胡浩

物聯(lián)網(wǎng)的日益普及給人們帶來了切實的益處和諸多便利，但我們同樣也不能忽略伴隨著物聯(lián)網(wǎng)落地應用而來的各種安全風險。

物聯(lián)網(wǎng)已然走入了人們的日常生活，成為當前業(yè)務洽談中時常被提起的高頻詞匯。未來幾年，物聯(lián)網(wǎng)市場規(guī)模預計將出現(xiàn)快速增長。IDC發(fā)布的數(shù)據(jù)顯示，2019年，全球在物聯(lián)網(wǎng)軟硬件方面的支出為7260億美元，預計到2023年將增長至1.1萬億美元。在中國，“十三五”以來，物聯(lián)網(wǎng)市場也穩(wěn)步增長。根據(jù)賽迪顧問發(fā)布的《2019-2021年中國物聯(lián)網(wǎng)市場預測與展望數(shù)據(jù)》，預計未來三年，中國物聯(lián)網(wǎng)市場規(guī)模將保持20%以上的增長速度。

物聯(lián)網(wǎng)的日益普及給人們帶來了切實的益處和諸多便利，但我們同樣也不能忽略伴隨著物聯(lián)網(wǎng)落地應用而來的各種安全風險。

物聯(lián)網(wǎng)設備很智能，但也存在漏洞，許多物聯(lián)網(wǎng)設備都缺乏抵御黑客攻擊的必要“安全堤壩”。這些漏洞讓物聯(lián)網(wǎng)設備很容易遭受惡意攻擊，可能引發(fā)嚴重的后果。比如，猖獗一時的“Mirai僵尸網(wǎng)絡”曾發(fā)動了規(guī)模巨大的DDoS攻擊，讓包括Twitter和CNN在內的許多網(wǎng)站都陷入了癱瘓。盡管這樣重大的網(wǎng)絡安全事件并不是每天都在上演，但它們卻給全行業(yè)一再敲響了警鐘，讓有意采用物聯(lián)網(wǎng)技術的企業(yè)謹慎評估從一開始就構建安全體系的重要性。

物聯(lián)網(wǎng)設備支出vs回報，永恒的博弈

從采集數(shù)據(jù)到進行數(shù)據(jù)分析和價值挖掘，進而提高運營效率和客戶體驗，使用物聯(lián)網(wǎng)設備簡化業(yè)務運營所帶來的優(yōu)勢不言而喻。它在無形中推動了互聯(lián)設備的變革。但是，物聯(lián)網(wǎng)設備存在顯而易見的缺陷，也就是安全漏洞，這對各種規(guī)模的企業(yè)來說，都意味著重大的安全隱患。在微軟的調研中，幾乎所有的受訪者（97%）都表示，在部署物聯(lián)網(wǎng)時有安全方面的擔憂，但公司仍然在未采取必要安全舉措的前提下采用了該技術。

出現(xiàn)這種情況的原因很簡單，企業(yè)急于擁抱物聯(lián)網(wǎng)設備帶來的機遇和諸多益處，卻并未充分考慮將這些設備應用到業(yè)務運營中可能產(chǎn)生的風險。盡管物聯(lián)網(wǎng)安全事件日益增多，但很多企業(yè)還是沒有意識到物聯(lián)網(wǎng)安全的重要性，仍顧慮在IoT網(wǎng)絡中構建安全體系的短期成本投入，并選擇將其忽略，沒有充分考慮長期的潛在回報。

部分企業(yè)也許考慮到了物聯(lián)網(wǎng)的安全性問題，但也只是“事后諸葛亮”，它們在網(wǎng)絡攻擊事件發(fā)生之后，才選擇亡羊補牢，為其IoT網(wǎng)絡構筑安全“防火墻”。據(jù)Trend Mirco（趨勢科技）在2018年開展的一項調查分析顯示，43%的IT高管承認，由于流程的復雜性、前期成本投入以及缺乏通用標準等因素，在部署物聯(lián)網(wǎng)時他們并未充分考慮安全性問題。

但是，在物聯(lián)網(wǎng)實施過程中，企業(yè)從一開始就應該注重安全性，并將其作為規(guī)劃布局中的關鍵任務之一。企業(yè)從初始階段在系統(tǒng)中加入安全設計，比在開發(fā)周期接近尾聲時或者在漏洞已經(jīng)出現(xiàn)或公開之后再采取措施，更加經(jīng)濟有效。

物聯(lián)網(wǎng)安全，挑戰(zhàn)無處不在

企業(yè)也許會發(fā)現(xiàn)，要確保物聯(lián)網(wǎng)設備的安全是個不小的挑戰(zhàn)，這點其實可以理解。物聯(lián)網(wǎng)的迅速增長和商用普及，導致IoT市場出現(xiàn)碎片化困局，缺乏明確、統(tǒng)一的標準。而定義IoT設備的標準和架構，要通過數(shù)十項持續(xù)、不同的舉措來進行，企業(yè)自然會疲于應對眼前出現(xiàn)的挑戰(zhàn)。

企業(yè)還面臨對物聯(lián)網(wǎng)安全缺乏深入了解帶來的挑戰(zhàn)。物聯(lián)網(wǎng)技術相對來說門檻較高，很多企業(yè)缺乏擁有物聯(lián)網(wǎng)技術專長的IT高管，這也意味著很多公司內部根本沒有懂得物聯(lián)網(wǎng)專業(yè)技術和知識的人，可以評估和推行針對物聯(lián)網(wǎng)設備的安全舉措。

此外，由于過程的復雜性或者成本投入高等原因，企業(yè)可能難以部署安全補丁。許多邊緣物聯(lián)網(wǎng)設備都在低功耗的狀態(tài)下運行，有些甚至是用電池或太陽能供電，這就意味著安全補丁需要滿足易于無縫部署的要求，再加上成本等因素的考量，讓這種情況變得更加復雜。邊緣物聯(lián)網(wǎng)設備通常成本很低，這就要求安全解決方案必須具備成本效益且尺寸靈活，才能被企業(yè)在實際部署環(huán)節(jié)采用。

實現(xiàn)物聯(lián)網(wǎng)安全，究竟路在何方

那么企業(yè)如何才能應對物聯(lián)網(wǎng)安全挑戰(zhàn)呢？盡管安全性和成本之間很難取舍，但是對于企業(yè)而言，應該從一開始就將安全性作為標準去實行，而絕非事后才采取彌補措施。企業(yè)應當力求將安全性作為一個必不可少的過程來進行評估，而不是將其作為一款產(chǎn)品、一個可有可無的選項來對待;與此同時，企業(yè)需要在規(guī)劃預算時優(yōu)先考量安全性建設方面的投入，這樣才能真正在實施IoT中獲益。

物聯(lián)網(wǎng)安全的復雜性是一大挑戰(zhàn)，同時，擁有這方面技術專長的人才又很難獲得。面對這種兩難的境地，企業(yè)該如何破局？一方面，企業(yè)可以通過咨詢擁有專業(yè)技術和豐富經(jīng)驗的合伙伙伴。另一方面，企業(yè)可以將安全軟件庫作為給物聯(lián)網(wǎng)設備提供安全保障的選項之一。安全軟件庫在硬件安全和軟件安全之間提供了一種折中的方法，允許企業(yè)利用端到端的安全解決方案對邊緣設備進行重點管理。通過這種方式，企業(yè)或許能夠以較低的價格，大規(guī)模地創(chuàng)建物聯(lián)網(wǎng)架構，成功應對物聯(lián)網(wǎng)部署所帶來的安全風險，從而獲得豐厚的回報。

“Mirai僵尸網(wǎng)絡”等網(wǎng)絡攻擊事件暴露出了一個問題：僅僅是在物聯(lián)網(wǎng)設備中存在的一個漏洞就能讓整個企業(yè)的網(wǎng)絡處于危險之中。隨著物聯(lián)網(wǎng)變得越來越普及，企業(yè)愈發(fā)需要采取積極的措施來保護物聯(lián)網(wǎng)架構的安全。