智能掃地機器人、聯(lián)網(wǎng)的咖啡機、可以遠程控制的汽車。。。隨著越來越多的物聯(lián)網(wǎng)(IoT)設(shè)備走進消費者身邊,萬物互聯(lián)漸成現(xiàn)實。在給消費者帶來便利的同時, IoT設(shè)備等安全和隱私問題也引發(fā)了廣泛關(guān)切。不止是在消費場景,工業(yè)、農(nóng)業(yè)、能源、零售等等眾多關(guān)系到國計民生的領(lǐng)域,物聯(lián)網(wǎng)也作為重要的數(shù)字化工具,正在加速落地。同樣需要關(guān)注的是,IoT設(shè)備一旦聯(lián)網(wǎng),安全風(fēng)險也將隨之而來,企業(yè)的生產(chǎn)運營、品牌聲譽都將面臨更嚴峻的挑戰(zhàn)。
3月27日,騰訊安全CSO俱樂部邀請中國信通院、南方電網(wǎng)、華為、廣汽、比亞迪、榮耀、OPPO、VIVO等領(lǐng)軍企業(yè)的二十多位首席安全官(CSO)、研發(fā)主管齊聚深圳,共同探討IoT時代的安全體系建設(shè),尋找企業(yè)可以借鑒的IoT安全能力圖譜。
(中國信息通信研究院安全研究所主任 柯皓仁)
中國信息通信研究院安全研究所柯皓仁主任從“管”、“服”協(xié)同的角度,分享了他對數(shù)字時代下的IoT安全破局的思考??吗┤收J為,在我國的消費互聯(lián)網(wǎng)發(fā)展歷程中,網(wǎng)絡(luò)安全頂層設(shè)計落后于應(yīng)用發(fā)展。但在產(chǎn)業(yè)互聯(lián)網(wǎng)的落地發(fā)展進程中,應(yīng)同步、甚至提前進行網(wǎng)絡(luò)安全規(guī)劃設(shè)計,保障產(chǎn)業(yè)互聯(lián)網(wǎng)安全發(fā)展。
具體到物聯(lián)網(wǎng)安全的建設(shè),柯皓仁提出六點建議:一是明確基線。對于物聯(lián)網(wǎng)的應(yīng)用來講,不同安全應(yīng)用的場景去提出不同安全級別的安全防護基本要求。二是摸清底數(shù)。主管部門要摸清重要企業(yè)清單和重要數(shù)據(jù)保護目錄,應(yīng)用企業(yè)要摸清自身物聯(lián)網(wǎng)應(yīng)用的相關(guān)保護對象與資產(chǎn)情況。三是重點突破。針對重點行業(yè)、重點企業(yè)開展相關(guān)安全能力評估與能力提升。四是示范推廣。在C端和B端按不同的要求推進,C端側(cè)重隱私保護計劃與能力示范,B端側(cè)重企業(yè)貫標要求示范。五是基礎(chǔ)能力。物聯(lián)網(wǎng)本身平臺終端比較多,所以應(yīng)形成多種類平臺、終端的基礎(chǔ)資源庫,包括對應(yīng)的安全漏洞庫建立。六是機制建立。應(yīng)鼓勵企業(yè)去建立包括監(jiān)測預(yù)警、信息共享、協(xié)同處置等在內(nèi)的整個安全閉環(huán)的工作機制,去形成管理閉環(huán)。
(行業(yè)資深CSO 周智堅)
行業(yè)資深CSO周智堅從信息安全產(chǎn)業(yè)的發(fā)展歷程,分析了安全的過去,現(xiàn)在和未來的IOT供應(yīng)鏈安全。根據(jù)歐洲相關(guān)IoT安全準則的風(fēng)險描述,周智堅將IoT供應(yīng)鏈安全風(fēng)險概括為物理攻擊、知識產(chǎn)權(quán)損失、惡意活動和濫用、法律要求、非惡意損失及信息丟失5大領(lǐng)域,和相應(yīng)的9個風(fēng)險點。他認為,IOT供應(yīng)鏈安全可以從參與者、流程、技術(shù)3個安全關(guān)注點,29條安全改善措施出發(fā),站在IoT業(yè)務(wù)邏輯圖的角度,把IoT業(yè)務(wù)分成IoT設(shè)備、IoT網(wǎng)關(guān)、IoT平臺、IoT應(yīng)用、業(yè)務(wù)運營五個模塊,而IoT供應(yīng)鏈安全的可能解決方案可以概括為:IoT設(shè)備安全+一句話安全+安全ERP+N個安全產(chǎn)品。
對于不同主體的安全能力建設(shè),周智堅建議,對于甲方安全的負責(zé)人,做好了現(xiàn)階段的安全1+1+N,就可以從容應(yīng)對IoT供應(yīng)鏈安全。對于其他安全技術(shù)人員,攻擊滲透促進安全建設(shè)的邏輯未來一樣有效,應(yīng)多了解和發(fā)現(xiàn)IoT供應(yīng)鏈上的安全漏洞和風(fēng)險。安全廠商可以從IoT設(shè)備安全質(zhì)量評級、IoT設(shè)備安全質(zhì)量自動檢測工具、業(yè)務(wù)過程中的安全ERP及數(shù)據(jù)分析平臺等方向發(fā)力。
(騰訊安全技術(shù)專家 張康)
騰訊安全技術(shù)專家張康在會上分享了騰訊安全科恩實驗室的物聯(lián)網(wǎng)攻防實踐。他認為,碎片化嚴重、缺乏威脅檢測方法、更新緩慢以及隱私保護,是物聯(lián)網(wǎng)面臨的主要風(fēng)險挑戰(zhàn)。
從技術(shù)角度來說,任何一個場景,不管IoT還是物聯(lián)網(wǎng),最小權(quán)限、系統(tǒng)默認、保持更新、縱深防御,這些信息安全的原則永遠不會過時。
張康認為,如果把安全基本原則做好了,系統(tǒng)就已經(jīng)處在相對比較高的安全等級。同時,結(jié)合一些漏洞掃描、檢測的自動化工具應(yīng)用到安全開發(fā)流程中,可以進一步提升安全能力。他介紹了騰訊安全研發(fā)的嵌入式系統(tǒng)安全審計平臺sysAuditor。作為一款自動化檢測工具,sysAuditor沉淀了科恩實驗室的滲透測試經(jīng)驗,可以幫助企業(yè)實現(xiàn)國家、行業(yè)、企業(yè)自身多個層面的安全基線合規(guī),檢測結(jié)果以API的形式輸出,可以與現(xiàn)有平臺集成。
在分組討論環(huán)節(jié),與會嘉賓就產(chǎn)業(yè)實踐中關(guān)注的IoT風(fēng)險點、與業(yè)務(wù)場景的關(guān)聯(lián)、安全需求與資源的矛盾以及物聯(lián)網(wǎng)安全的未來趨勢等議題展開深入討論,探討IoT安全治理與安全運營所需的能力圖譜。
(參會嘉賓就IoT安全能力建設(shè)展開深入討論)
萬物互聯(lián),安全先行。在物聯(lián)網(wǎng)即將加速滲透的關(guān)鍵階段,安全無疑是需要提前打好的“地基”。通過騰訊安全CSO俱樂部沙龍搭建的交流平臺,物聯(lián)網(wǎng)廠商與安全廠商得以深入交流彼此關(guān)切,分享實踐經(jīng)驗,從不同視角探索IoT安全建設(shè)的可行路徑,從而達到“眾行者遠”的效果。
近年來,為解決物聯(lián)網(wǎng)的安全痛點,騰訊相繼發(fā)布了騰訊物聯(lián)網(wǎng)安全技術(shù)規(guī)范,以及sysAuditor等物聯(lián)網(wǎng)安全檢測工具,助力物聯(lián)網(wǎng)產(chǎn)業(yè)安全、穩(wěn)健發(fā)展。未來,騰訊安全將繼續(xù)借助CSO俱樂部等交流平臺,與產(chǎn)業(yè)保持深度互動,共建繁榮的物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )