导读:有一个关于物联网行业发展的最不准确的问题,就是关于未来物联网接入的数量。
有一个关于物联网行业发展的最不准确的问题,就是关于未来物联网接入的数量。各种权威机构的预测大体是说到2025年将有250亿到500亿个物联网终端接入。这是现在的互联网或者移动互联网都无法比拟的!特别是5G发展起来后,物联网的终端接入的种类繁多,需求之复杂,将几何数量级提高管理上的难度。
不管物联网终端数据准确与否,有一个巨大的难题摆在面前,物联网需要怎样的安全?如何能保证几百亿数量的规模的物联网体系能够安全有效的运转正常?这是信息安全企业的福音和重大市场机遇,不过挑战也是前所未有的!
我们试图寻找下曾经发生过的安全危机事件有哪些?里面有什么规律么?
1.2010年6月,伊朗布什尔核电站准备并网发电,突然遭到震 网 病 毒 袭击,1000多台离心机停止运行,核电站无法正常工作。
2. 委内瑞拉电 站 爆 炸,疑 美 对 委 电网控制系统发动了网络袭击。
3.2015年12月23日,乌克兰电力部门遭受到恶 意 代 码 攻击,导致7个110KV的变电站和23个35KV的变电站出现故障,导致80000用户断电。
这三个国家是前段时间的敏感地区和争夺的焦点,其实能够发现用电是事关民生和生活的大事,而仅仅使用网络手段就能带来比昔时战争攻击所带来的更大危机,造成的危害之大显而易见!
那么除了热点地区之外,2016年10月,黑客劫持30万个摄像头做为肉 鸡,然后利用这些终端发起了DDOS攻击,造成美国东部地区网络瘫痪了近5个小时。这个案例当时也极为轰动,摄像头就是最典型的物联网终端之一!几十万个摄像头被远程劫持控制,最终把区域网络搞瘫痪,这就是传说之中的网络攻击!未来的战争很大程度都是网络战。
在国内,2016年公安部拍板做出一个尝试,拿出一个机场、一个省的电力让360做攻击实验,360用了一个星期就把这个机场拿下,经过两周攻进了电网系统,就可以拉闸限电。幸好这是一次相对隐蔽的测试,要不然我们的生活也将带来许多麻烦!不用再举例分析了吧,物联网安全之重要性可见一斑。如何抵抗呢?
第一、就是感知层的安全威胁
1)针对RFID的威胁分析:物理攻击、信道攻击、伪造攻击、假冒攻击、复制攻击、重放攻击、信息篡改。
2)针对无线传感网的威胁:网节点捕获、普通节点捕获、传感信息窃听、DoS攻击、重放攻击、完整性攻击、虚假路由信息、选择性转发、Sinkhole攻击、Sybil攻击、Wormholes虫dongl洞攻击、HelloFlood、确认欺骗、海量节点认证问题。
3)针对移动智能终端的安全威胁:随着移动智能设备的成功、迅速发展、以移动智能手机为代表的移动智能设备将是物联网感知层的重要组成部分,其面临恶意软件、僵尸网络、操作系统缺陷和隐私泄露等安全问题。
第二、传输层的安全威胁
当面临海量、集群方式存在的物联网节点的数据传输需求时,很容易导致核心网络拥塞,产生拒绝服务。由于在物联网传输层存在不同架构的网络需要相互连通的问题,因此,传输层将面临异构网络跨网认证等问题,将可能收到DoS攻击、中间人攻击、异步攻击、合谋攻击等。
第三、应用层的安全威胁在物联网应用层。
在某行业或应用中必然会收集用户大量隐私数据,例如其健康状况、通讯簿、出行线路、消费习惯等,因此必须针对各行业或应用考虑其特定或通用隐私保护问题。然而目前各子系统的建设并没有统一标准,未来必然会面临链接为一个大的网络平台的网络融合问题和安全问题。
传统的IT设施通常具有较强的计算能力,网络设施也相对单一,并且设施部署相对集中,因此防范难度尚可评估。但是物联网系统来说,它有大量不同种类的终端存在,这些终端都有不同规模级别的操作系统,都被接入了网络,而这些终端的计算能力和存储能力都有限;还有,这些终端通过不同的通信方式接入网络,并且安装于任何环境、任何场地。
物联网系统是一个复杂的生态系统,其中应用了大量新的信息化技术,如大数据、云计算、AI等应用,让系统变得越来越复杂,进而不可避免地产生系统漏洞,然后不可避免地给网络攻击留下了机会。物联网系统又是深入到生活、工业应用中的,因此在任何环境、任何地方都能发起攻击,而当多个应用整合成一个业务系统的时候,又能通过攻击其中一个应用进而攻击整个业务系统。因此,整体防范难度成指数级提高。
《经济学人》杂志将网络战形容为“第五种作战形式”。
美 军 方 第一任网 军 司 令 官 曾在一次交流中表示:世界上只有两种网络,一种是被攻击了你知道,另一种是被攻击了你不知道!过去5年,APT攻击行为就是一个国家级的情 报 机 构 和网 络 战 部 队 对另外一个国家发起的渗透和情报窃取,具有威胁性大且持续时间长等特点。
目前物联网行业还没有一套完整的法规要求,此外,对于物联网设备的安全测评与互联网产品的测评方式完全不同,目前也缺乏一套国 家 发布的安全测评规范。