物联网安全不容回避

     伊朗在建的布什尔核电站遭到Stuxnet病毒攻击的消息一经伊朗媒体报道，便成为网上热议的话题之一，因为这是全球首个针对工业设施进行攻击的病毒。但却鲜见在物联网上出尽风头的相关人士就此慷慨激昂一番。

　　切莫以为工业设施跟物联网扯不到一块来。因为除了纯粹的工业过程实时控制外，机场、港口、大型建筑物等设施和通信、电力传输、交通、燃气、自来水等基础设施也都产生了对过程控制的强劲需求。从技术层面上看，这些需求最终都可以抽象成数据采集、控制计算和执行这三部分。

　　尽管应用的形态各种各样，领域也各有不同，但在计算机控制系统的原理上却大同小异。这就跟在PC上各种各样的应用都是可执行文件一样，既然Stuxnet可以通过侵入西门子可编程逻辑控制器（PLC）来攻击伊朗核电站，那么它也可以攻击其他使用西门子PLC的系统，进一步当然也可以攻击“东”门子、“南”门子的PLC，毕竟天底下叫PLM的玩意儿，基本上采用的都是继电器逻辑。你可以说核电站不是物联网，但能否认上述这些基础设施不是数字城市或者智慧城市的组成部分吗？如果还有人要说PLC与微纳传感器网络不沾边，笔者只好说，请不要再把物联网等同于微纳传感器网络。

　　Stuxnet病毒的出现，使得物联网的信息安全成为不容回避、刻不容缓的问题。因为物联网的信息安全更为复杂，而且在有些方面颠覆了信息安全的传统思维。俗话说“无利不起早”，如今病毒的制造者大多是想窃取有商业价值的信息，但这次Stuxnet感染的工业设施横跨PC和PLC平台，而且两个平台协同工作的关系是随机而复杂的，因此需要以强劲资金为后盾的高超技术投入，一般的病毒制造者是不会干这种费力不讨好的折本买卖的。

　　当一个强有力的组织出于非商业目的去制造病毒并实施攻击时，“我认为这将是一个转折点，以往只是网络犯罪，现在恐怕进入到了网络恐怖、网络武器和网络战争的时代。”卡巴斯基CEO卡巴斯基担忧地说。

　　物联网的安全问题比互联网更严重。就拿无线传感器网络（WSN）来说，节点有限的体积限制了电池的体积，而长时间的工作又使得节点内的CPU不可能做到高性能，而信息安全加密与认证又要求CPU的性能足够高，加之WSN节点间无线互联的薄弱环节，WSN的信息安全也应该引起人们的足够重视。

　　而诸如备份这样传统的互联网安全措施在物联网中并不适用，因为信息备份的边际成本很低，而在物联网中你不可能为了防止核电站被攻击而做一个备份核电站。

　　在全国各地大兴物联网建设且把物联网非技术化的今天，面对Stuxnet的危险，物联网信息安全问题必须得到正视。

　　诸如备份这样传统的互联网安全措施在物联网中并不适用，因为信息备份的边际成本很低，而在物联网中你不可能为了防止核电站被攻击而做一个备份核电站。