近日,一款名叫WannaCry的 勒索病毒以一种凌厉的态势席卷全球。据悉,截止到2017年5月15日,WannaCry至少攻击了150多个国家的网络,严重影响到金融,能源,医疗等行业。而中国国内也曝出多家公司或机构也受到攻击,中石油有超过2万座加油站遭到攻击。互联网时代,信息及网络安全如此重要,物联网时代,设备及网络的信息安全更是我们需要面对的问题。
2017年5月16日下午,由中国物联网产业应用联盟主办,深圳物联传媒承办针对“物联网安全现状探讨与痛点的问题分析“沙龙在深圳南山的碧桂园潼湖科技小镇展厅进行。本次沙龙活动由中国物联网产业应用联盟秘书长杨伟奇先生主持、国民技术股份有限公司安全实验室 张亮亮博士、梆梆安全高级安全咨询顾问任航先生、华视微电子研发中心首席安全官崔竞松博士 、ARM高级技术市场经理王骏超先生 、Ayla客户成功经理谭宜华先生 、深圳前海智安总经理于修良先生针对各自企业在物联网安全领域所做的研究进行了深入浅出的分享。
中国物联网产业应用联盟秘书长 杨伟奇先生
国民技术:量子技术与物联网安全
国民技术股份有限公司安全实验室 张亮亮博士
张亮亮博士以“量子技术对物联网安全的影响”为主题,分享了国民技术对量子技术的研究。据张博士介绍,从PC互联网到现在的移动互联网和物联网,信息的安全都是由密码算法和相关协议来保证的,所以密码算法本身的安全性是一个基本的问题,它通常是由计算复杂度来保证的。未来量子计算机会在密码算法这个层次会对信息安全产生巨大的影响,所以物联网的安全未来也不可避免的受到量子技术的影响 。
梆梆安全:透过现象看物联网安全本质
梆梆安全高级安全咨询顾问任航先生
梆梆安全高级安全咨询顾问任航先生提出,智能设备的所有者可能就是攻击者、需要以现在的安全机制,防御未来的攻击 。其次,在于蝴蝶效应,攻击生态中的任何一环,都有可能破坏指定目标,比如智能汽车可能通过充电桩、道路交通牌、手机APP实施破坏 ;银行后台系统可能通过可穿戴设备的移动支付进行破坏等。
那么有什么应对策略呢?
通过渗透测试,进行安全体检,寻找业务漏洞 。以攻击者的视角去寻找物联网设备中的安全漏洞 。
保护代码,强健自体 。所有安全威胁与黑客攻击最终都是利用程序中的脆弱性实现入侵以获得控制权,代码安全是最本质、最核心的问题。
多重安全机制,提升免疫力。每个智能设备是物联网中的一个微点,会受到各种攻击 ;构造多层次、多样性保护系统,每一点都具备安全防护及抗攻击的能力 。
华视微电子:物联网安全要素分析
随着物联网时代的到来,连接入网的设备越来越多,那么哪些物联网是安全事件的高发区?
华视微电子研发中心首席安全官崔竞松博士
华视微电子研发中心崔竞松博士通过美国鲍曼大坝遭伊朗黑客攻击、德国核电站检测出恶意程序被迫关闭、以色列电网遭网络攻击、波兰航空公司操作系统被黑等近两年发生的物联网安全事件展开分析。在物联网领域,传感器网络、远程医疗、电力能源、智能交通、智能家电等都是安全的高发区。
那么物联网安全涉及哪些安全要素呢?
崔博士表示,口令保护、身份认证、数据机密与隐私、窃听与劫持、代码安全、行为安全是物联网安全的六大要素。
ARM:为连接世界提供更智能的安全
ARM 公司高级技术市场经理王骏超先生以“Smarter security for the connected world ”为主题,分享了在物联网的安全中手机的安全和应用借鉴以及接下来该做什么使安全更容易的保障物联网应用和部署。
ARM高级技术市场经理 王骏超先生
ARM高级技术市场经理王骏超先生表示,接入物联网的设备非常的多样化,所有的设备都需要满足一定的安全规则,而不同的设备对安全的要求是不一样的。物联网面临的物联网安全问题主要有:设备安全、通信安全以及生命周期安全。针对物联网不同层次的威胁,ARM都设计制作了相关的产品保障物联网安全。
Ayla:设计安全物联网产品的策略
Ayla客户成功经理 谭宜华先生
既然物联网面对的信息安全如此严重,那么如何进行安全的物联网产品设计呢?Ayla物联Customer success manager 谭宜华先生认为:
首先应该坚持多层次、全生命周期的安全机制的构建原则。
在产品设计的过程中应考虑这些策略:
重视数据隐私,坚持Privacy-by-Design设计原则;层次化安全原则,设备层、通信层、云平台、应用层都根据行业安全标准设计;使用唯一序列号标识,用安全芯片或者高安全的加密算法保护设备;支持Over-the-Air(OTA)更新设备;支持secure boot 以使得设备可验证将运行其上的固定程序;实施AAA(Authentication-Authorization-Accou);端到端数据加密,充分考虑数据在传输、存储、使用、聚合分析及丢失的情况下得安全保护机制;PII(Personal Identical Information)数据增加额外保密机制以及持续的用户教育。
深圳前海智安:物联网认证加密一体化
深圳前海智安总经理 于修良先生
据深圳前海智安信息科技的总经理于修良先生介绍,在物联网和互联网的世界中,人(用户)、平台(云端和服务端)、端(智能设备)的首要任务就是建立可信链接,安全痛点是身份认证与大规模密钥管理问题,从而确保数十亿甚至百亿智能设备相互之间的连接与交流安全。
如何解决客户端、云平台以及设备端的加密一体化问题?
于修良总经理表示,在终端,提供唯一身份认证数字证书的可信登陆和链接方式 ;所有链接都是通过各自的标识证书接入和进行身份认证,确保可信链接与安全登录 ;云端,所有接入都通过标识身份认证后才能实现可信链接和交互操作,杜绝了各类仿冒登录,与各类应用层的攻击。而物联网需要轻量级的安全体系、支持超大规模用户数量,端到端密钥交换,实现简单,认证效率高,且运营成本低 。
最后本次物联网安全方面的沙龙活动,在6位分享嘉宾和与会观众的激烈探讨中接近了尾声。在室内定位的应用中,如何确保用户的数据安全和隐私?在场的观众和与会嘉宾针对这个问题进行了深入讨论。