影响渗入社会支柱体系
相比移动互联网和云计算领域面临的安全问题,现在我们可以看到物联网上一旦发生安全问题,影响可能更深,甚至会造成社会性的危害。
在今年早些时候,针对工业系统的超级工厂病毒侵入包括我国在内的多个国家的工业系统,甚至曾造成伊朗核电站推迟发电。
“物联网的价值不仅是收集数据,更会对数据进行操作处理,其众多可调度的节点(其中不仅是PC,更有许多可程序化的控制器)就会成为类似超级工厂病毒等攻击的对象,甚至会传送错误的数据给后台进行错误的判断和操作,引发更多的灾难。”林育民向记者表示。
运营者需重视新引入因素
既然如此严峻,新兴产业的安全问题是否很难解决?
林育民认为,从传统业务到新兴业务,安全的本质事实上并没有变,仍然是过去所说的CIA准则—保密性、完整性、可用性,其中的新挑战在于需重点关注与理解差异点和新因素。
“传统的安全措施或风险控制点仍然需要坚持,可以解决重要基础性问题,但同时,在新兴业务体系下,终端多样性、资源调度或者虚拟化等环境的存在,新引入的流程、机制、软硬件等都会造成新的安全弱点或威胁,这些差异点值得运营者花时间去关注,考虑需要怎样的控制措施去降低安全风险。”林育民认为。
第三方角色补足安全体系
目前,新兴产业的安全链条尚未完全成型,一些新角色将应运而生。
在林育民看来,比如在云安全产业链上,未来还将有重要的第三方角色出现。
“云服务器上可能7×24小时都有交易运转,用户也可能遍布全球,运营者不大可能自己去做实时的安全状况监控,因为成本会很大;而即便运营者自己愿意做,一些用户也不见得愿意采用运营者提供的监督管理服务,因为运营者可能既是‘球员’也是‘裁判’。因此,一些针对云安全的第三方监督防护厂商就会出现,目前赛门铁克提供的MSS(托管安全服务)就是类似服务。”林育民表示。
从另一角度而言,还会有第三方审计角色,以明确运营者的服务是否合乎规范遵从法规,是否履行承诺等。林育民认为,在完整的安全框架出现之前,这两大角色作用将相当重要。
因此,政府推动安全法律规范,运营商提供基础支持和基础安全保障,第三方安全服务商负责监控管理,第三方安全审计咨询商负责合规问题,这些角色共同保护新兴产业上的安全。
