青莲云CEO董方：软件定义的物联网安全有十大关键点

（本站原创，作者是电子发烧友执行副主编 章鹰）对于物联网终端设备安全、物联网设备云安全这些是物联网行业内发展遇到的痛点问题，客户的声音是非常有代表性的，一个主营业务做智慧城市的厂商来说，管理大量的摄像头等终端产品和公共安全。又比如，百度的人工智能团队已经有1亿个终端，5000万个客户，这些人工智能终端虽然是一个平台，但是嵌入到设备以后，遇到安全问题，影响非常大。还有，一个智能硬件解决方案的厂商，他指出安全首先涉及到隐私或者数据是否会被泄露，其次是随着更多家电入网，大功率电器如果被黑客操控或利用，会造成整个电网的瘫痪。

物联网安全的痛点问题已经让企业部署物联网有些犹豫不决，来自著名研究机构Gartner的研究总监相斌斌表示，35%的企业认为安全是物联网部署获得成功的最大障碍因素。Gartner预测，2020年有超过25%的安全入侵是与物联网相关，但是物联网的安全在整个IT安全预算中只占10%。

8月16日，在深圳四季酒店的宴会厅，青莲云的物联网新品发布会上，青莲云的CEO董方带来了最新的青莲云重磅发布了“TinyEye物联网设备终端安全管理系统”、“ TinyGate物联网设备云安全接入网关”两款业内具有开创性的最新产品。记者对董总进行了采访，董总分享了对青莲云对物联网安全理念的定义，物联网与互联网安全有哪些本质区别，青莲云产品的独特优势，在这里分享给广大的物联网行业工程师。

图1：青莲云CEO董方

青莲云的物联网安全理念是什么？

Gartner的研究总监相斌斌指出，对于现在已经部署物联网的企业当中，每家企业有超过11种不同类型的物联网终端，这些设备来自于超过5家的设备制造商。这么多样化的设备跑在这么复杂的环境中，给企业系统带来的风险，这个风险很大程度上是企业没有意识到的。Gartner对物联网安全领域数据发掘和前瞻见解，正与青莲云CEO董方先生追求的让安全成为物联网应用的基础服务设施的理念不谋而合。

物联网安全问题正处在大规模爆发的前夜，随着物联网的大规模应用，尤其是随着通用传输协议和通用操作系统的出现，为物联网病毒广泛传播提供了有利条件。

青莲云提出软件定义物联网业务安全的定位。CEO董方指出这句话两大重点：一是软件，我青莲云是一家安全公司，我们用软件来解决物联网安全问题。围绕企业的业务逻辑做安全，不是仅给企业一套安全方案讨论方案如何用，而是在开始的时候，青莲云所有方案都围绕客户业务来设计的。

目前市场上做互联网安全的厂商很多，但做物联网安全的公司凤毛菱角，由于和传统互联网环境下的安全有很大差别，大部分物联网公司都只擅长做物联网应用，但是对物联网安全几乎都没有涉及，无论是物联网数据集采安全，还是物联网接入安全管理、组网安全管理、网络入侵监测、网络安全态势感知、物联网应用病毒监测，这都需要专业的物联网安全产品和服务厂商来提供。青莲云显然是这一领域的佼佼者。

物联网安全和互联网安全有哪些本质区别？董方分析说，有十大关键点要特别注意：

首先是架构。董方指出，有一些物联网平台说自身有安全防控能力，能够抗击DDOS，抗击DDOS根本不是物联网安全要做的事情，是IaaS网络层的事情。物联网新的架构会带来新的风险。

协议，物联网的专属协议；边界，所有的传统安全是边界防御，ABS、防火墙等。物联网设备卖到天涯海角，物联网设备面临的安全，青莲云CEO董方认为是无差别攻击，黑一个设备是没有边界的；系统，物联网操作系统跟传统物联网操作系统千差万别；APP，物联网时代APP和硬件直接互接。物联网的数据，都是TB的数据量；合规方面，国家正在制定新的安全法规。AI，来自AI的攻击，传统的黑客是黑服务器，在物联网时代会面临设备的攻击。

物联网安全与业务系统应该怎么融合？董方指出，企业首先要识别哪些是重要资产，接着是识别这些资产面临什么威胁或风险，比如数据库就面临被入侵的问题。识别风险之后梳理业务逻辑，下一步就是根据业务逻辑做安全约束。最后是持续的安全迭代、优化和改进。

安全包括五大维度，包括设备安全、数据安全、扩展安全、应用安全、平台安全。安全设计中要遵循的六大原则如下图所示。

董方强调，传统的网络安全通过监测发现问题，装防火墙拦截问题，而在物联网时代要在产品的研发初期，把通用的安全问题全部约束掉，安全约束比安全防御更重要。

“当前物联网设备面临的安全风险，无差别供给，黑客不是说指定黑到某家，而是全网攻击，根本不关心产品属于哪个厂家。2016年的摄像头被黑导致美国东岸断网，我们看到厂商有设备管理能力，但是缺乏安全管理能力。”董方分析了黑客攻击背后的原因。

“为了应对针对嵌入式操作系统的网络攻击，青莲云TinyEye是物联网设备终端安全管理系统，EDR in IoT，一个Agent，保护嵌入式操作系统运行时安全。 TinyEye产品理念，构建物联网嵌入式系统运行时安全基线。TinyGate的产品理念，基于安全状态机保障设备的通信链路安全，覆盖设备授权、身份鉴权、密钥管理、加密传输、会话管理、数据签名等多种功能。”

AI与物联网安全有什么关系？对于这个热点问题，董方分析说，IoT的设备是跟云端通信，如果这个设备被蠕虫病毒感染以后，同时也会跟云端通信，智能监控是设备还在线，还是在工作，但同时会有一个红色的线条跟僵尸网络的Servers做连接，几乎90%的僵尸网络Servers都包括在Servers层，病毒批量感染，CNC的远程操控，这样是监控不到这些红色线条。

但是TinyEye可以帮助企业发现，这个设备正在攻击谁，会多赋能企业一个能力。首先是流量捕获，数据预处理，会做一些简单的处理，比如说会分析这个数据包是单包还是有上下文关系，是一个子设备还是一个节点的设备。在预处理之后，我们会做特征提取，首先下面是一个无状态的数据，针对无状态的数据，从包的大小，包的协议，针对有状态的数据从带宽做分析，我们会用到神经网络来识别，最后得出一个结论，什么是正常的，什么是异常的。。

“严格来说，青莲云把AI用在物联网安全的DDoS的检测上，我们的理论是传统打击DDos，TinyEye从进去到压制，当有攻击的时候直接封，本地处理。”董方说，我们希望在和客户的合作中，把安全的基因传递给客户，大家共同打造安全物联网应用等基础服务设施，为行业安全贡献自己的绵薄之力。