物联网安全如何保障

2018-07-20 15:09 来源:国家信息安全漏洞库
浏览量: 收藏:0 分享

  不可否认的是,物联网正在改变我们的生活。不论是车联网、智能家居网络、5G等,都在逐步渗透进这个社会的方方面面。但是随着物联网技术的发展,一个日益严峻的问题摆在了所有人的面前——物联网安全。

  单纯的物联网安全是一个很宽泛的话题,就如同互联网安全问题一样,它并不只局限于某一点,而是在这个行业中的所有参与者都要涉及,任何一点疏漏都可能导致严重的后果。并且除了技术以外,物联网安全还可能涉及伦理、道德等社会问题。

  黑客利用物联网攻击已成常态

  2016年10月份,美国最主要的DNS服务商Dyn遭遇大规模DDoS攻击,导致Twitter、Spotify、Netflix、AirBnb、CNN、华尔街日报等数百家网站无法访问。而这次的攻击也被当时的媒体称之为“史上最严重的DDoS攻击”,可见其影响之大。

  值得注意的是,这次的攻击是黑客运用众多物联网设备来发动攻击。物联网设备通常是默认联网,并且其代码一般都为开源,所以很容易被黑客所利用。同时,由于没有足够的存储空间,因此大部分物联网设备无法安装安全软件。这对于黑客而言,要入侵这些设备比捅破一张纸还容易。

  当然一些专业领域的物联网设备相对而言会更加安全,由于在设计之初已经考虑到了安全问题,并且这些设备还会与互联网进行物理隔离,因此难以被入侵。除了这次最大的黑客入侵事件以外,利用物联网设备进行网络攻击并不罕见。

  除此之外,垃圾邮件、高级持续性威胁(APT)、勒索软件、数据窃取、车辆遥控以及控制人体内的联网医疗设备等,都是目前物联网安全所面临的切实问题。想要让民众彻底接受并安心的使用物联网,这些安全问题就必须解决。

  如何解决物联网安全问题

  如何解决这些物联网安全问题,目前主要在两个个方面。首先是从源头开始,在物联网设备生产之初便开始进行安全问题的考量。一个非常简单的解决办法就是增加物联网设备的存储空间,在这些设备之中安装安全软件,但是考虑到成本问题,许多厂商估计并不会这样做。因此,可以换另外一种思路。

  既然增加成本无法接受,那么可以削减许多不必要的功能。比如物联网智能门锁,对于门锁而言,安全性上的需求更加强烈。但是正所谓功能越多,漏洞便越多,作为一道进出房门的入口,把智能门锁功能简单话,反而能增加其安全性。比如去除智能门锁的联网功能,门锁并不需要繁琐的功能,加上了联网虽然能够让户主随时查看自己家的情况,但是也能给黑客一个远程入侵的破绽。

  物联网数据防护需要专业团队

  不同于在物理层面上进行数据的隔绝,在信息上,由于许多企业需要收集用户个人信息,为用户打造个性化的互动体验,并且根据这些数据反馈来对自己的产品进行更新迭代。但是随着数据量越来越大,信息保护的难度也逐渐增大。

  成长都是相互的,在许多企业能够运用和分析大数据的同时,黑客也同样享受着大数据所带来的红利。他们通过这些大数据,也让自己的黑客技术突飞猛进,继而能轻松击破计算机服务器,获取敏感和昂贵的信息。

  几乎所有拥有相关数据的企业都被黑客入侵过,区别只是有些企业能够察觉,并且予以反击,而有的企业连察觉都做不到。数据安全防护并不是一个简单的事情,他需要人才以及资金的助力,还有企业安全意识的体现。

  许多企业对于数据安全防护完全没有概念,许多物联网数据平台也并不旨在解决安全性问题。因此大多数平台缺乏加密、合规性、风险管理、安全策略以及其他安全功能,这要求企业拥有一支合格的网络安全防护团队才行。

  企业与个人都需要有数据安全意识

  回到资金以及人才问题,对于许多企业高层而言,数据安全使他们不感兴趣或者不了解的领域,因此对于资金的投入颇为吝啬。而数据安全专家介绍,应该把10%左右的IT预算应用于安全性方面,但是许多企业在9%以下。

  除了资金到位外,还需要有优秀的数据安全人才来进行数据防护,但是许多公司内部恰好缺乏这方面的人才,又不会及时的对外进行招聘,并且这类人才的薪资通常比较高昂,多方考虑之下,也给了黑客们可乘之机。

  最后,作为使用这些物联网设备的消费者而言,我们需要重视自身的数据安全,对于许多不必要的信息获取要求,要坚决的取消,哪怕这些应用无法使用。我们应该培养这样的意识,毕竟以斗争求和平则和平存,以妥协求和平则和平亡,用自身的隐私来换取应用的便捷性,只会助长这些企业无止境的欲望。

  一个智能门锁的应用,还需要消费者提供联系人名单,显然是不合常理的。不只是拒绝这些不合理的要求,还希望消费者能够了解物联网产品和服务的个人安全风险。让消费者主动表达自己的担忧并推动对物联网产品安全性和隐私性的需求。

  许多企业目前陷入了一个怪圈,认为数据收集的越多越好,不仅是相关数据,那些无关数据也要收集。这样的现象在国内颇为普遍,而消费者养成重视自己隐私数据的习惯,则可以有效的减少这种现象的发现,也能避免这些数据被黑客所利用。

  保护物联网安全的6条基本原则

  第1条:避免设备直接联网。

  不部署防火墙或将防火墙置于设备后端的行为均不可取。防火墙应置于该设备联网之前,在防火墙中开放特定端口实现设备的远程访问。

  第2条:更改默认密码。

  拿到这些设备后我们要做的第一件事就是把初始密码改成复杂的你又记得住的密码。就算密码忘记了,也不是走投无路,现在市场上大多数设备都有恢复出厂设置的功能。

  第3条:更新固件。

  硬件供应商有时会为支持他们设备的软件(称为“固件”)提供安全更新程序。因此,安装设备之前先访问厂商官网查看是否有固件更新,另外也要养成定期查看的习惯。

  第4条:检查默认设置。

  确保像UPnP(通用即插即用,主要用于设备的智能互联互通,能够在你不知情的情况下开放防火墙端口)这类你不需要的功能已经被设置成“禁用”。

  第5条:避免购买具有内置P2P(对等网络)功能的物联网设备

  P2P物联网设备的安全防护实施起来非常困难。很多研究都表明,即使有防火墙,攻击者也能实现远程访问,因为P2P的配置特点之一就是持续不断地连接共享网络,直到成功。因此攻击者完全有可能实现远程访问。这也是人们对物联网设备安全存在恐慌心理的原因之一。

  第6条:成本越低的设备,安全性可能越差。

  90%廉价的物联网设备都不安全。当然,价格与安全性没有直接关联,但是无数案例说明,价格范围较低的设备往往漏洞和后门更多,厂商的维护和售后支持力度也不够。

  很多人看到这些安全提示都会嗤之以鼻,明明道理都懂,有时候就是做不到。良好的开发、部署和操作习惯非常有必要,减少物联网对全球安全问题的影响,最重要的还是每一个人从最基本的做起。

  物联网安全是一个永恒的话题,正如世界有光明就会有黑暗,我们无法完全避免物联网安全事件再次发生,但是我们可以提前预防,培养自身有关物联网安全的意识,有效削减黑客入侵的途径。

标签:

责任编辑:bozhihua
在线客服