“要像管理食品安全一樣，管理物聯(lián)網(wǎng)安全問(wèn)題，任何器件，不論是傳感器件還是傳輸器件，都要經(jīng)過(guò)嚴(yán)格的標(biāo)識(shí)，只有這樣才能保證其安全。”1日，在2016世界物聯(lián)網(wǎng)博覽會(huì)信息安全高峰論壇上，中國(guó)工程院院士何德全說(shuō)。

何德全表示，與互聯(lián)網(wǎng)一般連接幾十億到上百億端口相比，物聯(lián)網(wǎng)至少要連接幾萬(wàn)億端口，器件數(shù)量更多，這種量變會(huì)引起質(zhì)變。雖然物聯(lián)網(wǎng)連接的物件比較簡(jiǎn)單，但由于其地域、廠家甚至標(biāo)準(zhǔn)的分散，使其多樣性和復(fù)雜性大大增強(qiáng)，而安全性和復(fù)雜性是成正比的，這也就使其安全問(wèn)題更加不可控。

“破解物聯(lián)網(wǎng)信息安全問(wèn)題，一定要知道其漏洞在哪里，然后做出針對(duì)性的響應(yīng)。就像一棟樓的安全設(shè)計(jì)人員，首先一定要了解這棟樓的架構(gòu)才知道去哪里安裝防盜門(mén)窗。”無(wú)錫物聯(lián)網(wǎng)產(chǎn)業(yè)研究院副院長(zhǎng)沈杰說(shuō)。

對(duì)剛剛過(guò)去10天的美國(guó)DNS服務(wù)商Dyn遭遇DDoS攻擊事件，沈杰很是痛心。那起事件中，大量攝像頭被黑客利用，作為一種攻擊源頭。究其原因，沈杰分析，首先，大部分物聯(lián)網(wǎng)用戶和廠商安全意識(shí)非常缺乏，無(wú)人職守的設(shè)備認(rèn)證體系非常脆弱，這些攝像頭里面都有一個(gè)后門(mén)的賬號(hào)，但大家都沒(méi)有意識(shí)到要去修改和保護(hù)它；其次，現(xiàn)在整個(gè)物聯(lián)網(wǎng)產(chǎn)業(yè)環(huán)節(jié)比較多，然而到目前為止還沒(méi)有部署安全防護(hù)體系，物聯(lián)網(wǎng)事實(shí)上不僅是一個(gè)純通訊的問(wèn)題，關(guān)聯(lián)到整個(gè)物理世界，缺乏統(tǒng)一的頂層設(shè)計(jì)；再就是設(shè)備本身的信任問(wèn)題、身份問(wèn)題，到底該怎樣認(rèn)證仍有很多的挑戰(zhàn)。

的確，安天公司創(chuàng)始人、首席技術(shù)架構(gòu)師肖新光表示，他在和國(guó)內(nèi)知名攝像頭廠家接觸中，發(fā)現(xiàn)其客服被詢問(wèn)最多的問(wèn)題就是“忘記了口令”。很多人為了追求使用的便利性，往往使用默認(rèn)口令，或是口令非常簡(jiǎn)單，這就使黑客有機(jī)可乘。

“10月21日美國(guó)這起事件的后果被嚴(yán)重夸大了，而大量物聯(lián)網(wǎng)設(shè)備早已被木馬感染這個(gè)事實(shí)反而被忽視了。這些設(shè)備并不只是攻擊的工具和跳板，其就是社會(huì)的基礎(chǔ)傳感器和感知單元，最壞的事情，并不是其入侵后被用于DDoS其他節(jié)點(diǎn)，而是其被入侵這個(gè)事實(shí)本身。”肖新光說(shuō)。

在肖新光看來(lái)，物聯(lián)網(wǎng)帶來(lái)的安全威脅主要是提升了網(wǎng)絡(luò)攻擊對(duì)實(shí)體空間數(shù)據(jù)的獲取能力，增大了網(wǎng)絡(luò)攻擊轉(zhuǎn)化為實(shí)體空間后果的風(fēng)險(xiǎn)，為網(wǎng)絡(luò)攻擊提供更多可利用的節(jié)點(diǎn)。與此對(duì)比，網(wǎng)絡(luò)安全工作者還沒(méi)有形成系統(tǒng)的安全認(rèn)知，目前看存在的主要問(wèn)題是以基礎(chǔ)核心技術(shù)的短板為核心焦慮，以合規(guī)檢查和單點(diǎn)環(huán)境對(duì)抗為主要手段，對(duì)系統(tǒng)的整體性威脅的流動(dòng)性和連接部的脆弱性考慮不足。

盡管如此，何德全認(rèn)為，物聯(lián)網(wǎng)安全問(wèn)題既是挑戰(zhàn)也是難得的機(jī)遇。物聯(lián)網(wǎng)器件如此之多，這對(duì)解決我國(guó)的微電子、器件產(chǎn)業(yè)國(guó)產(chǎn)化問(wèn)題就是機(jī)會(huì)，只有國(guó)產(chǎn)化才能從根本上解決我國(guó)物聯(lián)網(wǎng)的安全問(wèn)題。與此同時(shí)，如果物聯(lián)網(wǎng)實(shí)現(xiàn)了國(guó)產(chǎn)化，進(jìn)而也可以倒逼整個(gè)信息產(chǎn)業(yè)的國(guó)產(chǎn)化，這樣困擾我們多年的問(wèn)題就解決了。

“物聯(lián)網(wǎng)安全不是一家企業(yè)能夠獨(dú)善其身的，需要加強(qiáng)企業(yè)間的協(xié)同合作。”360企業(yè)安全集團(tuán)高級(jí)副總裁何新飛說(shuō)，一是數(shù)據(jù)協(xié)同，核心就是要有統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)、交換信息以及認(rèn)證，如果名字都不一樣，就無(wú)法進(jìn)行信息的交換；二是智能協(xié)同，發(fā)現(xiàn)風(fēng)險(xiǎn)后，如何有效控制和降低這種風(fēng)險(xiǎn)，需要情報(bào)和策略的協(xié)同；再就是產(chǎn)業(yè)協(xié)同。