萬物互聯時代，信息如何做到安全?

　　近日，一款名叫WannaCry的 勒索病毒以一種凌厲的態勢席卷全球。據悉，截止到2017年5月15日，WannaCry至少攻擊了150多個國家的網絡，嚴重影響到金融，能源，醫療等行業。而中國國內也曝出多家公司或機構也受到攻擊，中石油有超過2萬座加油站遭到攻擊。互聯網時代，信息及網絡安全如此重要，物聯網時代，設備及網絡的信息安全更是我們需要面對的問題。

　　2017年5月16日下午，由中國物聯網產業應用聯盟主辦，深圳物聯傳媒承辦針對“物聯網安全現狀探討與痛點的問題分析“沙龍在深圳南山的碧桂園潼湖科技小鎮展廳進行。本次沙龍活動由中國物聯網產業應用聯盟秘書長楊偉奇先生主持、國民技術股份有限公司安全實驗室 張亮亮博士、梆梆安全高級安全咨詢顧問任航先生、華視微電子研發中心首席安全官崔競松博士 、ARM高級技術市場經理王駿超先生 、Ayla客戶成功經理譚宜華先生 、深圳前海智安總經理于修良先生針對各自企業在物聯網安全領域所做的研究進行了深入淺出的分享。

　　中國物聯網產業應用聯盟秘書長 楊偉奇先生

　　國民技術：量子技術與物聯網安全

　　國民技術股份有限公司安全實驗室 張亮亮博士

　　張亮亮博士以“量子技術對物聯網安全的影響”為主題，分享了國民技術對量子技術的研究。據張博士介紹，從PC互聯網到現在的移動互聯網和物聯網，信息的安全都是由密碼算法和相關協議來保證的，所以密碼算法本身的安全性是一個基本的問題，它通常是由計算復雜度來保證的。未來量子計算機會在密碼算法這個層次會對信息安全產生巨大的影響，所以物聯網的安全未來也不可避免的受到量子技術的影響 。

　　梆梆安全：透過現象看物聯網安全本質

　　梆梆安全高級安全咨詢顧問任航先生

　　梆梆安全高級安全咨詢顧問任航先生提出，智能設備的所有者可能就是攻擊者、需要以現在的安全機制，防御未來的攻擊 。其次，在于蝴蝶效應，攻擊生態中的任何一環，都有可能破壞指定目標，比如智能汽車可能通過充電樁、道路交通牌、手機APP實施破壞 ;銀行后臺系統可能通過可穿戴設備的移動支付進行破壞等。

　　那么有什么應對策略呢?

　　通過滲透測試，進行安全體檢，尋找業務漏洞 。以攻擊者的視角去尋找物聯網設備中的安全漏洞 。

　　保護代碼，強健自體 。所有安全威脅與黑客攻擊最終都是利用程序中的脆弱性實現入侵以獲得控制權，代碼安全是最本質、最核心的問題。

　　多重安全機制，提升免疫力。每個智能設備是物聯網中的一個微點，會受到各種攻擊 ;構造多層次、多樣性保護系統，每一點都具備安全防護及抗攻擊的能力 。

　　華視微電子：物聯網安全要素分析

　　隨著物聯網時代的到來，連接入網的設備越來越多，那么哪些物聯網是安全事件的高發區?

　　華視微電子研發中心首席安全官崔競松博士

　　華視微電子研發中心崔競松博士通過美國鮑曼大壩遭伊朗黑客攻擊、德國核電站檢測出惡意程序被迫關閉、以色列電網遭網絡攻擊、波蘭航空公司操作系統被黑等近兩年發生的物聯網安全事件展開分析。在物聯網領域，傳感器網絡、遠程醫療、電力能源、智能交通、智能家電等都是安全的高發區。

　　那么物聯網安全涉及哪些安全要素呢?

　　崔博士表示，口令保護、身份認證、數據機密與隱私、竊聽與劫持、代碼安全、行為安全是物聯網安全的六大要素。

　　ARM：為連接世界提供更智能的安全

　　ARM 公司高級技術市場經理王駿超先生以“Smarter security for the connected world ”為主題，分享了在物聯網的安全中手機的安全和應用借鑒以及接下來該做什么使安全更容易的保障物聯網應用和部署。

　　ARM高級技術市場經理 王駿超先生

　　ARM高級技術市場經理王駿超先生表示，接入物聯網的設備非常的多樣化，所有的設備都需要滿足一定的安全規則，而不同的設備對安全的要求是不一樣的。物聯網面臨的物聯網安全問題主要有：設備安全、通信安全以及生命周期安全。針對物聯網不同層次的威脅，ARM都設計制作了相關的產品保障物聯網安全。

    Ayla：設計安全物聯網產品的策略

　　Ayla客戶成功經理 譚宜華先生

　　既然物聯網面對的信息安全如此嚴重，那么如何進行安全的物聯網產品設計呢?Ayla物聯Customer success manager 譚宜華先生認為：

　　首先應該堅持多層次、全生命周期的安全機制的構建原則。

　　在產品設計的過程中應考慮這些策略：

　　重視數據隱私，堅持Privacy-by-Design設計原則;層次化安全原則，設備層、通信層、云平臺、應用層都根據行業安全標準設計;使用唯一序列號標識，用安全芯片或者高安全的加密算法保護設備;支持Over-the-Air(OTA)更新設備;支持secure boot 以使得設備可驗證將運行其上的固定程序;實施AAA(Authentication-Authorization-Accou);端到端數據加密，充分考慮數據在傳輸、存儲、使用、聚合分析及丟失的情況下得安全保護機制;PII(Personal Identical Information)數據增加額外保密機制以及持續的用戶教育。

　　深圳前海智安：物聯網認證加密一體化

　　深圳前海智安總經理 于修良先生

　　據深圳前海智安信息科技的總經理于修良先生介紹，在物聯網和互聯網的世界中，人(用戶)、平臺(云端和服務端)、端(智能設備)的首要任務就是建立可信鏈接，安全痛點是身份認證與大規模密鑰管理問題，從而確保數十億甚至百億智能設備相互之間的連接與交流安全。

　　如何解決客戶端、云平臺以及設備端的加密一體化問題?

　　于修良總經理表示，在終端，提供唯一身份認證數字證書的可信登陸和鏈接方式 ;所有鏈接都是通過各自的標識證書接入和進行身份認證，確保可信鏈接與安全登錄 ;云端，所有接入都通過標識身份認證后才能實現可信鏈接和交互操作，杜絕了各類仿冒登錄，與各類應用層的攻擊。而物聯網需要輕量級的安全體系、支持超大規模用戶數量，端到端密鑰交換，實現簡單，認證效率高，且運營成本低 。

　　最后本次物聯網安全方面的沙龍活動，在6位分享嘉賓和與會觀眾的激烈探討中接近了尾聲。在室內定位的應用中，如何確保用戶的數據安全和隱私?在場的觀眾和與會嘉賓針對這個問題進行了深入討論。