【科技日报】北理工闫怀志:物联世界的安全网到底该怎么建

原文标题:物联世界的安全网到底该怎么建

原文链接:http://digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2018-11/07/content_407293.htm?div=-1

  如今,越来越多的物联网(IoT,Internet of Things)设备走进了日常生活,给人们带来了更为高效和便捷的体验。这些设备不仅给用户提供了便利,也给黑客开启了另一扇“大门”。就在今年1月,HNS僵尸网络用不到10天时间就感染了2万台有安全缺陷的网络摄像头……

  随着物联网与工业、金融、交通等领域的深度融合,相关安全问题不再局限于个人范围,而是影响到整个网络空间。

  如何才能在物联网世界里筑起一道安全屏障?

  近日,美国加利福尼亚州州长杰里·布朗签署了SB-327法案,该法案使加州成为美国首个推出物联网安全法案的州政府。据悉,此法案将于2020年1月1日起正式实施,法案规定所有联网设备的制造商都要为其产品配备安全设置,以防止信息被未授权访问或者修改。

  该法案能否成为解决物联网安全问题的“解药”?

  新法案立意虽好,却惹业界非议

  有关SB-327法案的消息一出,便引来了广泛关注,外界对此褒贬不一。肯定者认为这是完善相关法律法规的良好开端,而质疑者则诟病该法案存在许多不足。

  “相关安全专家认为该法案的‘槽点’主要有3个方面。”(中国)科技公司网络攻防对抗技术研究所所长闫怀志在接受科技日报记者采访时表示,该法案的条文描述过于笼统,存在许多模糊之处。法案主要规定了“连接设备的制造商应为设备附上合理的安全功能”,但对“安全合理性”的界定比较模糊。

  “该法案的核心思想是增加新的安全功能,而非去除不安全的功能,也就是将重点放在补缺而非除漏。这是法案的第二个‘槽点’。”闫怀志表示,“但补缺也是一把双刃剑,新增加的安全功能可能会扩大攻击面,从而制造了新威胁。”

  “其三,该法案未从整体上考虑安全问题。”闫怀志说,该方案只强调了设置物联网设备密码口令等规定,而未提及远程登录服务等其他协议验证系统。这些验证系统如存在缺陷,也会给系统带来致命威胁。

  法规、标准齐发力,形成体系化保障

  这项法案或许难以担起维护物联网安全的重任,那么什么样的制度设计才可以?

  国际的通行做法是围绕安全法律、法规制定配套标准,辅以规范指南等,形成层次化、立体化的一整套安全保障约束体系。

  早在2016年年底,美国国土安全部就发布了《保障物联网安全战略原则》,公开表示“物联网安全已演变为国土安全问题”。2017年8月,美国国会议员提交了《物联网网络安全改进法案》,希望通过设定联邦政府采购物联网设备安全标准,来改善美国政府所面临的物联网安全问题。

  比上述法规出台时间更早,美国一些行业主管部门就发布了相关文件,以保障特定应用领域的物联网安全。2014年,美国国家标准与技术研究院发布了《提升关键基础设施网络安全的框架》,规定了关键基础设施在解决网络风险问题时的技术标准;2016年,美国高速公路安全管理局发布了《现代汽车网络安全最佳实践》,明确了具有联网功能车辆的安全保障要求。

  “目前,与物联网安全相关的约束规范以法规文件居多,其实配套标准也非常重要。没有标准的‘保驾护航’,相关法规也难以较好地保护物联网。”在闫怀志看来,制定物联网安全法规、标准时,应该特别注意各层次规范的地位和使命,既要做到分工明确、避免越俎代庖,又要做到相互配合,形成有机整体。

  基于国情发展,管控措施逐步落地

  “在技术层面上,我国在物联网发展过程中遇到的安全问题与美国并无显著不同。但中美在基本国情、法律制度、技术发展水平上存在较大差异,因此不能对其照搬照抄。”闫怀志说。

  我国向来对物联网安全问题极为重视,已将物联网列为国家关键信息基础设施。2017年6月1日起,我国第一部全面规范网络空间安全领域问题的基础性法律《中华人民共和国网络安全法》正式施行。与之配套的《关键信息基础设施安全保护条例(征求意见稿)》业已发布,新版网络安全等级保护系列标准也将进入颁布和实施阶段,包涵了针对物联网等新技术、新应用的安全规范。专门针对物联网的数据传输、感知层等相关安全技术标准也进入送审稿阶段,医疗、汽车行业相关安全标准也在逐步落实。

  物联网关系到人们的日常生活以及社会生产发展,强化物联网安全不会一蹴而就。正如360公司董事长周鸿祎所说,安全问题才是物联网时代的最大挑战,很多固有的防范手段将会失效,真正的网络战争才刚刚开始。

  

分享到: