【科技日報】北理工閆懷志:物聯(lián)世界的安全網(wǎng)到底該怎么建
發(fā)布日期:2018-11-07 供稿:科技日報 編輯:吳楠 審核:王征 閱讀次數(shù):
原文標(biāo)題:物聯(lián)世界的安全網(wǎng)到底該怎么建
原文鏈接:http://digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2018-11/07/content_407293.htm?div=-1
如今,,越來越多的物聯(lián)網(wǎng)(IoT,,Internet of Things)設(shè)備走進(jìn)了日常生活,給人們帶來了更為高效和便捷的體驗,。這些設(shè)備不僅給用戶提供了便利,,也給黑客開啟了另一扇“大門”,。就在今年1月,HNS僵尸網(wǎng)絡(luò)用不到10天時間就感染了2萬臺有安全缺陷的網(wǎng)絡(luò)攝像頭……
隨著物聯(lián)網(wǎng)與工業(yè),、金融,、交通等領(lǐng)域的深度融合,相關(guān)安全問題不再局限于個人范圍,,而是影響到整個網(wǎng)絡(luò)空間,。
如何才能在物聯(lián)網(wǎng)世界里筑起一道安全屏障?
近日,,美國加利福尼亞州州長杰里·布朗簽署了SB-327法案,,該法案使加州成為美國首個推出物聯(lián)網(wǎng)安全法案的州政府。據(jù)悉,,此法案將于2020年1月1日起正式實施,,法案規(guī)定所有聯(lián)網(wǎng)設(shè)備的制造商都要為其產(chǎn)品配備安全設(shè)置,以防止信息被未授權(quán)訪問或者修改,。
該法案能否成為解決物聯(lián)網(wǎng)安全問題的“解藥”,?
新法案立意雖好,,卻惹業(yè)界非議
有關(guān)SB-327法案的消息一出,便引來了廣泛關(guān)注,,外界對此褒貶不一,。肯定者認(rèn)為這是完善相關(guān)法律法規(guī)的良好開端,,而質(zhì)疑者則詬病該法案存在許多不足,。
“相關(guān)安全專家認(rèn)為該法案的‘槽點(diǎn)’主要有3個方面?!北本├砉ご髮W(xué)網(wǎng)絡(luò)攻防對抗技術(shù)研究所所長閆懷志在接受科技日報記者采訪時表示,,該法案的條文描述過于籠統(tǒng),存在許多模糊之處,。法案主要規(guī)定了“連接設(shè)備的制造商應(yīng)為設(shè)備附上合理的安全功能”,,但對“安全合理性”的界定比較模糊。
“該法案的核心思想是增加新的安全功能,,而非去除不安全的功能,,也就是將重點(diǎn)放在補(bǔ)缺而非除漏。這是法案的第二個‘槽點(diǎn)’,?!遍Z懷志表示,“但補(bǔ)缺也是一把雙刃劍,,新增加的安全功能可能會擴(kuò)大攻擊面,,從而制造了新威脅?!?/span>
“其三,,該法案未從整體上考慮安全問題?!遍Z懷志說,,該方案只強(qiáng)調(diào)了設(shè)置物聯(lián)網(wǎng)設(shè)備密碼口令等規(guī)定,而未提及遠(yuǎn)程登錄服務(wù)等其他協(xié)議驗證系統(tǒng),。這些驗證系統(tǒng)如存在缺陷,,也會給系統(tǒng)帶來致命威脅。
法規(guī),、標(biāo)準(zhǔn)齊發(fā)力,,形成體系化保障
這項法案或許難以擔(dān)起維護(hù)物聯(lián)網(wǎng)安全的重任,那么什么樣的制度設(shè)計才可以,?
國際的通行做法是圍繞安全法律,、法規(guī)制定配套標(biāo)準(zhǔn),輔以規(guī)范指南等,形成層次化,、立體化的一整套安全保障約束體系,。
早在2016年年底,美國國土安全部就發(fā)布了《保障物聯(lián)網(wǎng)安全戰(zhàn)略原則》,,公開表示“物聯(lián)網(wǎng)安全已演變?yōu)閲涟踩珕栴}”,。2017年8月,美國國會議員提交了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,,希望通過設(shè)定聯(lián)邦政府采購物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn),,來改善美國政府所面臨的物聯(lián)網(wǎng)安全問題。
比上述法規(guī)出臺時間更早,,美國一些行業(yè)主管部門就發(fā)布了相關(guān)文件,以保障特定應(yīng)用領(lǐng)域的物聯(lián)網(wǎng)安全,。2014年,,美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布了《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》,規(guī)定了關(guān)鍵基礎(chǔ)設(shè)施在解決網(wǎng)絡(luò)風(fēng)險問題時的技術(shù)標(biāo)準(zhǔn),;2016年,,美國高速公路安全管理局發(fā)布了《現(xiàn)代汽車網(wǎng)絡(luò)安全最佳實踐》,明確了具有聯(lián)網(wǎng)功能車輛的安全保障要求,。
“目前,,與物聯(lián)網(wǎng)安全相關(guān)的約束規(guī)范以法規(guī)文件居多,其實配套標(biāo)準(zhǔn)也非常重要,。沒有標(biāo)準(zhǔn)的‘保駕護(hù)航’,,相關(guān)法規(guī)也難以較好地保護(hù)物聯(lián)網(wǎng)?!痹陂Z懷志看來,,制定物聯(lián)網(wǎng)安全法規(guī)、標(biāo)準(zhǔn)時,,應(yīng)該特別注意各層次規(guī)范的地位和使命,,既要做到分工明確、避免越俎代庖,,又要做到相互配合,,形成有機(jī)整體。
基于國情發(fā)展,,管控措施逐步落地
“在技術(shù)層面上,,我國在物聯(lián)網(wǎng)發(fā)展過程中遇到的安全問題與美國并無顯著不同。但中美在基本國情,、法律制度,、技術(shù)發(fā)展水平上存在較大差異,因此不能對其照搬照抄?!遍Z懷志說,。
我國向來對物聯(lián)網(wǎng)安全問題極為重視,已將物聯(lián)網(wǎng)列為國家關(guān)鍵信息基礎(chǔ)設(shè)施,。2017年6月1日起,,我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全領(lǐng)域問題的基礎(chǔ)性法律《中華人民共和國網(wǎng)絡(luò)安全法》正式施行。與之配套的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》業(yè)已發(fā)布,,新版網(wǎng)絡(luò)安全等級保護(hù)系列標(biāo)準(zhǔn)也將進(jìn)入頒布和實施階段,,包涵了針對物聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用的安全規(guī)范,。專門針對物聯(lián)網(wǎng)的數(shù)據(jù)傳輸,、感知層等相關(guān)安全技術(shù)標(biāo)準(zhǔn)也進(jìn)入送審稿階段,醫(yī)療,、汽車行業(yè)相關(guān)安全標(biāo)準(zhǔn)也在逐步落實,。
物聯(lián)網(wǎng)關(guān)系到人們的日常生活以及社會生產(chǎn)發(fā)展,強(qiáng)化物聯(lián)網(wǎng)安全不會一蹴而就,。正如360公司董事長周鴻祎所說,,安全問題才是物聯(lián)網(wǎng)時代的最大挑戰(zhàn),很多固有的防范手段將會失效,,真正的網(wǎng)絡(luò)戰(zhàn)爭才剛剛開始,。
分享到:
