物聯網安全大勢:構建物聯網安全共同體

物聯網智庫 原創

物聯網智庫 整理髮布

轉載請註明來源和出處

-   【導讀】   -

各個時代，安全問題都不可避免。在萬物互聯新時代背景下，安全挑戰更是前所未有！構建物聯網安全共同體勢在必行

物聯網這張有史以來最大的「網」，時刻都在融入新的技術：雲計算、大數據分析、人工智慧等橫向能力不斷豐富著雲端服務；NB-IoT、Lora、Sigfox等網絡技術亦完善著網絡層的連接服務能力；各類傳感器在智能晶片的加持下，猶如人類的「五官」及皮膚，感知能力更是超乎想像！

隨著社會的進步，人類追求科技的步伐邁得也越來越快。過去，只能在電影中看到的「黑科技」，如今，在現實生活中隨處可見。智能家居、車聯網、智慧城市、智能工廠等應用場景的出現，離不開物聯網的快速發展！

物聯網感知層、網路層、應用層三層架構逐漸明晰，各行業巨頭爭相布局物聯網市場。底層晶片提供者、通信設備提供商、網絡運營服務商、各行應用解決方案集成商無一不選擇大手筆布局物聯網業務。

市場研究機構Gartner預測，到2020年，全球所使用的物聯網裝置數量將成長至208億個，其中有135億個為消費者裝置、44億個為跨產業裝置，29億個為垂直產業裝置。

物聯網市場容量龐大，但各項標準卻尚未統一。面對挑戰大企業攻堅克難，面對機遇創業公司緊追不捨，物聯網迎來了大爆發的黃金時代。

然而，在物聯網發展初期，由於市場發展迅速，各企業只管快速開發、拓展物聯網業務，卻忽視了任何一個時代都應該注意的問題——信息安全！

與網際網路、移動網際網路安全相比，物聯網安全防護更加複雜。物聯網安全在感知層、網絡層、應用層的防護都呈現各自不同的特點，對安全防護技術提出了更高的要求。其次物聯網設備種類多，涉及百行百業，一個「意想不到」的安全漏洞就可能導致整個網絡的崩塌。因此，加大物聯網安全投入是物聯網企業的必經之路。

近日，在與全球安全服務領跑者梆梆安全董事長闞志剛博士的交流中了解到，物聯網安全發展可分為三大階段：檢測階段、方案階段、基線產品階段。值得注意的是今年下半年物聯網安全的發展將會從檢測階段進入方案階段，而物聯網安全基線產品或將於明年上半年出現。

闞志剛提出：「技術永遠是冪次級向前發展的，經過了網際網路時代的安全技術積累，物聯網安全技術發展將會更快」。在物聯網安全的第一階段裡，人們共同面對的問題都是物聯網系統安全漏洞檢測。例如梆梆安全在服務於家電廠商和車企時，首要做的事情就是幫助其查找物聯網系統安全漏洞。而到了物聯網安全的第二階段，人們開始針對漏洞問題給出各自的安全解決方案。這個階段，每家服務商都會結合自身技術優勢給出不同的方案，百花齊放之勢一觸即發！及至第三階段，物聯網安全解決方案經過實戰洗禮逐漸成熟，基線產品將開始形成。

物聯網安全在經歷了以上三個階段後，會形成一條比較成熟的產業鏈。從目前來看，可以從兩個角度對物聯網安全產業鏈條進行劃分。第一，從IT角度來看，可劃分為從雲端到網絡通道再到智能終端的三層防護物聯網安全產業鏈。第二，從物聯網安全公司業務角度來看，每家公司會採用已有安全防護手段為物聯網提供安全防禦措施：有的公司做設備安全管理，有的公司做硬體防火牆，有的公司做物聯網網關、有的公司做程序安全防護等等。

IT角度的物聯網安全產業鏈

物聯網有著不可計數的感知終端、複雜的信息通信渠道、龐大的數據存儲與處理中心。抽象來看，物聯網正是一個十分標準的「終端-傳輸管道-雲端」架構。要做好物聯網安全就必須實現對每個物聯網環節的安全保護，進而針對每一環節的保護產生一條相對比較完善的物聯網安全產業鏈。

梆梆安全董事長闞志剛博士表示：「其中終端側最為複雜。總結起來，物聯網終端的安全體系架構包括三大層面：硬體層、固件層和應用軟體層。」物聯網終端安全架構首先要保證硬體的安全性，打造硬體級的可信平臺。其次，作為設備安全的基礎，通過安全的硬體綁定安全的作業系統，提供容器隔離和安全增強的方案。最後，安全的作業系統綁定安全的應用軟體，打造增強應用安全解決方案。這樣層層綁定確保可信的數據處理和智能服務的提供。

1、硬體晶片安全方面，晶片商紛紛在新一代MCU、MPU、SoC，增加各種驗證機制與硬體加解密功能，強化嵌入式系統的硬體防護能力。為避免物聯網可能產生的大量防護漏洞，眾晶片商如ARM、英特爾、意法半導體、德州儀器、恩智浦、英飛凌、盛群、新唐、Maxim和芯科實驗室等，早已替旗下產品添置加解密算法，期望更加鞏固自家晶片的安全壁壘。

2、固件安全方面，由於物聯網設備有的採用Linux系統、有的採用Android系統，有的則用自主開發作業系統，很難進行統一，需要有相應業務公司的安全防護方案。

3、應用軟體安全方面，開發者眾多，應用數量更是枚不勝數，軟體安全等級亦是魚龍混雜，軟體安全防護需求在物聯網時代將更加強烈。

然而，無論三個層面如何複雜，存在怎樣的行業壁壘，算法程序始終都是其運作核心，保護程序代碼安全在每個環節都至關重要。

作為物聯網傳輸信息的管道，通訊協議安全的防護也同樣不容忽視。物聯網數據傳輸所使用的網絡包含有線網絡、移動通信網絡、Wi-Fi、藍牙、ZigBee、低功耗廣域網絡、電力載波等多種異構網絡，其所面臨的安全問題也相當複雜。在物聯網數據傳輸層面，會湧入一片諸如網絡安全防護牆、物聯網安全網關的產業服務。例如，智能家居設備聯網會同時用到藍牙、ZigBee、Wi-Fi 等通信方式，如何保證通信不被幹擾、設備不被虛假信息劫持？對通信連接接口起到保護作用的物聯網安全網關就派上了用場。此外，汽車領域的CAN總線通信網絡也在時刻面臨被惡意侵入的威脅。梆梆安全研究院院長盧佐華表示：「物聯網通信協議安全的保護，說到底還是代碼程序的保護。」

如果將物聯網終端比作人的五官和皮膚，通信網絡比作神經系統，那麼雲端就等同於人的大腦。人的大腦受到攻擊，整個系統無異於「植物人」。保護雲端數據，保護雲端安全是安全廠商思考的重點，也必將成為物聯網安全產業鏈中的重要一環。

承上啟下 回歸安全本質

無論產業鏈如何劃分，尋找安全本質才是安全企業的終極目標。在最近一次交流中，我們了解到梆梆安全作為全球最大的移動應用安全服務提供商，一直在探索安全的本質，並從安全本質角度解決問題。隨著物聯網時代的到來，梆梆安全本著將移動網際網路安全技術拓展延伸到物聯網領域的初衷，在不斷探索物聯網安全市場。梆梆安全一方面保護著物聯網的終端固件，另一方面還在保護著固件上運行的應用程式。闞志剛博士認為技術應該是逐漸演變的，唯有演變才能更好的傳承。因此，梆梆安全依然在從程序保護的角度做物聯網安全，持續探索物聯網時代的網絡安全本質。

物聯網安全產業鏈十分豐富，全球近150家上市的安全服務企業，沒有一家企業能夠做全產業鏈的服務。面對物聯網龐大的終端數量，林立的網絡標準，千差萬別的應用類別，如何提供一個完善的物聯網安全服務？打造物聯網安全生態，構建物聯網安全共同體已是箭在弦上……

面對物聯網安全各管一段的分散局面，整合各環節資源成為重中之中。由此，梆梆安全董事長闞志剛博士萌生了「升維競爭」的戰略思想——將競爭對手變為合作夥伴。這是個有趣並具戰略意義的思想轉變。作為全球安全服務領跑者，梆梆安全呼籲在物聯網領域構建安全共同體，並期望在未來的2-3年之內，產業內能有更多的大客戶及中小企業加入聯盟。安全共同體的打造不僅僅是建立一個生態聯盟那麼簡單。闞志剛博士告訴筆者，構建物聯網安全共同體可從五個角度入手：

 從客戶的角度，建立物聯網安全生態聯盟。

 從產品的角度，集合上下遊物聯網安全產品，為客戶提供各類安全服務。

從政策的角度，將安全機制與政府政策法規相結合，打造真正的安全防護。

從社會環境的角度，與「白帽子」（正面黑客）或高端人才，形成共同體。

從安全智庫的角度，利用民間的力量建立網絡信息安全智庫，共同探討安全問題。

除此之外，為了促使安全共同體更加健壯，梆梆安全還計劃打造安全大學，做物聯網安全知識培訓，為企業輸送安全人才。

隨著物聯網各項技術不斷成熟，萬物互聯時代的到來，個人、企業、國家都已全面接入物聯網這張「大網」，這是前所未有的發展機遇，也是空前的安全挑戰。傳統的安全防禦體系已無法應對萬物互聯時代的新型安全問題。任何一個時代都需要注重安全問題，萬物互聯時代更需要變革安全理念、創新安全體系，集聚全部力量共創物聯網安全共同體。

以上是筆者近期與梆梆安全董事長闞志剛博士和梆梆安全研究院院長盧佐華女士短暫交流後，產生的淺顯認知，尚不能道出物聯網安全領域的真知灼見。4月27日13:30 在北京展覽館 5號館正式舉行的北京國際網際網路科技博覽會暨世界網絡安全大會——物聯網安全分論壇將給您一個全面的關於物聯網安全解讀。歡迎點擊「閱讀原文」報名參加！