物联网的安全和互联网的安全问题一样,永远都会是一个被广泛关注的话题。由于物联网连接和处理的对象主要是机器或物以及相关的数据,其“所有权”特性导致物联网信息安全要求比以处理“文本”为主的互联网要高,对“隐私权”(Privacy)保护的要求也更高(如ITU物联网报告中指出的),此外还有可信度(Trust)问题,包括“防伪”和DoS(Denial of Services)(即用伪造的末端冒充替换(eavesdropping等手段)侵入系统,造成真正的末端无法使用等),由此有很多人呼吁要特别关注物联网的安全问题。
物联网系统的安全和一般IT系统的安全基本一样,主要有8个尺度: 读取控制,隐私保护,用户认证,不可抵赖性,数据保密性,通讯层安全,数据完整性,随时可用性。 前4项主要处在物联网DCM三层架构的应用层,后4项主要位于传输层和感知层。其中“隐私权”和“可信度”(数据完整性和保密性)问题在物联网体系中尤其受关注。如果我们从物联网系统体系架构的各个层面仔细分析,我们会发现现有的安全体系基本上可以满足物联网应用的需求,尤其在其初级和中级发展阶段。
物联网应用的特有(比一般IT系统更易受侵扰)的安全问题有如下几种:
1 Skimming:在末端设备或RFID持卡人不知情的情况下,信息被读取
2 Eavesdropping: 在一个通讯通道的中间,信息被中途截取
3 Spoofing:伪造复制设备数据,冒名输入到系统中
4 Cloning: 克隆末端设备,冒名顶替
5 Killing:损坏或盗走末端设备
6 Jamming: 伪造数据造成设备阻塞不可用
7 Shielding: 用机械手段屏蔽电信号让末端无法连接
主要针对上述问题,物联网发展的中、高级阶段面临如下五大特有(在一般IT安全问题之上)的信息安全挑战:
1 4大类(有线长、短距离和无线长、短距离)网路相互连接组成的异构(heterogeneous)、多级(multi-hop)、分布式网络导致统一的安全体系难以实现“桥接”和过度
2 设备大小不一,存储和处理能力的不一致导致安全信息(如PKI Credentials等)的传递和处理难以统一
3 设备可能无人值守,丢失,处于运动状态,连接可能时断时续,可信度差,种种这些因素增加了信息安全系统设计和实施的复杂度
4 在保证一个智能物件要被数量庞大,甚至未知的其他设备识别和接受的同时,又要同时保证其信息传递的安全性和隐私权
5 多租户单一Instance服务器SaaS模式对安全框架的设计提出了更高的要求
对于上述问题的研究和产品开发,国内外都还处于起步阶段,在WSN和RFID领域有一些针对性的研发工作,统一标准的物联网安全体系的问题还没提上议事日程,比物联网统一数据标准的问题更滞后。这两个标准密切相关,甚至合并到一起统筹考虑,其重要性不言而喻。
物联网信息安全应对方式:
首先是调查。企业IT首先要现场调查,要理解当前物联网有哪些网络连接,如何连接,为什么连接,等等。
其次是评估。IT要判定这些物联网设备会带来哪些威胁,如果这些物联网设备遭受攻击,物联网在遭到破坏时,会发生什么,有哪些损失。
最后是增加物联网网络安全。企业要依靠能够理解物联网的设备、协议、环境的工具,这些物联网工具最好还要能够确认和阻止攻击,并且能够帮助物联网企业选择加密和访问控制(能够对攻击者隐藏设备和通信)的解决方案。
提起物联网设备,我们就能想到智能化,智慧城市,智慧家居,智慧医疗,智慧养殖等等,都给生活带来了便利,但是物联网设备也有一个极其引人担心的一个问题,就是安全问题。当一切都智能后,伴随的危机风险将更大。安全漏洞一旦遭受到恶意攻击,会引发严重问题,导致一系列设备都罢工宕机。
物联网安全与之紧密联系的就是物联网设备的支出和回报问题,这是个永恒的议题。
使用物联网设备带来的优势是不言而喻的,它在无形中简化了很多业务以及人工成本,从采集数据到数据分析再到价值挖掘和提高运营效率,作用是巨大的。但是同时也存在着风险,就是物联网的安全漏洞,对于很多企业来说,使用物联网设备都有一定的担忧,也造成了物联网应用落地化并没有特别快速的普及。
出现这种冷热交替化的情况原因就很简单了,企业一方面想要拥抱物联网,走上风口,另一方面就是新的东西出来,就总不是那么成熟,有一些时间需要走,物联网攻击事件也有爆出。其实只要有了安全意识,做长期的潜在回报准备,在物联网实施过程中,从一开始就应该注重安全性,并将其作为规划布局中的关键任务之一。从初始阶段就在系统中加入安全设计,比在开发周期接近尾声时或者在漏洞已经出现或公开之后再采取措施,更加经济有效。
此外,物联网安全,挑战无处不在物联网的迅速增长和商用普及,导致物联网市场出现碎片化困局,缺乏明确、统一的标准。而定义物联网设备的标准和架构,要通过数十项持续、不同的举措来进行,企业自然会疲于应对眼前出现的挑战。安全市场挑战、机遇并存 应用发生了变化,安全会跟着变化,传统的防火墙和安全设备已经到了一个需要更新的时代。云计算,数据中心大集中对产品性能的要求提到了一个新的高度,也对安全提出了新要求。
许传朝:从全球范围来看,信息安全领域的技术热点是什么中国的信息安全市场将有什么样的发展趋势
童建:我认为主要有两个热点:一是应用发生了变化,安全会跟着变化,传统的防火墙和安全设备已经到了一个需要更新的时代。现在的客户对网络应用的识别、控制等都非常感兴趣,防火墙已经进入安全应用时代;二是云计算、数据中心大集中对产品性能的要求提到了一个新的高度,也对安全提出了新要求。
最近,一些国际厂商对安全越来越重视,很多大的并购和IPO都和安全厂商有关。这对国内安全企业来说是挑战。但从长远来看,也是机遇。
一方面,从技术上来看,国外大厂商都经历了从开始时的迅速发展,到企业合并,再到合并后的新技术突破,然后重新开始发展的周期性进程。总的来说,国外大厂商都想做一站式服务,惠普购买了3Com做网络增强,Oracle也做硬件,英特尔买了McAfee,他们的商业领域将越来越广泛,竞争到一定程度,会成为集团竞争。而大的集团形成以后,他们的应变能力会降低,对新技术发展的反应也会变慢,这对我们是一个机会。
另一方面,从国际产业结构调整的角度看,随着美国技术和市场的成熟,他们的企业不可避免地经历着从制造业向服务业的转型。华为和中兴能够做大做强也与这种趋势息息相关,我预测,这种转型同样会发生在信息安全行业。
在信息安全领域,国内和国外相比,还有5~7年的差距。但是我们已经看到了国际发展的趋势,如云计算数据中心的建设,国内的一些大企业已经开始在做了。
许传朝:除了云计算,当前的热点还有三网融合和物联网这两项技术,它们是否会对整个网络安全产业产生一些影响
童建:三网融合将使原本封闭的互联网、电信网、广电网不断开放。这种开放会导致互联网的黑客、病毒、木马等不安全因素转移到电信网和广电网,使网络面临来自安全的挑战。因此,在三网融合推进过程中,必须强化网络信息安全。三网融合后,新网络中更多的是将广电网络视频内容承载到电信网和物联网上,网络信息面临的安全威胁将日益严重。据了解,今年中国信息安全方面的投资将在10亿~15亿元左右。并且,三网融合会增加网络建设的需求,对我们来说肯定是机会。
但从影响力来看,物联网会比三网融合更加持久。因为物联网带来两个问题,一是网络IP地址有限,肯定会大规模转向IPv6;二是物联网会造成大量的网络虚拟联接和流量。
自IBM提出“智慧的地球”的概念后,物联网应用在全国如火如荼地展开。然而,随着信号干扰不断出现,恶意入侵现象日益严重,这意味着物联网面对的首要问题是如何保证安全。根据中国物联网标准联合会的估计,2010年物联网将带来140亿元左右的新增IT市场需求,按信息安全投资占该项信息化总量的8%〜10%的世界标准计算。今年,相关企业在物联网信息安全方面的投入至少将达到11亿元。
今天,对运营商市场冲击最大的是什么公司是苹果。iPhone经历了从最初的用户体验到应用,最后演变成对网络设备的需求。iPhone在提升了用户体验的同时,也提高了对运营商网络和流量的要求。物联网一定会带来类似影响。
许传朝:国内IT产业界很多人认为中国城镇化是未来20年最大的机会,所以他们围绕城镇化做了很多产品和公司策略上的规划。从你的角度来看,未来中国信息安全最大的产业机会在哪里
童建:我认为,未来20年中国会有很大的发展,国民收入倍增,这意味着有巨大的安全需求。所谓收入倍增,是指大家都过上了富裕的生活,但是这也需要每个人创造出比现在更多的价值,才能换来更好的生活。从发达国家的经验来看,我们需要提高效率,IT最大的好处就是帮助提高效率。从这方面来说,网络建设需求一定会增加,随之而来,对信息安全建设的需求也会越来越多。
本土崛起 凭本事 靠理想
跟国外企业相比,我们更加专注国内需求,研发有活力、潜力比较大、公司发展很快。跟国内厂商相比,我们更多的是带来了一些国际管理经验。
许传朝:山石网科的核心创业团队大都来自国际信息安全企业,这样的基因使得山石网科与国际厂商、本土厂商相比,有哪些不同
童建:公司创始人均是国际网络安全业界的专家,包括 NetScreen早期创始团队成员。公司的核心团队由来自NetScreen、Cisco和Juniper等知名外企的精英组成,具备先进的技术经验和丰富的企业管理经验。
跟国外企业相比,我们更加专注国内需求,研发有活力,潜力比较大,公司发展很快。跟国内厂商相比,我们更多的是带来了一些国际管理经验。在研发体系、质量控制等方面,我们从国外学了很多东西,这些经验会使中国本土的信息安全产品的质量有突飞猛进的提升,对全行业的发展会有很大的帮助。
许传朝:山石网科创立仅4年,就达到近300人的规模,并在全国诸多地区设有分公司和代理。有分析认为这源于山石网科的技术背景,你认为推动山石网科迅速发展的核心竞争力是什么
童建:我觉得不仅仅是技术,我更看重我们的企业文化。有类似经历和共同理想的人在一起努力,共同往前走。共同理想带来的是全面的能力提升,包括我们对技术的精益求精、产品研发管理体系的形成、对市场的及时响应与跟踪,以及对客户服务的完善。
一个公司的竞争力包括方方面面,不光是技术,从销售到市场,到售后服务,到研发,到生产运营,都很重要。推动山石网科这几年整体快速发展的就是我们都是有理想的人。
许传朝:中国企业与国际企业在信息安全领域的差距在哪里中国的信息安全行业要缩小这个差距,需要在哪些方面做出改变
童建:考虑这个问题的关键是如何看待市场。如果还是专注于服务国内市场,这个差距基本上不会发生改变;如果走向国际市场,刚开始会很痛苦,但这会加速缩短我们与国际水平的差距。目前,我们已经有向国际市场发展的计划。
另一方面,中国的信息安全产业也应该更开放,更多地引进国外的新产品、新技术,我们希望去直接面对竞争。事实证明,中国改革开放30多年,任何保护性行业成长得都比较缓慢。相反,开放竞争的行业,现在都很强。虽然从短期来看,依赖政府或者国企,对于国内信息安全厂商提升销售额是有帮助的,但是对这个行业的整体发展和竞争没有好处。面对竞争可能会经历一个困难的痛苦期,但一旦熬出来,市场会更广阔。
拓市场靠干劲还需贴近用户
我们年轻,有激情,有干劲。另外,中国的市场发展很快,我们在国内更贴近本土市场。这是我们的优势。
许传朝:创办山石网科之前,您在Juniper Networks和Netscreen Technologies都工作过,在你来看,国外的企业与国内企业之间到底有什么差异,各自有哪些优缺点
童建:国外企业经过多年的积累,无论在人才储备还是产业视野方面,都比国内做得更好,看得更远。但我们年轻,有激情,有干劲。并且,中国的市场发展很快,我们在国内更贴近本土市场。这是我们的优势。
许传朝:您谈到对于本地市场的把握是我们的优势,是否有一套完整的体系来帮助我们更好地把握中国用户的一些需求
童建:从成立到现在,4年来我们一直专注本土市场,从售前客户反馈到产品管理,包括售后服务,甚至我们还要求一线研发人员到客户公司去做调研。高管都要使用设备,并定期拜访高端客户,从客户那边拿到第一手的反馈,所以我们能够更加了解客户真正想要什么。
从服务来看,我们向客户提供不同层次的服务。针对大部分企业和政府客户,我们主要依赖渠道和合作伙伴提供服务,这是第一级;如果遇到重要项目,或者不好解决的难题,会到我们这一级;另外有一些重要的VIP客户也是由我们直接提供服务。目前,我们在华南和华东等地区都已经建立了服务团队。
许传朝:10月份山石网科会发布100G的防火墙,这款产品与之前的产品有什么变化,它的目标市场和优势在哪里
童建:这是我们有史以来最高端的一款产品,非常漂亮,我个人认为会给行业带来革命性变化。过去,防火墙是单板系列的,防火墙的性能取决于硬件的提升,这限制了客户的适应能力,如果产品适应不了客户的发展,就要被更新。
此次发布的防火墙是机架式结构。一方面,它着眼于未来云计算的发展所带来的新要求,所有的性能都可以随着模块扩展跟着成长,进而扩大整个系统;另一方面,这个系统是我们做的第一个全冗余系统。首先,在处理层面做到冗余共享,比如有10个安全服务模块,假如有一个模块出现故障,整体性能只下降了10%,用户的关键业务不会受到很大影响。其次,在控制和管理平面上我们也做到了冗余,这样我们能够达到电信级的“五个九”的可靠性,这在国际上也是比较先进的。
一般来说,运营商的网络是不能中断的,所以对电信级产品的要求是很苛刻的。但实际上,我们看到大客户,不论是银行还是运营商,只要有数据中心的业务,他们对稳定性和可靠性的要求不比电信行业低。很多大客户对新品很感兴趣,我们已经在陆续安排测试。
采访手记
平等开放的山石网科
山石网科CEO童建毕业于清华大学,早年留学美国,之后先后供职于清华紫光集团、美国NetScreen Technologies公司和Juniper Networks公司,历任工程师、研发中心总监、总经理,走的是一条纯正的“技术路线”。而今,有自己公司的童建一直保持着做技术管理时的谦逊风格。采访中,童建一直表示自己是“研发出身,对技术敏感、做全面细致,但管理公司很大程度上还要转换思维”。
事实上,也正是童建和山石网科初创者的这种精益求精的工程师文化造就了山石网科特有的企业文化。用童建的话来说,山石网科是一个非常扁平化的公司,每个人都有机会到第一线去,真正了解客户需求。
“其实我觉得管理不是很大问题,员工都可以管好自己。”童建在自信中流露出对员工的信任和尊重。这种信任的背后体现着童建对东西方企业文化的理解,东方文化更多借助于管理,对各方面看得很细;西方文化基于信任和尊重,对隐私的保护做得比较好。
山石网科是一家硅谷文化浓郁的公司,平等、诚实、敢于承担、授权,都是山石网科的企业文化特点。童建认为,只有平等相处、开放坦诚,才能知道公司的目标和面临的问题,才能群策群力找到解决办法。只有诚信,不做假,保证所有的测试和指标全部是准确的,才能获得客户的信任,才能持续发展。只有说到做到,大家才敢做。只有通过授权让员工知道自己能做到多大决定,员工才会主动去做,才有责任感。(文/李敬)
总裁感悟
信息安全企业要走出国门
“我认为,中国的企业都要走出去,信息安全也要走出国门。”采访中,山石网科CEO童建多次提到,山石网科要做国际性的企业。这并不是童建和他的团队一时兴起,自山石网科创立,“成为国际一流信息安全公司”就成了他们追求的目标。
在童建看来,中国本土的信息安全企业要想真正发展壮大,必须要直面国际竞争,从中掌握先进的技术、研发体系、管理经验和运营方法,惟有此才能缩短中国厂商与国际巨头的差距。事实上,据童建透露,山石网科已经在谋划国际化布局,他说,“这个事情一定会发生,我们已有规划。”
童建认为,中国改革开放30多年,任何保护性行业的成长都比较缓慢,反而开放竞争的行业,现在都很强。“市场竞争可能会经历一个困难的痛苦期,但熬出来后,市场会更广阔。”越来越多地基于WEB应用,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来,并且随着业务系统的复杂化及互联网环境的变化,所受威胁也在飞速增长。逐渐成为最严重、最广泛、危害性最大的安全问题。
一,教大家在应该如何保证自己的上网安全
1、拒绝与来源不明的Wi-Fi连接,黑客大多利用是用户想要免费蹭网的占便宜心理,要谨慎使用免费又不需密码的Wi-Fi。很多商家都有提供免费网络的地方,但我们也要多留一个心眼,必须询问详细的名称,避免被注入“星巴克-1”等假Wi-Fi欺骗;
2、用手机登录网上银行和网络购物时须谨慎,为了资金的安全也不差那点流量,用3/4G上网模式进行吧!
3、在手机设置项目中关掉“选择自动连接”的选项,因为如果这项功能打开的话,手机在进入有Wi-Fi网络的区域就会自动扫描,并连接上不需要密码的网络,会大大增加误连“钓鱼Wi-Fi”的几率。
4、拒绝使用“Wi-Fi万能钥匙”等Wi-Fi连接、密码获取工具,这是因为它们基于数据上传和分享原则,将你或他人连接过的Wi-Fi信息进行分享,如果有人连过“钓鱼Wi-Fi”或“木马Wi-Fi”,恰巧你在也在附近,那恭喜你,你也中招了!
二,想要自己的路由器不会变成别人的“木马Wi-Fi”,要做到以下几点:
1、强大的密码是Wi-Fi安全最重要的基石。所谓强密码,是指同时包含了大小写字母、数字和符号的8位数以上复杂密码,如Gt/eB7@2。只要对Wi-Fi采用WPA/WPA2加密,并且设置强密码,就几乎不可能被攻破。
2、隐藏你的SSID,就是指在路由器管理界面进行相关的设置,使得无线网络的SSID不再广播出来,成为一个“隐形网络”,这样同样可以大大降低被黑客攻击的概率。
3、关闭无线路由器的QSS、WDS功能,开启Guest网络供他人使用。首先QSS、WDS功能它大大降低无线路由器的安全性,因此如非必须,应将这两个功能关闭,而Guest网络只要做好功能限制,能够有效保护路由器的安全。
4、对常用联网设备进行MAC绑定。MAC绑定是指在路由器中进行相关的设置,开启MAC地址黑名单或白名单功能。当然,此处更建议使用的是白名单的方式。用户只需将需要连接到网络的设备的物理地址(MAC Address)添加到白名单列表中,那么只有这些添加过的设备可以连接到这个无线网络。
5、此外,就还要从源头下手,不要购买存在已知漏洞的路由器产品。如果路由器使用了很久,更新下最新的固件版本。如果不是高玩的话,尽量不要刷第三方固件。至于后台管理密码,拿纸笔记下能想到的最麻烦的密码和更改路由器的管理界面登陆地址,确保万无一失吧!
用户还应该安装个人防火墙软件进行防黑 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该有个软件管理,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)