【IDCC2019】克莱沃季程晨：分布式智能配电信息安全系统（DIPS）

2019年12月18-19日，第十四届中国IDC产业年度大典在北京国家会议中心正式召开。作为数据中心云计算产业内知名的盛会以及IDC企业、电信运营­­商、互联网、金融、政府和厂商等产业上下游的高效沟通平台，与会嘉宾包括政府领导，行业专家和企业代表数千人。 以“智能运维与安全”为主题的分论坛于19日下午举行，深圳市克莱沃子有限公司特聘技术专家季程晨出席本次会议，并发表了《分布式智能配电信息安全系统（DIPS）》主题演讲。 

深圳市克莱沃子有限公司特聘技术专家季程晨

季程晨：感谢主持人，非常高兴今天有机会跟大家分享一下我们在智能配电领域尤其是克莱沃电子是做配电装置、配电设备的传统企业，我们在这一块当中一系列的探索和成果跟大家分享一下。    

首先简单介绍一下公司，我们1995年就成立了，是一家非常老的公司，做边缘机房、数据机房，UPS后端的，从母线到配电到监控管理系统可以说是380伏进到楼里之后所有的设备，包括电缆槽和机柜里的供电单元这些设备做了非常多年，在国内基本上占到第一，国内市占率接近八成，国内基本听过名字的银行、人行、工农中建交、BAT这些互联网公司或者大型运营商都是我们的客户。我们的海外也是做的非常好，海外的市占也有六七成。如图是整个公司的大概发展历程，从95年成立到2000年开始第一次研制中国第一款模块化的PDU产品，到后面一波波，2008年还中了奥运会的数据中心的专用产品再到后面管理型的PDU，把传统列头柜改成母线形式，方便数据机房运维，后面从事管理型、智能型PDU，并且在智能型PDU安全方面做了大量工作，从15、16年开始，到现在我们产品正式面市了，有些场景下面已经开使用我们的产品了，克莱沃的展台出门就是，有兴趣的可以一会儿看一看。    

其实刚刚杨老师说了很多信息安全方面的东西，都已经很翔实了，我就挑着讲几个点：    

首先我们这个领域当中的PDU也好，其他能够联网远程控制的设备，我们倾向于把它列入归纳到物联网场景里面看，物联网场景有些统计数据包括预测也是时下非常火的概念，当时美国DUI事件，大量物联网摄像头其他的物联网设备被入侵做成肉鸡，大家能看出来，经济越发达的地方这些设备越多，设备越多危险性就越大，当时有个海外的lab划出来的，事件当中受到攻击的被感染的物联网设备的分布图。其实安全的安全事件刚刚杨老师说了很多，我挑几个，从07年开始，之前在互联网、移动互联、物联网的设备发展还不是那么完备的阶段，说白了大家都很土，攻击者也攻不了什么东西也不是电子的，也不是IT系统的，从07年有报道加拿大水利系统，08年波兰地铁系统被入侵，当时这个很有意思，损失是很惨重的，几台电车车箱脱轨死了不少人，但是这里面是个17岁少年黑客用一个电视遥控器改装的射频发射设备就把这个系统影响掉了，那个阶段说白了安全性还没有得到很多人的重视，包括震网病毒，这个厉害了，影响核电站的系统的。包括Flame火焰病毒在中东爆发的非常厉害，拿用户信息、隐私数据的。到了2014年，其他很多都是海外的，2014年是我们国内的，国内浙江大学电气学院一个团队，14年把特斯拉的modelS攻掉了，正常的行驶当中电子转向可以是反向的，另外可以让你的电子刹车系统失灵，当时达到这两个效果，所以我们圈子里面比较少的人买特斯拉，如果在座的有特斯拉车主的话别太担心，漏洞特斯拉补掉了。乌克兰是比较倒霉的地方，成年都有一大堆黑客攻他们的电厂，每年几乎都能听到新闻，乌克兰又大规模停电，其实都是黑客干的，2015年当时比亚迪，也是国内的案例，海外一个学术性的安全实验室，在比亚迪厂商在场的情况下演示了如何攻击它的云服务，让一个没有钥匙的人可以轻松的把车打开并且进去能够打的着把车开走，当然这个也堵上了。2016年mirai病毒导致全美大断网，用DDOS攻击，把网络域名的解析服务器干掉了，所有的网络都上不了，到2017年勒索病毒，这套东西它透过的漏洞，很多年前大家都知道了，但是为什么还造成这么大的影响？说一下我身边的事，当时勒索病毒出来之后我们去看，因为产业界没有那么多事，主要是高校，为什么？因为运营商的445端口是不开的，只有教育网有可能打开，但是当时我身边，勒索病毒出来之后北大所有校区各种教学楼里整栋整栋的楼都在重做系统，我问干吗呢？他们说中毒了。清华好像部分机器病毒，绝大多数还好。中科大发了一个文，我们学校的网站多少年前知道445端口是有漏洞、有风险的，在哪一年把所有教育网端445端口全部封闭，科大没有一台机器遭受到勒索病毒的勒索。说白了这些东西用的都是已知的漏洞，用的不是特殊的新发现的手段，为什么国内这么多高校会中招，我觉得是值得反思的一件事情。包括2019年就在我们做交流的现场同时，一大堆的企业、一大堆的服务器都在遭受勒索病毒的攻击，包括我们身边经常有企业家朋友找我们问，我们最近收到邮件说服务器已经被人加密了，核心数据底层被加密了，要比特币，给还是不给？我说基本上硬解肯定解不掉，如果运维数据真的很重要就给吧。所以我们所处的，尤其是信息发展、包括物联网和IT技术发展到现在，其实我们所处的环境挺危险的，大家不要觉得我们日常当中使用的所有支付工具也好、金融服务也好都很安全，其实并不是，这个情况挺严峻的。    

我们克莱沃所处的行业，用到PDU开发的过程当中很多的时候，包括我们在国内调研，绝大多数物联网设备用的核心的芯片也好、白卡也好，80%、90%甚至更高集中在ARM架构，因为它非常方便、便捷又便宜，一个模组拿到手里一两百人民币就能开发各种各样的应用、各种功能，就可以做了。所以在无锡物联网设备大会上放眼过去全是ARM，但是孙正义把ARM收了，收了之后一看并不安全，因为ARM产业链上面安全性是缺失的，为什么这么说呢？ARM是一家英国公司，只做芯片的解决方案授权，他自己不做，这些芯片的制造厂商把授权买到了，然后开始开发做芯片，芯片做完了，下游集成电路厂商就通过采购元器件、采购芯片把板卡做出来，板卡做完之后就到了像我们这样的生产制造型企业了，我们接过来之后一看，这个里面空的，能不能怼一个嵌入性系统，ARM系统里面要不是linux，要么是安卓，板卡也不知道是怎么回事，装一个就给你了，我们一看linux都不维护了，像大家用windows一样，官方已经不再更新了，这样的系统，所有的补丁都没有打过，所有的窗口都开着，只要你一接想做任何事情都可以，这是整个ARM架构在这个产业当中安全性我们看到的一大缺失。包括安创空间创客营，我听了很多企业，所有人都拿ARM架构一个小的板卡做人脸识别、做一些家用的路由器，很少有人关注安全，我们作为配电装置生产厂商这个产品经过了一段时间的迭代，从最开始传统的PDU，就是放在数据中心机柜里面给各个机构供电的，跟家用插线板一个功能只不过它更扎实，有些东西坏了直接热插拔换掉，就是工业级插线板，但是通过发展从单纯的功能到有计量监测的PDU到有管理功能的，管理后端的管理型PDU，这个东西发展下去我们看到它的智能化、远程互联网连接的东西出来了，出来之后这些东西是要远程控制过网络的，这些东西的安全性怎么保证？    

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!