北京顶象陈振学:飞速发展的物联网与汹涌的风险

责任编辑:甄清岚 2018.04.12 12:32 来源:通信世界网

通信世界网消息(CWW)4月12日,2018第二届中国信通业物联网大会在京召开。北京顶象技术有限公司副总裁-陈振学做了《飞速发展的物联网与汹涌的风险》的主题演讲!陈振学表示,互联网行业的业务和安全是相辅相成的。

演讲全文如下:

陈振学:感谢主持人,感谢各位嘉宾一直坚持到现在,我尽量用简短的时间把这个顶象的业务和我们今天的研讨主题给大家汇报一下。

顶象技术我们是专注于做安全,应该说我们物联网也好、互联网也好,在技术和业务环境下的安全是物联网企业和互联网企业都共同关注的问题。前面很多嘉宾从不同的角度和维度阐述了整个物联网发展的趋势和方向,以及新技术的涌现,我觉得对这个行业的蓬勃发展大家都从不同的维度做贡献,但有一个共同的话题就是安全。

互联网行业把业务和安全等同于一件事,没有安全的业务,或者没有业务的安全都是对这个业务发展有重大影响的,比如举个例子。上个月,我跟以色列的一个做太阳能的企业,他到中国来投资,想联合中国的一个公司,在中国搞楼顶很多空白的设施这些场地,老百姓自己投资,他付30%,这个公司出70%,大家共建,然后共同经营。按照太阳能发电的量,以利润的方式分配给各个参与的投资人。按道理讲这是一个很好的事业,比如说第一个解决了一个污染问题,一个是空白着不好看,另外空白的空间很大。同时也能够提供一个很好的投资渠道,这么一件很好的事情,结果在论证过程当中,刚开始搞了两个试点就发现了很多问题,这个确确实实是以色列的这个投资商没有考虑过的,或者以前在他的国家环境下没有接触过的。

比如它APP刚上线的第四天就被下线了,终端的程序也被破解了。无论从他所有建设太阳能的发电能量上都是不合规律的,显而易见做了一些手脚,而且这不是一个个例。实际上这是很典型的我们物联网面临的问题。

还有一个共享单车,共享单车的安全问题在早期也暴露出来了,比如我们车的定位系统,这个小的核心项,因为现在有好多共享单车也不存在了,那个小红车是重庆的,他是一个清华的博士带着四个硕士生搞了半年时间,投入很大的研发队伍,他推测应该是被友商把他搞塌了,但这个事情确实对这个企业后期影响比较大,丢车的现象,找不到车的现象,打不开锁的现象很普遍。

从这个角度来看,安全影响了我们整个物联网行业的发展,前面很多嘉宾提到,我们现在物联网发展受到制约,真正成规模,并且有规模优势的不太多,多数企业或者多数产业处在萌芽状态,举个例子来讲,我刚才跟京东的嘉宾坐在一起,前段时间接触过一个给京东提供智能运输的一个客户,跟他聊的时候,他说我也没有什么资金,跟运营端数据的交互量也不大,应该没有太多的风险。但是他有一个唯一担心的问题,他说我这个行业当中我是老大,我一共投入了将近一个多月的研发费用,我最核心的点就是算法,我不担心黑厂商找我,我担心同行找我。

第二个,他说我投入市场以后,一旦共享单车的运行不受控以后,当然它还有一些产品是为社区提供的公共服务的设备,如果产生危险,或者其他的安全,那么我这个事情可能就发展不起来,或者说在萌芽状态就被灭杀掉了。所以从这个角度来看,安全对我们整个行业来看是一个基础。所以我为了压缩时间,就不再重复这些了。

现在基本呈现了这么一个严重态势,比如说80%的终端设备存在隐私泄露的问题,还有70%的设备跟互联网异网通信是没有加密的。我们举例来讲,前段时间摄像头那个事件,其实它不仅是逆向的,其实它还把链路上的一些数据偷走,并且把数据做了编辑,这个事件的第二集好多人没看到,第二集更精彩。另外60%设备外部终端存在安全漏洞,60%的软件更新没有加密,搞技术或者搞研发的同学对这几个数据都应该心知肚明,也知道这里面的影响有多大。比如到2018年,我们现在预测行业也不会超过5亿美金。

为什么安全不被达到重视,特别是前面很多嘉宾从技术的角度,商业模式的角度说的很到位,但是安全上很少提,客观原因有几方面:

第一,对安全的标准,各行各业没有一个统一的标准,到底什么做到位,什么做的好没有统一的标准。

第二,厂商忙于研发,或者忙于产业的推进,没有意识到安全的问题。

第三,设备暴露在外面,这个工作不好做,7×24小时完完全全不受控制的状态。

第四,非法获取智能设备的成本比较低。

第五,软硬件资源受限,自研安全方案成本高。

这里面有几个案例,我不详细展开了。比如我们工业环节当中的,乌克兰电网事件,Iot行业一旦出安全问题是大问题,不是一两个用户,是一个社会的大问题。这是一个什么呢?特斯拉的,在推出它的无人驾驶汽车,我相信大家很熟悉,我不展开了。还有比如说心脏起搏器,按道理讲这是一个很好的解决手段,被黑厂商利用之后,人的生命完全掌握在他们手上。另外一个,因为以色列的设施农业很好,比如它的蕃茄酱的项目,是我们共同把它安全的架构搭建起来的,它从选种、育苗、田间管理一直到销售,为了达到一个色差的要求,它需要在点种的时间、时机、温度、湿度,以及在大田当中的管理过程,采集顺序,整个智能终端加上云端的程序控制,这一点它下把它的安全问题提出来,比如说我的一些传感器有没有被影响的可能?传输的数据有没有被篡改的可能?我业务有没有防护的机制?这个项目也在中国推广,在新疆建设生产推广。

再比如前一段我们摄像头这个事件,其实摄像头不仅涉及到家庭摄像头,还有工厂,如果这个摄像头对准工厂车间,那么这个工厂的核心数据就传输出去了。一个工厂在天然气方面有很好的研发,他本来是一个很好的初衷,把工人的操作状态用摄像头的方式传输给客户,让客户知道他们对质量的控制,结果他的摄像头对应的是数据车床,里面的一些数据一目了然,虽然后来警方把它的案子破了,但是对它的影响是非常大的。这是实实在在的案例。

但是即便是我们发现的这些,也不是我们所能想象的全部,整个行业面临的问题时时刻刻在发生。主要是两点:

第一,所有终端运营管理比较复杂。

第二,终端的运营能力也比较弱。

我现在统计了一下我们颠覆到的所有客户,大家基本上要求都在几个K以内的内存上,允许安全的产品,或者允许安全的设施来去布点。但是基本上我们现在能够找到的,不管是加密也好,还是其他的运行方式也好,还是说加固的方式也好,都不能满足这个要求。更关键还有一个颠覆性的问题,这是一个难点。

第二个难点,其实智能终端到云端的链路上,我们说云+端,这里面我们指的是管道当中的数据。针对这些围绕三个点,针对这些点的一个工具,或者切实的环境做了一些针对性的研发,也推出了一些在行业当中效果非常显著的安全产品。

第一个,从我们智能终端的嵌入芯片程序的保护,利用芯片保护技术,既解决的兼容性的问题,也实现了性能问题,基本上对性能没有什么影响。毫秒级的基础上我们可能要达到50%的降低,几乎是无感的。

第二个,移动设备APP的一些防护,包含一些SDK的安全防护,也通过同样的技术,同时包含数据的加密,也很好的解决了。

第三个,比如说交易、计费、支付,这些也是黑厂盯准的重点。这一类对技术要求也不高。

顶象我们推出的安全防御体系也很好的解决了这些问题。

我简单讲一下我们的解决方法,一个是固件一机一密。同样的技术用在不同的加固对象上,或者不同的加固环境上,技术原理是一样的,黑厂破了一个的话,其他的都是一个道理,所以不存在任何防卫的能力。黑厂也好,黑客也好,他也要算一个经济账,如果我通过十块钱的成本只拿到一块钱的收益,那么这个事他就不做了,所以这一点非但没有达到百分之百的安全,因为安全没有极致的,虽然没有达到百分之百的安全,但是通过这个投入产出比是实现了一个相对的安全。

更关键的利用我们一机一密可以实现数据的加密,刚才上面我已经提到了,如果也不是一个很好的防护的话,在顶象一机一密的保护下,我们有一些组件,包含链路上的数据的保护,都实现了很好的保护。

业务风控,从识别指纹到监控、到管理平台建立了全过程的防护体系,可以对垃圾注册、信用欺诈等等起到很好的防护作用。

总而言之,顶象业务链很聚焦,就是围绕两个点,一个点是终端的安全,终端芯片上的运营程序。第二点,围绕云端的安全做相关的产品。到现在为止,我们虽然成立时间不长,应该是从去年的5月份到现在,我们的市值也到了20多个亿,也完成了两轮融资。在此,我希望跟各位嘉宾以及各位企业我们共同努力把物联网行业的安全做好,同时为各位企业物联网事业的发展助力。

好,谢谢大家!


发表评论请先登录
...
CWW视点
暂无内容