(lǐng)域問(wèn)題的基礎(chǔ)性法律《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行。與之配套的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》業(yè)已發(fā)布,新版網(wǎng)絡(luò)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)也將進(jìn)入頒布和實(shí)施階段,包涵了針對(duì)物聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用的安全規(guī)范。專(zhuān)門(mén)針對(duì)物聯(lián)網(wǎng)的數(shù)據(jù)傳輸、感知層等相關(guān)安全技術(shù)標(biāo)準(zhǔn)也進(jìn)入送審稿階段,醫(yī)療、汽車(chē)行業(yè)相關(guān)安全標(biāo)準(zhǔn)也在逐步落實(shí)。
物聯(lián)網(wǎng)關(guān)系到人們的日常生活以及社會(huì)生產(chǎn)發(fā)展,強(qiáng)化物聯(lián)網(wǎng)安全不會(huì)一蹴而就。正如360公司董事長(zhǎng)周鴻祎所說(shuō),安全問(wèn)題才是物聯(lián)網(wǎng)時(shí)代的最大挑戰(zhàn),很多固有的防范手段將會(huì)失效,真正的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)才剛剛開(kāi)始。
分享到:
