物聯(lián)網(wǎng)在內的網(wǎng)絡(luò )互聯(lián)服務(wù)為社會(huì )發(fā)展創(chuàng )造了機會(huì )和利益，而物聯(lián)網(wǎng)自身的安全卻跟不上創(chuàng )新和部署的快速步伐。如今，網(wǎng)絡(luò )連接設備無(wú)處不在，物聯(lián)網(wǎng)的增長(cháng)和普及大大方便了人們的生活，而隨著(zhù)國家關(guān)鍵基礎設施更多的網(wǎng)絡(luò )物聯(lián)應用，個(gè)人和國家面臨的安全威脅越來(lái)越嚴重，而物聯(lián)網(wǎng)的安全問(wèn)題也接踵而來(lái)，惡意攻擊、信息泄露、業(yè)務(wù)中斷、大規模網(wǎng)絡(luò )攻擊……網(wǎng)絡(luò )驅動(dòng)生活，物聯(lián)網(wǎng)安全事關(guān)國家安全。

本報告向物聯(lián)網(wǎng)設備和系統相關(guān)開(kāi)發(fā)商、生產(chǎn)商、管理者及個(gè)人提供了一組安全規則建議，以供參考。

1 在設計開(kāi)發(fā)階段考慮安全問(wèn)題

任何網(wǎng)絡(luò )連接設備都應考慮安全問(wèn)題，在設計階段的安全建設，避免了后期因安全問(wèn)題帶來(lái)的潛在業(yè)務(wù)中斷和高昂重建成本。而通過(guò)注重網(wǎng)絡(luò )設備安全性，也能為生產(chǎn)商和服務(wù)商提供市場(chǎng)分化機遇。建議：

以獨特的方式設置難以破解的默認用戶(hù)名密碼。用戶(hù)從來(lái)不會(huì )修改由生產(chǎn)商提供的默認用戶(hù)名密碼，很容易被破解。僵尸網(wǎng)絡(luò )操作者正是利用這些默認密碼信息掃描IoT設備，進(jìn)行攻擊感染。當然，強壯的安全控制應該是讓用戶(hù)具有修改禁用某些功能的權限。

使用技術(shù)過(guò)關(guān)和經(jīng)濟可行的主流操作系統。許多IoT設備內置使用了一些老版本的Linux系統，造成更新不及時(shí)，帶來(lái)嚴重安全隱患。

使用安全集成硬件以加強設備和安全和完整性防護。例如，在處理器中嵌入安全集成芯片，并提供加密和匿名功能。

在設計中考慮系統和操作中斷因素。只有了解造成設備故障的原因，才能制訂有效的安全策略，甚至在某些可行情況下，為了減緩故障的嚴重性，開(kāi)發(fā)商應該為設備設計一種安全無(wú)損的失效模式。

2 加強安全更新和漏洞管理

即使在設計階段考慮了安全性，但在產(chǎn)品使用后還是會(huì )發(fā)現一些漏洞，這些漏洞可以通過(guò)更新和漏洞管理策略來(lái)進(jìn)行緩解。對于這些緩解策略的制訂者來(lái)說(shuō)，應該充分考慮設備故障造成的影響、設備運行持續性和預期維修成本。而對于生產(chǎn)商來(lái)說(shuō)，在漏洞威脅日趨嚴重的網(wǎng)絡(luò )環(huán)境中，如果沒(méi)有部署或設置安全更新能力，可能就會(huì )面對昂貴地召回或在遺棄不管的選擇。建議：

考慮通過(guò)網(wǎng)絡(luò )或其它自動(dòng)化方式對設備進(jìn)行安全加固更新。理想情況下，補丁應該通過(guò)加密和完整性驗證方式來(lái)自動(dòng)化更新。

考慮協(xié)調第三方供應商來(lái)進(jìn)行軟件更新，以解決和改進(jìn)漏洞管理模式，確保消費者使用設備具有一整套的安全防護措施。

開(kāi)發(fā)漏洞自動(dòng)化處理更新機制。例如，在軟件工程領(lǐng)域，建立來(lái)自安全研究者和黑客社區的漏洞報告實(shí)時(shí)信息獲取機制，這對軟件開(kāi)發(fā)人員或后期維護人員來(lái)說(shuō)都能得到及時(shí)的信息反饋和響應。

制訂一個(gè)漏洞協(xié)調披露和處理政策。該政策應該涉及開(kāi)發(fā)商、生產(chǎn)商、服務(wù)商和應急響應組織(CSIRT)，通過(guò)應急響應組織，如US-CERT、ICS-CERT提供的漏洞報告進(jìn)行定期的漏洞分析和預警。

針對物聯(lián)網(wǎng)設備制訂一個(gè)使用期限策略。IoT設備不可能進(jìn)行無(wú)限期的更新和升級，開(kāi)發(fā)人員應了解生產(chǎn)商和消費者期望，考慮設備使用期限問(wèn)題，并明確超出使用期限帶來(lái)的安全風(fēng)險。

3 建立一套公認的安全操作方法

許多針對傳統IT和網(wǎng)絡(luò )安全的操作實(shí)踐可以應用于IoT領(lǐng)域，這些方法可以幫助識別漏洞、檢測合規性、響應預警和快速恢復。建議：

實(shí)踐基本的軟件安全和網(wǎng)絡(luò )安全做法，并通過(guò)適配、靈活和創(chuàng )新的方式應用于IoT生態(tài)系統。

參考相關(guān)部門(mén)的具體實(shí)踐指導。一些聯(lián)邦部門(mén)制訂有相關(guān)安全實(shí)踐條例，如國家高速公路交通安全管理局（NHTSA）發(fā)布的《現代汽車(chē)網(wǎng)絡(luò )安全最佳實(shí)踐指南》、FDA發(fā)布的《醫療設備網(wǎng)絡(luò )安全的售后管理》。

執行深度防御。開(kāi)發(fā)商和生產(chǎn)商應該采用分層防御和用戶(hù)級別威脅考慮的整體安全防護策略，當某些更新升級失效時(shí)，這能很好地發(fā)揮作用。

加入漏洞信息共享平臺，積極通報漏洞，及時(shí)接收第三方安全預警。信息共享平臺是提高安全風(fēng)險意識的關(guān)鍵工具。如DHS和其下屬的國家網(wǎng)絡(luò )安全通信協(xié)調中心（NCCIC）等。

4 優(yōu)先考慮造成潛在影響的安全措施

不同的IoT系統有著(zhù)不同的風(fēng)險模型，如工業(yè)用戶(hù)和零售用戶(hù)所考慮的風(fēng)險不同，而且不同用戶(hù)設備造成的安全故障后果也不盡相同，而破壞、數據泄露、惡意攻擊等行為將導致潛在的嚴重后果，應該給予重視。建議：

了解設備的預期用途和使用環(huán)境。這將有助于開(kāi)發(fā)商和生產(chǎn)商考慮IoT設備的技術(shù)特點(diǎn)、運行機制和必要的安全措施。

以黑客和攻擊者視角建立“紅隊”操作模式，針對應用層、網(wǎng)絡(luò )層、數據層和物理層進(jìn)行安全分析測試，由此產(chǎn)生的最終結果和相關(guān)緩解策略有助于優(yōu)先針對某些薄弱地方增加安全措施。

對接入網(wǎng)絡(luò )的設備進(jìn)行識別認證，尤其是針對工業(yè)和商業(yè)領(lǐng)域。引入安全認證功能，將使關(guān)鍵和重要領(lǐng)域用戶(hù)對其組織架構內的設備和服務(wù)進(jìn)行有效控制管理。

5 促進(jìn)整個(gè)物聯(lián)網(wǎng)生命周期的透明度

開(kāi)發(fā)商和生產(chǎn)商應該了解其組織外部供應鏈使用或提供的軟硬件相關(guān)漏洞情況。大多數時(shí)候，因為在開(kāi)發(fā)和生產(chǎn)過(guò)程中忽略了供應鏈過(guò)程和產(chǎn)品的安全評估，一些代成本、易使用的軟硬件會(huì )為IoT設備帶來(lái)很大的安全隱患。另外，由于一些不明的開(kāi)源軟件會(huì )應用于IoT設備的開(kāi)發(fā)過(guò)程，更增加了由此產(chǎn)生的風(fēng)險威脅。提高安全意識可以幫助制生產(chǎn)商和工業(yè)消費者識別、應用安全措施或建立冗余策略。根據不同產(chǎn)品、開(kāi)發(fā)商、生產(chǎn)商和服務(wù)商的可能產(chǎn)生的風(fēng)險，設置適當的威脅緩解和漏洞處理措施，如更新、產(chǎn)品召回或客戶(hù)咨詢(xún)。建議：

進(jìn)行內部或第三方供應商的端到端風(fēng)險評估。為了增加安全透明度，開(kāi)發(fā)商、生產(chǎn)商、供應商和服務(wù)商都應參風(fēng)險評估過(guò)程。另外，當供應鏈環(huán)節發(fā)生改變時(shí)，相應的安全措施也應該進(jìn)行改變或調整。

考慮建立一個(gè)關(guān)于漏洞報告的公開(kāi)披露機制，如漏洞眾測模式的賞金計劃等。

在供應商和生產(chǎn)商之間采用明細的設備部件使用清單，以共建信任機制。一份明細清單對IoT生態(tài)系統的風(fēng)險管理和威脅處理非常有用。

6 謹慎接入互聯(lián)網(wǎng)

在工業(yè)環(huán)境和其它關(guān)鍵應用領(lǐng)域的物聯(lián)網(wǎng)用戶(hù)，應審慎考慮是否需要把IoT設備接入網(wǎng)絡(luò )，并清楚由此導致的中斷和其它安全風(fēng)險。在當前復雜的網(wǎng)絡(luò )環(huán)境中，任何物聯(lián)網(wǎng)設備在其生命周期內都有可能會(huì )遭到破壞，物聯(lián)網(wǎng)設備開(kāi)發(fā)商、生產(chǎn)商和消費者應該了解相關(guān)設備被破壞和中斷對主要功能和業(yè)務(wù)運營(yíng)造成的影響。建議：

建議IoT用戶(hù)明確任何網(wǎng)絡(luò )連接性質(zhì)和目的。如工業(yè)控制等一些關(guān)鍵環(huán)境使用的IoT設備沒(méi)必要接入網(wǎng)絡(luò )。

配置替代性連接方案。為了加強深度防御策略，在不接入互聯(lián)網(wǎng)的情況下，可以選擇配置接入本地網(wǎng)絡(luò )進(jìn)行關(guān)鍵信息收集和評估。具體參考：https://ics-cert.us-cert.gov/recommended_practices

在一些選擇性連接方案中，允許生產(chǎn)商、服務(wù)商和用戶(hù)禁用特定端口和連接功能。針對不同IoT設備用途，設置用戶(hù)端指導和控制方案。

內容來(lái)源于FreeBuf（FreeBuf.COM）