海康发布《网络安全白皮书》：拿什么拯救网络安全?

　　1月21日至23日，海康威视在INTERSEC 2018迪拜国际安防展期间发布了2018《海康威视网络安全白皮书》，强调了网络安全的重要性和迫切性。

　　国内安防行业经历了多个快速发展的阶段，从模拟监控、数字监控、网络化监控再到如今的智能化监控。安防行业已经突破安防产业既定的范畴，由事后的调查取证，向事前分析、总结、预警、演练，事中的跟踪、指挥、调度、协调、配合、沟通等方面扩展。技术的每一次进步，在推动人类社会发展进步的同时，也在带来新的挑战，其中就包括网络完全威胁。

　　近年来有哪些物联网安全事件

　　2017年3月，Spiral Toys旗下的智能玩具泄露200万父母与儿童的语音信息;

　　2017年4月，三星Tizen操作系统被曝存在严重的安全漏洞，黑客可以利用这些漏洞远程控制搭载此系统的物联网装置;

　　2017年7月，美国自动售货机供应商 Avanti Markets遭遇黑客入侵内网。黑客入侵了其内网，在终端支付设备中植入恶意软件，并窃取了用户信用卡账户以及生物特征识别数据等个人信息;

　　2017年10月，有安全专家表示WiFi的WPA2(WPA2是一种保护无线网络安全的加密协议)存在重大漏洞，导致黑客可任意读取通过WAP2保护的任何无线网络的所有信息。

　　此前，安全公司SEC Consult爆出索尼摄像头后门存在安全漏洞，影响高达80款索尼“IPELAENGINE”的网络摄像头产品。

　　深圳酷视 17.5 万个安防摄像头被曝漏洞，研究人员称这两款安防摄像头的漏洞很容易就会被黑客利用，只需使用默认凭证登陆，任何人都能访问摄像头的转播画面。同时，摄像头存在的缓冲区溢出漏洞还使黑客能对其进行远程控制。

　　Check Point研究人员表示LG智能家居设备存在漏洞，该漏洞可影响到用于控制所有LG智能家居设备的LG SmartThinQ应用程序。受此影响的设备包括智能烤箱、吸尘器、洗碗机、冰箱、洗衣机、烘干机、空调等。研究人员演示了黑客通过控制安装在设备内的集成摄像头将LG Hom-Bot变成一个间谍，吸尘器秒变监视器。

　　然而这些仅仅是冰上一角，尽管目前物联网的安全威胁相对传统互联网只占到很小部分，但随着行业的高速发展，针对物联网的病毒很有可能在未来几年流行开来，原来能够阻碍网络病毒的那些屏障正在一项一项消失。不久的将来，物联网或将成为网络安全事件的重灾区。

　　为了提升物联网设备的安全性，可以从以下方面入手：

　　维护硬件安全

　　安全的物联网装置具有许多安全特性。首先，它使用非对称密码来执行安全引导和安全加载或空中(OTA)固件更新。安全的物联网装置还使用硬件加密加速器，它们更快、更节能，并且更不易受到边通道分析攻击。

　　在安全的物联网装置中，除错链接埠是禁用的。如果在某些时候需要重新打开除错连结埠(例如须要远程储存器存取或由于其他原因)，这时要透过使用公共密钥认证的认证询答方案来实现。

　　虽然安全启动和引导加载可防止攻击者修改程序内存，但安全的物联网装置能够进一步限制对于程序内存的读取存取。这通常意味着装置具有内部存储器或内建闪存。在使用外部内存的情况下，这也意味着外部内存的内容须被签名和加密。

　　强化软件安全

　　为确保在安全的物联网装置上运行的软件能够进一步加强安全性，必须在关键部分进行硬件化，这意味着其可阻止跳过单一指令。

　　例如，安全启动签名检查或密码签名检查。这种方法可确保即使攻击者能够让处理器跳过一道指令，如此也不会产生关键性的安全后果。此外，为了避免代码中的安全问题或第三方数据库引起系统范围的存取，可采用安谋国际(ARM) v8M的TrustZone对不同数据库进行分区管理。

　　留意通讯安全

　　大多数集成电路(IC)与其他IC、物联网装置、网关和云端通讯，有必要保护这些信道。当与其他IC通讯时，这意味着要启用加密和身分验证以确保完整性和机密性。一个可能的范例是将数据储存在传感器或通讯IC和主处理器之间的外接内存或有线总线。

　　当与其他物联网装置通讯时，通常使用诸如Zigbee、Thread或蓝牙低功耗(BLE)等通讯协议。大多数协议中都有安全选项，重要的是要打开这些安全选项。

　　另一个重要的考虑因素是装置部署。一旦在通讯装置之间采用安全措施，那么安全的数据传输就显而易见。然而，分发私钥并不是直接的。对于无线装置而言，这通常涉及装置加入无线网络的部署步骤，例如使用蓝牙(Bluetooth)部署一个可连接灯泡到基于Zigbee的网状网络。用于部署的选项取决于系统基本功能、易用性和安全性之间的折衷。只要安全的物联网装置不降低安全性即可。此外，安全的物联网装置使用TLS/DTLS来建立与云端的安全的端对端(End-to-end)连接。

　　维护应用层安全

　　应用层可能位于装置、云端服务，或两者的组合。在许多应用中，通常须要在应用层进行密码保护。安全的物联网装置强制用户更改密码，并将最常用的密码列入黑名单。如果可能，装置甚至可以实施双重身分验证。

　　确保系统安全

　　从系统的角度来看，一些看似无害的子系统也可能增加整个系统的不安全性。因此，为了建构安全的物联网装置，在每个系统内部有一些针对实现安全性的假设。每个子系统的安全性应当是独立的或在最小程度上依赖于其他子系统的安全性。

　　小结：

　　在物联网行业高速增长的时期，网络安全一直都是物联网发展的关键所在。随着联网设备的增加，各种网络攻击事件不断发生，网络安全的形势并不容乐观。层出不穷的安全问题在时刻为我们敲响警钟，如果厂商不对安全问题加以足够重视，安全就将成为物联网产业的薄弱环节，从而网络大面积瘫痪、黑客入侵、隐私泄露等问题也将再次困扰着人们。