據(jù)Statista的一份報(bào)告顯示，物聯(lián)網(wǎng)正在蓬勃發(fā)展，預(yù)計(jì)到2025年全球?qū)⒂?50億臺(tái)設(shè)備接入互聯(lián)網(wǎng)。但是，如果這些設(shè)備不安全，它們就有可能帶來(lái)與機(jī)遇同樣大的風(fēng)險(xiǎn)，整個(gè)國(guó)家的基礎(chǔ)設(shè)施都可能受到破壞，造成毀滅性的后果。

[[415830]]

事實(shí)上，物聯(lián)網(wǎng)安全故障的報(bào)告比比皆是：視頻門(mén)鈴流未加密的數(shù)據(jù)，智能插頭允許遠(yuǎn)程執(zhí)行任意代碼，智能家居設(shè)備存儲(chǔ)未加密的家庭Wi-Fi網(wǎng)絡(luò)密碼，工業(yè)控制系統(tǒng)允許攻擊者遠(yuǎn)程控制機(jī)器等等。

世界各國(guó)都意識(shí)到潛在的風(fēng)險(xiǎn)，正在采取行動(dòng)緩解沖突。例如，澳大利亞今年早些時(shí)候推出了物聯(lián)網(wǎng)行業(yè)安全自愿行為守則草案。實(shí)踐守則包含13項(xiàng)原則草案，包括確保軟件完整性、實(shí)施漏洞披露政策和盡量減少暴露的攻擊面。它旨在保護(hù)數(shù)據(jù)并確保行業(yè)的彈性。

如何確保物聯(lián)網(wǎng)的通信安全?

零信任

傳統(tǒng)的網(wǎng)絡(luò)安全方法是嚴(yán)格控制訪問(wèn)，但隱含地認(rèn)為網(wǎng)絡(luò)內(nèi)部是一個(gè)安全的地方。一次又一次，這被證明是一個(gè)錯(cuò)誤的假設(shè)。相反，零信任方法用驗(yàn)證和強(qiáng)大的加密保證取代了盲信任。這樣做的目的是維護(hù)安全性、完整性和隱私，即使在底層基礎(chǔ)設(shè)施受損的情況下也是如此。零信任并沒(méi)有賦予網(wǎng)絡(luò)特殊的地位，而是把它當(dāng)作公共互聯(lián)網(wǎng)一樣對(duì)待。

保密

通信系統(tǒng)的一個(gè)基本要求是，無(wú)論是個(gè)人應(yīng)用還是工業(yè)應(yīng)用，第三方都不能確定通過(guò)網(wǎng)絡(luò)發(fā)送的任何數(shù)據(jù)。所有數(shù)據(jù)都應(yīng)該從生成點(diǎn)到傳輸點(diǎn)進(jìn)行加密。端到端加密應(yīng)使用具有唯一密鑰材料的強(qiáng)大、經(jīng)過(guò)充分審查和標(biāo)準(zhǔn)化的加密原語(yǔ)執(zhí)行。建立了零信任原則，這樣即使者可以訪問(wèn)網(wǎng)絡(luò)管道，端到端加密也可以確保機(jī)密性。系統(tǒng)應(yīng)該讓用戶易于使用加密，并在默認(rèn)情況下啟用它。

正直

除了確保機(jī)密性之外，攻擊者不能成功篡改或偽造消息也是至關(guān)重要的。這種嘗試應(yīng)該可以被網(wǎng)絡(luò)檢測(cè)到。也不應(yīng)該有能力重放一個(gè)記錄的消息，并已成功驗(yàn)證。強(qiáng)大的加密方法(如基于哈希的消息驗(yàn)證)可以提供這些保護(hù)，應(yīng)用于確保數(shù)據(jù)完整性。

隱私

在維護(hù)隱私方面，重要的是第三方不能有機(jī)會(huì)確定與空中傳輸相關(guān)的身份，也不能有能力知道消息是從一個(gè)設(shè)備還是多個(gè)設(shè)備發(fā)送的。事實(shí)上，消息和設(shè)備之間不應(yīng)存在可辨別的關(guān)聯(lián)，以防止有時(shí)被稱為元數(shù)據(jù)攻擊的行為。雖然在加密和數(shù)據(jù)完整性方面采用了強(qiáng)加密原理，但許多系統(tǒng)仍然發(fā)送未加密的識(shí)別數(shù)據(jù)。加密方法同樣可以提供隱私。通過(guò)采取這些預(yù)防措施，組織還將防止有針對(duì)性的偽造企圖，這可能會(huì)挫敗黑客攻擊特定設(shè)備或用戶的努力。

可擴(kuò)展性

物聯(lián)網(wǎng)具有連接數(shù)十億臺(tái)設(shè)備的潛力，因此物聯(lián)網(wǎng)必須具有可擴(kuò)展性，不僅要確保其未來(lái)的成功，還要確保其安全性。低成本或低功耗的設(shè)備不能成為安全或隱私無(wú)效的借口。物聯(lián)網(wǎng)行業(yè)必須滿足指數(shù)增長(zhǎng)的需求，同時(shí)支持低功耗和低成本的實(shí)施。需要實(shí)施前方安全措施，以便能夠部署升級(jí)和改進(jìn)，并為已經(jīng)在現(xiàn)場(chǎng)的設(shè)備提供解決不可避免的安全問(wèn)題的方法。

如果這個(gè)行業(yè)沒(méi)有得到物聯(lián)網(wǎng)安全的權(quán)利，黑客控制極其敏感的個(gè)人、商業(yè)或國(guó)家信息的可能性可能會(huì)產(chǎn)生毀滅性的后果。風(fēng)險(xiǎn)和后果是巨大的，行業(yè)必須支持實(shí)踐準(zhǔn)則草案這樣的舉措。我們有工具來(lái)提供一個(gè)安全和私人的物聯(lián)網(wǎng)，我們只需要集體意志來(lái)普遍部署。