能否在物联网领域构建一个通用的安全模型?

 
因为缺乏人类的监督,也没有常见的安全手段可以使用,无数的、不同类型的物联网设备正在成为潜在的攻击目标。这些设备包括汽车、电动发动机、供水水泵等等……
乌克兰电力公司的网络系统在2015年年末时遭到黑客攻击,导致西部地区大规模停电。在该起事件中,多座变电站处于离线状态,超过230000个家庭和办公室遭遇了长达6小时的停电。“袭击者甚至还修改了关键设备的固件,使得它们不能被远程控制和切断开关,其它设备在之后的好几月内都必须手动控制”, 
ThingWorx产品管理高级主管Rob Black说到。
这是有史以来首次导致停电的网络攻击,此次针对工控系统的攻击无疑具有里程碑意义,引起国内外媒体高度关注。据报道,本次攻击来自俄罗斯黑客组织,使用的恶意软件被称为BlackEnergy(黑暗力量)。
图:BlackEnergy 攻击过程
又在去年7月,两名黑客远程控制了一辆大切诺基,使其在高速公路上以每小时70英里的速度行驶。他们通过无线控制雨刷的开启和关闭,把空调开到最大,并在行驶过程中切换了不同的电台广播,然后禁用传输功能,所以这辆吉普车行至州际公路时放缓了速度。
这两名黑客是为了宣传汽车所面临的物联网所带来的安全风险,而其也的确产生了效果——最终导致140万辆汽车被召回,不得不针对他们的系统打补丁。
不幸的是,面临物联网所带来的安全问题,大部分企业并不能仅仅通过召回汽车和修补他们的计算系统就能够轻易解决的。企业当前所面临的最大问题是:鉴于物联网设备已经在整个企业范围内得到广泛的使用和传播,企业的生产环境到底有多安全?而通过这些物联网设备来入侵企业网络有多容易?企业如何保护自身的安全?
物联网安全和云平台的安全不同
物联网的安全和云不同,云有定义明确的安全模型和有限的入口点,而物联网由于设备类型、操作系统和协议的不同,攻击目标更加广泛。
在云平台的用户管理方面,通常只需要针对特定项目给一个特定的人授予访问权限。然而物联网设备,需要更复杂的授权和权限模型。物联网设备可以作为一个个体或者一个个体的代表来进行自我验证。