‍‍‍中国信息安全测评中心王军：物联网安全不能纸上谈兵

2021世界物博会信息安全高峰论坛暨第十三届信息安全漏洞分析与风险评估大会（VARA2021）由中国信息安全测评中心、江苏省委网络安全和信息化委员会办公室、无锡市人民政府主办，大会将从国家网络安全和信息化发展的要求出发，探讨网络安全的实践与发展，国家网络安全建设、国际发展动态，交流前沿技术发展和最新技术应用等相关重点问题。
 
“物联网技术迭代及创新应用的同时，安全是个绕不开的问题，需同步建设，安全滞后会让相关企业付出几倍甚至是几十倍代价‍‍。”中国信息安全测评中心总工程师王军在VARA2021大会期间接受安全419采访时表示。
   
物联网安全威胁不容乐观
 
谈及当前物联网主要面临哪些安全威胁与挑战时，王军表示，物联网保留了大部分互联网或传统IT系统架构当中的威胁，同时根据物联网自身特点，如芯片级的应用局限性决定，其‍自身防护设计较弱，有的甚至没有考虑到安全问题，就无法应对攻击。‍‍
 
王军认为，物联网的安全性相比要更弱，一方面沿袭下来的设计局限性，会导致大多数安全机制难以在现在资源‍有限的物联网‍软硬件平台上实现，另一方面，物联网发展迅猛，应用面会导致物联网边界模糊，更存在跨设备融合、跨网融合特点，其危险要更广，被利用的概率也会更大。
 
从漏洞态势来看物联网安全这一话题时，王军给出了一组数据，目前CNNVD国家信息安全漏洞库中共有17万多条累积漏洞量，粗略统计，其中物联网相关漏洞共占到11%，这还是基于公开的漏洞，和基于国内外知名物联网厂商索引查询的数量，所以仅从漏洞态势层面来看，物联网安全威胁不容乐观。
 
物联网安全不能纸上谈兵
 
在谈及安全应对时王军表示，首先应建立应对物联网漏洞的安全防范机制，可以借鉴‍‍传统的网络安全做法，但特别需要注意的是，某些物联网领域是新兴的，而且是不断发展的，比如车联网，其自身的技术在发展，应用也在发展，而安全是随之而来的，其中有的问题可以借鉴其它领域的安全做法，同时更要注重自身的持续性安全研究。
 
王军强调，物联网安全方案不能纸上谈兵，因为物联网设备一旦出现问题，往往更容易和人身安全问题‍‍连在一起，其安全问题‍‍威胁更大，所以针对物联网的应急处置机制一定要实用化，包括整体架构、法律方面的遵循问题等等，要求物联网厂商要有确确实实‍‍机制来保障。‍‍
 
王军认为，物联网安全工作是一个大的系统工程，需要多方合作共同摸索。‍‍
 
VARA大会连续几年在无锡举办，今年大会主题是“创新可控智联，共铸网络安全”，与当地物联网产业相结合的VARA，为产、学、研提供了一个开放交流平台。在谈及产业发展与安全之间的关系时，王军认为，如果相关产业不能得到很好的发展，安全理念与技术落地也只能空谈。