2018白马湖峰会 | 中国信息通信研究院卜哲:网络安全让WiFi产业更快更好更远专栏号
1月18日下午, 由中国移动通信联合会指导、中国WiFi产业联盟主办、杭州高新区(滨江)管委会、政府协办,猛金沙手机网投老品牌值得信赖 WiFi圈承办、浙江省物联网产业协会、金绣国际孵化器、0到1空间、BigWiFi、快呗小程序、杭州滨江·物联网小镇、中国WiFi产业基地支持,四海众联、触云金沙手机网投老品牌值得信赖 、上海寰创、推啊战略合作的第五届中国WiFi产业峰会(2018白马湖峰会)于本月18日在杭州白马湖建国饭店成功举办。此次峰会以“新链接、新模式、新生态”为主题,聚焦新零售和大数据等领域。
中国信息通信研究院网络安全研究部主任卜哲出席本次会议,并作了主题为“网络安全让WiFi产业更快更好更远”的精彩分享。以下是分享全文:
大家下午好,很高兴有机会参加产业峰会。
一般产业峰会说安全比较突兀,今天还是来了,因为现在整个环境已经变了。如果说有安全问题的,逆向思考一下,大家关注度高了,这一块可能产生一些利益时,大家才会关注安全,这也是能从一个方面来说中国WiFi联盟,或者WiFi产业,实际上是一个发展的态势,这是一个好事。
这也是过去得益于2015年之后,中国国务院发明了互联网+的行动计划。大家可以对比一下2014年和2018年,WiFi的应用,不管是各种小程序也好,各个商家采用的业务也好,我感觉国家在推的情况下,也大幅度降低了资费,推一些宽带中国、光进铜退,让接入带宽上去了,资费下来了,整个WiFi产业也就欣欣向荣了。这里使整个产业充满了活力,同时产生了巨大的利益。利益来了之后,肯定有人盯上了,所以安全问题也不是过去不存在的,而是大家关注这个东西,要利用这个东西。
安全的问题不是一个新问题,是老问题,只不过这几年大家特别的关注。如果从这个角度来说,美好的生活来了,大家也不局限于现在有没有网,而是说现在的网速快不快,用这张网络安不安全。大家聚焦点都不一样了,所以说这次也和大家分享一下,在WIFI网络安全方面一些看法。
总体上四块,一个是风险;一个是防护;一个是合规;还有个人方面的工作建议。
首先说一下WiFi技术开始,大家也知道WiFi技术是基于802.11,同期有很多系列的技术。比如802.16,零几年的时候出现,当时速度更快,而且距离更远,是这么一个情况。但WiFi早期存在一些安全风险,它并不是一个新问题,而是大家聚焦了,成为一个热点和焦点。从一开始的时候,可能无线组网方面,破解协议的问题,还有网络的安全隐患,传统的安全风险主要集中在组网安全和认证计费的安全方面。早期WiFi的安全是为了计费存在的,这是早期安全的风险。
多少年前深圳地铁的控制信号和乘客带WiFi的APP信号冲突导致的情况,可能导致行车的中断,一些不必要的恐慌。2017年10月16号同样一个老问题一直没有彻底解决,随着技术的进步,导致很多协议被破解,整个世界的WiFi都不安全了。2014年时用了更长时间的方式和方法破解密码的问题,破解了网络接入的问题。等等破解算法很常见,都多少年了。
现在随着互联网+行动的推动,以及各种各样的设备接入到我们这里,各种各样业务依托于WiFi网络去实现,各种各样服务通过WiFi更加便捷推向用户,其实有很多新的风险通过不同方式的钓鱼,我们具有WiFi功能模块的智能设备攻击,还有一些登录认证页面的篡改。新安全风险主要集中在窃取用户数据、控制智能设备、控制后台云系统等新方向上,这是目前这几年随着应用发展的新风险。
这一块有很多案例,大家如果可以验证的话,可以找一找。3.15晚会,每年几乎都曝。我看曝的也差不多,钓鱼了,泄了用户信息。一些不安全的APP,钓鱼WiFi。2016年3.15晚会上消费预警称:公共免费WiFi可瞬间盗取你的一切隐私。众多消费者在不了解技术的情况下还敢用吗,在一个公开的机场饭店还能够放心接入免费的WiFi开展各种应用吗,所以说我个人觉得,中国WiFi联盟有这个责任,也有这个必要把安全搞好。并且向大众去普及,从哪儿推动整个产业,不管是网络、设备、业务、服务还是应用,这种发展。
还有一个,现在的智能家居,我当时也截了一张。通过接入家庭无线网络,利用网络权限隔离的控制方面缺陷,去控制一些微波炉、洗衣机,还有电视等等这一系列。现在还有智能开关,大家可以想一下,如果你现在去买一台电视,基本上买不到非智能电视了。如果大家去买一个家电,基本上都会有WiFi模块,这就是真正威胁当中的导向。我们现在的曝露面越来越大,过去ACAP控制住,设置强密码。现在防不胜防,我们家里接入WiFi设备太多了,这是曝露面的问题。
还有我们这些通过智能设备接入网络曝露面有没有受到攻击,有组织的攻击。如果大家关心时政的话会发现,基本上无人机,不管是军用还是民用的无人机,已经可以集团式的开展很有威胁的军事行动了。我们国家一些高校也在组织上千台无人机一起集群作战,实际上在虚拟化网络上,美国东海岸断网事件大部分具有WiFi接入的模块设备。不仅仅有路由器、摄像机、服务器,还有一些物联网设备,都通过WiFi网络接入,或者大部分通过WiFi网络接入。
刚才说的比较直观,有很多截图。我个人觉得WiFi是过去传统固定网络的接入方式,现在移动化设备和智能化设备的普及,让WiFi成为一种移动互联网有效的接入方式,这是应用的转变。下午开场时倪秘书长也说到了,WiFi和5G的关系。我个人觉得如果大家熟悉的话,可以参考一下IP技术和早期ATM技术,25年前的技术,两种技术中哪个好,哪个安全,最后剩下的是哪个。还有WiFi和Wimax的区别,Wimax同样也是3G标准当中第四个标准,最后它的下场怎么样。
IPv4和IPv6,20年前那么多院士说几年之后冰箱彩电都有一个IP地址。如果有地址的话也是IPv4的,说明可用方便便捷的技术生存是符合互联网草根阶段。不是特别高大上的技术,一定能够做得很好很完善,大家可以参考一下这几种技术的区别。
在本质和定位方面,未来一段时间之内同样也是普遍使用的一种技术,它是移动互联网接入的重要组成部分。不是通过手机上网,3G、4G、5G接上就是互联网,还真不是,这是从网络角度来说。业务来说,它就是互联网当中一块,只不过局限一个范围之内。当然不排除利用WiFi技术组建广域网,比如说我们的城市地铁,甚至是早期的高铁。地铁现在已经用了WiFi,早期高铁曾经设想通过WiFi实现汽车和地面的通行问题,这是它的本质和定位。
WiFi本身基于802.11,IP下分组的技术,天生就是基于“天下无贼”的出身背景,各高校计算中心用的,都是可信安全的。现在非要把它勉为其难用成是广域网技术,或者用在社会网络上面,天然带有一些缺陷的,今天来这边说网络安全必要性的问题。
这是2014年5月份的演讲PPT,当时可以看到移动互联网当中很多通过WiFi接入,4G也是刚刚开始。但你会发现到底4G接入的多,还是WiFi接入的多,大家自己的使用方式能够感觉到。亲朋好友之间接入网络的方式,都能感觉到。你到别人亲戚家里首先问问WiFi密码多少,主动告诉,这都是一种密码,这是一种情况,大家实际的应用情况。
现在WiFi技术相关的东西是和用户财产、安全、健康、生命密切相关的,整个框架差不多有人和物的安全。WiFi的使用安全涉及人的问题,WiFi设备的安全有应用功能安全、操作系统及服务安全,设备安全。
什么是WiFi设备,基本上是网络接入设备和用户终端设备。不管是网络接入设备还是用户终端设备,基本上都会分为应用软件层、系统软件层和硬件协议层,我们大家现在家里用的,智能家居也好,家电也好,网关也好,都有各种各样接口。它所面临的东西特别偏应用,面临的挑战也就会越来越大,这是一个根本性的技术。
这个PPT2014年写的,当时攻击的拿到现在也不为过,因为现在攻击更多了。只不过可以更新,2014年已经有这种方式了。说明什么呢,2014-2018年,或者到2017年,网络攻击是日益增多的。
公共互联网上,运营商的网络和教育网,高校里主要是教育网,也是广域网。接入网,各个单位自建局域网,还有一些智能城市,某些区政府县组的网。还有运营商和SP网络,接入网络。下面是WiFi的网关,还有手机,家电,安防设备,智能手表,空气净化器,开关等等,外部影响因素基本框架都在这儿。
在公共互联网上,从2013年开始到2016年,基本上网络攻击没有得到明显的好转,2017年会稍微往下掉回头。还有2016年收入的漏洞,漏洞的数量大大增加,2016年相比增长了1/3。也就是说,我们面临系统里各个设备变得更加脆弱。如果这些无线局域网继续增加,没有提前解决安全问题,我觉得后期的安全威胁是很大的。有一些具有WiFi功能的设备存在安全漏洞的比例,大家也都看到。网络摄象头,路由器等等,大家可以看出外部环境没有基本改变,有的甚至恶化了。
刚才说的是整体外部环境,网络接入设备的安全挑战仍然是加大的。这个基本上也是2014年的片子,当时这种传统移动互联网接入的设备,非智能设备和现在智能设备,基本上芯片就是那几家厂家,基于嵌入式Linux等,这几年没有大的变化。这几年ARM走得比较快,设备铺得比较多。
当时说的是通用处理器和微处理器,重点是微系统。微处理器也是刚曝出来的,今年熔断病毒和幽灵病毒,基本是颠覆性的漏洞。它不是实践问题,是设计问题,要改变人的很多观点和维度,方法论要改的。
微系统的问题,这也是我们这几年相关领域的专家挖的WiFi设备漏洞,很多WiFi,很多智能插座,很多智能家庭网关等等,还有很多机顶盒,这是一部分,智能设备的问题比我们想象当中要严重一些。
现在国内怎么去做这个事情呢,一个是用监管的现状,设备监管,基本上国内没有强制性的要求,设备通不通,有没有基本的概念,没有说安全的设备监测。还有应用方面,目前在电信企业,移动、电信、联通网络有上网日志留存,一系列可溯源,或者可审计的东西。
根据《网络安全法》第22条,网络产品、服务应当符合相关国家标准的强制要求。《网络安全法》23条,有一些安全检测才能够进行。审查,我们用的什么东西,芯片、产业链,到底哪些是可控的。相关的工作有标准、检查、保障、漏洞挖掘等,也是我们前期在支撑几个国家智能监管部门做一些工作。
几点工作建议,也是觉得WiFi联盟本身也是很好的平台。也是希望大家能够重视WiFi设备的安全测试评估,增加接入设备和终端设备安全性专项测试。同时加强WiFi安全防护的技术方案研究,能不能实现共同的研究方案,形成高标准的协会标准,有助于WiFi产品的推广,降低安全成本,有一个量的优势。
还有发挥WiFi联盟的力量,协同加强WiFi的安全性,保障产业的快速发展。如果仅仅依靠用户终端厂商、接入设备厂商、专业安全厂商中任何一方,都无法低成本、长效解决WiFi安全问题,还是需要协同的,积极探索试点。同时WiFi安全的防护是一个长期战,是一个宣传战,有人说公共WiFi都不安全,大家谨慎接入。反正现在虚拟化货币都在手机上,很多人重视财产,可能就不敢用了。
我们要营造一种良性的氛围,WiFi的设备厂商敢用这个技术,同时把WiFi的体验和业务做得好用一些。让用户敢用WiFi,愿意用,有这种依赖性。而且能够用好设备,产业链提供好的WiFi业务,迎接互联网+,迎接更好的美好生活。这也是我对中国WiFi联盟当中开展一些网络安全防护方面工作的想法和建议,供大家参考。
谢谢各位。
速记文章,未经确认!
1.金沙手机网投app 遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.金沙手机网投app 的原创文章,请转载时务必注明文章作者和"来源:金沙手机网投app ",不尊重原创的行为金沙手机网投app 或将追究责任;3.作者投稿可能会经金沙手机网投app 编辑修改或补充。