物聯(lián)網(wǎng)在內的網(wǎng)絡互聯(lián)服務為社會發(fā)展創(chuàng)造了機會和利益，而物聯(lián)網(wǎng)自身的安全卻跟不上創(chuàng)新和部署的快速步伐。如今，網(wǎng)絡連接設備無處不在，物聯(lián)網(wǎng)的增長和普及大大方便了人們的生活，而隨著國家關鍵基礎設施更多的網(wǎng)絡物聯(lián)應用，個人和國家面臨的安全威脅越來越嚴重，而物聯(lián)網(wǎng)的安全問題也接踵而來，惡意攻擊、信息泄露、業(yè)務中斷、大規(guī)模網(wǎng)絡攻擊······網(wǎng)絡驅動生活，物聯(lián)網(wǎng)安全事關國家安全。

 

美國國土安全部發(fā)布《物聯(lián)網(wǎng)安全指導原則》，本報告向物聯(lián)網(wǎng)設備和系統(tǒng)相關開發(fā)商、生產(chǎn)商、管理者及個人提供了一組安全規(guī)則建議，以供參考。

1 在設計開發(fā)階段考慮安全問題

任何網(wǎng)絡連接設備都應考慮安全問題，在設計階段的安全建設，避免了后期因安全問題帶來的潛在業(yè)務中斷和高昂重建成本。而通過注重網(wǎng)絡設備安全性，也能為生產(chǎn)商和服務商提供市場分化機遇。建議：

》以獨特的方式設置難以破解的默認用戶名密碼。用戶從來不會修改由生產(chǎn)商提供的默認用戶名密碼，很容易被破解。僵尸網(wǎng)絡操作者正是利用這些默認密碼信息掃描IoT設備，進行攻擊感染。當然，強壯的安全控制應該是讓用戶具有修改禁用某些功能的權限。

》使用技術過關和經(jīng)濟可行的主流操作系統(tǒng)。許多IoT設備內置使用了一些老版本的Linux系統(tǒng)，造成更新不及時，帶來嚴重安全隱患。

》使用安全集成硬件以加強設備和安全和完整性防護。例如，在處理器中嵌入安全集成芯片，并提供加密和匿名功能。

》在設計中考慮系統(tǒng)和操作中斷因素。只有了解造成設備故障的原因，才能制訂有效的安全策略，甚至在某些可行情況下，為了減緩故障的嚴重性，開發(fā)商應該為設備設計一種安全無損的失效模式。 2 加強安全更新和漏洞管理

即使在設計階段考慮了安全性，但在產(chǎn)品使用后還是會發(fā)現(xiàn)一些漏洞，這些漏洞可以通過更新和漏洞管理策略來進行緩解。對于這些緩解策略的制訂者來說，應該充分考慮設備故障造成的影響、設備運行持續(xù)性和預期維修成本。而對于生產(chǎn)商來說，在漏洞威脅日趨嚴重的網(wǎng)絡環(huán)境中，如果沒有部署或設置安全更新能力，可能就會面對昂貴地召回或在遺棄不管的選擇。建議：

》考慮通過網(wǎng)絡或其它自動化方式對設備進行安全加固更新。理想情況下，補丁應該通過加密和完整性驗證方式來自動化更新。

》考慮協(xié)調第三方供應商來進行軟件更新，以解決和改進漏洞管理模式，確保消費者使用設備具有一整套的安全防護措施。

》開發(fā)漏洞自動化處理更新機制。例如，在軟件工程領域，建立來自安全研究者和黑客社區(qū)的漏洞報告實時信息獲取機制，這對軟件開發(fā)人員或后期維護人員來說都能得到及時的信息反饋和響應。

》制訂一個漏洞協(xié)調披露和處理政策。該政策應該涉及開發(fā)商、生產(chǎn)商、服務商和應急響應組織(CSIRT)，通過應急響應組織，如US-CERT、ICS-CERT提供的漏洞報告進行定期的漏洞分析和預警。

》針對物聯(lián)網(wǎng)設備制訂一個使用期限策略。IoT設備不可能進行無限期的更新和升級，開發(fā)人員應了解生產(chǎn)商和消費者期望，考慮設備使用期限問題，并明確超出使用期限帶來的安全風險。 3 建立一套公認的安全操作方法

許多針對傳統(tǒng)IT和網(wǎng)絡安全的操作實踐可以應用于IoT領域，這些方法可以幫助識別漏洞、檢測合規(guī)性、響應預警和快速恢復。建議：

》實踐基本的軟件安全和網(wǎng)絡安全做法，并通過適配、靈活和創(chuàng)新的方式應用于IoT生態(tài)系統(tǒng)。

》參考相關部門的具體實踐指導。一些聯(lián)邦部門制訂有相關安全實踐條例，如國家高速公路交通安全管理局（NHTSA）發(fā)布的《現(xiàn)代汽車網(wǎng)絡安全最佳實踐指南》、FDA發(fā)布的《醫(yī)療設備網(wǎng)絡安全的售后管理》。

》執(zhí)行深度防御。開發(fā)商和生產(chǎn)商應該采用分層防御和用戶級別威脅考慮的整體安全防護策略，當某些更新升級失效時，這能很好地發(fā)揮作用。

》加入漏洞信息共享平臺，積極通報漏洞，及時接收第三方安全預警。信息共享平臺是提高安全風險意識的關鍵工具。如DHS和其下屬的國家網(wǎng)絡安全通信協(xié)調中心（NCCIC）等。 4 優(yōu)先考慮造成潛在影響的安全措施

不同的IoT系統(tǒng)有著不同的風險模型，如工業(yè)用戶和零售用戶所考慮的風險不同，而且不同用戶設備造成的安全故障后果也不盡相同，而破壞、數(shù)據(jù)泄露、惡意攻擊等行為將導致潛在的嚴重后果，應該給予重視。建議：

》了解設備的預期用途和使用環(huán)境。這將有助于開發(fā)商和生產(chǎn)商考慮IoT設備的技術特點、運行機制和必要的安全措施。

》以黑客和攻擊者視角建立“紅隊”操作模式，針對應用層、網(wǎng)絡層、數(shù)據(jù)層和物理層進行安全分析測試，由此產(chǎn)生的最終結果和相關緩解策略有助于優(yōu)先針對某些薄弱地方增加安全措施。

》對接入網(wǎng)絡的設備進行識別認證，尤其是針對工業(yè)和商業(yè)領域。引入安全認證功能，將使關鍵和重要領域用戶對其組織架構內的設備和服務進行有效控制管理。 5 促進整個物聯(lián)網(wǎng)生命周期的透明度

開發(fā)商和生產(chǎn)商應該了解其組織外部供應鏈使用或提供的軟硬件相關漏洞情況。大多數(shù)時候，因為在開發(fā)和生產(chǎn)過程中忽略了供應鏈過程和產(chǎn)品的安全評估，一些代成本、易使用的軟硬件會為IoT設備帶來很大的安全隱患。另外，由于一些不明的開源軟件會應用于IoT設備的開發(fā)過程，更增加了由此產(chǎn)生的風險威脅。提高安全意識可以幫助制生產(chǎn)商和工業(yè)消費者識別、應用安全措施或建立冗余策略。根據(jù)不同產(chǎn)品、開發(fā)商、生產(chǎn)商和服務商的可能產(chǎn)生的風險，設置適當?shù)耐{緩解和漏洞處理措施，如更新、產(chǎn)品召回或客戶咨詢。建議：

》進行內部或第三方供應商的端到端風險評估。為了增加安全透明度，開發(fā)商、生產(chǎn)商、供應商和服務商都應參風險評估過程。另外，當供應鏈環(huán)節(jié)發(fā)生改變時，相應的安全措施也應該進行改變或調整。

》考慮建立一個關于漏洞報告的公開披露機制，如漏洞眾測模式的賞金計劃等。

》在供應商和生產(chǎn)商之間采用明細的設備部件使用清單，以共建信任機制。一份明細清單對IoT生態(tài)系統(tǒng)的風險管理和威脅處理非常有用。 6 謹慎接入互聯(lián)網(wǎng)

在工業(yè)環(huán)境和其它關鍵應用領域的物聯(lián)網(wǎng)用戶，應審慎考慮是否需要把IoT設備接入網(wǎng)絡，并清楚由此導致的中斷和其它安全風險。在當前復雜的網(wǎng)絡環(huán)境中，任何物聯(lián)網(wǎng)設備在其生命周期內都有可能會遭到破壞，物聯(lián)網(wǎng)設備開發(fā)商、生產(chǎn)商和消費者應該了解相關設備被破壞和中斷對主要功能和業(yè)務運營造成的影響。建議：

》建議IoT用戶明確任何網(wǎng)絡連接性質和目的。如工業(yè)控制等一些關鍵環(huán)境使用的IoT設備沒必要接入網(wǎng)絡。

》配置替代性連接方案。為了加強深度防御策略，在不接入互聯(lián)網(wǎng)的情況下，可以選擇配置接入本地網(wǎng)絡進行關鍵信息收集和評估。具體參考： https://ics-cert.us-cert.gov/recommended_practices

》在一些選擇性連接方案中，允許生產(chǎn)商、服務商和用戶禁用特定端口和連接功能。針對不同IoT設備用途，設置用戶端指導和控制方案。

 

2016年12月2日第由電子發(fā)燒友網(wǎng)舉辦的第三屆物聯(lián)網(wǎng)大會IoT軟硬件平臺分論壇，來自ARM、ST、Cypress、華為海思、Ablecloud、青蓮云的專家將會開講物聯(lián)網(wǎng)的解決方案、云平臺、安全性話題，速度戳這里報名來和專家一起交流物聯(lián)網(wǎng)安全設計難題吧！