随着各种上云联网,大数据、云计算等仿佛已经是生活中离不开的了。smart city、smart building、smart factory、smart home、connected cards、Internet of Things,万物互联的时代在浩浩荡荡而来。但是会面临什么样的风险呢?
智能家居通过Wifi/ble联网,远程就可以控制摄像头、智能门锁、空调、电视、热水器、窗帘、门禁等等,带来了生活的巨大变革和便利,但是同时很多数据却是裸奔的,也就留下了安全漏洞。很多人觉得数据裸奔也没有什么呀,家里也没有特别重要的东西,只要便利就好了,但是如果哪个恶作剧的侵入系统重新下载了恶意固件,你一回家发现智能门锁打不开了,摄像头在网络被直播了,空调在冬天开到了制冷最低的温度,热水器显示温度错误,一开莲蓬头发现是凉水,窗帘一会开一会关,电视上突然跳出乱七八糟的的东西,如果出现了这种混乱情况你会有何感想呢?觉得太疯狂了,然而这一些甚至只是恶作剧简单的动动手指就完成了的,智能家居成了肉机,像是电脑中了木马被控制操纵了。比如直接修改一个链接的云端服务器地址,一个假冒的伪装的服务器,那就轻易被操控了。假如有的只是把智能控制系统的flash全部清除,那么后果就是整个系统被破坏,不能再被使用了。相比这些损失,增加些安全功能看起来投入一点也不为过。
智能工厂、智能建筑都可以做类似的类比,没有安全防护的系统被侵入难度是不大的,但是如果一个没有系统从开始就没有做防护,后期进行整改的投入也不小,可能要重新设计并更换多种电路印刷板。比如智能工厂,因此造成了产线的停线一次,其造成的损失就可能大于设备增加安全防护的成本。在重视项目的功能实现的同时,在架构设计时也要绷紧安全防护的弦。工厂产线误操作有了安全防护可以减少,其实对于工业系统来说,是在保护品牌。
智能网联汽车是未来汽车四化的一个趋势,未来汽车联网是大势所趋,而汽车各种ECU器件更是芯片堆积搭建起来的,特斯拉就曾经有个无钥匙进入被刷固件后开走的被攻击特例,让人惊醒,更别说如果走在路上刹车失灵、油门失灵、方向盘失灵、突然刹车、突然加速等等恐怖事件,这种联网就不是便利,而是一种被随意操纵的车联网,这种情况在某部科幻电影中曾经出现过。
没有安全事故时,安全看起来可有可无,但是当安全门槛很低时,可能小朋友级别的骇客都会成将其肉机。为什么越上云越联网,越需要安全,防的不是99%无恶意的情况,而是那1%有问题的几率。即使再简单的系统,也有80-90%的人没有能力去破坏,所以安全从来是针对高水平而言的。比如银行卡的安全,他是针对全球高水平有破坏力的人设计的,使得复制伪造操控难度极大,而对于普罗大众,哪怕一个裸奔的门禁卡你也破解不了的。
?安全防护主要围绕着三个主要概念展开:保密性、身份和完整性。
这些概念可以表达为问题。敏感数据的传输和存储是否受到保护?是系统的组件(设备、服务器等),他们声称是什么,还是他们是用数字伪装成的?这些组件是否被损坏或感染了?
哪怕最近的Facebook也穿出了服务器宕机的事件,所以安全事件不是不会发生,而是会在何时发生的问题。?
安全系统如何设计,有专业的安全设计人员可以胜任,比如硬件芯片安全、软件系统安全,安全必然是分级别的,不是你设计出来就是安全的,你说安全功能实现了就安全了,最终的安全要经过验证甚至认证,有超级攻击安全能力的机构去认证,最终认为这个是安全或不安全的,所以安全是一块专业的部分。