日前，中国互联网安全大会(ISC2015)在国家会议中心落幕。大会期间，物联网安全再度成为众多与会大咖关注和热议的话题。针对物联网设备安全的脆弱现状，美国中佛罗里达大学电子工程与计算机系教授金意儿认为，需建立自动化的设备安全监测框架和工具链，以快速检测任意物联网设备，并生成有针对性的低成本解决方案。

图说：金意儿在ISC全球互联网安全精英峰会上演讲。

“我们不想等到真正黑客攻击你的设备让你感到后悔，而是我们扮演着一个黑客，或者帮助某一个公司技术人员变成一个黑客，黑他们自己公司的设备，最终解决他们的安全问题，而不是等到这个问题被新闻媒体报道为止。”在ISC闭幕全球互联网安全精英峰会上，金意儿带来了题为《智能还是安全：物联网安全与保护》的演讲，并提出所有物联网设备都应该为了安全而设计，而非为了设计而安全。

这一观点的提出与时下物联网飞速发展的背景紧密相连。ISC大会名誉主席、中国工程院院士邬贺铨在大会开幕致辞中便提到，随着物联网时代的来临，接入互联网的设备也呈现爆发式增长，2015年全球连接到互联网上的设备将达49亿台，而到2020年将超过 260 亿台。随着互联网+计划的推进，传统行业逐步数据化、在线化、移动化、远程化;人、企业、社会服务甚至整个世界都与网络深度绑定，将产生巨量连接和巨量数据。

邬贺铨强调，当海量人、设备和服务连接到互联网后，其存在的安全风险对于整个网络空间的影响将是灾难性的，由于网络世界与现实物理世界深度融合，网络世界的安全威胁也将更深地影响到现实世界。

而基于物联网层面，薄弱的硬件设备安全现状会对现实世界产生哪些影响?金意儿给出了答案，他将物联网安全威胁划分为4个层面——安全考量、隐私考量、人身安全考量和国家战略安全考量。

具体而言，智能冰箱、电视能被远程控制发送垃圾邮件，智能手环被远程监控可能让窃贼了解你的作息模式并伺机作祟……从早期的ThingBot威胁到个人隐私被窃取，类似的硬件漏洞已是屡见报端。更加令人心生忧虑的是，物联网设备可能造成人身安全和国家战略安全层面的威胁。

金意儿举例称，比如智能汽车被破解，攻击者远程可随意操纵汽车，乘客安全无法保障;还有曝光尚少的医疗设备，“美国FDA(美国食品药品监督管理局)不久前下架一款医疗注射产品，这是个很有趣的例子，因为黑客并没有把这个漏洞报给医疗公司，而是报给了黑客大会，由黑客大会逐步传到FDA耳朵里，再有FDA命令这款设备下降。这对公司是个很大的打击，也从侧面反映了这个公司没有把安全作为很强的考虑。”

演讲现场，金意儿还以电网实验为例，展示了硬件安全对工控系统的重要影响。视频显示，实验者远程操控了发电机组的一些固件，结果整个发电机组被烧毁瘫痪。实验报回给美国国土安全部之后，引起强烈反响，“因为大家第一次从实际活生生的例子看到，对于固件或者从网络层面、软件层面的攻击是可以导致硬件的问题。”

金意儿表示，对特定智能设备的攻击，使得工业级的危害成为可能。而未来，由于设备激增、设计周期短、缺乏有效的安全规范和准则等因素，物联网设备面临着缺乏有效安全保护的挑战。解决之道则在于，厂商理解物联网的安全隐患，并定义“设计准则”来消除、减弱这些安全隐患。

同时，金意儿提出，应当建立自动化的设备安全监测框架和工具链，以快速检测任意物联网设备，并自动生成有针对性的低成本解决方案，最终帮助设备实现“为了安全而设计”。

据悉，中国互联网安全大会是由中国互联网协会和360互联网安全中心共同创办于2013年，经过3年发展已经成长为亚太地区规模最大、最具影响的网络安全行业盛会。主题为“数据驱动安全”的2015中国互联网安全大会(ISC 2015)9月29日~30日在北京国家会议中心举行，在为期两天的会议中，来自中国、美国、以色列、澳大利亚、韩国、新加坡等国家的120位全球顶级安全专家，在中国互联网安全领袖峰会、全球互联网安全精英峰会和13个分论坛上围绕110个议题分享最新的研究成果和行业洞见，深入交流全球信息安全最新发展趋势，共同探讨网络安全行业未来。