智能掃地機(jī)器人、聯(lián)網(wǎng)的咖啡機(jī)、可以遠(yuǎn)程控制的汽車。。。隨著越來越多的物聯(lián)網(wǎng)(IoT)設(shè)備走進(jìn)消費(fèi)者身邊,萬物互聯(lián)漸成現(xiàn)實(shí)。在給消費(fèi)者帶來便利的同時(shí), IoT設(shè)備等安全和隱私問題也引發(fā)了廣泛關(guān)切。不止是在消費(fèi)場景,工業(yè)、農(nóng)業(yè)、能源、零售等等眾多關(guān)系到國計(jì)民生的領(lǐng)域,物聯(lián)網(wǎng)也作為重要的數(shù)字化工具,正在加速落地。同樣需要關(guān)注的是,IoT設(shè)備一旦聯(lián)網(wǎng),安全風(fēng)險(xiǎn)也將隨之而來,企業(yè)的生產(chǎn)運(yùn)營、品牌聲譽(yù)都將面臨更嚴(yán)峻的挑戰(zhàn)。
3月27日,騰訊安全CSO俱樂部邀請(qǐng)中國信通院、南方電網(wǎng)、華為、廣汽、比亞迪、榮耀、OPPO、VIVO等領(lǐng)軍企業(yè)的二十多位首席安全官(CSO)、研發(fā)主管齊聚深圳,共同探討IoT時(shí)代的安全體系建設(shè),尋找企業(yè)可以借鑒的IoT安全能力圖譜。
(中國信息通信研究院安全研究所主任 柯皓仁)
中國信息通信研究院安全研究所柯皓仁主任從“管”、“服”協(xié)同的角度,分享了他對(duì)數(shù)字時(shí)代下的IoT安全破局的思考。柯皓仁認(rèn)為,在我國的消費(fèi)互聯(lián)網(wǎng)發(fā)展歷程中,網(wǎng)絡(luò)安全頂層設(shè)計(jì)落后于應(yīng)用發(fā)展。但在產(chǎn)業(yè)互聯(lián)網(wǎng)的落地發(fā)展進(jìn)程中,應(yīng)同步、甚至提前進(jìn)行網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì),保障產(chǎn)業(yè)互聯(lián)網(wǎng)安全發(fā)展。
具體到物聯(lián)網(wǎng)安全的建設(shè),柯皓仁提出六點(diǎn)建議:一是明確基線。對(duì)于物聯(lián)網(wǎng)的應(yīng)用來講,不同安全應(yīng)用的場景去提出不同安全級(jí)別的安全防護(hù)基本要求。二是摸清底數(shù)。主管部門要摸清重要企業(yè)清單和重要數(shù)據(jù)保護(hù)目錄,應(yīng)用企業(yè)要摸清自身物聯(lián)網(wǎng)應(yīng)用的相關(guān)保護(hù)對(duì)象與資產(chǎn)情況。三是重點(diǎn)突破。針對(duì)重點(diǎn)行業(yè)、重點(diǎn)企業(yè)開展相關(guān)安全能力評(píng)估與能力提升。四是示范推廣。在C端和B端按不同的要求推進(jìn),C端側(cè)重隱私保護(hù)計(jì)劃與能力示范,B端側(cè)重企業(yè)貫標(biāo)要求示范。五是基礎(chǔ)能力。物聯(lián)網(wǎng)本身平臺(tái)終端比較多,所以應(yīng)形成多種類平臺(tái)、終端的基礎(chǔ)資源庫,包括對(duì)應(yīng)的安全漏洞庫建立。六是機(jī)制建立。應(yīng)鼓勵(lì)企業(yè)去建立包括監(jiān)測預(yù)警、信息共享、協(xié)同處置等在內(nèi)的整個(gè)安全閉環(huán)的工作機(jī)制,去形成管理閉環(huán)。
(行業(yè)資深CSO 周智堅(jiān))
行業(yè)資深CSO周智堅(jiān)從信息安全產(chǎn)業(yè)的發(fā)展歷程,分析了安全的過去,現(xiàn)在和未來的IOT供應(yīng)鏈安全。根據(jù)歐洲相關(guān)IoT安全準(zhǔn)則的風(fēng)險(xiǎn)描述,周智堅(jiān)將IoT供應(yīng)鏈安全風(fēng)險(xiǎn)概括為物理攻擊、知識(shí)產(chǎn)權(quán)損失、惡意活動(dòng)和濫用、法律要求、非惡意損失及信息丟失5大領(lǐng)域,和相應(yīng)的9個(gè)風(fēng)險(xiǎn)點(diǎn)。他認(rèn)為,IOT供應(yīng)鏈安全可以從參與者、流程、技術(shù)3個(gè)安全關(guān)注點(diǎn),29條安全改善措施出發(fā),站在IoT業(yè)務(wù)邏輯圖的角度,把IoT業(yè)務(wù)分成IoT設(shè)備、IoT網(wǎng)關(guān)、IoT平臺(tái)、IoT應(yīng)用、業(yè)務(wù)運(yùn)營五個(gè)模塊,而IoT供應(yīng)鏈安全的可能解決方案可以概括為:IoT設(shè)備安全+一句話安全+安全ERP+N個(gè)安全產(chǎn)品。
對(duì)于不同主體的安全能力建設(shè),周智堅(jiān)建議,對(duì)于甲方安全的負(fù)責(zé)人,做好了現(xiàn)階段的安全1+1+N,就可以從容應(yīng)對(duì)IoT供應(yīng)鏈安全。對(duì)于其他安全技術(shù)人員,攻擊滲透促進(jìn)安全建設(shè)的邏輯未來一樣有效,應(yīng)多了解和發(fā)現(xiàn)IoT供應(yīng)鏈上的安全漏洞和風(fēng)險(xiǎn)。安全廠商可以從IoT設(shè)備安全質(zhì)量評(píng)級(jí)、IoT設(shè)備安全質(zhì)量自動(dòng)檢測工具、業(yè)務(wù)過程中的安全ERP及數(shù)據(jù)分析平臺(tái)等方向發(fā)力。
(騰訊安全技術(shù)專家 張康)
騰訊安全技術(shù)專家張康在會(huì)上分享了騰訊安全科恩實(shí)驗(yàn)室的物聯(lián)網(wǎng)攻防實(shí)踐。他認(rèn)為,碎片化嚴(yán)重、缺乏威脅檢測方法、更新緩慢以及隱私保護(hù),是物聯(lián)網(wǎng)面臨的主要風(fēng)險(xiǎn)挑戰(zhàn)。
從技術(shù)角度來說,任何一個(gè)場景,不管IoT還是物聯(lián)網(wǎng),最小權(quán)限、系統(tǒng)默認(rèn)、保持更新、縱深防御,這些信息安全的原則永遠(yuǎn)不會(huì)過時(shí)。
張康認(rèn)為,如果把安全基本原則做好了,系統(tǒng)就已經(jīng)處在相對(duì)比較高的安全等級(jí)。同時(shí),結(jié)合一些漏洞掃描、檢測的自動(dòng)化工具應(yīng)用到安全開發(fā)流程中,可以進(jìn)一步提升安全能力。他介紹了騰訊安全研發(fā)的嵌入式系統(tǒng)安全審計(jì)平臺(tái)sysAuditor。作為一款自動(dòng)化檢測工具,sysAuditor沉淀了科恩實(shí)驗(yàn)室的滲透測試經(jīng)驗(yàn),可以幫助企業(yè)實(shí)現(xiàn)國家、行業(yè)、企業(yè)自身多個(gè)層面的安全基線合規(guī),檢測結(jié)果以API的形式輸出,可以與現(xiàn)有平臺(tái)集成。
在分組討論環(huán)節(jié),與會(huì)嘉賓就產(chǎn)業(yè)實(shí)踐中關(guān)注的IoT風(fēng)險(xiǎn)點(diǎn)、與業(yè)務(wù)場景的關(guān)聯(lián)、安全需求與資源的矛盾以及物聯(lián)網(wǎng)安全的未來趨勢(shì)等議題展開深入討論,探討IoT安全治理與安全運(yùn)營所需的能力圖譜。
(參會(huì)嘉賓就IoT安全能力建設(shè)展開深入討論)
萬物互聯(lián),安全先行。在物聯(lián)網(wǎng)即將加速滲透的關(guān)鍵階段,安全無疑是需要提前打好的“地基”。通過騰訊安全CSO俱樂部沙龍搭建的交流平臺(tái),物聯(lián)網(wǎng)廠商與安全廠商得以深入交流彼此關(guān)切,分享實(shí)踐經(jīng)驗(yàn),從不同視角探索IoT安全建設(shè)的可行路徑,從而達(dá)到“眾行者遠(yuǎn)”的效果。
近年來,為解決物聯(lián)網(wǎng)的安全痛點(diǎn),騰訊相繼發(fā)布了騰訊物聯(lián)網(wǎng)安全技術(shù)規(guī)范,以及sysAuditor等物聯(lián)網(wǎng)安全檢測工具,助力物聯(lián)網(wǎng)產(chǎn)業(yè)安全、穩(wěn)健發(fā)展。未來,騰訊安全將繼續(xù)借助CSO俱樂部等交流平臺(tái),與產(chǎn)業(yè)保持深度互動(dòng),共建繁榮的物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )