《物聯網智慧終端資訊安全白皮書》發佈

發佈時間:2018-01-04 09:44:48 | 來源來源:光明網 | 作者:王漓鸝 | 責任編輯:胡俊

        原標題:年底福利《物聯網智慧終端資訊安全白皮書》首發

  2017年12月26日,由中國電子技術標準化研究院、交通運輸部科學研究院、交通運輸網路安全技術行業研發中心、梆梆安全研究院聯合編撰的《物聯網智慧終端資訊安全白皮書》(後文簡稱“《白皮書》”)正式發佈。


  《92年女孩致信周鴻祎》事件,誰敗?誰勝?

  時間倒退至2017年12月12日,一篇題為《一位92年女生致周鴻祎:別再盯著我們看了》的文章席捲朋友圈,稱安裝在餐廳、網吧、健身房的多個360攝像頭,在用戶不知情的前提下,在360旗下的“水滴”直播平臺,把用戶的一舉一動進行直播。事件幾經發酵,最終在12月20日,92年女孩和周鴻祎以及360之間的“硝煙”落下帷幕,360正式宣佈,將主動、永久關閉水滴直播平臺。


  看似是92年女孩取得了最終的勝利,不如説是92年女孩所代表的廣大消費者對於資訊安全的認知取得了勝利。作為資訊安全從業者,筆者從內心感到非常高興。攝像頭是萬物互聯時代裏智慧終端的一個縮影,然而近年來,因為攝像頭所引發的資訊洩露問題不斷觸動消費者心中關於安全的那個天平。物聯網DDoS、智慧家庭個人隱私洩露、智慧網聯汽車滲透等獨屬於物聯網時代的惡意攻擊正悄然襲來,誰也不曾想到萬物網際網路時代一個小小的攝像頭竟然能夠引發如此多的連鎖反應。見微知著,數量眾多、分佈廣泛的物聯網智慧終端,所面臨的資訊安全危機已迫在眉睫。

  有鋻於此,《白皮書》從終端安全風險、終端安全隱患以及典型攻擊方式剖析了物聯網智慧終端存在的安全風險。資訊安全警鐘長鳴是物聯網時代的重要特徵之一。

  頻亮紅燈的物聯網資訊安全該如何防護?

  安全是一個博弈對抗的過程,網路安全的本質之一就是攻防對抗,因此需要足夠了解對手的能力、特點、動機。隨著網路空間的變化,不斷有新的攻防對抗思路被催生,可以説,物聯網時代的安全防護是迄今為止安全業界遇到的最大難題,這與物聯網智慧終端的特殊性緊密相關。數量龐大的物聯網智慧終端碎片化嚴重,帶來了難於管理維護的隱患,且加大了風險處理的難度,涉及大量用戶隱私數據的特點使得物聯網安全危機一旦爆發其所造成的影響將極為嚴重。

  物聯網時代的安全防護思路必須實現從被動合規向主動風險管理的轉變。為此,《白皮書》創新性提出多重微邊界安全防線、系統分域隔離保護等物聯網智慧終端安全方法論,強調安全要貫穿智慧終端全生命週期,要設立智慧終端多重微邊界安全防線,採取系統分域隔離方法,實現智慧終端可信認證接入,賦予智慧終端遠端升級修復能力,實現海量智慧終端統一管控。

  物聯網智慧終端安全保障如何實現安全和彈性的平衡?

  用戶要安全,同時也需要便捷,但安全和便捷就像一個硬幣的兩面,總是存在矛盾,而真正好用的安全産品必須平衡安全和便捷需求,從而建立適用安全機制。近年來,“如何應對網路安全空間變化帶來的邊界、防護和管理問題”是安全業界一直在思考的問題。

  Gartner提出“管理風險,建立信任,擁抱變化”,即在新的安全形勢下,在被攻擊被破壞時業務系統能夠快速恢復,並具有“如彈簧被拉伸後馬上恢復原狀”的能力。業內普遍認同的Gartner自適應PPDR安全防護模型由Predict(預測)、Prevent(防禦)、Detect(檢測)、Respond(響應)四個階段組成,這種安全模型在不同階段引入威脅情報、大數據分析等新技術和服務,旨在構建一個能進行持續性威脅響應、智慧化、協同化的安全防護體系。

  參考Gartner PPDR模型,結合物聯網智慧終端安全現狀,《白皮書》構建了獨屬於物聯網智慧終端的安全保障體系,著重從硬體安全、系統分域隔離防禦、設備可信接入、威脅實時洞察、終端遠端修復,海量終端可視化安全管控闡述了物聯網智慧終端的安全保障重點。


  真實發生的物聯網攻擊該如何防範?

  正如大家所知道的,物聯網攻擊無處不在且呈上漲趨勢,有調查數據顯示,2017年上半年物聯網攻擊增加了280%,來自物聯網領域的惡意威脅正在變得愈加嚴峻。據Gartner預計,到2020年,對企業發起的惡意攻擊裏將有25%屬於物聯網範疇,物聯網已成為網路犯罪分子極具吸引力的新高價值目標。

  通過物聯網發起的惡意攻擊越來越多,最為熟知的美國網癱事件則正式敲響了物聯網安全防護的警鐘,現實情況不容樂觀。《白皮書》結合當前物聯網智慧終端的安全防護現狀,從以下5個方面剖析了物聯網智慧終端安全防護應當集中的點:

  如何發現安全隱患 如何實現安全防護 如何檢測運營中的安全攻擊 如何修復發現的安全問題 如何進行可視化管理

  《白皮書》遵循PPDR模型,從實踐角度闡述了物聯網智慧終端安全的全過程,從預測、保護、檢測、響應四個階段詳細介紹了在各階段所應用到的理論支撐與技術。

  在與駭客這場持續展開的物聯網智慧終端控制權爭奪戰中,人人都是參與者,安全運維/管理人員、安全專家、安全企業必須要通力合作,寸“端”必爭!