智能掃地機器人��、聯(lián)網(wǎng)的咖啡機��、可以遠程控制的汽車���。���。。隨著越來越多的物聯(lián)網(wǎng)(IoT)設(shè)備走進消費者身邊����,萬物互聯(lián)漸成現(xiàn)實。在給消費者帶來便利的同時��, IoT設(shè)備等安全和隱私問題也引發(fā)了廣泛關(guān)切���。不止是在消費場景�,工業(yè)、農(nóng)業(yè)���、能源�����、零售等等眾多關(guān)系到國計民生的領(lǐng)域�,物聯(lián)網(wǎng)也作為重要的數(shù)字化工具�����,正在加速落地��。同樣需要關(guān)注的是��,IoT設(shè)備一旦聯(lián)網(wǎng)�����,安全風險也將隨之而來�,企業(yè)的生產(chǎn)運營、品牌聲譽都將面臨更嚴峻的挑戰(zhàn)�����。
3月27日,騰訊安全CSO俱樂部邀請中國信通院��、南方電網(wǎng)��、華為���、廣汽、比亞迪����、榮耀、OPPO��、VIVO等領(lǐng)軍企業(yè)的二十多位首席安全官(CSO)����、研發(fā)主管齊聚深圳,共同探討IoT時代的安全體系建設(shè)����,尋找企業(yè)可以借鑒的IoT安全能力圖譜。
(中國信息通信研究院安全研究所主任 柯皓仁)
中國信息通信研究院安全研究所柯皓仁主任從“管”��、“服”協(xié)同的角度,分享了他對數(shù)字時代下的IoT安全破局的思考����。柯皓仁認為�����,在我國的消費互聯(lián)網(wǎng)發(fā)展歷程中����,網(wǎng)絡(luò)安全頂層設(shè)計落后于應(yīng)用發(fā)展。但在產(chǎn)業(yè)互聯(lián)網(wǎng)的落地發(fā)展進程中����,應(yīng)同步、甚至提前進行網(wǎng)絡(luò)安全規(guī)劃設(shè)計�,保障產(chǎn)業(yè)互聯(lián)網(wǎng)安全發(fā)展。
具體到物聯(lián)網(wǎng)安全的建設(shè)���,柯皓仁提出六點建議:一是明確基線��。對于物聯(lián)網(wǎng)的應(yīng)用來講����,不同安全應(yīng)用的場景去提出不同安全級別的安全防護基本要求。二是摸清底數(shù)�。主管部門要摸清重要企業(yè)清單和重要數(shù)據(jù)保護目錄,應(yīng)用企業(yè)要摸清自身物聯(lián)網(wǎng)應(yīng)用的相關(guān)保護對象與資產(chǎn)情況����。三是重點突破。針對重點行業(yè)��、重點企業(yè)開展相關(guān)安全能力評估與能力提升��。四是示范推廣�����。在C端和B端按不同的要求推進�����,C端側(cè)重隱私保護計劃與能力示范����,B端側(cè)重企業(yè)貫標要求示范�。五是基礎(chǔ)能力。物聯(lián)網(wǎng)本身平臺終端比較多��,所以應(yīng)形成多種類平臺、終端的基礎(chǔ)資源庫����,包括對應(yīng)的安全漏洞庫建立。六是機制建立��。應(yīng)鼓勵企業(yè)去建立包括監(jiān)測預(yù)警���、信息共享�����、協(xié)同處置等在內(nèi)的整個安全閉環(huán)的工作機制�,去形成管理閉環(huán)�。
(行業(yè)資深CSO 周智堅)
行業(yè)資深CSO周智堅從信息安全產(chǎn)業(yè)的發(fā)展歷程,分析了安全的過去���,現(xiàn)在和未來的IOT供應(yīng)鏈安全���。根據(jù)歐洲相關(guān)IoT安全準則的風險描述,周智堅將IoT供應(yīng)鏈安全風險概括為物理攻擊���、知識產(chǎn)權(quán)損失��、惡意活動和濫用����、法律要求、非惡意損失及信息丟失5大領(lǐng)域����,和相應(yīng)的9個風險點。他認為����,IOT供應(yīng)鏈安全可以從參與者、流程��、技術(shù)3個安全關(guān)注點��,29條安全改善措施出發(fā)���,站在IoT業(yè)務(wù)邏輯圖的角度,把IoT業(yè)務(wù)分成IoT設(shè)備�、IoT網(wǎng)關(guān)、IoT平臺���、IoT應(yīng)用���、業(yè)務(wù)運營五個模塊��,而IoT供應(yīng)鏈安全的可能解決方案可以概括為:IoT設(shè)備安全+一句話安全+安全ERP+N個安全產(chǎn)品��。
對于不同主體的安全能力建設(shè)�,周智堅建議�����,對于甲方安全的負責人�,做好了現(xiàn)階段的安全1+1+N,就可以從容應(yīng)對IoT供應(yīng)鏈安全�����。對于其他安全技術(shù)人員����,攻擊滲透促進安全建設(shè)的邏輯未來一樣有效,應(yīng)多了解和發(fā)現(xiàn)IoT供應(yīng)鏈上的安全漏洞和風險���。安全廠商可以從IoT設(shè)備安全質(zhì)量評級�、IoT設(shè)備安全質(zhì)量自動檢測工具、業(yè)務(wù)過程中的安全ERP及數(shù)據(jù)分析平臺等方向發(fā)力���。
(騰訊安全技術(shù)專家 張康)
騰訊安全技術(shù)專家張康在會上分享了騰訊安全科恩實驗室的物聯(lián)網(wǎng)攻防實踐�����。他認為�,碎片化嚴重�����、缺乏威脅檢測方法�、更新緩慢以及隱私保護,是物聯(lián)網(wǎng)面臨的主要風險挑戰(zhàn)����。
從技術(shù)角度來說,任何一個場景�����,不管IoT還是物聯(lián)網(wǎng)���,最小權(quán)限、系統(tǒng)默認、保持更新�、縱深防御,這些信息安全的原則永遠不會過時����。
張康認為,如果把安全基本原則做好了�����,系統(tǒng)就已經(jīng)處在相對比較高的安全等級��。同時����,結(jié)合一些漏洞掃描、檢測的自動化工具應(yīng)用到安全開發(fā)流程中�,可以進一步提升安全能力。他介紹了騰訊安全研發(fā)的嵌入式系統(tǒng)安全審計平臺sysAuditor�����。作為一款自動化檢測工具��,sysAuditor沉淀了科恩實驗室的滲透測試經(jīng)驗����,可以幫助企業(yè)實現(xiàn)國家�����、行業(yè)�、企業(yè)自身多個層面的安全基線合規(guī)����,檢測結(jié)果以API的形式輸出,可以與現(xiàn)有平臺集成�����。
在分組討論環(huán)節(jié)�����,與會嘉賓就產(chǎn)業(yè)實踐中關(guān)注的IoT風險點����、與業(yè)務(wù)場景的關(guān)聯(lián)、安全需求與資源的矛盾以及物聯(lián)網(wǎng)安全的未來趨勢等議題展開深入討論����,探討IoT安全治理與安全運營所需的能力圖譜。
(參會嘉賓就IoT安全能力建設(shè)展開深入討論)
萬物互聯(lián)����,安全先行。在物聯(lián)網(wǎng)即將加速滲透的關(guān)鍵階段��,安全無疑是需要提前打好的“地基”��。通過騰訊安全CSO俱樂部沙龍搭建的交流平臺����,物聯(lián)網(wǎng)廠商與安全廠商得以深入交流彼此關(guān)切,分享實踐經(jīng)驗�,從不同視角探索IoT安全建設(shè)的可行路徑,從而達到“眾行者遠”的效果����。
近年來,為解決物聯(lián)網(wǎng)的安全痛點���,騰訊相繼發(fā)布了騰訊物聯(lián)網(wǎng)安全技術(shù)規(guī)范��,以及sysAuditor等物聯(lián)網(wǎng)安全檢測工具��,助力物聯(lián)網(wǎng)產(chǎn)業(yè)安全���、穩(wěn)健發(fā)展����。未來�,騰訊安全將繼續(xù)借助CSO俱樂部等交流平臺,與產(chǎn)業(yè)保持深度互動�����,共建繁榮的物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)�。
京公網(wǎng)安備 11010502041587號