守护物联网安全，这些“漏洞”要堵住！

近年来，物联网技术不断发展与创新，深刻改变着传统产业形态和人们生活方式。随着数以亿计的设备接入物联网，提供创新、互联的新服务，整个生态系统中的诈骗和攻击行为随之增加，对用户隐私、基础网络环境的安全冲击尤为突出。

GSMA预测，在2025年全球物联网设备（包括蜂窝及非蜂窝）联网数量将达到252亿，远高于2017年的63亿。在预测期内，市场规模将几乎是原来的四倍。工业物联网设备联网数量将在2023年超过消费物联网设备联网数量，在2016年至2025年之间工业物联网连接量将从24亿增加到138亿。

作为一种新技术，物联网的行业标准及相关管理刚刚起步，但物联网基数大、扩散快、技术门槛低，已经成为互联网上不得不重视的安全问题。

“人们经常将IoT看作是消费级别的设备，但我认为其中一些真正的重大和严重问题出现在工业领域以及医疗领域。”澳大利亚战略政策研究所（ASPI）国际网络政策中心（ICPC）的访问研究员Uren说。

物联网通用&特有的安全问题

物联网由传统互联网发展而来，继承了传统互联网时代遗留的安全问题，这些问题成为了物联网和互联网都存在的通用安全问题。

具体包括：终端弱密码，很容易被破译；不安全终端Web访问接口，可以通过HTTPS、本地加密混淆、服务器端限制、定期检查访问日志等方式提高访问接口的安全性；不安全网络服务，恶意URL、未经用户授权安装应用甚至是木马病毒。

通用的安全已有大量成熟有效的应对方案，如终端弱密码有高强度的密码设计方案来解决的，弱密码引发的攻击是人为管理执行的疏漏造成的。然而，物联网本身特有的安全问题却没有完善的安全方案。

其弱点主要有：资源受限终端面临的弱认证和授权机制，缺少传输层加密；大量终端在线后的非法远程控制；感知层引入的新型节点和局域网络带来的风险；非受控环境终端的安全保障问题。

那么问题来了，如何确保物联网安全？

常备的物联网安全检查清单

专家表示，至少应彻底检查以下三个方面：

软件：在安装任何新设备之前，务必确保制造商从一开始就遵守严格的软件安全措施，而不是事后才采取措施。其核心是能够远程修补设备，为抵御网络威胁和软件进步提供急需的未来防护。

硬件：物理安全是评估新物联网设备的另一个关键领域，包括物理开关这样简单的东西，允许用户在需要时关闭某些功能。在组件中集成防篡改措施，也大大减少了未经许可访问它们的机会。

网络：对于物联网设备与后端管理或存储解决方案之间的任何数据交换，应始终使用HTTPS等安全协议。强身份验证方法也很重要，应提示用户在首次使用时立即将任何默认凭据更改为强大的字母数字替代方法。

另据思科Jasper提供的物联网安全检查清单来看，具体包括：

• 强大的设备级访问和身份验证。GSM标准可确保通过设备/SIM 卡完成身份验证和加密。

• 加密数据传输。GSM网络还提供移动网络与设备之间的加密。

• 将物联网流量分散到私有网络中。企业可以利用移动物联网创建安全的私有网络，利用定制接入点名称（APN）将局域网（LAN）向外延伸到远程设备。

• 云应用程序的全面信息安全。要使 IT 安全框架能够充分保护物联网应用程序基础架构，它必须提供合适的身份管理系统、基于规则的访问权限和访问控制列表。

• 异常检测和自动修复。持续监测设备行为能够实时检测异常，自动化引擎也能够快速修复这类异常，防微杜渐。
  

• 评估参与物联网服务的所有实体，即网关、端点设备、家庭网络、漫游网络和服务平台，提供端到端识别和身份验证。
  

• 确保端点设备与后端服务器之间共享的所有用户数据得到加密。
  

• 所有“个人”和管制数据依据本地隐私和数据保护规定进行存储和使用。
  

• 充分利用物联网连接管理平台并建立基于规则的安全策略，以便在互联设备中检测到异常行为时能够立即采取行动。
  

• 采取网络级别的全面安全保护方法。
  

万物互联，安全先行。幸运的是，业界已经开始意识到这一点，但在更好的安全措施变得更加普遍之前，对新的物联网实施采取谨慎态度仍是必不可少的。（GK-zly）

（参考资料来源：CSDN-弈心逐梦、Cisco、物联之家）