物联网安全不容回避
伊朗在建的布什尔核电站遭到Stuxnet病毒攻击的消息一经伊朗媒体报道,便成为网上热议的话题之一,因为这是全球首个针对工业设施进行攻击的病毒。但却鲜见在物联网上出尽风头的相关人士就此慷慨激昂一番。
切莫以为工业设施跟物联网扯不到一块来。因为除了纯粹的工业过程实时控制外,机场、港口、大型建筑物等设施和通信、电力传输、交通、燃气、自来水等基础设施也都产生了对过程控制的强劲需求。从技术层面上看,这些需求最终都可以抽象成数据采集、控制计算和执行这三部分。
尽管应用的形态各种各样,领域也各有不同,但在计算机控制系统的原理上却大同小异。这就跟在PC上各种各样的应用都是可执行文件一样,既然 Stuxnet可以通过侵入西门子可编程逻辑控制器(PLC)来攻击伊朗核电站,那么它也可以攻击其他使用西门子PLC的系统,进一步当然也可以攻击 “东”门子、“南”门子的PLC,毕竟天底下叫PLM的玩意儿,基本上采用的都是继电器逻辑。你可以说核电站不是物联网,但能否认上述这些基础设施不是数 字城市或者智慧城市的组成部分吗?如果还有人要说PLC与微纳传感器网络不沾边,笔者只好说,请不要再把物联网等同于微纳传感器网络。
Stuxnet病毒的出现,使得物联网的信息安全成为不容回避、刻不容缓的问题。因为物联网的信息安全更为复杂,而且在有些方面颠覆了信息安全的传统思维。
俗话说“无利不起早”,如今病毒的制造者大多是想窃取有商业价值的信息,但这次Stuxnet感染的工业设施横跨PC和PLC平台,而且两个平台协同工作的关系是随机而复杂的,因此需要以强劲资金为后盾的高超技术投入,一般的病毒制造者是不会干这种费力不讨好的折本买卖的。
当一个强有力的组织出于非商业目的去制造病毒并实施攻击时,“我认为这将是一个转折点,以往只是网络犯罪,现在恐怕进入到了网络恐怖、网络武器和网络战争的时代。”卡巴斯基CEO卡巴斯基担忧地说。
物联网的安全问题比互联网更严重。就拿无线传感器网络(WSN)来说,节点有限的体积限制了电池的体积,而长时间的工作又使得节点内的CPU不 可能做到高性能,而信息安全加密与认证又要求CPU的性能足够高,加之WSN节点间无线互联的薄弱环节,WSN的信息安全也应该引起人们的足够重视。
而诸如备份这样传统的互联网安全措施在物联网中并不适用,因为信息备份的边际成本很低,而在物联网中你不可能为了防止核电站被攻击而做一个备份核电站。在全国各地大兴物联网建设且把物联网非技术化的今天,面对Stuxnet的危险,物联网信息安全问题必须得到正视。
楼主最近还看过