青蓮云CEO董方：軟件定義的物聯(lián)網(wǎng)安全有十大關(guān)鍵點(diǎn)

（本站原創(chuàng)，作者是電子發(fā)燒友執(zhí)行副主編 章鷹）對(duì)于物聯(lián)網(wǎng)終端設(shè)備安全、物聯(lián)網(wǎng)設(shè)備云安全這些是物聯(lián)網(wǎng)行業(yè)內(nèi)發(fā)展遇到的痛點(diǎn)問(wèn)題，客戶的聲音是非常有代表性的，一個(gè)主營(yíng)業(yè)務(wù)做智慧城市的廠商來(lái)說(shuō)，管理大量的攝像頭等終端產(chǎn)品和公共安全。又比如，百度的人工智能團(tuán)隊(duì)已經(jīng)有1億個(gè)終端，5000萬(wàn)個(gè)客戶，這些人工智能終端雖然是一個(gè)平臺(tái)，但是嵌入到設(shè)備以后，遇到安全問(wèn)題，影響非常大。還有，一個(gè)智能硬件解決方案的廠商，他指出安全首先涉及到隱私或者數(shù)據(jù)是否會(huì)被泄露，其次是隨著更多家電入網(wǎng)，大功率電器如果被黑客操控或利用，會(huì)造成整個(gè)電網(wǎng)的癱瘓。

物聯(lián)網(wǎng)安全的痛點(diǎn)問(wèn)題已經(jīng)讓企業(yè)部署物聯(lián)網(wǎng)有些猶豫不決，來(lái)自著名研究機(jī)構(gòu)Gartner的研究總監(jiān)相斌斌表示，35%的企業(yè)認(rèn)為安全是物聯(lián)網(wǎng)部署獲得成功的最大障礙因素。Gartner預(yù)測(cè)，2020年有超過(guò)25%的安全入侵是與物聯(lián)網(wǎng)相關(guān)，但是物聯(lián)網(wǎng)的安全在整個(gè)IT安全預(yù)算中只占10%。

8月16日，在深圳四季酒店的宴會(huì)廳，青蓮云的物聯(lián)網(wǎng)新品發(fā)布會(huì)上，青蓮云的CEO董方帶來(lái)了最新的青蓮云重磅發(fā)布了“TinyEye物聯(lián)網(wǎng)設(shè)備終端安全管理系統(tǒng)”、“ TinyGate物聯(lián)網(wǎng)設(shè)備云安全接入網(wǎng)關(guān)”兩款業(yè)內(nèi)具有開(kāi)創(chuàng)性的最新產(chǎn)品。記者對(duì)董總進(jìn)行了采訪，董總分享了對(duì)青蓮云對(duì)物聯(lián)網(wǎng)安全理念的定義，物聯(lián)網(wǎng)與互聯(lián)網(wǎng)安全有哪些本質(zhì)區(qū)別，青蓮云產(chǎn)品的獨(dú)特優(yōu)勢(shì)，在這里分享給廣大的物聯(lián)網(wǎng)行業(yè)工程師。

圖1：青蓮云CEO董方

青蓮云的物聯(lián)網(wǎng)安全理念是什么？

Gartner的研究總監(jiān)相斌斌指出，對(duì)于現(xiàn)在已經(jīng)部署物聯(lián)網(wǎng)的企業(yè)當(dāng)中，每家企業(yè)有超過(guò)11種不同類型的物聯(lián)網(wǎng)終端，這些設(shè)備來(lái)自于超過(guò)5家的設(shè)備制造商。這么多樣化的設(shè)備跑在這么復(fù)雜的環(huán)境中，給企業(yè)系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)，這個(gè)風(fēng)險(xiǎn)很大程度上是企業(yè)沒(méi)有意識(shí)到的。Gartner對(duì)物聯(lián)網(wǎng)安全領(lǐng)域數(shù)據(jù)發(fā)掘和前瞻見(jiàn)解，正與青蓮云CEO董方先生追求的讓安全成為物聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)服務(wù)設(shè)施的理念不謀而合。

物聯(lián)網(wǎng)安全問(wèn)題正處在大規(guī)模爆發(fā)的前夜，隨著物聯(lián)網(wǎng)的大規(guī)模應(yīng)用，尤其是隨著通用傳輸協(xié)議和通用操作系統(tǒng)的出現(xiàn)，為物聯(lián)網(wǎng)病毒廣泛傳播提供了有利條件。

青蓮云提出軟件定義物聯(lián)網(wǎng)業(yè)務(wù)安全的定位。CEO董方指出這句話兩大重點(diǎn)：一是軟件，我青蓮云是一家安全公司，我們用軟件來(lái)解決物聯(lián)網(wǎng)安全問(wèn)題。圍繞企業(yè)的業(yè)務(wù)邏輯做安全，不是僅給企業(yè)一套安全方案討論方案如何用，而是在開(kāi)始的時(shí)候，青蓮云所有方案都圍繞客戶業(yè)務(wù)來(lái)設(shè)計(jì)的。

目前市場(chǎng)上做互聯(lián)網(wǎng)安全的廠商很多，但做物聯(lián)網(wǎng)安全的公司鳳毛菱角，由于和傳統(tǒng)互聯(lián)網(wǎng)環(huán)境下的安全有很大差別，大部分物聯(lián)網(wǎng)公司都只擅長(zhǎng)做物聯(lián)網(wǎng)應(yīng)用，但是對(duì)物聯(lián)網(wǎng)安全幾乎都沒(méi)有涉及，無(wú)論是物聯(lián)網(wǎng)數(shù)據(jù)集采安全，還是物聯(lián)網(wǎng)接入安全管理、組網(wǎng)安全管理、網(wǎng)絡(luò)入侵監(jiān)測(cè)、網(wǎng)絡(luò)安全態(tài)勢(shì)感知、物聯(lián)網(wǎng)應(yīng)用病毒監(jiān)測(cè)，這都需要專業(yè)的物聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)廠商來(lái)提供。青蓮云顯然是這一領(lǐng)域的佼佼者。

物聯(lián)網(wǎng)安全和互聯(lián)網(wǎng)安全有哪些本質(zhì)區(qū)別？董方分析說(shuō)，有十大關(guān)鍵點(diǎn)要特別注意：

首先是架構(gòu)。董方指出，有一些物聯(lián)網(wǎng)平臺(tái)說(shuō)自身有安全防控能力，能夠抗擊DDOS，抗擊DDOS根本不是物聯(lián)網(wǎng)安全要做的事情，是IaaS網(wǎng)絡(luò)層的事情。物聯(lián)網(wǎng)新的架構(gòu)會(huì)帶來(lái)新的風(fēng)險(xiǎn)。

協(xié)議，物聯(lián)網(wǎng)的專屬協(xié)議；邊界，所有的傳統(tǒng)安全是邊界防御，ABS、防火墻等。物聯(lián)網(wǎng)設(shè)備賣到天涯海角，物聯(lián)網(wǎng)設(shè)備面臨的安全，青蓮云CEO董方認(rèn)為是無(wú)差別攻擊，黑一個(gè)設(shè)備是沒(méi)有邊界的；系統(tǒng)，物聯(lián)網(wǎng)操作系統(tǒng)跟傳統(tǒng)物聯(lián)網(wǎng)操作系統(tǒng)千差萬(wàn)別；APP，物聯(lián)網(wǎng)時(shí)代APP和硬件直接互接。物聯(lián)網(wǎng)的數(shù)據(jù)，都是TB的數(shù)據(jù)量；合規(guī)方面，國(guó)家正在制定新的安全法規(guī)。AI，來(lái)自AI的攻擊，傳統(tǒng)的黑客是黑服務(wù)器，在物聯(lián)網(wǎng)時(shí)代會(huì)面臨設(shè)備的攻擊。

物聯(lián)網(wǎng)安全與業(yè)務(wù)系統(tǒng)應(yīng)該怎么融合？董方指出，企業(yè)首先要識(shí)別哪些是重要資產(chǎn)，接著是識(shí)別這些資產(chǎn)面臨什么威脅或風(fēng)險(xiǎn)，比如數(shù)據(jù)庫(kù)就面臨被入侵的問(wèn)題。識(shí)別風(fēng)險(xiǎn)之后梳理業(yè)務(wù)邏輯，下一步就是根據(jù)業(yè)務(wù)邏輯做安全約束。最后是持續(xù)的安全迭代、優(yōu)化和改進(jìn)。

安全包括五大維度，包括設(shè)備安全、數(shù)據(jù)安全、擴(kuò)展安全、應(yīng)用安全、平臺(tái)安全。安全設(shè)計(jì)中要遵循的六大原則如下圖所示。

董方強(qiáng)調(diào)，傳統(tǒng)的網(wǎng)絡(luò)安全通過(guò)監(jiān)測(cè)發(fā)現(xiàn)問(wèn)題，裝防火墻攔截問(wèn)題，而在物聯(lián)網(wǎng)時(shí)代要在產(chǎn)品的研發(fā)初期，把通用的安全問(wèn)題全部約束掉，安全約束比安全防御更重要。

“當(dāng)前物聯(lián)網(wǎng)設(shè)備面臨的安全風(fēng)險(xiǎn)，無(wú)差別供給，黑客不是說(shuō)指定黑到某家，而是全網(wǎng)攻擊，根本不關(guān)心產(chǎn)品屬于哪個(gè)廠家。2016年的攝像頭被黑導(dǎo)致美國(guó)東岸斷網(wǎng)，我們看到廠商有設(shè)備管理能力，但是缺乏安全管理能力?！倍椒治隽撕诳凸舯澈蟮脑?。

“為了應(yīng)對(duì)針對(duì)嵌入式操作系統(tǒng)的網(wǎng)絡(luò)攻擊，青蓮云TinyEye是物聯(lián)網(wǎng)設(shè)備終端安全管理系統(tǒng)，EDR in IoT，一個(gè)Agent，保護(hù)嵌入式操作系統(tǒng)運(yùn)行時(shí)安全。 TinyEye產(chǎn)品理念，構(gòu)建物聯(lián)網(wǎng)嵌入式系統(tǒng)運(yùn)行時(shí)安全基線。TinyGate的產(chǎn)品理念，基于安全狀態(tài)機(jī)保障設(shè)備的通信鏈路安全，覆蓋設(shè)備授權(quán)、身份鑒權(quán)、密鑰管理、加密傳輸、會(huì)話管理、數(shù)據(jù)簽名等多種功能?！?/p>

AI與物聯(lián)網(wǎng)安全有什么關(guān)系？對(duì)于這個(gè)熱點(diǎn)問(wèn)題，董方分析說(shuō)，IoT的設(shè)備是跟云端通信，如果這個(gè)設(shè)備被蠕蟲(chóng)病毒感染以后，同時(shí)也會(huì)跟云端通信，智能監(jiān)控是設(shè)備還在線，還是在工作，但同時(shí)會(huì)有一個(gè)紅色的線條跟僵尸網(wǎng)絡(luò)的Servers做連接，幾乎90%的僵尸網(wǎng)絡(luò)Servers都包括在Servers層，病毒批量感染，CNC的遠(yuǎn)程操控，這樣是監(jiān)控不到這些紅色線條。

但是TinyEye可以幫助企業(yè)發(fā)現(xiàn)，這個(gè)設(shè)備正在攻擊誰(shuí)，會(huì)多賦能企業(yè)一個(gè)能力。首先是流量捕獲，數(shù)據(jù)預(yù)處理，會(huì)做一些簡(jiǎn)單的處理，比如說(shuō)會(huì)分析這個(gè)數(shù)據(jù)包是單包還是有上下文關(guān)系，是一個(gè)子設(shè)備還是一個(gè)節(jié)點(diǎn)的設(shè)備。在預(yù)處理之后，我們會(huì)做特征提取，首先下面是一個(gè)無(wú)狀態(tài)的數(shù)據(jù)，針對(duì)無(wú)狀態(tài)的數(shù)據(jù)，從包的大小，包的協(xié)議，針對(duì)有狀態(tài)的數(shù)據(jù)從帶寬做分析，我們會(huì)用到神經(jīng)網(wǎng)絡(luò)來(lái)識(shí)別，最后得出一個(gè)結(jié)論，什么是正常的，什么是異常的。。

“嚴(yán)格來(lái)說(shuō)，青蓮云把AI用在物聯(lián)網(wǎng)安全的DDoS的檢測(cè)上，我們的理論是傳統(tǒng)打擊DDos，TinyEye從進(jìn)去到壓制，當(dāng)有攻擊的時(shí)候直接封，本地處理。”董方說(shuō)，我們希望在和客戶的合作中，把安全的基因傳遞給客戶，大家共同打造安全物聯(lián)網(wǎng)應(yīng)用等基礎(chǔ)服務(wù)設(shè)施，為行業(yè)安全貢獻(xiàn)自己的綿薄之力。