谁为物联网设备安全买单

　　近年来，物联网产业发展势头迅猛。工信部副部长罗文在9月召开的2017世界物联网无锡峰会上透露，中国的物联网产业规模已从2009年的1700亿元跃升至2016年的超过9300亿元，年复合增长率超过25%。有预测称，到2018年，全球物联网市场规模将超过千亿美元，年均复合增长率保持在31%以上。

　　与此同时，物联网设备的数量也在成倍增长。市场研究机构Gartner预测，2017年全球物联网设备数量将达到84亿台，2020年这一数字将增至208亿台，复合增速高达34%。

　　随之而来的，是越来越棘手的安全问题。2015年12月23日，乌克兰电力系统遭到攻击，造成伊万诺-弗兰科夫斯克地区大面积停电，约140万人受到影响。2016年10月21日，黑客利用全球十多万台智能设备，对美国进行了史上最大规模的DDoS( 拒绝访问服务)攻击，导致美国东海岸出现大面积断网，主要公共服务、社交平台、民众网络服务几乎处于瘫痪状态。

　　以往出现在科幻片中的场景，在当下正在一步步成为现实。

　　打补丁式的存在

　　物联网安全的棘手不仅在于“大”，还在于“多”和“杂”，从个人、家庭、社会到国家，层出不穷。市场调研公司Forrester(弗雷斯特)对全球组织的一项调查表明，47%使用或计划使用物联网的商业组织在行业应用中曾遇到过安全问题。西班牙国家数字安全中心统计数据显示，2014年仅西班牙的核心基础设施就被攻击了63次，2016年增加到479次，两年内上升了7倍，2017年一季度更是高达247次，使相关设施出现700余次事故。

　　“物联网将许多原本与网络隔离的设备连接到网络中，为生活提供了便利，但也大大增加了设备遭受攻击的风险。因为不同类型的物与物之间是可能存在联系的，攻击某一节点，就会殃及另一个节点，将影响转移、扩大。”北京神州绿盟信息安全科技股份有限公司工控安全产品部总监王晓鹏告诉《经济》记者，目前我国还没有爆发过类似于美国和乌克兰的大规模物联网安全事件，因为现阶段我国核心基础设施的可开放接口较少，安全性相对有保障，但是随着未来广泛物联的发展，接口也将被逐步开放。“要防患于未然，就要了解物与物之间的潜在联系，分析各个节点所承载的内容、存在的安全问题，以及会造成的影响。”他认为，物联网时代，人们的思考方式将不再是头对头、脚对脚的单点式，而是系统地、由点到面地看问题。

　　与备受黑客青睐不同，安全在行业内的身份却显得有些尴尬，中国科学院信息工程研究所信息安全国家重点实验室副主任徐震将其形容为“一种打补丁式的存在”。“我上学的时候，老师告诉我们，安全就像五星级饭店里的马桶，不急的时候是不会有人想起它的。”在徐震看来，十几年过去了，安全的这一状态依然没有发生质的改变。

　　他告诉记者，群体做事是讲究优先级的，安全是伴生技术，是伴随主导产业的发展而成熟起来的。“物联网真正落地也就是在近3年的时间，还属于新产业，尚不成熟，在发展过程中往往会先考虑往前走的问题，一般不会系统考虑安全，等遇到了问题，再想办法解决，互联网是这样，物联网亦是如此。”

　　用户安全诉求低，付费是必然趋势

　　“你会为家里的物联网设备购买安全网关吗?”

　　采访中，王晓鹏向《经济》记者抛出了这样一个问题。带着这个问题，记者对身边的朋友进行了调查，他们无一例外地都选择了“不会”。

　　对于这个结果，王晓鹏表示并不惊讶，“因为在互联网和移动互联网时代，很多安全软件都是免费的，用户已经将其看作是理所应当的，要改变这种习惯，将安全作为一个单独的部件进行销售，短期内是比较难被接受的。”

　　但实际上，几乎任何可以连接至其他设备，并且终端用户可访问的设备，都是有可能存在风险的。赛门铁克安全报告显示，2016年全球超过670万台的物联网设备沦为了“僵尸网络军队”。“一方面，这些设备大多都连接在公共网络中，很容易被其他网络接触到，受攻击的几率比较大;另一方面，部分物联网设备本身就存在安全漏洞，为黑客攻击提供了可乘之机。”清华大学物联网技术中心副主任赵滨认为，后者的主要根源在于当前用户的安全诉求太低。

　　“对于大部分用户而言，手机APP被劫持了，都会很紧张，因为涉及财产安全。但是如果家里的摄像头被攻击了，其紧张程度就不会那么高了，有的甚至都毫无察觉。”王晓鹏坦言，作为一名安全从业者，他在家中发现了物联网设备漏洞，也不一定会及时找厂商进行反映沟通。

　　用户的安全诉求不高，设备厂商就没有足够的动力去开发研究安全属性。金雅拓调查数据显示，在安全投资水平方面，物联网设备制造商和服务提供商在物联网设备安全保护上的投资仅占其物联网总预算的11%。“商家是讲究成本的，就当前的用户需求来讲，一个摄像头、一台冰箱是否具备安全属性，对于产品本身的销量不会有太大的影响，厂商当然也就不会给予过多的关注。有些厂商在编码时就只按照自己的规范去编，编完之后有没有安全漏洞他们并不关注。”王晓鹏认为，要提高物联网设备本身的安全属性，就要引导用户增强对隐私的保护意识，增加安全诉求，抬高安全门槛，“只有用户的需求提高了，形成规模了，安全需求才能真正涌现出来，才能倒逼设备制造商和服务提供商为安全买单”。

　　与此同时，用户对安全付费的认识也会有所改变。“就未来发展来看，付费是必然趋势。”但王晓鹏认为，付费的方式将会更加多元化。“安全可以单独购买，也可以由物联网厂商提供一个整体打包的智能家居解决方案，其中既包含智能化又拥有安全属性的部件，这样对于普通用户来说会更容易接受。”

　　合规性要求缺位，政府驱动不足

　　“我们曾经为一家电器厂商做过一个安全项目，其目的不是为了满足中国物联网家居设备的安全需求，而是为了出口美国时，能够达到他们的相关安全要求。在监管层面，美国是有立法的，而中国没有。”王晓鹏无奈地说。

　　实际上，美国的立法也是从近两年才开始的。2016年美国东海岸断网事件之后，美国国土安全部便于次月发布了《保护物联网策略准则(1.0版)》，呼吁物联网生态体系在设计、生产及使用物联网设备与系统时，皆应负起保障物联网安全的责任。

　　今年5月，美国总统特朗普签署13800号总统行政令——《加强联邦网络和关键基础设施的网络安全》，其中内容之一就是要增强美国应对僵尸网络及其他自动化和分布式威胁的能力。

　　6月13日，美国商务部下属的国家电信和信息管理局发布征求评议文件《促进利益相关者对僵尸网络和其他自动威胁的行动》，要求各私营企业、研究机构、社会团体围绕减少僵尸网络威胁和维护物联网终端设备安全问题，提出法律、政策、标准、技术等方面的建议。

　　8月1日，美国4名国会议员联名提交了一项关于物联网安全的法案《2017物联网网络安全改进法》，希望通过设定联邦政府采购物联网设备安全标准，来改善美政府所面临的物联网安全问题。尽管该法案只着眼于联邦政府的设备采购方面，且有待审定通过，但美国软件公司Sonatype依然认为，其将有助于推动整个物联网安全标准的发展。

　　对于中国的这种缺失，一位业内受访专家认为主要有两点原因。一方面，与美国相比，我国的物联网应用落地较晚，目前还处于起步和发展阶段，且尚未出现过大规模的被攻击事件，社会和国家对物联网安全的重视程度还不够。另一方面，我国的物联网产业监管部门较多，工信部、网信办等都有业务交叉，众口难调，很难在短时间内形成一个统一的合规性要求。

　　“政府的合规性要求是不能缺位的。”在徐震看来，驱动物联网设备安全发展有两大动力，一个是用户安全诉求，另一个就是政府的合规性要求。前者是自下而上的市场约束，后者则是自上而下的强制立法，二者缺一不可。“政府提出要求了，市场的基本面才能形成，设备厂商、服务提供商与安全企业才会有动力去推进。”

　　安全企业与厂商“话题”少

　　作为安全重要的输出方，安全企业在物联网时代的盈利模式还尚不清晰，寻找与厂商的交集点，是它们突破瓶颈的关键。“就像两个人相亲，一个是搞IT的，一个是做会计的，两个人没有共同语言，突然有一天要求会计用电脑录入数据，这时搞IT的不仅可以给予指导，甚至还能解决电脑中病毒的问题，话题一下子就有了。”王晓鹏告诉记者，安全企业和厂商缺少的就是这种“话题”。

　　“我们也跟一些厂商讨论过，他们在工作中会出现一些通过传统工控专业技术手段很难找出问题的情况，这时候他们就会有意识地联系安全企业，来一起进行研究和探讨，这对于业务的完整度和平稳度有很大的帮助。”但王晓鹏表示，目前这种合作还是比较少的。在他看来，物联网设备安全问题不是某个单一参与方能够解决的，其需要的是一个生态链。“设备安全事件发生后，用户安全需求增加，设备厂商和服务提供商开始寻求解决方案，此时的安全企业要转变思路，改变之前‘卖盒子’的单一运营模式，向应用安全方向转变。”他认为，未来，安全企业与设备厂商的关联度会越来越高，尤其是在车联网等对安全要求较高的领域，安全企业的参与会愈发深入。

　　同时，安全的纵深发展也对安全从业人员提出了新的要求。“安全是一个交叉性特别强的行业，其虽然在方案上有统一的标准，但在实际应用中也会根据应用场景、用户需求点和痛点的不同而发生变化。对于安全人员来说，做某一个行业、领域的安全，就必须要了解这个行业的知识和背景，这样才能更专业更系统地解决好该行业的安全问题。”王晓鹏说。