世界物聯網自1999年首次被提出至今已将近20年,随着物聯網的高速發展,如今已成為新一代資訊技術的高度內建和綜合應用。物聯網是制造業,更是服務業,物聯網既支撐經濟發展,又服務于社會管理,物聯網已經滲透到了人們生活的方方面面。
不過,資訊技術加速發展,讓物聯網裝置數量呈爆發性增長的同時,伴随而來的物聯網安全威脅也是層出不窮。根據CNCERT監測資料顯示,2022年6月1日至30日期間,共捕獲物聯網惡意樣本486,620個。其中針對物聯網的網絡攻擊主要使用密碼爆破、漏洞利用等方式進行感染和控制裝置。
01
新型物聯網攻擊
近日,一種稱為物聯網勒索軟體或R4IoT方法的新攻擊浮出水面。
這種潛在的支點基于物聯網裝置數量的快速增長以及組織中 IT 和 OT 網絡的融合。R4IoT 的最終目标是利用暴露和易受攻擊的物聯網裝置(例如 IP 攝像頭)獲得初步立足點,然後在 IT 網絡中部署勒索軟體,并利用糟糕的營運安全實踐來控制關鍵任務流程。
R4IoT 是一種新型惡意軟體,它在 IT 網絡上将 IoT 入口點和與勒索軟體相關的橫向移動和加密結合在一起,進而對 IT 和 OT 網絡造成廣泛影響。
目前,勒索軟體是過去幾年最普遍的威脅,它主要利用傳統 IT 裝置中的漏洞來削弱組織。新的連接配接趨勢增加了數量和多樣性的 OT 和 IoT 裝置,幾乎增加了每項業務的風險,特别是關基網絡安全風險。由此可見,強化關鍵基礎設施網絡安全支撐保障已勢在必行。
鑒于此,網絡安全保護勢在必行且刻不容緩。通過對硬體、軟體和資料的保護,讓網絡系統運作安全,網絡服務正常提供,成為大陸發展的關鍵所在。在此背景下,此前大陸已經出台了《網絡安全漏洞管理規定》、《中華人民共和國密碼法》、《關鍵資訊基礎設施安全保護條例》等多部法規,給予網絡安全重視、鼓勵和引導,為發展提供法律保障與護航。
近年來,大陸大力推動國産密碼算法,在金融、教育、電子政務等,關鍵領域的應用并取得重要突破。這也就意味着,國産密碼算法以及相對應的産品應用将成為未來各級政府機關網站和各類企業網站的安全标配。
随着2020年1月1日《中華人民共和國密碼法》的施行,标志着大陸在密碼的應用和管理等方面有了統一針對性的法律保障。
同時國家也推出了自主可控的國産SM系列算法,應對電子政務領域密碼算法應用中存在的問題,保證電子政務的安全性。SM算法中的SM2、SM3和SM4被廣泛用在了網站安全傳輸加密中,形成了一套安全高效可靠的國密SSL系列證書産品。
02
SM2算法應用推廣
大陸大力推動SM2國産密碼算法替換目前所采用的RSA算法,一方面規避RSA算法安全風險,另一方面確定密碼算法這一關鍵環節的自主可控,保障大陸資訊安全基礎設施的安全可信。
結合數安時代自身的平台服務和第三方安全産品,為國密改造使用者提供RSA+SM2雙算法證書解決方案。“雙證書”部署方案,解決國密HTTPS站點相容性問題,支援各類浏覽器和移動端。
而且,數安時代國密SSL證書不僅可以在伺服器端用到其自适應資料安全網關,實作RSA+SM2雙證書部署,確定客戶和Web伺服器之間的身份認證和安全通信,還可以通過采用國密加解密中間件實作國密算法HTTPS應用。
國密SM2+RSA雙算法證書,具備高相容性和高可用性兩大優勢。
01
高相容性:RSA算法證書選擇國際主流CA品牌證書,確定業務相容性的基礎上,滿足國密SM2算法證書改造要求,浏覽器自動識别支援和相容的證書進行展示。
高可用性:SM2算法證書使用GDCA提供産品服務,RSA算法證書選擇國際CA機構提供。多CA機構、異地、同步證書簽發,可輕松滿足證書高可用需求。
02
通過雙證書、雙算法并行模式,以及國密應用生态支援體系,建構一系列兼顧國密算法合規和全球通用性的國密證書應用解決方案,讓基于國密算法的應用真正可落地、可實施,幫助政府、企事業機關平滑實作國密算法更新改造,推動國密算法的普及應用。
在數字化經濟的新形勢下,在《若幹措施》及密碼相關法規的紮實推動下,數安時代将在立足自身優勢的基礎上,積極把握時代機遇,持續提升密碼産品的供給和服務品質,為網絡空間的雲計算、大資料、物聯網等應用保駕護航。