皇后問魔鏡誰是世界上最漂亮的人,物聯網技術使得魔鏡擁有視覺感知和對話交互能力,而背後的大數據、豐富的算法、深度的學習機制則讓魔鏡可以給出科學的回答——當然是白雪公主。
在我們的時代,兩股浪潮同時湧現。一股是人工智能,一股是物聯網,兩者相互融合,推動著技術的發展,也推動著我們進入AIoT (AI+IoT) 時代。藉助物聯網和人工智能技術,上述的童話情節可能變成現實,但是,這兩種技術同時也可能帶來了安全上的擔憂。
本文為中民金服關於AIoT時代信息安全的思考。
一、What | AIoT時代已經到來
2005年,國際電信聯盟提出了物聯網(IoT)的概念,自此之後,物聯網產業迅速發展,傳感器、雲計算、微型芯片等硬件產品不斷地應用到各個領域,如智能家居、數字醫療、汽車以及工業設備等,並在此之上建立起廣泛的、多層次的物聯網網絡,使信息能夠進行高效低成本的傳輸與分享。
新興技術如大數據、雲計算、邊緣計算和人工智能,更在此物聯網基礎之上對數據進行深層次的研究與開發,最終使終端設備的運營更加智能。例如智能化的健康、健身建議,根據交通狀況實時優化的城市交通管理等等。AI與IoT互相促進,密不可分,5G萬物互聯+AI智能應用不再是構想,而是正在發生的事實。
圖一 物聯網邏輯架構 來源:張玉清,周威,彭安妮. 物聯網安全綜述[J]. 計算機研究與發展, 2017, 54(10): 2130-2143.
在AIoT 時代,AI有可能放大IoT終端面臨的傳統安全風險,隱私與數據安全問題日益凸顯,面對信息安全隱患,我們應該如何看待及採取應對措施呢?
二、Risk | 安全問題正在凸顯
在快速發展的同時,物聯網的硬件、系統、網絡和應用等各層級都會出現安全漏洞而被惡意攻擊和權限濫用。簡單彙總如下:
物聯網的安全問題正在凸顯:
2015年2月,寶馬集團旗下上百萬輛汽車被爆出存在安全缺陷,所配備的ConnectedDrive數字服務系統存在漏洞,可被黑客利用遠程打開車門;
2015年9月,兩名網絡專家通過特斯拉ModelS存在的漏洞,打開車門、啟動併成功將車開走;
某公司IP攝像頭因沒有及時更新軟件,安全漏洞仍然遺留,黑客可以利用這些漏洞侵入攝像頭,獲取用戶隱私數據。
而隨著人工智能技術在物聯網的應用,黑客一方面可以加快數據和用戶習慣的分析,從而加速攻擊進度;另一方面,網絡犯罪份子可以利用人工智能技術,改變傳統的威脅形式,使電信詐騙、隱私竊取更隱蔽、更難以防範。通用的人工智能技術,在為社會提供價值的同時,也會被不當利用,放大物聯網終端面臨的安全風險。
未來物聯網設備的廣泛使用,個人信息、隱私數據的界定難以跟上現實用戶隱私保護的需求。個人信息濫用現象會愈加普遍,利用大數據技術進行挖掘分析與個人信息、隱私保護之間的天然矛盾會迅速加深。
三、Opportunity | 超過2000億美元的市場
隨著物聯網的經濟價值增長,相應的信息安全與防護市場也不斷擴大,據Gartner預測,全球物聯網安全支出,在2021年底,將有望達到31億美元。
而從整個信息安全的角度看,這一市場規模還要大得多,根據三大市場研究機構IDC、Gartner、PMR的估算,2025年全球的信息安全市場規模有望超過2000億美元,年化增速超過11%。
在萬物互聯的新時代,面對的將是涵蓋從硬件終端到應用層的全方位威脅,因此必須有全端的安全防護措施,以及新的安防技術。眾多初創公司也紛紛瞄準這一市場,在細分領域與傳統安全公司同臺競技。下面列出了安全防護的幾個細分領域具有代表性的公司:
四、How|保障安全的政策與技術
隨著物聯網的飛速發展,物聯網安全也將成為這萬億規模市場中的藍海。正如前所述,物聯網安全是一個貫穿全產業鏈環節的系統工程,需要從底層芯片、軟件系統、數據採集、數據存儲、數據分析、網絡傳輸到上層應用的全產業鏈進行管理和防護。更為重要的是從政策、安全認知等方面去重視和推動物聯網的安全:
政策上制定政策與標準,加強監管
推動相關主管部門開展研究,加大對於數據濫用、版權侵害、侵犯個人隱私等行為的懲戒力度;建立完善的第三方檢測體系,建立物聯網安全檢測認證,從整體上保證行業健康發展。
技術上積極探索區塊鏈、輕量化防護等
區塊鏈技術具有去中心化、數據不可篡改、可追溯、開放性、自治性等特點,這和物聯網本質上具有相似之處。未來物聯網設備的運營應該是自治和去中心化的,雖然各物聯網設備彼此相連,但在未來百億級別的設備數量的情況下,傳統的中心化網絡將面臨很大壓力,而區塊鏈分佈式的網絡結構可以使得設備之間保持共識,無需中心進行驗證,效率提升。另外,加密的分佈式網絡也可以保證即使局部網絡受損,整體依然可以可靠運行,提升運行的安全性。
輕量化的防護技術將會受到重視。智能終端普遍功能簡單,無法進行復雜安全防護計算,易成為不法分子的突破口。因此,為這些計算能力受限、結構簡單、容量有限的終端設備提升防護能力,也會成為未來研究的重點。例如,使用輕量級的加密認證技術節省終端設備的資源消耗,使物聯網設備加密計算不再“亞歷山大”;低成本、低能耗的安全芯片,實現硬件級的高強度加密,提供可信的環境和安全存儲,有效地抵禦黑客攻擊。
AIot時代的信息安全措施部署需要從整體考慮,由產業鏈各環節攜手協作推動,形成安全閉環,杜絕安全短板。
2017年4月,全國信息安全標準化技術委員會大數據安全標準特別工作組發佈了《大數據安全標準化白皮書》,我國的大數據安全技術標準體系正在逐步完善。
閱讀更多 中民投 的文章
