您所在的位置:首页>外包服务>正文

360首席安全官谭晓生:物联网安全需加强“协同联动”_《服务外包》杂志_中国服务外包领域唯一国家级期刊

聚行业--外包服务 www.comagazine.cn   作者: 舒朝普  2016-12-26 00:00

外包服务-全文略读:以我对这个行业的了解,目前这方面人才的市场供需比是1:10。对企业来说,前景再好的领域和机会,没有充足合适的人才保障,也没法谈发展。第二是关于物联网安全的研究还很少。作为新兴产业,即便在世界范围内,有关物联网的发展和研究都比较少,可供企业参考和直接...

 

外包服务--360首席安全官谭晓生:物联网安全需加强“协同联动”_《服务外包》杂志_中国服务外包领域唯一国家级期刊

 

360集团首席安全官谭晓生

 

在大数据、云计算、移动互联的推动下,越来越多的物联网应用不断落地,物联网的安全问题成为各界关注的焦点。

 

但相对互联网,物联网涉及的连接端口和器件数量更多,且受制于设备的地域性、分散的标准和规格,使其多样性和复杂性大大增强,这使的物联网的安全问题更加不可控。

 

为此,在无锡举办的2016世界物联网博览会专门设立了“信息安全高峰论坛暨第九届信息安全漏洞分析与风险评估大会”,聚焦物联网信息安全,以期碰撞和探讨解决方案。

 

中国工程院院士何德全认为,要像管理食品安全一样,管理物联网安全。“任何器件,不论是传感器件还是传输器件,都要经过严格的标识,只有这样才能保证其安全。”

 

面对物联网环境下个人、组织、机构信息的过度收集、使用,以及数据共享下的信息泄露、失控、滥用风险等重大安全挑战,中国信息安全测评中心副主任李守鹏则主张通过不断创新,在安全立法、标准研制、顶层设计、管理方式、安全技术、服务安全、应用规划、意识教育等方面加以应对。

 

尽管挑战重重,业内普遍认为,物联网安全也是中国基础信息产业及操作系统国产化的机遇。“如果站在国家安全的角度来说,国产化是必须迎头赶上的工作。”11月23日,360集团首席安全官谭晓生在接受《服务外包》杂志记者专访时说。

 

在谭晓生看来,目前中国的物联网及物联网安全产业还处于起步阶段,整个产业还没有达到稳定状态,且企业间还处在“军阀混战”,而非“合作共赢”的阶段,这都不利于构建和健全完整的物联网信息安全产业链。

 

“物联网安全需要加强企业间的‘协同联动’。360一直呼吁在这个产业链条上的同行要‘协同联动’。”谭晓生说。

 

他同时也强调,仅靠呼吁是解决不了这个问题的,还需要从自身,从身边的合作伙伴开始,一点一滴构筑产业链条,继而形成局部的生态链,最终改善整个产业环境。

 

“物联网信息安全是大问题”

 

《服务外包》:物联网更复杂,跨度也更大,这也意味着信息安全更难保证。您怎么看?物联网信息安全的难点究竟表现在哪些方面?如何解决?

 

谭晓生:物联网的信息安全保护是个大问题,这和很多环节密切相关。第一是物联网设备的生产厂商的问题。受背景和行业知识所限,过去很多设备厂家只专注于产品和设备的功能本身,很少在设计和制造的过程中考虑信息安全保护的问题,这就为后来可能的网络攻击提供了的空间和漏洞。

 

比如说造摄像头生产厂商,它更多考虑的是如何更清晰流畅的传递图像等,而很少会考虑如果有人利用黑客技术入侵它的摄像头后,将其变成一个可以对外发动DDOS攻击设备后的问题。再比如说洗衣机厂家花大力气推出一款智能洗衣机的初衷可能是希望用户可以通过手机便捷地控制洗衣的过程,但它绝对不会想到黑客也可能会远程控制和攻击用户的洗衣机和其他智能设备。

 

第二是成本问题的考虑。如果给一些终端智能设备加载真正具有防御功能的模块和功能后,可能会迫使其提高CPU和存储器的性能和配置,这无疑会提高设备的生产成本。加之,目前行业竞争激烈,而又没有统一的行业标准和安全防护要求,用户很难仅凭外观识别哪些设备更安全。因此,在面对企业生存和用户安全面的选择时,厂家的选择就会变得很简单。

 

第三,物联网设备个性化和功能性的制约。物联网涉及各行各业,物联网设备千奇百怪,种类繁多,具有很强的功能性和定制化特征。因此,它很难在后期再添加一些第三方软硬件安全模块和程序。比如海康威视的监控设备,它里面的程序怎么写属于企业的商业机密,别人难以了解和掌握。再比如最简单的智能手环、摄像头之类的设备,不可能预装杀毒软件和防火墙。这是是物联网信息安全保护所面对的现实困难。

 

解决之路在哪儿?第一是出台物联网安全的国家标准和规定。只有有了国家认证规定和强制执行标准,每个厂商的设备就不能只满足用能用,还必须具备预防隐私泄漏的功能。这样设备厂商才会变成信息安全保护标准中的一环,整个物联网各链条和相关环节的信息安全保护和防御才有基础和保障。

 

第二是借助外力,进行专业的安全设计与运营外包。比如有专长于提供可保障和提高网络安全的厂商,它可以通过将其产品和服务集成在有需要的物联网设备上,从而帮助这些设备生产厂商提高信息安全保护能力。另外,对于一些规模较小的企业来说,自建网络和信息安全团队显然不现实,这时候它就可以将信息安全评估和网络安全维护交给其他专业的团队来完成,这样在保证自身的安全性的同时,还可以催生新的信息安全设计和运营外包服务。

 

《服务外包》:无论是物联网,还是智慧城市,最终要依靠安全可靠的基础信息产业和操作系统。在这些方面,我们和国外巨头的差距有多大?迎头赶上需要做好那些工作?

 

谭晓生:在安全芯片方面,像国民技术、信大捷安等都致力于这方面的研究和探索。但在操作系统方面,我们和国外巨头的差距还是挺大的。坦率地讲,除了在Linux进行国产操作系统的一些尝试外,国内操作系统底层开发的人特别特别少。在基础操作系统和开发工具方面,我们拉下的课还真的挺难补。

 

虽然很难,但这个课有必要补!在安全性方面,业内有一个传奇的故事:C语言的里奇和肯,总是可以登录贝尔实验室所有人的Unix账号,哪怕是其他人员找出了Unix源代码中的后门并重新编译了系统,一直到里奇承认,他一开始就在C语言编译器里就留下了后门……所以,如果从操作系统到开发工具都是别人的并且没有经过严密的安全性验证,自身安全的保护问题就是无法解决的。

 

因此,如果站在国家安全的角度来说,国产化与安全可控是必须迎头赶上的工作。

 

《服务外包》:除了继续发力基础信息产业和从操作系统外,通过信息共享,建立健全完整的物联网信息安全链条,是否算可行的探索和尝试?

 

谭晓生:这事也很难。在美国,它有完整、健全的信息安全产业链条和生态,每家企业只需要专注做好一两种产品或提供一两种服务即可,整个业界可以协作起来,共同做大市场。但相对来说,目前的国内市场互相斗争要多过彼此间的合作。

 

这一方面受制于整体的产业规模太小,和美国市场有数量级上的差别。如果池塘容不下更多的鱼,那每条鱼只会想着怎么把别的鱼吃掉,而不是让别的鱼来吃掉自己。因为市场容量不够大,就会加剧竞争,但反过来这种恶性竞争,又会导致市场大不起来。

 

另一方面是因为中国人“太聪明”,太喜欢走捷径。在企业的短期利益和整个行业长远健康发展面前,大家更多的想的是如何先把竞争对手挤出去然后再谋求自身的长远利益。但实际情况是,不断有新的企业加入进来,结果是大家永远处于消耗之中。

 

也因此,360一直呼吁在这个产业链条上的同行要“协同联动”。包括刚刚结束的乌镇世界互联网大会,周总演讲的主题还是呼吁整个产业协同联动。但坦率的说,仅仅靠呼吁是解决不了这个问题的,还是需要我们从自身做起,从身边可信赖的合作伙伴开始,从一点一滴做起,慢慢构筑一两个链条,然后再形成局部的生态链,最终改善整个产业环境。

 

当然,除了自身的努力外,最主要的还是需要寄望国家层面的重视和政策支持,这样才能真正让整个生态环境逐渐好起来。

 

《服务外包》:在物联网信息安全保护方面,360做了哪些尝试和努力?哪些领域的业务推进起来相对困难一些,为什么?

 

谭晓生:从“万物互联”概念提出的时候,出于本能,我们首先想到的就是安全隐患,也意识到这方面一定会出问题。所以从2年前开始,360就开始发力物联网的投入和研究。

 

事实上,随着对行业认知的加深,包括汽车、家电和机器设备制造商在内的传统生产厂商,都已经意识到它的设备和系统会遇到潜在的攻击和安全隐患。因此,它们都有很强的意愿希望和我们合作来探寻应对之策。像格力、美的以及长安汽车等,去年就已经是我们的客户了。

 

坦率地说,政府和大型企业是我们的重点,但也是难点。因为每个企业和部门所处的行业和业务领域可能完全不同,因此,标准化的产品和服务肯定无法满足客户的需求,而需要按需定制个性化的服务和产品。这对我们的服务团队是一个很大的挑战。

 

此外,在为政府和企业提供服务时,还必须考虑的一个现实的问题是,他们的用户千差万别,因此,我们的产品和和服务不仅要考虑专业技术人员的需求更要覆盖更多的基层员工的现实情况,如何让产品和服务好用又稳定,这才是最大的挑战。

 

标准缺失制约物联网发展

 

《服务外包》:随着各种行业标准化程度的提高,您如何看待这部分市场的未来?未来,360更看好并愿意加大在哪些领域的投资?

 

谭晓生:标准化不是能不能做大的问题,而是要不要解决的问题。今天的社会已经越来越倚重互联网和自动化,因此,物联网安全性的问题解决不好,会变成制约整个社会发展的大问题。这正是我们专注和发力信息安全的动力所在。

 

但需要强调的是,要求所有物联网设备生产厂商优先考虑信息安全保护显然也不现实。对企业发展来说,真正会影响企业决策的是损益率。因此,只有当忽视信息安全保护所付出的代价大于其所得时,信息安全保护才会上升到企业战略决策层面。这就是为什么汽车及家电企业会特别重视智能设备安全性的原因。

 

基于此,工业互联网、工业控制的安全将是我们重点关注和研究的领域。事实上,无论是工业4.0、中国制造2025,还是工业互联网,其本质都是一样的。这也就是为什么工业控制安全会得到国家前所未有的重视的原因。

 

还有一个是智慧城市安全。智慧城市安全,不仅范畴大,将来肯定还会更多的外延。这其中孕育着很大的市场机会。目前,我们的智慧城市安全解决方案已经在沈阳落地。

 

此外,在智联网汽车安全方面,我们也成立了专门的团队和实验室进行这方面的研究和探索。不仅包括从整车到部件的智能网联评估、安全测评,到整个车辆运行状态的检测和安全保障等。

 

《服务外包》:就企业层面而言,您认为,制约这些领域发展的最大困难和挑战是什么?

 

谭晓生:第一是网络安全人才严重缺乏。以我对这个行业的了解,目前这方面人才的市场供需比是1:10。对企业来说,前景再好的领域和机会,没有充足合适的人才保障,也没法谈发展。

 

第二是关于物联网安全的研究还很少。作为新兴产业,即便在世界范围内,有关物联网的发展和研究都比较少,可供企业参考和直接应用的软硬件模块有限。

 

第三,行业发展缺少标准和指导规范。

 

84
标签: