物联网（IoT）正在飞速发展。物联网可实现人员、网络和物理服务之间的无缝连接，从而改善效率，促进创新，带来定制化的体验。网络连接设备已经无处不在，充斥在我们日常生活的许多方面，从健身跟踪器、起搏器和汽车到向我们的家庭提供水和电力的控制系统。物联网的发展前景无可限量。Statisca 预计，未来数年，物联网市场的规模将保持20% 以上的增速（见图1）。
 

       2007 年1 月份，波士顿咨询集团（BCG）发布最新的物联网市场研究报告， 预测到2020 年，物联网科技、产品和服务领域的支出将达到2670 亿美元，复合年度增长率（CAGR）将不低于20%，服务和物联网应用将成为增速最快的，领域占据物联网增量中60% 以上的份额（详见图2）。

        2017 年2 月份，Gartner 发布报告，预测2017 年将有84 亿台联网设备，较2016 年增长31%，到2020 年将达到2040 亿台。2017 年终端和服务的总支出将达到接近两万亿美元。就区域而言，大中华区、北美和西欧将成为物联网发展的主战场，2017 年占据所有联网设备总数的67%。2017 年，消费领域的联网设备数量达到52 亿台，占据总联网设备数量的63%。商业领域的联网设备数量为31 亿台。消费者使用的物联网设备主要是智能电视和数字机顶盒，商业用户使用的主要是智能电表和商用安全监控摄像头（详见图3）。

        尽管消费者购买了更多的设备，但是商业用户的支出额更高。2017 年，商用物联网支出比例占到整体物联网支出比例的57%，其中商业用户硬件的支出为9640 亿美元，消费者硬件的支出为7250 亿美元。到2020 年，两部门的硬件支出将达到接近3 万亿美元（详见图4）。对于物联网整体产业规模的估计，各个研究机构的数据差异较大，这说明物联网的定义和统计方面仍存在一些模糊的概念，但都认可物联网会持续高速增长，未来5 年的年均增长不会低于20%。基于这种判断，诸多资本大鳄已经纷纷将触角伸向物联网。2016 年，互联网教父孙正义以320 亿美元的全现金对价收购了物联网芯片巨头ARM。孙正义在ARM 科技大会上进行的主题演讲中表示，物联网将会引领下一轮技术爆炸，正如在地球演变历史上寒武纪爆发形成了无数新物种一样，用不了多久，联网的物联网设备数量将会达到1 万亿，从而形成“奇点”，导致强于人类的人工智能的出现。

      物联网虽然会促进经济增长，提高民众的生活质量，但同样会带来巨大的风险。物联网的发展使得网络攻击带来的危害呈指数级上升。技术的进步大幅提高了网络攻击的成功率，网络攻击难以溯源，而且随着世界逐渐连通，网络攻击所带来的收益和影响也会大幅上升。这些因素都会导致网络攻击愈演愈烈。以最近流行的勒索病毒WannaCry 为例，包括ATM 和加油站在内的很多物联网设备都受到了波及，加油站无法加油，ATM 机无法取款。可以预见，随着物联网的进一步发展，网络攻击会越来越频繁，造成的损失也会越来越沉重。

       孙正义虽然极度看好物联网的发展，但他同时也指出，未来1 万亿颗联网的物联网芯片将使得安全问题越来越突出。物联网的指数级增长也将使得安全威胁的广度和破坏度呈指数级增长。以车联网为例，目前一辆汽车里有约500 块ARM 的芯片，未来随着自动驾驶的普及，汽车内的芯片数量会大幅增长，这会带来极大的安全威胁。在最新的电影《速度与激情8》中就通过电影屏幕预测了可能的风险。通过黑客技术可以控制所有的设备，使得每辆汽车都成为一个潜在的攻击工具，其带来的危害令人瞠目结舌。安全发展的严重滞后会带来一系列的风险。不仅如此，随着诸多的国家关键基础设施联入网络，网络攻击所带来的风险将上升到国家安全的角度。美国国土安全部在2016 年11 月发布的《保护物联网安全的战略原则》一文中明确指出，“物联网生态系统带来了风险，包括恶意行为者修改网络设备信息或篡改设备本身，这可能导致敏感数据和消费者隐私丢失、业务运营中断、通过大规模分布式拒绝服务攻击停滞网络功能以及关键基础设施中断。…去年，在乌克兰部分地区针对电网的网络攻击中，我们观察到连通系统故障可能导致的严重后果。物联网安全已经成为国土安全问题。” 此外，黑客还会利用物联网设备作为桥头堡来攻击其他设备。例如，2016年的Mirai 就使用物联网设备来攻击互联网基础设施，导致欧洲和北美的互联网中断，最终的经济损失高达1000 万美元。
      
       但是，物联网的安全发展严重滞后于物联网的创新和部署进展，这造成了重大的安全和经济风险。麦肯锡认为，当前的物联网安全主要面临以下几个问题：

（1）技术能力不足：即使单台设备在单独使用时安全可靠，但设备组成的复杂系统会提供新的攻击窗口。系统最薄弱的一环决定了系统整体的安全水平。系统保护者必将将其精力和资源分散到全部网络中，而黑客只需攻其一点。这种攻防上的不对称就要求防护者建立更加复杂和先进的系统。系统集成商有责任提供安全解决方案，但其能力往往不足。

（2）标准缺乏或不成熟：物联网目前缺乏成熟的标准，导致不同的技术栈之间无法协同。大型的厂商和机构都有自己独特的解决方案，技术标准之间互不兼容。缺乏通用的标准，就无法制定端到端的安全解决方案。这严重制约了物联网的发展。

（3）客户和终端用户仍将物联网安全视为一种商品：这使得他们不愿意为安全付出更高的成本，导致安全产业的规模受限。

       有鉴于此，美国国土安全部提出：“政府和行业必须快速合作，确保物联网生态系统建立在可靠和安全的基础上。2014 年，美国总统国家安全电信咨询委员会（NSTAC）强调需要采取紧急行动。物联网普及的速度和范围都会增加，这将影响到社会的所有部门。国家的挑战是确保物联网的采用不会造成不必要的风险。另外需要设置一个小型的快速关闭窗口，以确保最大限度地提高物联网的安全性。否则可能会面临严重后果。”

物联网安全投资方向分析

      安全滞后于发展是一种常态， 因为只有在发展暴露出风险后，安全才能得到足够的重视和投资。目前，相较于物联网市场的规模， 物联网安全市场还非常弱小。根据MARKETSANDMARKETS 的报告，物联网安全市场2016 年的市场规模为79 亿美元，相较于物联网动辄上万亿的市场占比微不足道。

       在这种情况下，物联网安全无疑也成为各路资金追逐的热土。虽然目前的物联网安全市场规模仍然很小，但预计未来会呈爆发式增长。MARKETSANDMARKETS 预测， 未来五年物联网安全市场将从2016 年的79 亿美元增长到2021 年的369.5 亿美元，5 年增长4 倍，年均复合平均增速接近50%。物联网安全已经成为兵家必争之地。

       总部位于波士顿的咨询公司Lux Research 对初创物联网安全公司进行的调查显示，2015 年，物联网风险投资融资额增长了78%，达到2.28亿美元，2016 年再度增长82%，达到4 亿美元（美国的物联网安全风险投资历年增长情况见图5）。大约一半的物联网安全初创公司位于美国，还有三分之一位于以色列。其中超过一半的公司致力于提供能够支持多种类型物联网设备和环境的安全平台，其他的热点领域还包括工控系统网络安全和车联网安全。也有不少公司关注物联网环境下的认证和加密。最近广受关注的物联网安全领域的风险投资包括：

       2017 年3 月份，三星电子通过其旗下的Samsung Next 风险基金成为Bayshore Networks 早期A 轮的投资者，具体投资金额未披露（韩国媒体估计为数百万美元）。Bayshore Networks 成立于2012 年，主要业务是工业物联网领域的网络安全，帮助企业安全地在工业环境下应用物联网技术7。除了三星以外，全球最大的电子测量仪器制造商日本Yokigawa Electric 也参与了对Bayshore Networks 的投资。

       2017 年5 月份，Sway Ventures、Shasta Ventures、Trident Capital Fund 和GE Ventures 投资于物联网安全公司Mocana，总投资金额高达9360 万美元。Mocana 成立于2002 年， 提供嵌入式安全。


 整体而言，目前物联网安全领域的投资主要包括以下几个方面：

（1）物联网网络安全：保护，将物联网设备与后端互联网系统相连网络的安全。由于存在更为广泛的通信协议、标准和设备，相较于传统网络，物联网网络的安全更具有挑战性。需要提供的能力包括传统的端点安全功能，例如反病毒和反蠕虫病毒软件，以及诸如防火墙和入侵检测等功能。目前代表厂商包括：Bayshore Networks、Cisco、Darktrace 和Senrio。

（2）物联网身份认证：使用户能够安全使用物联网设备的能力，包括对多个用户使用单一设备的管理（比如车联网），具体方法包括简单的静态密码、双因子认证、数字证书和生物指标。和传统网络最大的不同是，传统网络需要人工输入密码，而在很多物联网认证场景中都是机器与机器之间的对话（例如嵌入式传感器），无需人工干预。代表厂商包括Baimos Technologies、Covisint、Device Authority、Entrust Datacard 和Gemalto；

（3）物联网加密：使用标准的加密算法，在物联网的终端设备和后台系统端点或传输过程中进行加密，以保证数据的完整性，防止黑客窃取数据。物联网设备和硬件的多元化限制了标准化加密流程和协议的应用。此外，所有的物联网加密必须采用同等的全面密钥生命周期管理流程，否则脆弱的密钥管理会降低整体的安全水平。代表性厂商包括 Cisco、Entrust Datacard、Gemalto、HPE、Lynx Software Technologies 和Symantec。

（4）物联网PKI（公共密钥基础设施）：提供完整的X.509 数字证书、密钥和生命周期管理能力，包括公私密钥生成、分发、管理和撤销。某些物联网设备的硬件规格可能不适于采用PKI。可在生产时将数字证书安全地加载到物联网设备中，随后通过第三方软件激活，也会在生产后再安装证书。代表厂商包括DigiCert、Entrust Datacard、Gemalto、HPE、Symantec 和WISeKey。

（5）物联网安全分析：搜集、汇总、监控和标准化来自物联网设备的数据，提供具备可操作性的报告，对并意外情况报警。这些解决方案需要基于复杂的机器学习、人工智能和大数据技术来提高预测的准确度。物联网安全分析可用于检测诸如防火墙等传统网络安全解决方案无法识别的针对物联网的攻击和入侵。代表厂商包括Cisco、Indegy、Kaspersky Lab、SAP和Senrio。

（6）物联网API（应用程序接口）安全：验证和授权数据在物联网设备、终端系统和应用之间转移的能力。应用程序接口安全对于保护数据传递过程中的完整性至关重要。代表厂商包括Akana、Apigee/Google、Axway、CA Technologies、Mashery/TIBCO、MuleSoft 和WS02。
                                                                            结 语

      物联网的发展是大势所趋，但安全将成为制约其发展的核心要素。随着世界日益在线，网络攻击带来的收益和影响力会越来越大，网络安全事故的爆发只是时间问题，而且其规模和影响力会持续上升。安全总是滞后于发展。每次事故都会加速安全行业的投入和发展。未来数年甚至数十年，持续保持高速增长的物联网安全领域都将成为资金追逐的热点。
（本文选自《信息安全与通信保密》2017年第六期）