9月16日,由工业和信息化部、科学技术部、江苏省人民政府共同主办,江苏省经济和信息化委员会、江苏省科学技术厅、无锡市人民政府联合承办的2018世界物联网博览会在无锡举行。
360企业安全集团副总裁张聪应邀在“信息安全高峰论坛暨第十一届信息安全漏洞分析与风险评估大会”上发表主题演讲时表示,针对物联网的安全挑战,我们需要加强物联网全生命周期安全管理,构建覆盖物联网系统建设各环节的安全防护体系。
物联网的安全困境
全球联网设备数量高速增长,“万物互联”成为全球网络未来发展的重要方向。据GSMA预测,2025年全球物联网设备数量将达到252亿;工业物联网连接量在2016年至2025年间,将从24亿增加到138亿,增幅达5倍左右。
随着物联网的发展,物联网的威胁也同步快速增长:从全球分布来看,路由器、视频监控设备暴露数量占比较高。路由器暴露数量超过3000万台,视频监控设备暴露数量超过1700万台。由此带来的物联网安全事件频发,包括2016年的美国东部地区因遭遇摄像头DDoS攻击出现大面积断网,以及近一年出现的永恒之蓝、GlobeImposter 等新型勒索病毒造成停工停产事件。
实际上,目物联网安全面临困局,这主要是因为,互联网玩家能理解网络世界当中的威胁和风险,能够理解如何建立网络和进行数字化处理,并理解如何维护网络的安全。但却不理解物理世界当中的安全规律。物联网玩家则理解物理世界当中的威胁和风险,理解如何构建和维持物理世界的安全,但却不理解网络世界当中的黑暗。
应对物联网的安全困局,我们需要全新的思路和更好的视野。
物联网安全需要更高的角度
正如上所述,物联网安全防护需要新的思维和手段。360企业安全集团副总裁张聪在演讲时表示,业界应该站在更高的角度看待物联网系统安全,从身份和动机、应用与数据、设备与网络等方面,进行物联网安全的全面防护。
在身份安全和动机方面,对数据访问者进行身份认证和访问控制,并进行行为分析,从而可以更加实时地发现风险。
在应用和数据层方面,提供物联网应用的三域防护——用户域、数据域和感知域,分别保护保护数字世界和人的交互、保护数字世界的处理能力和保护数字世界和环境的交互。
在设备和网络方面,通过云管端等多个层面,对物联网进行立体防护。
全生命周期的安全思路
360企业安全集团副总裁张聪在演讲时还强调,成功应对物联网安全的挑战,我们需要加强物联网全生命周期安全管理,构建覆盖物联网系统建设各环节的安全防护体系,在物联网的开发阶段、建设与验收阶段、运营维护阶段、系统废弃阶段都能对物联网进行很好的安全防护。
具体来说,在开发阶段,严格依据要求和规范进行系统软硬件开发及测试,并阶段性开展安全测试;在建设和验收阶段,严格执行安全管理,在系统建设完成后进行安全风险评估,保障安全防护的有效性和合规性。在运营维护阶段,定期进行安全风险评估,持续跟踪威胁情报和信息,改进安全管理和防护措施;在系统废弃阶段,做好残余信息清理工作,形成全生命周期安全防护管理体系。
据悉,360企业安全集团发布了针对物联网的端到端防御体系架构,可以覆盖传感器、终端计算、接入、传输、云设施、云数据、云应用、移动APP等各个层面,涵盖终端、网络、云和移动四大环节。
打造丰富的物联网安全生态
构建端到端防御体系的构建,离不开丰富的安全生态。据张聪介绍,目前,360企业安全正在联合业界合作伙伴,构建丰富的物联网安全生态,从而可以为物联网提供更全面的防护。
目前,360企业安全已经建设了沈阳工控安全实验室、北京物联网安全研究中心、上海物联网安全实验室、无锡物联网安全运营中心等实验室,此外还发布了360企业安全物联网安全指导方案及开放平台,包括IoT设备开发安全、IoT设备自身安全、IOT设备安全评估、IoT设备网络准入、IoT设备通讯安全、IoT安全态势感知、IoT云端安全,可以向合作伙伴提供各种开发与测试支持。
此外,360企业安全还与行业、厂商开展了电网物联网及泛终端漏洞评估及安全防护技术研究、中国电信物联网安全规范、智能家居及家电安全防护技术研究、视频网络安全及认证技术研究等多项研究,与中国信通院、清华大学、浙江大学等学术机构开展多项合作。
作为国内政企安全领军企业,360企业安全将会持续以创新的安全理念、领先的安全技术和方案,广泛联合业界众多合作伙伴,为物联网安全提供全面的防护。
好文章,需要你的鼓励
树莓派基金会调查发现,尽管60%的家长认为编程是孩子的重要技能,但超过70%的家长表示孩子在正常课程中没有学习编程。该基金会CEO指出,随着AI技术快速发展,年轻人掌握技术理解和创造能力比以往更重要。超半数家长认为编程应成为必修课程,并相信学习编程能提升孩子未来职业前景。为填补学校教育空白,基金会呼吁在学校和图书馆广泛设立编程俱乐部,目标到2035年全球教授1000万儿童编程技能。
Patronus AI发布突破性研究,构建了首个系统性AI代理错误评估体系TRAIL,涵盖148个真实案例和21种错误类型。研究发现即使最先进的AI模型在复杂任务错误识别上准确率仅11%,揭示了当前AI代理系统在长文本处理、推理能力和自我监控方面的重大局限,为构建更可靠的AI系统指明方向。
文章介绍了AI大语言模型中最新的深度研究功能,这是目前最令人印象深刻的新功能之一。作者详细解析了ChatGPT、Claude和Gemini等主流模型的使用方法,并重点展示了深度研究功能的实际应用。通过实际测试,作者用ChatGPT 4.5的深度研究功能生成了一份关于1990-2025年最令人厌烦歌曲的详细报告,展示了AI如何通过思维链进行深度研究和分析。文章还提到了语音交互模式将进一步改变用户与AI的交互体验。
这项研究首次从理论和实践证明AI模型可通过模仿生物睡眠-学习周期显著提升性能。研究发现AI训练中存在自发的"记忆-压缩循环",并据此开发了GAPT算法,在大语言模型预训练中实现4.8%性能提升和70%表示效率改善,在算术泛化任务中提升35%,为AI发展指出了注重信息整理而非单纯数据扩展的新方向。