3.4.2 海量异构终端互联带来的安全短板
51
5G“新基建”、人工智能、数据中心等技术快速发展,带动了国家电网、制造业、商业、医疗等垂直行业迈向数字化、智能化。各个垂直行业海量的异构、计算能力不均的设备终端不断接入互联网,这些安全性低、性能有限的设备极大地限制了已有安全工具的开发、运行和维护,使得安全问题解决方案存在滞后,缺乏统一的安全防护体系,难以应对未知的威胁,具体情况如图 3-5 所示。
图 3-5 异构终端互联的问题及相关技术
(1)安全短板
异构终端互联网络有着终端设备数量大、应用场景多样化、业务属性多元化以及服务需求差异化等特点。近年来,针对智能家居、摄像头、工业物联网设备等终端设备的安全事件频发,究其原因,海量异构终端互联主要存在以下短板:
一是终端设备安全防护能力弱。因设备的数量和场景差异需求大,所以以低功耗、低成本设备为主,没有足够空间采用复杂的安全机制,同时,设备的关联性使得业务网络存在“单点攻破,全局瘫痪”的风险。
二是终端设备结构功能差异大。终端设备类型复杂多样、软硬件环境各异、匹配和防护差异明显;终端设备数量大、分布面广,组网结构复杂,均增加了管理和防护的难度。
三是终端设备与新技术兼容慢。移动边缘计算在提升数据处理效率的同时,也增加了可选择的网络攻击对象;IPv6 使海量终端设备拥有专属的地址成为可能,但也使设备直接暴露在互联网上;容器技术在提升开发效率的同时,也使得数据泄露和关联攻击风险增大。
(2)技术研究
针对异构终端存在的安全问题,已提出众多行之有效的技术。 终端身份认证技术主要分为基于用户账户密码、基于 MAC 地址、
基于用户公开身份、基于用户持有的令牌和基于用户生物特征这五种验证机制,同时,基于区块链的身份验证技术成为未来的重要研究方向之一。
终端数据保护技术主要包含数据脱敏和数据传输两个方面。不同的场景、不同的对象、不同的阶段,在数据保护技术上都应有所差异,比如防火墙、身份匿名、数据扰乱、模糊化位置等技术。
终端入侵检测技术主要检测终端互联网络中异常通信行为。通过对网络的实时监测实现对内部攻击和外部攻击的保护,具有实时性、主动性等特点。