物聯網（IoT）正在飛速發展。物聯網可(kě)實現人(rén)員(yuán)、網絡和物理(lǐ)服務之間的無縫連接，從(cóng)而改善效率，促進創新，帶來(lái)定制化的體(tǐ)驗。網絡連接設備已經無處不在，充斥在我們日(rì)常生(shēng)活的許多方面，從(cóng)健身(shēn)跟蹤器、起搏器和汽車到向我們的家庭提供水和電力的控制系統。物聯網的發展前景無可(kě)限量。Statisca 預計(jì)，未來(lái)數年(nián)，物聯網市場的規模将保持20% 以上的增速（見(jiàn)圖1）。
 

       2007 年(nián)1 月份，波士頓咨詢集團（BCG）發布最新的物聯網市場研究報告， 預測到2020 年(nián)，物聯網科(kē)技、産品和服務領域的支出将達到2670 億美元，複合年(nián)度增長率（CAGR）将不低于20%，服務和物聯網應用将成爲增速最快(kuài)的，領域占據物聯網增量中60% 以上的份額（詳見(jiàn)圖2）。

        2017 年(nián)2 月份，Gartner 發布報告，預測2017 年(nián)将有84 億台聯網設備，較2016 年(nián)增長31%，到2020 年(nián)将達到2040 億台。2017 年(nián)終端和服務的總支出将達到接近兩萬億美元。就(jiù)區域而言，大(dà)中華區、北美和西歐将成爲物聯網發展的主戰場，2017 年(nián)占據所有聯網設備總數的67%。2017 年(nián)，消費領域的聯網設備數量達到52 億台，占據總聯網設備數量的63%。商業領域的聯網設備數量爲31 億台。消費者使用的物聯網設備主要是智能電視和數字機(jī)頂盒，商業用戶使用的主要是智能電表和商用安全監控攝像頭（詳見(jiàn)圖3）。

        盡管消費者購(gòu)買了更多的設備，但(dàn)是商業用戶的支出額更高。2017 年(nián)，商用物聯網支出比例占到整體(tǐ)物聯網支出比例的57%，其中商業用戶硬件(jiàn)的支出爲9640 億美元，消費者硬件(jiàn)的支出爲7250 億美元。到2020 年(nián)，兩部門(mén)的硬件(jiàn)支出将達到接近3 萬億美元（詳見(jiàn)圖4）。對于物聯網整體(tǐ)産業規模的估計(jì)，各個研究機(jī)構的數據差異較大(dà)，這說(shuō)明物聯網的定義和統計(jì)方面仍存在一些模糊的概念，但(dàn)都(dōu)認可(kě)物聯網會持續高速增長，未來(lái)5 年(nián)的年(nián)均增長不會低于20%。基于這種判斷，諸多資本大(dà)鳄已經紛紛将觸角伸向物聯網。2016 年(nián)，互聯網教父孫正義以320 億美元的全現金對價收購(gòu)了物聯網芯片巨頭ARM。孫正義在ARM 科(kē)技大(dà)會上進行的主題演講中表示，物聯網将會引領下一輪技術(shù)爆炸，正如(rú)在地球演變曆史上寒武紀爆發形成了無數新物種一樣，用不了多久，聯網的物聯網設備數量将會達到1 萬億，從(cóng)而形成“奇點”，導緻強于人(rén)類的人(rén)工(gōng)智能的出現。

      物聯網雖然會促進經濟增長，提高民(mín)衆的生(shēng)活質量，但(dàn)同樣會帶來(lái)巨大(dà)的風(fēng)險。物聯網的發展使得(de)網絡攻擊帶來(lái)的危害呈指數級上升。技術(shù)的進步大(dà)幅提高了網絡攻擊的成功率，網絡攻擊難以溯源，而且随着世界逐漸連通，網絡攻擊所帶來(lái)的收益和影(yǐng)響也會大(dà)幅上升。這些因素都(dōu)會導緻網絡攻擊愈演愈烈。以最近流行的勒索病毒WannaCry 爲例，包括ATM 和加油站(zhàn)在内的很多物聯網設備都(dōu)受到了波及，加油站(zhàn)無法加油，ATM 機(jī)無法取款。可(kě)以預見(jiàn)，随着物聯網的進一步發展，網絡攻擊會越來(lái)越頻繁，造成的損失也會越來(lái)越沉重。

       孫正義雖然極度看(kàn)好物聯網的發展，但(dàn)他(tā)同時也指出，未來(lái)1 萬億顆聯網的物聯網芯片将使得(de)安全問(wèn)題越來(lái)越突出。物聯網的指數級增長也将使得(de)安全威脅的廣度和破壞度呈指數級增長。以車聯網爲例，目前一輛(liàng)汽車裡(lǐ)有約500 塊ARM 的芯片，未來(lái)随着自(zì)動駕駛的普及，汽車内的芯片數量會大(dà)幅增長，這會帶來(lái)極大(dà)的安全威脅。在最新的電影(yǐng)《速度與激情8》中就(jiù)通過電影(yǐng)屏幕預測了可(kě)能的風(fēng)險。通過黑(hēi)客技術(shù)可(kě)以控制所有的設備，使得(de)每輛(liàng)汽車都(dōu)成爲一個潛在的攻擊工(gōng)具，其帶來(lái)的危害令人(rén)瞠目結舌。安全發展的嚴重滞後會帶來(lái)一系列的風(fēng)險。不僅如(rú)此，随着諸多的國(guó)家關鍵基礎設施聯入網絡，網絡攻擊所帶來(lái)的風(fēng)險将上升到國(guó)家安全的角度。美國(guó)國(guó)土(tǔ)安全部在2016 年(nián)11 月發布的《保護物聯網安全的戰略原則》一文中明确指出，“物聯網生(shēng)态系統帶來(lái)了風(fēng)險，包括惡意行爲者修改網絡設備信息或篡改設備本身(shēn)，這可(kě)能導緻敏感數據和消費者隐私丢失、業務運營中斷、通過大(dà)規模分(fēn)布式拒絕服務攻擊停滞網絡功能以及關鍵基礎設施中斷。…去(qù)年(nián)，在烏克蘭部分(fēn)地區針對電網的網絡攻擊中，我們觀察到連通系統故障可(kě)能導緻的嚴重後果。物聯網安全已經成爲國(guó)土(tǔ)安全問(wèn)題。” 此外，黑(hēi)客還(hái)會利用物聯網設備作(zuò)爲橋頭堡來(lái)攻擊其他(tā)設備。例如(rú)，2016年(nián)的Mirai 就(jiù)使用物聯網設備來(lái)攻擊互聯網基礎設施，導緻歐洲和北美的互聯網中斷，最終的經濟損失高達1000 萬美元。
      
       但(dàn)是，物聯網的安全發展嚴重滞後于物聯網的創新和部署進展，這造成了重大(dà)的安全和經濟風(fēng)險。麥肯錫認爲，當前的物聯網安全主要面臨以下幾個問(wèn)題：

（1）技術(shù)能力不足：即使單台設備在單獨使用時安全可(kě)靠，但(dàn)設備組成的複雜系統會提供新的攻擊窗(chuāng)口。系統最薄弱的一環決定了系統整體(tǐ)的安全水平。系統保護者必将将其精力和資源分(fēn)散到全部網絡中，而黑(hēi)客隻需攻其一點。這種攻防上的不對稱就(jiù)要求防護者建立更加複雜和先進的系統。系統集成商有責任提供安全解決方案，但(dàn)其能力往往不足。

（2）标準缺乏或不成熟：物聯網目前缺乏成熟的标準，導緻不同的技術(shù)棧之間無法協同。大(dà)型的廠(chǎng)商和機(jī)構都(dōu)有自(zì)己獨特的解決方案，技術(shù)标準之間互不兼容。缺乏通用的标準，就(jiù)無法制定端到端的安全解決方案。這嚴重制約了物聯網的發展。

（3）客戶和終端用戶仍将物聯網安全視爲一種商品：這使得(de)他(tā)們不願意爲安全付出更高的成本，導緻安全産業的規模受限。

       有鑒于此，美國(guó)國(guó)土(tǔ)安全部提出：“政府和行業必須快(kuài)速合作(zuò)，确保物聯網生(shēng)态系統建立在可(kě)靠和安全的基礎上。2014 年(nián)，美國(guó)總統國(guó)家安全電信咨詢委員(yuán)會（NSTAC）強調需要采取緊急行動。物聯網普及的速度和範圍都(dōu)會增加，這将影(yǐng)響到社會的所有部門(mén)。國(guó)家的挑戰是确保物聯網的采用不會造成不必要的風(fēng)險。另外需要設置一個小型的快(kuài)速關閉窗(chuāng)口，以确保最大(dà)限度地提高物聯網的安全性。否則可(kě)能會面臨嚴重後果。”

物聯網安全投資方向分(fēn)析

      安全滞後于發展是一種常态， 因爲隻有在發展暴露出風(fēng)險後，安全才能得(de)到足夠的重視和投資。目前，相(xiàng)較于物聯網市場的規模， 物聯網安全市場還(hái)非常弱小。根據MARKETSANDMARKETS 的報告，物聯網安全市場2016 年(nián)的市場規模爲79 億美元，相(xiàng)較于物聯網動辄上萬億的市場占比微不足道。

       在這種情況下，物聯網安全無疑也成爲各路(lù)資金追逐的熱(rè)土(tǔ)。雖然目前的物聯網安全市場規模仍然很小，但(dàn)預計(jì)未來(lái)會呈爆發式增長。MARKETSANDMARKETS 預測， 未來(lái)五年(nián)物聯網安全市場将從(cóng)2016 年(nián)的79 億美元增長到2021 年(nián)的369.5 億美元，5 年(nián)增長4 倍，年(nián)均複合平均增速接近50%。物聯網安全已經成爲兵(bīng)家必争之地。

       總部位于波士頓的咨詢公司Lux Research 對初創物聯網安全公司進行的調查顯示，2015 年(nián)，物聯網風(fēng)險投資融資額增長了78%，達到2.28億美元，2016 年(nián)再度增長82%，達到4 億美元（美國(guó)的物聯網安全風(fēng)險投資曆年(nián)增長情況見(jiàn)圖5）。大(dà)約一半的物聯網安全初創公司位于美國(guó)，還(hái)有三分(fēn)之一位于以色列。其中超過一半的公司緻力于提供能夠支持多種類型物聯網設備和環境的安全平台，其他(tā)的熱(rè)點領域還(hái)包括工(gōng)控系統網絡安全和車聯網安全。也有不少公司關注物聯網環境下的認證和加密。最近廣受關注的物聯網安全領域的風(fēng)險投資包括：

       2017 年(nián)3 月份，三星電子通過其旗下的Samsung Next 風(fēng)險基金成爲Bayshore Networks 早期A 輪的投資者，具體(tǐ)投資金額未披露（韓國(guó)媒體(tǐ)估計(jì)爲數百萬美元）。Bayshore Networks 成立于2012 年(nián)，主要業務是工(gōng)業物聯網領域的網絡安全，幫助企業安全地在工(gōng)業環境下應用物聯網技術(shù)7。除了三星以外，全球最大(dà)的電子測量儀器制造商日(rì)本Yokigawa Electric 也參與了對Bayshore Networks 的投資。

       2017 年(nián)5 月份，Sway Ventures、Shasta Ventures、Trident Capital Fund 和GE Ventures 投資于物聯網安全公司Mocana，總投資金額高達9360 萬美元。Mocana 成立于2002 年(nián)， 提供嵌入式安全。


 整體(tǐ)而言，目前物聯網安全領域的投資主要包括以下幾個方面：

（1）物聯網網絡安全：保護，将物聯網設備與後端互聯網系統相(xiàng)連網絡的安全。由于存在更爲廣泛的通信協議(yì)、标準和設備，相(xiàng)較于傳統網絡，物聯網網絡的安全更具有挑戰性。需要提供的能力包括傳統的端點安全功能，例如(rú)反病毒和反蠕蟲病毒軟件(jiàn)，以及諸如(rú)防火(huǒ)牆和入侵檢測等功能。目前代表廠(chǎng)商包括：Bayshore Networks、Cisco、Darktrace 和Senrio。

（2）物聯網身(shēn)份認證：使用戶能夠安全使用物聯網設備的能力，包括對多個用戶使用單一設備的管理(lǐ)（比如(rú)車聯網），具體(tǐ)方法包括簡單的靜(jìng)态密碼、雙因子認證、數字證書(shū)和生(shēng)物指标。和傳統網絡最大(dà)的不同是，傳統網絡需要人(rén)工(gōng)輸入密碼，而在很多物聯網認證場景中都(dōu)是機(jī)器與機(jī)器之間的對話(huà)（例如(rú)嵌入式傳感器），無需人(rén)工(gōng)幹預。代表廠(chǎng)商包括Baimos Technologies、Covisint、Device Authority、Entrust Datacard 和Gemalto；

（3）物聯網加密：使用标準的加密算法，在物聯網的終端設備和後台系統端點或傳輸過程中進行加密，以保證數據的完整性，防止黑(hēi)客竊取數據。物聯網設備和硬件(jiàn)的多元化限制了标準化加密流程和協議(yì)的應用。此外，所有的物聯網加密必須采用同等的全面密鑰生(shēng)命周期管理(lǐ)流程，否則脆弱的密鑰管理(lǐ)會降低整體(tǐ)的安全水平。代表性廠(chǎng)商包括 Cisco、Entrust Datacard、Gemalto、HPE、Lynx Software Technologies 和Symantec。

（4）物聯網PKI（公共密鑰基礎設施）：提供完整的X.509 數字證書(shū)、密鑰和生(shēng)命周期管理(lǐ)能力，包括公私密鑰生(shēng)成、分(fēn)發、管理(lǐ)和撤銷。某些物聯網設備的硬件(jiàn)規格可(kě)能不适于采用PKI。可(kě)在生(shēng)産時将數字證書(shū)安全地加載到物聯網設備中，随後通過第三方軟件(jiàn)激活，也會在生(shēng)産後再安裝證書(shū)。代表廠(chǎng)商包括DigiCert、Entrust Datacard、Gemalto、HPE、Symantec 和WISeKey。

（5）物聯網安全分(fēn)析：搜集、彙總、監控和标準化來(lái)自(zì)物聯網設備的數據，提供具備可(kě)操作(zuò)性的報告，對并意外情況報警。這些解決方案需要基于複雜的機(jī)器學習、人(rén)工(gōng)智能和大(dà)數據技術(shù)來(lái)提高預測的準确度。物聯網安全分(fēn)析可(kě)用于檢測諸如(rú)防火(huǒ)牆等傳統網絡安全解決方案無法識别的針對物聯網的攻擊和入侵。代表廠(chǎng)商包括Cisco、Indegy、Kaspersky Lab、SAP和Senrio。

（6）物聯網API（應用程序接口）安全：驗證和授權數據在物聯網設備、終端系統和應用之間轉移的能力。應用程序接口安全對于保護數據傳遞過程中的完整性至關重要。代表廠(chǎng)商包括Akana、Apigee/Google、Axway、CA Technologies、Mashery/TIBCO、MuleSoft 和WS02。
                                                                            結 語

      物聯網的發展是大(dà)勢所趨，但(dàn)安全将成爲制約其發展的核心要素。随着世界日(rì)益在線，網絡攻擊帶來(lái)的收益和影(yǐng)響力會越來(lái)越大(dà)，網絡安全事(shì)故的爆發隻是時間問(wèn)題，而且其規模和影(yǐng)響力會持續上升。安全總是滞後于發展。每次事(shì)故都(dōu)會加速安全行業的投入和發展。未來(lái)數年(nián)甚至數十年(nián)，持續保持高速增長的物聯網安全領域都(dōu)将成爲資金追逐的熱(rè)點。
（本文選自(zì)《信息安全與通信保密》2017年(nián)第六期）