信息技術(shù)在演進(jìn)中，而安全未能保持同步。從汽車(chē)到工控系統(tǒng)再到冰箱，所有事物互聯(lián)起來(lái)，它們發(fā)送或接收著來(lái)自移動(dòng)應(yīng)用與云服務(wù)的數(shù)據(jù)，計(jì)算機(jī)技術(shù)的應(yīng)用在我們的日常生活中變得更為普遍。而我們需要整體安全方案來(lái)跟上成長(zhǎng)中的物聯(lián)網(wǎng)（IoT）。

　　盡管一次針對(duì)智能調(diào)溫器的攻擊似乎微不足道，但涉及7千多萬(wàn)客戶信息泄露的Target數(shù)據(jù)泄露事件，正是由于公司門(mén)店的加熱與通風(fēng)管理控制系統(tǒng)安全性較 差所致。而其他引人注目的物聯(lián)網(wǎng)攻擊也已浮出水面，從Carna嵌入式設(shè)備僵尸網(wǎng)絡(luò)與TRENDnet網(wǎng)絡(luò)攝像頭攻擊代碼，到Linux.Darlloz 蠕蟲(chóng)，以及由Proofpoint發(fā)現(xiàn)的Thingsbot攻擊。Proofpoint是一家安全即服務(wù)（SaaS）提供商。

　　安全缺失

　　物聯(lián)網(wǎng)設(shè)備的多樣性急劇增加攻擊代碼及惡意軟件的攻擊面。HP安全研究的一份報(bào)告提供了10大消費(fèi)者設(shè)備名單，并發(fā)現(xiàn)了數(shù)量驚人的漏洞（未進(jìn)行傳輸加密、不安全的Web界面、授權(quán)與軟件防護(hù)問(wèn)題）及隱私問(wèn)題。

　　糟糕的物聯(lián)網(wǎng)安全主要由兩個(gè)問(wèn)題導(dǎo)致：

　　· 新設(shè)備搶占市場(chǎng)意味著其設(shè)計(jì)階段未包含安全、或安全考慮存在嚴(yán)重局限性，或糟糕的實(shí)現(xiàn)。

　　· 制造或運(yùn)輸?shù)阮I(lǐng)域的舊有嵌入式系統(tǒng)，其開(kāi)發(fā)者沒(méi)有考慮安全控制，因?yàn)檫@些系統(tǒng)最初是與IP網(wǎng)絡(luò)隔離的且采取了氣隙安全措施。隨著工業(yè)控制系統(tǒng)日益網(wǎng)絡(luò)化以及可遠(yuǎn)程管理，這些物理隔離正在快速消失。

　　HP研究表明，即使是已經(jīng)教育了20多年的基本安全原則，如使用強(qiáng)密碼，也沒(méi)有用于產(chǎn)品開(kāi)發(fā)周期中。為改進(jìn)物聯(lián)網(wǎng)安全，我們可以做什么？

　　新的安全模型和標(biāo)準(zhǔn)對(duì)物聯(lián)網(wǎng)防護(hù)至為關(guān)鍵。我們現(xiàn)有PC及智能手機(jī)的安全模型不適用物聯(lián)網(wǎng)設(shè)備。大多數(shù)物聯(lián)網(wǎng)設(shè)備處理和存儲(chǔ)能力有限。工業(yè)控制系統(tǒng)通常安 裝在關(guān)鍵的運(yùn)營(yíng)環(huán)境中。許多”智能”產(chǎn)品在消費(fèi)者手中落入”安裝即忘記”的擱置狀態(tài)。我們現(xiàn)有的定期更新安全補(bǔ)丁、安裝和更新防病毒軟件以及配置主機(jī)防火 墻等安全模型，對(duì)這些類(lèi)型的物聯(lián)網(wǎng)設(shè)備而言都不可行。

　　除了新的安全模型，新的標(biāo)準(zhǔn)對(duì)于確保物聯(lián)網(wǎng)設(shè)備的安全性及互操作性也至關(guān)重要。消費(fèi)者物聯(lián)網(wǎng)市場(chǎng)監(jiān)管松散并且缺乏安保與安全標(biāo)準(zhǔn)。諸如醫(yī)藥、制造、汽車(chē)以 及運(yùn)輸?shù)绕渌袌?chǎng)已有的安保與安全標(biāo)準(zhǔn)都必須更新，將物聯(lián)網(wǎng)設(shè)備補(bǔ)充進(jìn)去。有幾個(gè)小組正在探索物聯(lián)網(wǎng)標(biāo)準(zhǔn)，包括工業(yè)互聯(lián)網(wǎng)聯(lián)盟、Thread、 AllJoyn，以及開(kāi)放互聯(lián)聯(lián)盟。開(kāi)放互連聯(lián)盟由Broadcom、戴爾、英特爾和三星等企業(yè)創(chuàng)建于7月。未來(lái)哪項(xiàng)標(biāo)準(zhǔn)將占到上風(fēng)且最為廣泛使用將是有 趣的話題。

　　物聯(lián)網(wǎng)安全措施

　　在新的安全模型和標(biāo)準(zhǔn)出現(xiàn)之前，物聯(lián)網(wǎng)設(shè)備最低限度應(yīng)實(shí)施以下安全實(shí)踐：

　　使用安全開(kāi)發(fā)實(shí)踐。OWASP物聯(lián)網(wǎng)Top 10提供了良好的安全控制基線。如強(qiáng)認(rèn)證與安全的Web界面等基本控制，原本應(yīng)可以解決HP Foritfy在消費(fèi)者物聯(lián)網(wǎng)設(shè)備中識(shí)別到的眾多安全問(wèn)題。

　　保護(hù)數(shù)據(jù)。物聯(lián)網(wǎng)領(lǐng)域，數(shù)據(jù)是移動(dòng)的而網(wǎng)絡(luò)邊界是模糊的。為確保隱私，必須對(duì)靜止的和傳輸過(guò)程中的數(shù)據(jù)都加以保護(hù)。

　　披露對(duì)個(gè)人身份信息（PII）的處理機(jī)制。廠商應(yīng)該披露正收集和共享的PII，以及對(duì)它是如何進(jìn)行保護(hù)的。

　　加密、加密還是加密。加密是物聯(lián)網(wǎng)安全的關(guān)鍵部件。當(dāng)數(shù)據(jù)遍歷于設(shè)備間、設(shè)備與移動(dòng)應(yīng)用間以及移動(dòng)應(yīng)用間或設(shè)備與諸如云這樣的其他網(wǎng)絡(luò)間時(shí)，必須對(duì)之加密。此外，對(duì)設(shè)備的軟件更新也應(yīng)該進(jìn)行加密處理。

　　進(jìn)行安全評(píng)估。IT安全人員應(yīng)該進(jìn)行他們自己的產(chǎn)品安全評(píng)估，檢查設(shè)備、應(yīng)用及通信是否安全。

　　組織如何能改進(jìn)物聯(lián)網(wǎng)安全？目前新的標(biāo)準(zhǔn)和安全模型以及安全設(shè)備尚在開(kāi)發(fā)中，有這樣一些措施可供安全專(zhuān)家用于改進(jìn)現(xiàn)有物聯(lián)網(wǎng)設(shè)備的安全：

　　· 風(fēng)險(xiǎn)管理以及持續(xù)監(jiān)控戰(zhàn)略中應(yīng)包括物聯(lián)網(wǎng)設(shè)備

　　· 將用于網(wǎng)絡(luò)與移動(dòng)設(shè)備的相同安全方法充分利用于保護(hù)物聯(lián)網(wǎng)設(shè)備

　　· 為那些由防火墻保護(hù)及入侵防御系統(tǒng)監(jiān)控的設(shè)備以及一個(gè)已劃分的網(wǎng)絡(luò)，創(chuàng)建一份資產(chǎn)清單

 1/2    1 2 下一頁(yè) 尾頁(yè)