千億產(chǎn)值，誰為物聯(lián)網(wǎng)設(shè)備安全買單？

文/本刊記者 張軍紅

千億產(chǎn)值，誰為物聯(lián)網(wǎng)設(shè)備安全買單？

文/本刊記者 張軍紅

近年來，物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展勢頭迅猛。工信部副部長羅文在9月召開的2017世界物聯(lián)網(wǎng)無錫峰會上透露，中國的物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模已從2009年的1700億元躍升至2016年的超過9300億元，年復(fù)合增長率超過25%。有預(yù)測稱，到2018年，全球物聯(lián)網(wǎng)市場規(guī)模將超過千億美元，年均復(fù)合增長率保持在31%以上。

與此同時，物聯(lián)網(wǎng)設(shè)備的數(shù)量也在成倍增長。市場研究機構(gòu)Gartner預(yù)測，2017年全球物聯(lián)網(wǎng)設(shè)備數(shù)量將達到84億臺，2020年這一數(shù)字將增至208億臺，復(fù)合增速高達34%。

隨之而來的，是越來越棘手的安全問題。2015年12月23日，烏克蘭電力系統(tǒng)遭到攻擊，造成伊萬諾-弗蘭科夫斯克地區(qū)大面積停電，約140萬人受到影響。2016年10月21日，黑客利用全球十多萬臺智能設(shè)備，對美國進行了史上最大規(guī)模的DDoS（拒絕訪問服務(wù)）攻擊，導(dǎo)致美國東海岸出現(xiàn)大面積斷網(wǎng)，主要公共服務(wù)、社交平臺、民眾網(wǎng)絡(luò)服務(wù)幾乎處于癱瘓狀態(tài)。

以往出現(xiàn)在科幻片中的場景，在當(dāng)下正在一步步成為現(xiàn)實。

打補丁式的存在

物聯(lián)網(wǎng)安全的棘手不僅在于“大”，還在于“多”和“雜”，從個人、家庭、社會到國家，層出不窮。市場調(diào)研公司Forrester（弗雷斯特）對全球組織的一項調(diào)查表明，47%使用或計劃使用物聯(lián)網(wǎng)的商業(yè)組織在行業(yè)應(yīng)用中曾遇到過安全問題。西班牙國家數(shù)字安全中心統(tǒng)計數(shù)據(jù)顯示，2014年僅西班牙的核心基礎(chǔ)設(shè)施就被攻擊了63次，2016年增加到479次，兩年內(nèi)上升了7倍，2017年一季度更是高達247次，使相關(guān)設(shè)施出現(xiàn)700余次事故。

“物聯(lián)網(wǎng)將許多原本與網(wǎng)絡(luò)隔離的設(shè)備連接到網(wǎng)絡(luò)中，為生活提供了便利，但也大大增加了設(shè)備遭受攻擊的風(fēng)險。因為不同類型的物與物之間是可能存在聯(lián)系的，攻擊某一節(jié)點，就會殃及另一個節(jié)點，將影響轉(zhuǎn)移、擴大?！北本┥裰菥G盟信息安全科技股份有限公司工控安全產(chǎn)品部總監(jiān)王曉鵬告訴《經(jīng)濟》記者，目前我國還沒有爆發(fā)過類似于美國和烏克蘭的大規(guī)模物聯(lián)網(wǎng)安全事件，因為現(xiàn)階段我國核心基礎(chǔ)設(shè)施的可開放接口較少，安全性相對有保障，但是隨著未來廣泛物聯(lián)的發(fā)展，接口也將被逐步開放?！耙阑加谖慈?，就要了解物與物之間的潛在聯(lián)系，分析各個節(jié)點所承載的內(nèi)容、存在的安全問題，以及會造成的影響?！彼J(rèn)為，物聯(lián)網(wǎng)時代，人們的思考方式將不再是頭對頭、腳對腳的單點式，而是系統(tǒng)地、由點到面地看問題。

與備受黑客青睞不同，安全在行業(yè)內(nèi)的身份卻顯得有些尷尬，中國科學(xué)院信息工程研究所信息安全國家重點實驗室副主任徐震將其形容為“一種打補丁式的存在”。“我上學(xué)的時候，老師告訴我們，安全就像五星級飯店里的馬桶，不急的時候是不會有人想起它的?！痹谛煺鹂磥?，十幾年過去了，安全的這一狀態(tài)依然沒有發(fā)生質(zhì)的改變。

他告訴記者，群體做事是講究優(yōu)先級的，安全是伴生技術(shù)，是伴隨主導(dǎo)產(chǎn)業(yè)的發(fā)展而成熟起來的。“物聯(lián)網(wǎng)真正落地也就是在近3年的時間，還屬于新產(chǎn)業(yè)，尚不成熟，在發(fā)展過程中往往會先考慮往前走的問題，一般不會系統(tǒng)考慮安全，等遇到了問題，再想辦法解決，互聯(lián)網(wǎng)是這樣，物聯(lián)網(wǎng)亦是如此?！?/p>

用戶安全訴求低，付費是必然趨勢

“你會為家里的物聯(lián)網(wǎng)設(shè)備購買安全網(wǎng)關(guān)嗎？”

采訪中，王曉鵬向《經(jīng)濟》記者拋出了這樣一個問題。帶著這個問題，記者對身邊的朋友進行了調(diào)查，他們無一例外地都選擇了“不會”。

對于這個結(jié)果，王曉鵬表示并不驚訝，“因為在互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)時代，很多安全軟件都是免費的，用戶已經(jīng)將其看作是理所應(yīng)當(dāng)?shù)?，要改變這種習(xí)慣，將安全作為一個單獨的部件進行銷售，短期內(nèi)是比較難被接受的?！?/p>

但實際上，幾乎任何可以連接至其他設(shè)備，并且終端用戶可訪問的設(shè)備，都是有可能存在風(fēng)險的。賽門鐵克安全報告顯示，2016年全球超過670萬臺的物聯(lián)網(wǎng)設(shè)備淪為了“僵尸網(wǎng)絡(luò)軍隊”?！耙环矫妫@些設(shè)備大多都連接在公共網(wǎng)絡(luò)中，很容易被其他網(wǎng)絡(luò)接觸到，受攻擊的幾率比較大；另一方面，部分物聯(lián)網(wǎng)設(shè)備本身就存在安全漏洞，為黑客攻擊提供了可乘之機。”清華大學(xué)物聯(lián)網(wǎng)技術(shù)中心副主任趙濱認(rèn)為，后者的主要根源在于當(dāng)前用戶的安全訴求太低。

“對于大部分用戶而言，手機APP被劫持了，都會很緊張，因為涉及財產(chǎn)安全。但是如果家里的攝像頭被攻擊了，其緊張程度就不會那么高了，有的甚至都毫無察覺。”王曉鵬坦言，作為一名安全從業(yè)者，他在家中發(fā)現(xiàn)了物聯(lián)網(wǎng)設(shè)備漏洞，也不一定會及時找廠商進行反映溝通。

用戶的安全訴求不高，設(shè)備廠商就沒有足夠的動力去開發(fā)研究安全屬性。金雅拓調(diào)查數(shù)據(jù)顯示，在安全投資水平方面，物聯(lián)網(wǎng)設(shè)備制造商和服務(wù)提供商在物聯(lián)網(wǎng)設(shè)備安全保護上的投資僅占其物聯(lián)網(wǎng)總預(yù)算的11%?！吧碳沂侵v究成本的，就當(dāng)前的用戶需求來講，一個攝像頭、一臺冰箱是否具備安全屬性，對于產(chǎn)品本身的銷量不會有太大的影響，廠商當(dāng)然也就不會給予過多的關(guān)注。有些廠商在編碼時就只按照自己的規(guī)范去編，編完之后有沒有安全漏洞他們并不關(guān)注?！蓖鯐赠i認(rèn)為，要提高物聯(lián)網(wǎng)設(shè)備本身的安全屬性，就要引導(dǎo)用戶增強對隱私的保護意識，增加安全訴求，抬高安全門檻，“只有用戶的需求提高了，形成規(guī)模了，安全需求才能真正涌現(xiàn)出來，才能倒逼設(shè)備制造商和服務(wù)提供商為安全買單”。

與此同時，用戶對安全付費的認(rèn)識也會有所改變?！熬臀磥戆l(fā)展來看，付費是必然趨勢。”但王曉鵬認(rèn)為，付費的方式將會更加多元化?！鞍踩梢詥为氋徺I，也可以由物聯(lián)網(wǎng)廠商提供一個整體打包的智能家居解決方案，其中既包含智能化又擁有安全屬性的部件，這樣對于普通用戶來說會更容易接受?！?/p>

合規(guī)性要求缺位，政府驅(qū)動不足

“我們曾經(jīng)為一家電器廠商做過一個安全項目，其目的不是為了滿足中國物聯(lián)網(wǎng)家居設(shè)備的安全需求，而是為了出口美國時，能夠達到他們的相關(guān)安全要求。在監(jiān)管層面，美國是有立法的，而中國沒有?！蓖鯐赠i無奈地說。

實際上，美國的立法也是從近兩年才開始的。2016年美國東海岸斷網(wǎng)事件之后，美國國土安全部便于次月發(fā)布了《保護物聯(lián)網(wǎng)策略準(zhǔn)則（1.0版）》，呼吁物聯(lián)網(wǎng)生態(tài)體系在設(shè)計、生產(chǎn)及使用物聯(lián)網(wǎng)設(shè)備與系統(tǒng)時，皆應(yīng)負(fù)起保障物聯(lián)網(wǎng)安全的責(zé)任。

今年5月，美國總統(tǒng)特朗普簽署13800號總統(tǒng)行政令——《加強聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》，其中內(nèi)容之一就是要增強美國應(yīng)對僵尸網(wǎng)絡(luò)及其他自動化和分布式威脅的能力。

6月13日，美國商務(wù)部下屬的國家電信和信息管理局發(fā)布征求評議文件《促進利益相關(guān)者對僵尸網(wǎng)絡(luò)和其他自動威脅的行動》，要求各私營企業(yè)、研究機構(gòu)、社會團體圍繞減少僵尸網(wǎng)絡(luò)威脅和維護物聯(lián)網(wǎng)終端設(shè)備安全問題，提出法律、政策、標(biāo)準(zhǔn)、技術(shù)等方面的建議。

8月1日，美國4名國會議員聯(lián)名提交了一項關(guān)于物聯(lián)網(wǎng)安全的法案《2017物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》，希望通過設(shè)定聯(lián)邦政府采購物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn)，來改善美政府所面臨的物聯(lián)網(wǎng)安全問題。盡管該法案只著眼于聯(lián)邦政府的設(shè)備采購方面，且有待審定通過，但美國軟件公司Sonatype依然認(rèn)為，其將有助于推動整個物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的發(fā)展。

對于中國的這種缺失，一位業(yè)內(nèi)受訪專家認(rèn)為主要有兩點原因。一方面，與美國相比，我國的物聯(lián)網(wǎng)應(yīng)用落地較晚，目前還處于起步和發(fā)展階段，且尚未出現(xiàn)過大規(guī)模的被攻擊事件，社會和國家對物聯(lián)網(wǎng)安全的重視程度還不夠。另一方面，我國的物聯(lián)網(wǎng)產(chǎn)業(yè)監(jiān)管部門較多，工信部、網(wǎng)信辦等都有業(yè)務(wù)交叉，眾口難調(diào)，很難在短時間內(nèi)形成一個統(tǒng)一的合規(guī)性要求。

“政府的合規(guī)性要求是不能缺位的?！痹谛煺鹂磥恚?qū)動物聯(lián)網(wǎng)設(shè)備安全發(fā)展有兩大動力，一個是用戶安全訴求，另一個就是政府的合規(guī)性要求。前者是自下而上的市場約束，后者則是自上而下的強制立法，二者缺一不可?！罢岢鲆罅?，市場的基本面才能形成，設(shè)備廠商、服務(wù)提供商與安全企業(yè)才會有動力去推進?！?/p>

網(wǎng)絡(luò)視頻監(jiān)控設(shè)備暴露城市分布情況 數(shù)據(jù)來源：北京神州綠盟信息安全科技股份有限公司

安全企業(yè)與廠商“話題”少

作為安全重要的輸出方，安全企業(yè)在物聯(lián)網(wǎng)時代的盈利模式還尚不清晰，尋找與廠商的交集點，是它們突破瓶頸的關(guān)鍵?！熬拖駜蓚€人相親，一個是搞IT的，一個是做會計的，兩個人沒有共同語言，突然有一天要求會計用電腦錄入數(shù)據(jù)，這時搞IT的不僅可以給予指導(dǎo)，甚至還能解決電腦中病毒的問題，話題一下子就有了。”王曉鵬告訴記者，安全企業(yè)和廠商缺少的就是這種“話題”。

“我們也跟一些廠商討論過，他們在工作中會出現(xiàn)一些通過傳統(tǒng)工控專業(yè)技術(shù)手段很難找出問題的情況，這時候他們就會有意識地聯(lián)系安全企業(yè)，來一起進行研究和探討，這對于業(yè)務(wù)的完整度和平穩(wěn)度有很大的幫助?！钡鯐赠i表示，目前這種合作還是比較少的。在他看來，物聯(lián)網(wǎng)設(shè)備安全問題不是某個單一參與方能夠解決的，其需要的是一個生態(tài)鏈?！霸O(shè)備安全事件發(fā)生后，用戶安全需求增加，設(shè)備廠商和服務(wù)提供商開始尋求解決方案，此時的安全企業(yè)要轉(zhuǎn)變思路，改變之前‘賣盒子’的單一運營模式，向應(yīng)用安全方向轉(zhuǎn)變?！彼J(rèn)為，未來，安全企業(yè)與設(shè)備廠商的關(guān)聯(lián)度會越來越高，尤其是在車聯(lián)網(wǎng)等對安全要求較高的領(lǐng)域，安全企業(yè)的參與會愈發(fā)深入。

同時，安全的縱深發(fā)展也對安全從業(yè)人員提出了新的要求?！鞍踩且粋€交叉性特別強的行業(yè)，其雖然在方案上有統(tǒng)一的標(biāo)準(zhǔn)，但在實際應(yīng)用中也會根據(jù)應(yīng)用場景、用戶需求點和痛點的不同而發(fā)生變化。對于安全人員來說，做某一個行業(yè)、領(lǐng)域的安全，就必須要了解這個行業(yè)的知識和背景，這樣才能更專業(yè)更系統(tǒng)地解決好該行業(yè)的安全問題?！蓖鯐赠i說。