圖源:圖蟲創(chuàng)意
5G號令已經打響,萬物互聯已然不遠�����。與此前不同的是�����,5G將會有更多的終端設備聯網���,網絡安全的問題將不容忽視�����。傳統(tǒng)較為封閉的工廠環(huán)境將會是網絡安全的重點保護對象��,5G部署加速����,網絡安全也不停滯�。
6月6日��,工業(yè)和信息化部正式向中國電信���、中國移動、中國聯通��、中國廣電發(fā)放5G商用牌照����,我國自此正式進入5G商用元年。
5G商用牌照正式發(fā)放���,不僅是運營商�����、設備商的機遇�����,更是終端產業(yè)鏈的“東風”���,吹響了終端發(fā)展的新號角�����。因為,5G的各種應用體驗�,都有賴于終端展現,沒有5G終端的普及����,就不會有5G的普及。
因此��,5G終端的設計及相關產業(yè)鏈的成形����,關乎5G成敗。同樣�����,以5G為驅動力���,以終端為節(jié)點的互聯網���、物聯網新生態(tài)中,網絡安全威脅將呈現出更多新特征�����,而終端作為最重要的節(jié)點,信息安全亦面臨著不同于昔時的巨大挑戰(zhàn)���。
網絡威脅從終端入口
兩年前����,2017年最著名的網絡攻擊事件����,莫過于一款名為Wannacry的蠕蟲勒索軟件席卷全球網絡。
該事件被認為是迄今為止最大的勒索交費活動���,影響到包括我國在內的近百個國家的上千家企業(yè)及公共組織����,ATM機�����、火車站自助終端����、郵政/醫(yī)院/政府辦事終端、視頻監(jiān)控等設備都在Wannacry攻擊覆蓋范圍內��。據報道�����,我國多地的中石油加油站曾因其無法進行網絡支付���,只能進行現金支付����。
兩年后����,湖北省公安廳網絡安全保衛(wèi)總隊通報了“武漢網警破獲湖北省首例入侵物聯網系統(tǒng)案”,案件中���,一物聯網科技公司10萬臺設備一夜之間脫網掉線����,無法正常運行�����,造成了嚴重經濟損失。
經審查核實���,該事件是離職員工通過破解公司的物聯網服務器����,利用系統(tǒng)的漏洞將終端設備進行惡意升級��,從而導致100余臺設備系統(tǒng)損壞����,無法正常工作。同時模擬終端設備�����,遠程給服務器發(fā)送偽造離線報文�����,進而導致10萬臺設備離線���。
可見�����,時間并沒有為信息安全威脅上鎖����。云計算��、大數據�����、人工智能�、物聯網等技術落地加速,網絡安全保障仍是重中之重�����。
以物聯網為例����,作為5G驅動下的最重要技術之一,不僅推動了產業(yè)鏈���、價值鏈的重塑再造����,也讓設計、生產���、服務等全產業(yè)鏈的生產模式成為常態(tài)�����。同時��,物聯網的出現也打破了傳統(tǒng)行業(yè)相對封閉可信的環(huán)境�����,打通了互聯網與設備間的互聯互通�,在提高生產效率的同時�����,也造成了木馬���、病毒等安全風險產生的威脅���,為終端設備的信息安全埋下隱患�。
賽迪智庫網絡安全所劉玉琢對《通信產業(yè)報》記者表示����,物聯網最大的安全風險來源于傳感器網絡,傳感器網絡中有大量的物聯網設備��,任何一個安全性較差的IoT設備和服務都可以成為物聯網攻擊的入口����。由于物聯網設備低功耗的特點����,很難在設備中嵌入大量的安全機制,導致多數物聯網設備都缺乏內置的安全防范功能����,容易受到惡意軟件和黑客的攻擊。物聯網僵尸網絡使DDoS攻擊的規(guī)模急劇增長�����,一旦黑客控制大量僵尸節(jié)點���,非常容易向中樞發(fā)動攻擊��。以2016年美國東部一所大學遭到DDos攻擊為例���,罪魁禍首就是校園周圍5000多臺受感染的IoT設備構成的僵尸網絡���。
終端信息安全需加碼
而對于終端設備使用方而言,更需要有數據信息安全的意識����,從制度上、流程上����、源頭上加強對數據信息安全的管控。
從國家層面來看�����,終端安全首先需要國家出臺政策進一步完善�����。綠盟科技星云實驗室負責人劉文懋表示����,當前����,監(jiān)管機構正陸續(xù)起草廣泛的物聯網安全保護法規(guī)����,為應對多年來不斷發(fā)生的數據泄露和網絡攻擊,針對物聯網的快速發(fā)展我們可以看到一套全面的物聯網絡法規(guī)正逐漸興起��。
從云平臺及設備廠商來看���,企業(yè)亟需構建安全閉環(huán)����。劉文懋表示��,傳統(tǒng)安全手段不能滿足特定場景下的安全防護�����,企業(yè)在滿足合規(guī)性的前提下仍需部署一個以防護�����、響應��、檢測為一體的安全機制���,在違規(guī)操作頻繁發(fā)生時立即給予預測阻斷性維護�����,增加自身安全能力���。
劉玉琢認為,保障物聯網安全首先要加強終端設備的安全����。可以從兩個方面出發(fā):一方面���,可以增加終端設備的存儲空間����,這樣就可以直接嵌入安全軟件����,這么做的弊端是成本會急劇上升;另一方面����,可以減少終端設備不必要的功能���,正所謂功能越多,漏洞便越多�。
其次要加強傳輸網絡的安全。要加強網絡通信協議自身的安全防護�����,因為目前越來越多的黑客瞄準通信協議入手進行破解攻擊�����;并對要對網絡中傳輸的數據進行加密��,防止數據明文傳輸被輕易截獲����。
最后要強化安全管理���。包括定期更新終端設備的補丁����、更改默認密碼等大家熟知的安全措施;還包括要上一些安全監(jiān)測���、預警的系統(tǒng)�����,一旦發(fā)現異常流量等問題���,及時對攻擊進行阻斷;還有就是要定期組織對物聯網的安全評估���,請第三方專業(yè)機構對網絡層����、設備層等各方面進行檢測和評估����。
政企安全有新招
值得注意的是,相比于普通消費者���,公安����、司法、政務及企業(yè)用戶�����,因工作內容的特殊性��,往往需要更加安全的網絡和設備環(huán)境���。他們在平衡工作和生活的設備使用上�����,常常捉襟見肘���,亦面臨四大痛點。
一是不能存儲個人通訊錄���、照片�����、文件等;二是需要同時攜帶個人手機和工作終端,增加了人員擔負�����;三是不能通過WiFi上網����、藍牙打電話、USB傳輸文件�����;四是一些好的應用無法安裝輔助工作��。
如此一來�����,一些深度定制的行業(yè)端解決方案便應運而生���,以單獨的定制化行業(yè)終端解決政企用戶生活����、辦公的痛點問題�。
可以說�����,鼎橋���、vivo等廠商的行業(yè)定制終端的出現,對于把牢網絡安全的閘口����,夯實政企移動辦公的基石,提高政府����、企業(yè)的終端信息安全,為國家信息化發(fā)展保駕護航起到了非常積極且重要的作用���。
