物联网安全：已兵临城下!

　　如果说将INTERNET 直观理解为PC 终端和服务器的网络，那么物联网就很难解释了，因为计算机本身的定义已经很模糊，只要有IP 地址的设备都可以连接到网络，例如智能家电、无人驾驶汽车、游戏机甚至卫生间里的马桶。这是相当令人神往的生存环境，人们几乎只需要坐在沙发上就可以操纵世界，物联网将令我们的生活发生质变。

　　但同时安全威胁也将进一步提升。万物互联的同时，以往发生在计算机网络上的攻击将变得无孔不入，攻击端与被攻击端可以是任何网络设备，地球另一端的一台智能电视或许就是摧毁你电脑系统的武器。而当前，功能强劲的互联网安全防护产品通常仅可以保护计算机免受恶意攻击，物联网设备的防御能力形同虚设。在华为发布的《2015 僵尸网络与DDoS 攻击专题报告》中提到，路由器和物联网成为DDoS 攻击源头的新目标。攻击目标主要为游戏、电子商务、互联网金融、博彩等，恶意竞争是主要攻击动机，游戏行业是DDoS 攻击重灾区。

　　2017 年2 月13 日至17 日在旧金山的RSA 大会上重点关注议题就是物联网所带来的威胁，显然去年10 月21 日让“半个美国瘫痪”的事件令所有人心有余悸。当时，多数美国人惊奇甚至惊恐地发现Twitter、Tumblr、PayPal、BBC、华尔街日报、CNN、纽约时报、金融时报等网站数小时都无法登陆，随后这些网站提供服务的DynamicNetwork Service 公司称，其域名系统(DNS)服务遭遇到大规模分布式“拒绝服务”(Denial-of-service)的攻击，在第一轮攻击得以解决以后，Dynamic Network Service 公司称又在当天中午遭遇到第二轮攻击......。

　　更令人担忧的是，作为应用端的用户们显然没有适应物联网消费环境，人们买家用电器或者外设终端时，首先判断的是性价比，价格和外形设计是多数消费的主导因素。至于是否安全，则完全没有考虑。而品牌厂商在设计产品的时候更倾向于性能和讨喜的形象噱头，信息安全设计投入甚少，随着打着物联网旗号的产品大量上市，用户的信息安全风险就不言而喻了。物联网的进一步发展将使智能设备互联以及相应的大数据不断增加。阿里发布2015物联网安全年报显示，90% 的数据从未被分析或采取任何安全措施。毫无疑问，利益最大化的黑客会把目标瞄准新的战场，即物联网设备上的业务安全。物联网各种业务上产生的数据如个人识别信息，医疗记录，用户账户数据，O2O 业务交易信息等将对生活、工作、娱乐、甚至个体产生极大的关联和影响。但设备在接入、传输、存储等各环节缺少正常的安全防控，甚至缺乏基本的安全考虑。由于物联网络对于互联网的天然继承性，使得针对互联所发起的各类恶意攻击很轻易地蔓延到了物联网领域。万物互联时代，物联网安全保障能力亟待提升。本期由梆梆安全研究院与我们杂志社联合发布的《2016 物联网安全白皮书》中将详细阐述当前物联网面临的安全威胁与未来挑战。

　　未来已来等同未来威胁已来，其实我们早已深陷重重安全隐患而不自知。对于国内物联网现状来说，创新技术不断，软硬件产品层出不穷，但却和安全关联不大。设计思路的狭隘、品牌利益为王的标杆、用户安全意识教育缺失、行业标准和选检尺度的不明朗均会造成日后安全大事件的发生，前方已经兵临城下，而我们的安全防护依然形同虚设。物联网时代已经渗透入了我们的生活，而我们准备好了吗?