华为王元：物联网和传统IT相比，安全防护有什么区别？
车联网安全除了在终端、连接、平台进行必要的安全防御，还要进行长期的安全运营与安全管控。
车云按：日-22日，由中国安全产业协会、TIAA车载信息服务产业应用联盟与车云网共同主办的2017年中国安全产业峰会暨首届交通安全产业论坛在北京召开。华为产品与解决方案营销运作部物联网营销总监王元在会上介绍了华为物联网安全方案及其在车联网领域的应用。华为产品与解决方案营销运作部物联网营销总监王元以下为演讲实录：感谢大会主委会的邀请，也感谢主持人的介绍，谢谢大家坚持到现在，我尽量加快速度。我今天要讲的是华为物联网安全方案及其在车联网领域的应用。首先大家了解到物联网时代，万物可被远程感知以及控制，安全形势目前异常严峻。有几组的数据在这里，27%的控制系统已经被攻破或者被感染，80%以上的设备采用简单的密码，80%以上的设备保留有硬件、调试接口，然后这些都没有封装。还有大量的物联网通信协议实际上是缺乏安全机制的。面对这种比较严峻的形势我们也会看到有大量的威胁案例存在，包括2015年的时候特斯拉案例，这个之前可能也有我们的演讲嘉宾提到过。在2015年8月，美国安全局两位专家对特斯拉进行了模拟的黑客探测，然后他们是通过对特斯拉上面的SD卡进行解析，发现里面有密码是明文存储的。这样他们通过明文存储的密码远程登录到云端系统上，然后通过系统的连接进行对控制系统的固件升级更新，这样更新之后它可以获取到登录本地汽车网关的密码，从而远程登录到汽车，对汽车进行控制。这里面三个比较重要的点就是在于本地存储的泄露，以及终端系统密码破解，以及终端仿冒到平台上。这个案例告诉我们对于终端的攻击很多时候是由于明文存储未加密、未保护，造成了车毁人亡的事故。第二个事例是在2016年10月，美国发生了大规模的DDOS的攻击事件，起因是黑客通过网络扫描发现大量非常容易被攻破的终端，他们有非常简单的密码。通过病毒的感染对这些终端进行远程控制，然后利用这些终端进行大规模的DDOS攻击，启动了150万台设备对DNS进行了三波的攻击，美国大概有5个小时的时间属于网络瘫痪，非常严重。第三个案例是在网络侧的攻击，在2015年的1月份，南京水泥厂被周围的群众举报，说他们二氧化硫排放量严重超标。实际上在政府的检测平台，他们看到数据是显示正常的，原因其实就在于水泥厂在当气体监测器把气体监测数据采集之后上传到RTU时，由于网络传输过程是明文传输，这样被非法分子篡改数据以至于造成严重的后果。最后简单地分享关于系统方面的攻击，这是在乌克兰，他们的电网，当时有黑客把钓鱼软件通过邮件发送给当时办公室的办公人员，他们打开之后，其中携带的木马病毒就整体扩散，然后办公电脑被黑客当作跳板，攻击到了控制管区的控制主机。控制主机他们进去之后对于关键的器件下了断电指令，以至于停电时间3到6小时，非常严重。而且黑客在攻击之后把之前攻击所有的指令信息全部摸掉，以至于检测人员无法检测之前的篡改。更有甚者他们对于求救中心进行DDOS攻击，以至于不知道大家发生什么事情无法恢复，所以造成大范围停电，影响非常严重。比较物联网安全和传统IT安全，它们有什么差别呢？第一，安全后果不一样。传统IT后果大多数主要是信息的泄露，但是对于物联网来说包括很多方面，而且严重程度可能会非常骇人听闻，而且不同应用场景后果是不一样的。第二，它的环境条件也不太一样。传统IT的话一般都是有专门的座机，计算能力相当来说是比较强的，但是对于物联网来说它有大量的终端存在，而且大量的终端可能是资源受限，计算能力，存储能力等等各个方面，甚至还有可能暴露在户外、野外，所以它受到的限制非常多，而且可能终端界面特别来说都是比较简单的。第三，攻击手段和防御方法。从这点来看，据我们分析传统安全和物联网安全其实是大致相同的，不管是从攻击方法和防御方法谈。所以我们考虑到对于物联网安全，首先我们要根据它不同的场景以及不同的后果影响，然后对他们要进行分级的防御措施。对于不同环境条件下不同的终端我们也应该进行分类分级地处理。这是我们相当于是对所有的目前可以了解到看到的攻击方式进行总结。首先来看，我们是按照两个维度，就是说攻击的对象。物联网通常大家把它分成三层，从终端到网络连接再到上面的平台系统。从攻击本身的类型来说，我们有假冒、篡改、泄露、DOS还有越权方式，同时攻击威胁的影响我们也做了标识，所以大概有35种攻击方式列举在这里，当然这里还不是所有全部，只是给大家作为启示。我们华为的安全架构就是我们要构筑“3+1”全面纵深防御机制，“3+1”怎么来讲？防线1是从终端来看提供适度的防护，物联网终端等级是不一样的，所以对于简单的终端以及强能力的终端，我们分别实施针对性的不同的防御措施。防线2就是连接侧，我们这里重点强调对恶意终端检测，怎么样进行检测？我们可以通过不同的检测方式，然后看这些终端他们是不是有非预期的入网时间，是不是报文是非法的，以及数据流量是不是异常，然后来判断他们是否是恶意终端。防线3平台侧，我们重点强调的是数据全生命周期的管理，从采集到计算存储到洞察以及到计算后期的开放整体拉通来看。以上是“3”，另外一个“1”是说安全管控，是为运维人员提供安全的指导以及各种工具的支持。这里相当于对每一层防线以及安全管控都提供了不同的防御方式，比如说在终端侧有本地验证，安全升级，安全加固，平台认证，本地资源管控等等。然后对于网络侧我们有无线恶意终端检测，网络端，可加固，防火墙等等，然后在平台侧我们还包括隐私的保护，比如说还有数据库的防火墙等等。安全管控方面我们重点强调的是大数据安全分析，以及端到端的安全运维SOP。这时候我们就回到之前特斯拉的案例，我们怎么样对它进行一个防御呢？首先对于它本地的关键信息要做基于TPM/TEE的本地存储加密，这样的话安全硬件存储它里面的信息，之前美国专家把它攻破主要原因其实也在于此。把信息安全加密之后，首先第一步把它防御住了，这是防线1。在防线2连接侧，我们可以通过不同的方式，一种方式通过恶意终端的检测发现异常，发现恶意终端，然后通过防火墙对它进行隔离。还有一种方式基于身份密钥的分布式IBS认证，接下来我们把它打开来看。防线1就是针对复杂关键的车载终端我们实行TPM/TEE的安全加密存储，首先我们会把根密钥在TPM中硬件存储，之后根据密钥我们生出关键密钥，然后其中一个就可以用于存储登录密码的加密。利用这个密钥我们对要传输的信息进行加密，加密等所有的运行都是在TEE OS中，就是说可信环境中进行执行，然后把结果发送给应用层。这样的话就是说它所有的处理都是在一个完全加固加密的环境中，以确保它信息的安全存储加密。防线2我们利用基于身份密钥的分布式IBS认证，这个在华为IoT平台我们有连接管理，其中有密钥生成模块，主要是针对于下面的终端生成对应其身份的密钥。把密钥通过网络的TLS安全管道下发给各个终端，进行认证的时候就比如说汽车B，它想要传输关键信息，那么它就通过用自己的私钥对要传输的信息进行签名加密。比如说它把信息传给A，A拥有它的公钥，这个公钥就是其身份ID，所有相连接的终端也好都是拥有同样的。A用B的公钥，也就是B的身份ID，对传输过来的信息进行解密认证，如果解密之后的数据信息和同时传送给它的信息一致的话，那么可以确认A认证成功，跟A建立连接互通。还有一种比如说把信息传给平台侧，平台有专门的连接管理模块，它发现通过它所拥有的B的身份公钥进行解密之后，出来的传输数据和被传送给它的传输信息是不一致的，那么它发现B是一个恶意终端或者是假冒的B终端。这样子这个连接就不会建立，信息也不会进行传输，这些就是起到了一个检测隔离的作用。我们还有一种方式，是通过日志检测，它是不同检测方式的一种，包括日志检测、流量检测以及报文检测。对于汽车来讲可以通过日志检测来发现其异常，比如说汽车每周进行固件加固的更新，时间可能是在每周的凌晨时间设定好的，但是发现后来终端进行申请固件加固的时间变成了中午，这就是非预期时间入网，我们就要对它进行鉴别以及隔离。另外一种可能位置的变动，比如说汽车一直在亚洲跑，突然发现有命令是在美洲的发出的，这也是一个异常行为，这样我们会发现恶意终端。其他两种中比较通用的是流量检测，比如说流量数据异常增大，这个对于DDOS的防护是非常重要的。还有对于报文检测，难度是比较大的，因为它要分析里面所涵盖的信息是不是符合它的格式等等。这里我们就不一一赘述了。发现恶意终端之后可以通过不同方式对它进行隔离，其中一种可以利用工业级的防火墙，这样子的话就是说在连接网络层我们有防火墙进行一层隔离，对于检测管理、管控侧以及运营管理侧，这时候我们同样可以加一层防火墙进行二次隔离，相当于层层防护。防线3这个就涉及到数据全生命周期的管理，比如说在数据采集的时候我们一些敏感字段要进行及时的加密以防它的泄露。还有包括数据在计算和存储的时候，我们要对数据进行脱敏、加密、雾化，以及包括数据洞察方面的密文关联分析，以及数据开放的安全审计、权限控制。当然这里面涵盖的信息又比较多，特别是对于车联网的话，汽车从设计制造到后期的管理维护以及到后面的报废处理一系列，其实它是很完整的。另外“3+1”结构中的1是对于安全管控，华为的平台它能力是比较强大的。其实我们这个平台侧它主要提供的是设备管理，连接管理以及应用使能。而应用使能中对于大数据的分析是非常关键的，怎么样利用机器学习和大数据实现智能化的安全防御，这里面涉及到各种模型的建立以及对于历史数据的分析。我们这里提供的各种算法，以及分布学习能力，行为分析，异常检测等等，这个其实跟我们之间的恶意检测也是相互联系的。另外一个就是基于安全威胁防御的CIS解决方案，这个地方我们可以提供可视化的呈现方式。以至于分析人员可以更好地对这个数据进行分析理解和处理，以及丰富的异常行为关联分析的评估能力等等。所以越往上层和平台的联系非常密切的，华为OceanConnet平台是严格遵循了安全开发流程的，它经过EuroPrise 及 IOActive认证,和多方面的测试，包括静态代码分析、动态分析、模糊测试，渗透测试等等。同时对于终端的合作伙伴，华为在全球的Openlab和合作伙伴一起开发，对于设计阶段，需要达到什么样的要求，我们都给出了《华为物联网终端安全技术规范》。以及在终端进行上市之前，怎么进行测试，我们这里提出来一百多个测试场景，涵盖是非常广的，给终端用户非常好的建议。另外对于上层安全管控的话，我们构建E2E各环节的安全运维，它是一个端到端整体的安全运维规范，我们希望和大家一起在联合制定。好了，我的内容就到这里，谢谢大家！
相关标签：2020年设备数量将超200亿，SIMBOSS为物联网保驾护航
> 2020年设备数量将超200亿，SIMBOSS为物联网保驾护航
2020年设备数量将超200亿，SIMBOSS为物联网保驾护航
　　2017年是国内发展的标志性一年。本文引用地址：
　　技术不断发展成熟并逐步应用落地，如智能家居、智慧城市、共享单车、车联网、共享KTV等产品不断出现，让人们的生活更加便捷和高效。互联网巨头百度、阿里、腾讯、小米、京东等也纷纷亮相各自IoT战略，布局未来发展。
　　物联网设备爆发式增长，权威机构预测2020年全球物联网设备数量将超过200亿。如此庞大的市场规模对物联网的发展是极大的鼓励，但联网设备容易受攻击，安全已成为物联网应用亟待解决的关键问题。
　　物联网安全事件频发
　　物联网发展迅速，但也面临极大的安全隐患，如仿冒接入、隐私泄露、设备受控、蓄意破坏等。全球已发生多起通过物联网设备发起的攻击事件，比如利用路由器、IP摄像头、打印机和其它设备组成的大规模僵尸网络发动的DDoS攻击。通过成功入侵物联网设备，网络罪犯能够对用户进行勒索，或者监控用户，造成了严重的社会影响。
　　由于技术局限性和用户原因，解决物联网安全问题挑战极大。加密技术和防火墙存在被破解的可能;不是所有用户都经常更换密码，非技术型用户成为系统中的弱点;软硬件种类不同导致的兼容性问题等，这些都可能会产生黑客可以入侵的漏洞。
　　三招提升物联网安全防护能力
　　IoT设备漏洞类型包括权限绕过、拒绝服务、信息泄露、跨站、命令执行、缓冲区溢出、SQL注入、弱口令、设计缺陷等。
　　其中，权限绕过、拒绝服务、信息泄露漏洞数量位列前三。为了充分发挥物联网的潜力，以下有三招来应对物联网安全方面的挑战。
　　1、分层加密防护
　　如果用分层观点看待物联网技术，可以在感知层中设立密钥管理机制，保证感知层数据信息的机密性和认证性;在传输层各节点之间进行节点认证和密钥协商协议处理，根据实际需要设定或者选择适当的保密算法和数据完整性验证服务;在端到端的安全防护中采用密钥协商协议的基础上添加端到端的认证机制、数据完整性验证机制和机密性算法选取机制等。
　　2、重视网关的作用
　　一些网络安全技术正在被改造用于物联网，目前市场上已有类似网关的产品。设置安全机制，有两方面需要注意：
　　由于各个设备持续的能见度是由网关提供的，需要一个实时评估机制，当未知的设备通过网关接入网络时，该评估机制能够识别;根据设备的分类，网关需要具备管理设备采用自动化、已设定行为的能力。包括控制设备如何连接至网络(如仅限于连接至某一子网)、对可与设备互动资源的限制以及将设备活动计入日志等。
　　3、VPDN专网
　　旗下的VPDN专网产品通过连接和安全两大板块助力物联网通信安全。
　　它是VPDN卡(带特定APN的SIM卡)经过专门设定的网络通道接入企业内网，实现VPDN卡与企业内网互相通信的一种业务。既能用于上公网，还可以用于企业组建VPDN专网，满足企业与物联网设备互相通信的需求。
　　连接包括双向通信、专网通信和和定向通信三方面，让物联网可见、可连接、可管理。
　　双向通信可以获取业务和状态信息，管理海量物联网终端;专网通信融入企业内网，打造物联网和企业内网的桥梁;定向通信指定向连接企业应用、云计算或其他指定服务，构建物联网灵活连接和转发的控制平台。
　　安全包括黑白名单、流量保护和安全审计三方面。基于物联卡产生的业务运营数据、用户行为数据和基础流量数据，识别物联卡业务使用异常和大规模的网络威胁事件，可实现物联卡的业务可管可控，网络威胁态势可见。
　　通过设置黑白名单，根据安全的需要限制访问或定向访问指定网站/服务器;提供流量封顶，达量断网，流量限速等快速响应机制，保障流量安全;提供关键词审计、流量审计、日志审计等多维度安全审计。
　　此外，还提供安全咨询、安全运营等安全服务，为企业的物联网安全通信提供全面保障。
分享给小伙伴们：
我来说两句……
微信公众号二
微信公众号一物联网蓬勃发展，资产安全防护不容忽视
发表于 15:06|
来源互联网|
作者互联网
摘要：随着中国制造 2025战略推进、两化深度融合、以及多层面互联互通政策带来的产业大规模提档升级，物联网应用在各行业得到了越来越多的部署。同时，物联网设备安全风险逐年升高，物联网设备的安全不容忽视。 在绿盟科技《2017物联网安全年报》中指出，在对物联网设备的筛查中发现，有大量物联网设...
&随着&中国制造 2025&战略推进、两化深度融合、以及多层面互联互通政策带来的产业大规模提档升级，物联网应用在各行业得到了越来越多的部署。同时，物联网设备安全风险逐年升高，物联网设备的安全不容忽视。
在绿盟科技《2017物联网安全年报》中指出，在对物联网设备的筛查中发现，有大量物联网设备直接暴露在互联网上，其中路由器和视频监控设备的数量最多。鉴于这些物联网设备存在被攻击甚至被利用的风险，绿盟科技认为在物联网相关的安全问题备受关注的当下，有必要对这些资产进行分析和梳理，提升物联网设备的防护能力。
物联网产业前景和钱景双在线
近年来，我国着重发力各类物联网基础设施的建设和应用推广。远有，2016年国家&十三五&规划；近有，国务院总理李克强在今年的政府工作报告中多次提及中国智造、物联网等关键词。物联网产业在国家政策的加持下，发展亦是如火如荼。
将目光聚焦在物联网产业，在物联网终端方面，IT 咨询机构Gartner 预测，自2015 年至2020 年，物联网终端年均复合增长率为33%，安装基数将达到204 亿台，其中三分之二为消费者应用。在联网的消费者和企业设备的投资为2.9万亿美元，年均复合增长率高达20%，将超过非联网设备的投资。在连接技术方面，移动蜂窝接入技术也成为主流，截止到2017 年底，中国移动已有1.45 亿物联卡用户，分布在车联网后装、共享单车、设备监控等应用领域。在平台技术方面，物联网平台也成为运营商，互联网巨头，工业制造巨头，以及新兴平台厂商之间竞争的主赛道。
毫无疑问，物联网产业无论是发展前景，还是市场钱景均双在线。
物联网设备成物联网安全重灾区
同时，我们也应注意到随着物联网技术和产业的高速发展，物联网应用亦面临严峻的安全挑战。大量物联网设备，如网络摄像头、路由器等直接暴露在互联网上，容易被网络爬虫和恶意攻击者发现。更严重的是，这些设备中有相当大的比例存在弱口令、已知漏洞等风险，可能被恶意代码感染成为僵尸主机。一方面，这些被感染的设备会继续感染其他的设备，组成大规模的物联网僵尸网络；另一方面，它们接受并执行来自命令和控制服务器的指令，发动大规模DDoS攻击，对互联网上的业务造成很严重的破坏和影响。
绿盟科技在报告中强调，在物联网相关的安全问题越来越引起关注的背景下，对这些资产进行分析和梳理是有必要的。一种可行的研究方法是通过网络空间搜索引擎去发现相关的物联网设备，形成面向物联网资产的威胁情报。在获得相关数据后，可以技术上做进一步脆弱性和风险评估，并进行物联网安全态势展现、分析，并做出处置和决策。
三维度梳理，物联网资产安全堪忧
在这份年报中，绿盟科技对物联网资产从物联网设备、操作系统和云服务三个维度进行了分析，并将相关研究成果在《2017物联网安全年报》中分享。下面我们来看看《2017物联网安全年报》中的几点亮点：
1. 互联网上暴露的各类物联网设备中，路由器和视频监控设备的数量最多。
从绿盟科技的统计数据看出，暴露数量较多的设备相对来说偏传统一些，物联网恶意代码感染的物联网设备也以这些为主。当安全研究人员在关注各类智能设备的破解时，对于传统的路由器、视频监控设备等的研究也不应忽视。对于安全研究人员的一大挑战是，面对如此多的设备，如何提供一种妥善的防护机制，以有效抑制恶意代码的传播？
全球和国内物联网相关设备暴露情况
2. 全球数以亿计的商务打印机，仅有不足2%真正安全。
绿盟科技在年报中指出，打印机的安全问题应该受到用户和厂商的重视。从全球分布来看，打印机设备主要暴露在美国，总量超过了34万，占比38%。很多暴露的某品牌打印机的HTTP服务没有启用认证机制，远程用户不需登录即可进入打印机管理界面。管理员可在管理界面中设置登陆密码，可见打印机管理员的安全意识亟待提高。
事实上，只有不到44%的IT经理人把打印机列入了安全战略，与此同时，也仅有不到50%的使用者会使用打印机的&管理密码&功能。也正是因为这样，全球数以亿计的商务打印机中只有不到2%的打印机是真正安全的。
3. 商用车的远程通信统一网关、网络恒温器等在互联网上也有一定的暴露，其可能面临远程登录无密码保护、设备停产缺乏安全维护等风险。
在对暴露在互联网上的物联网资产进行分析的过程中，绿盟科技发现一些数量相对较少的物联网设备暴露在了互联网上，如商用车的远程通信统一网关、网络恒温器等。这些设备的暴露，预示着随着物联网基础设施建成和新型物联网应用丰富，安全问题越来越多的在互联网上暴露出来。
4. 一些常见的物联网操作系统在互联网上有不同程度的暴露。
物联网操作系统暴露情况
5. 越来越多的物联网云服务会暴露在互联网上。
随着物联网的蓬勃发展，物联网应用层协议也得到广泛应用。除了HTTP、FTP、SSH等通用服务外，运行MQTT、AMQP、CoAP等面向物联网的通信协议的服务也暴露在互联网上。这些物联网云服务必然会暴露在互联网上，原因有二：其一，很多家庭内部的物联网设备部署在网关后面，无法直接对外提供服务，为了实现用户在外网对设备的控制，需要设备与云端建立长连接；其二，物联网设备大多数会工作在低功耗场景中或睡眠模式。只有需要传输数据时，才重新唤醒来重新建立连接以传输数据。所以云端服务必须时刻保持开启状态，以保证设备可以随时连接。
半年时间内，MQTT服务的暴露数量增长超过50%。这说明，伴随着物联网的广泛应用，暴露在互联网上的物联网云服务的数量会持续增加。攻击者也会把目光从传统的Web服务和邮件服务等传统服务转向这些新兴的物联网服务。例如，在明文传输的物联网应用中，攻击者容易将流量劫持后利用信息进行欺骗，或进行中间人攻击；此外，攻击者也可能觊觎物联网云服务所存储数据背后的价值，所以物联网云服务的安全性需要引起物联网解决方案提供商和云服务商的重视。
物联网云服务暴露情况
多角度给出物联网安全建议
结合前述分析，绿盟科技分别从用户、物联网厂商和信息安全厂商角度给出一些物联网安全的建议。
首先，用户在购买物联网产品后，应该：
（1）修改初始口令以及弱口令，加固用户名和密码的安全性；
（2）关闭不用的端口，如FTP（21端口）、SSH（22端口）、Telnet（23端口）等；
（3）修改默认端口为不常用端口，增大端口开放协议被探测的难度；
（4）升级设备固件；
（5）部署厂商提供的安全解决方案
其次，物联网厂商在设计、实现和运营物联网应用时，应该：
（1）对于设备的首次使用可强制用户修改初始密码，并且对用户密码的复杂性进行检测；
（2）提供设备固件的自动在线升级方式，降低暴露在互联网的设备的安全风险；
（3）默认配置应遵循最小开放端口的原则，减少端口暴露在互联网的可能性；
（4）设置访问控制规则，严格控制从互联网发起的访问；
（5）与安全厂商合作，在设备层和网络层进行加固。
最后，信息安全厂商在推广物联网安全防护方案时，应该：
（1）优先关注暴露数量较多的物联网资产的脆弱性分析；
（2）为物联网厂商提供设备出厂前的测评服务，将设备可能存在的风险尽可能降低；
（3）关注物联网设备的安全防护，推出既满足正常用户的访问，同时又可抵抗恶意攻击的安全产品及解决方案；
（4）加大物联网安全宣传的力度，提高公众的信息安全意识。
【免责声明：CSDN本栏目发布信息，目的在于传播更多信息，丰富网络文化，稿件仅代表作者个人观点，与CSDN无关。其原创性以及中文陈述文字和文字内容未经本网证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网不做任何保证或者承诺，请读者仅作参考，并请自行核实相关内容。凡注明为其他媒体来源的信息，均为转载自其他媒体，转载并不代表本网赞同其观点，也不代表本网对其真实性负责。您若对该稿件由任何怀疑或质疑，请即与CSDN联系，我们将迅速给您回应并做处理。】
推荐阅读相关主题：
CSDN官方微信
扫描二维码,向CSDN吐槽
微信号：CSDNnews
相关热门文章物联网蓬勃发展，资产安全防护不容忽视-ITBEAR科技资讯
「科技点亮生活 智能改变世界」
我们与您同在：
您的位置：>>
物联网蓬勃发展，资产安全防护不容忽视
发布时间： 16:23:51&&来源：互联网&
&编辑：贺飞&&背景：
　　随着&中国制造 2025&战略推进、两化深度融合、以及多层面互联互通政策带来的产业大规模提档升级，物联网应用在各行业得到了越来越多的部署。同时，物联网设备安全风险逐年升高，物联网设备的安全不容忽视。
　　在绿盟科技《2017物联网安全年报》中指出，在对物联网设备的筛查中发现，有大量物联网设备直接暴露在互联网上，其中路由器和视频监控设备的数量最多。鉴于这些物联网设备存在被攻击甚至被利用的风险，绿盟科技认为在物联网相关的安全问题备受关注的当下，有必要对这些资产进行分析和梳理，提升物联网设备的防护能力。
　　物联网产业前景和钱景双在线
　　近年来，我国着重发力各类物联网基础设施的建设和应用推广。远有，2016年国家&十三五&规划;近有，国务院总理李克强在今年的政府工作报告中多次提及中国智造、物联网等关键词。物联网产业在国家政策的加持下，发展亦是如火如荼。
　　将目光聚焦在物联网产业，在物联网终端方面，IT 咨询机构Gartner 预测，自2015 年至2020 年，物联网终端年均复合增长率为33%，安装基数将达到204 亿台，其中三分之二为消费者应用。在联网的消费者和企业设备的投资为2.9万亿美元，年均复合增长率高达20%，将超过非联网设备的投资。在连接技术方面，移动蜂窝接入技术也成为主流，截止到2017 年底，中国移动已有1.45 亿物联卡用户，分布在车联网后装、共享单车、设备监控等应用领域。在平台技术方面，物联网平台也成为运营商，互联网巨头，工业制造巨头，以及新兴平台厂商之间竞争的主赛道。
　　毫无疑问，物联网产业无论是发展前景，还是市场钱景均双在线。
　　物联网设备成物联网安全重灾区
　　同时，我们也应注意到随着物联网技术和产业的高速发展，物联网应用亦面临严峻的安全挑战。大量物联网设备，如网络摄像头、路由器等直接暴露在互联网上，容易被网络爬虫和恶意攻击者发现。更严重的是，这些设备中有相当大的比例存在弱口令、已知漏洞等风险，可能被恶意代码感染成为僵尸主机。一方面，这些被感染的设备会继续感染其他的设备，组成大规模的物联网僵尸网络;另一方面，它们接受并执行来自命令和控制服务器的指令，发动大规模DDoS攻击，对互联网上的业务造成很严重的破坏和影响。
　　绿盟科技在报告中强调，在物联网相关的安全问题越来越引起关注的背景下，对这些资产进行分析和梳理是有必要的。一种可行的研究方法是通过网络空间搜索引擎去发现相关的物联网设备，形成面向物联网资产的威胁情报。在获得相关数据后，可以技术上做进一步脆弱性和风险评估，并进行物联网安全态势展现、分析，并做出处置和决策。
　　三维度梳理，物联网资产安全堪忧
　　在这份年报中，绿盟科技对物联网资产从物联网设备、操作系统和云服务三个维度进行了分析，并将相关研究成果在《2017物联网安全年报》中分享。下面我们来看看《2017物联网安全年报》中的几点亮点：
　　互联网上暴露的各类物联网设备中，路由器和视频监控设备的数量最多。
　　从绿盟科技的统计数据看出，暴露数量较多的设备相对来说偏传统一些，物联网恶意代码感染的物联网设备也以这些为主。当安全研究人员在关注各类智能设备的破解时，对于传统的路由器、视频监控设备等的研究也不应忽视。对于安全研究人员的一大挑战是，面对如此多的设备，如何提供一种妥善的防护机制，以有效抑制恶意代码的传播?
　　全球和国内物联网相关设备暴露情况
　　全球数以亿计的商务打印机，仅有不足2%真正安全。
　　绿盟科技在年报中指出，打印机的安全问题应该受到用户和厂商的重视。从全球分布来看，打印机设备主要暴露在美国，总量超过了34万，占比38%。很多暴露的某品牌打印机的HTTP服务没有启用认证机制，远程用户不需登录即可进入打印机管理界面。管理员可在管理界面中设置登陆密码，可见打印机管理员的安全意识亟待提高。
　　事实上，只有不到44%的IT经理人把打印机列入了安全战略，与此同时，也仅有不到50%的使用者会使用打印机的&管理密码&功能。也正是因为这样，全球数以亿计的商务打印机中只有不到2%的打印机是真正安全的。
　　商用车的远程通信统一网关、网络恒温器等在互联网上也有一定的暴露，其可能面临远程登录无密码保护、设备停产缺乏安全维护等风险。
　　在对暴露在互联网上的物联网资产进行分析的过程中，绿盟科技发现一些数量相对较少的物联网设备暴露在了互联网上，如商用车的远程通信统一网关、网络恒温器等。这些设备的暴露，预示着随着物联网基础设施建成和新型物联网应用丰富，安全问题越来越多的在互联网上暴露出来。
　　一些常见的物联网操作系统在互联网上有不同程度的暴露。
　　物联网操作系统暴露情况
　　越来越多的物联网云服务会暴露在互联网上。
　　随着物联网的蓬勃发展，物联网应用层协议也得到广泛应用。除了HTTP、FTP、SSH等通用服务外，运行MQTT、AMQP、CoAP等面向物联网的通信协议的服务也暴露在互联网上。这些物联网云服务必然会暴露在互联网上，原因有二：其一，很多家庭内部的物联网设备部署在网关后面，无法直接对外提供服务，为了实现用户在外网对设备的控制，需要设备与云端建立长连接;其二，物联网设备大多数会工作在低功耗场景中或睡眠模式。只有需要传输数据时，才重新唤醒来重新建立连接以传输数据。所以云端服务必须时刻保持开启状态，以保证设备可以随时连接。
　　半年时间内，MQTT服务的暴露数量增长超过50%。这说明，伴随着物联网的广泛应用，暴露在互联网上的物联网云服务的数量会持续增加。攻击者也会把目光从传统的Web服务和邮件服务等传统服务转向这些新兴的物联网服务。例如，在明文传输的物联网应用中，攻击者容易将流量劫持后利用信息进行欺骗，或进行中间人攻击;此外，攻击者也可能觊觎物联网云服务所存储数据背后的价值，所以物联网云服务的安全性需要引起物联网解决方案提供商和云服务商的重视。
　　物联网云服务暴露情况
　　多角度给出物联网安全建议
　　结合前述分析，绿盟科技分别从用户、物联网厂商和信息安全厂商角度给出一些物联网安全的建议。
　　首先，用户在购买物联网产品后，应该：
　　(1)修改初始口令以及弱口令，加固用户名和密码的安全性;
　　(2)关闭不用的端口，如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;
　　(3)修改默认端口为不常用端口，增大端口开放协议被探测的难度;
　　(4)升级设备固件;
　　(5)部署厂商提供的安全解决方案
　　其次，物联网厂商在设计、实现和运营物联网应用时，应该：
　　(1)对于设备的首次使用可强制用户修改初始密码，并且对用户密码的复杂性进行检测;
　　(2)提供设备固件的自动在线升级方式，降低暴露在互联网的设备的安全风险;
　　(3)默认配置应遵循最小开放端口的原则，减少端口暴露在互联网的可能性;
　　(4)设置访问控制规则，严格控制从互联网发起的访问;
　　(5)与安全厂商合作，在设备层和网络层进行加固。
　　最后，信息安全厂商在推广物联网安全防护方案时，应该：
　　(1)优先关注暴露数量较多的物联网资产的脆弱性分析;
　　(2)为物联网厂商提供设备出厂前的测评服务，将设备可能存在的风险尽可能降低;
　　(3)关注物联网设备的安全防护，推出既满足正常用户的访问，同时又可抵抗恶意攻击的安全产品及解决方案;
　　(4)加大物联网安全宣传的力度，提高公众的信息安全意识。
关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。
　　声明：本文仅为传递更多网络信息，不代表ITBear观点和意见，仅供参考了解，更不能作为投资使用依据。
本文来源：互联网
日，主题为&新IT赋能CIO转型&的黑科技体验会中山站隆重举行。来自制造、医...日期：03-28 随着&中国制造 2025&战略推进、两化深度融合、以及多层面互联互通政策带来的产业大规模...日期：03-28 近日，捷孚凯(GfK)发布了《2017年中国手机市场行业报告》。报告总结了2017年中国手机市场的整体表现...日期：03-28 机器阅读理解的任务就是让机器阅读文本，回答和阅读内容相关的问题，其中涉及到语言理解、知识推理、摘要生成等复杂技术，极具挑战。日期：03-28 日，畅呼吸智能空气净化器(标准版)正式发布。上市几个月来，其迅速获得了市场认可并累积...日期：03-28 在把滴滴变成假想敌一年之后，四面树敌的美团终于开火了，南京的试运营虽然不温不火，3月21日进军上...日期：03-28 无线立式吸尘器是欧美国家最受欢迎的吸尘器品类之一，其灵活性优于受电源线束缚的传统吸尘器，清扫...日期：03-28 据CNBC北京时间3月28日报道，苹果公司在教育市场的合作公司称，售价299美元的新款iPad很可能会激发...日期：03-28 据外媒CNET报道，在亚利桑那州坦佩市的公共道路上发生了一起涉及Uber自动驾驶汽车撞向行人的致命事故之后，行业内人士担忧的此事会对自动驾驶带来的一些负面影响开始逐步显现了。日期：03-28 3月初腾讯大手笔投资虎牙和直播以来，关于直播平台扎堆上市的消息不绝于耳。时至月底，映客终于首家...日期：03-28 春光明媚，草长莺飞，2018年的这个春天暖的比以往时候更早一些。与之相伴的，单身人士寻求脱单的心...日期：03-28 3月28日消息，据国外媒体报道，知情人士透露，脸书已决定不在5月份的开发者大会上发布新的家居产品，部分因为公众目前对它的数据隐私惯例极其不满。
&日期：03-28 苹果、微软、华捷艾米的新一代AR芯片同步量产，席卷全业的巨变即将到来。日期：03-28 3月28日消息，针对美团打车在上海的补贴行为，滴滴运营总监孙枢今日表示，&我们欢迎竞争，但...日期：03-28 & & & 近日，国内权威的行业研究机构赛迪顾问根据对各细分各行业市场深入研究，评选出来自各行各业与领域的互联网产业未来领袖。用友荣获16项大奖，充分肯定了用友在企业发展、产品创新、园区建设的优异表现。也再次彰显了用友云在企业数字化转型中起到的重要作用与市场领导地位。日期：03-28 如果说中国电商有什么能屹立世界之巅的话，一是商品市场的供给非常丰富，二就是如毛细血管般渗透广...日期：03-28 &3月22日，第二十六届&中国国际广播电视信息网络展览会(CCBN2018)&在北京举行，国双携&数据智媒&融媒大数据整合解决方案如期亮相。日期：03-28 3月28日消息 今天上午小米电视在微博宣布将于明早10点推出一款电视新品，据网友猜测应该是小米电视4...日期：03-28 几个世纪之前，以丝绸、瓷器为代表的奢侈品源源不断地从中国为代表的东方流入欧洲，近现代以来的奢...日期：03-28 伴随网络科技、社交软件的快速发展，美观方便的短链接被越来越多的人所熟悉，使用短链接跳转到长网...日期：03-28
微信扫一扫
下载ITBearAPP}