人员甄别栏目合作狐说西游分数引擎网站地图
首页>技术控>物联网业务的安全问题

物联网业务的安全问题

2017-09-14 15:52:27作者/来源:河南通信报

 2016年9月份,世界目睹了有史以来最大的僵尸物联网攻击:一串恶意代码,通过“拉拢”脆弱的物联网设备,在需要的时候执行各种恶意操作,包括发起DDoS攻击,对互联网造成巨大的威胁。

 

    最近,WannaCry蠕虫对网络进行了一次的高调的攻击,未打补丁的Windows桌面系统面临了巨大的勒索案,甚至导致某些国家系统无法正常使用。

 

    2016年,超过23,000新闻报道发表了关于物联网威胁的文章。

 

    接受调查的21%的物联网专业人士认为,物联网安全问题已经被媒体过度炒作。

 

    但有79%的专业人士认为媒体描绘了一个准确的物联网安全画像,或者说人们已经低估了物联网安全带来的威胁。

 

    物联网安全问题的已经备受瞩目,网络黑客也越来越对缺乏保护的物联网设备感兴趣。很有可能,我们将会看到更多这样的攻击发生,恶意代理利用物联网设备使商业实体妥协。因此,有效地处理物联网安全问题,可以最大限度减少风险。

111.jpg

    潜在的风险对于一个尚不健壮的物联网安全系统是值得被考虑的。然而,我们无法提供一张全面的风险清单。确切的说,这些风险取决于你是一个物联网设备制造商还是一个使用物联网业务的企业。 整体而言,物联网设备制造商如果没有按照可接受的安全标准进行生产,将会面临着严重罚款、法律诉讼、品牌损坏的风险。


    那些使用第三方物联网设备和服务的企业,按理说是物联网安全违规行为真正的“受害者。像这样的厂家,他们也可能面临罚款、法律诉讼、损害品牌形象等问题。


    那么我们做些什么可以降低物联网设备给企业带来的风险呢?

 

    对所有安装的物联网设备都要进行准确的审核:如果你不知道它的存在,就很难防范它。由于潜在的物联网设备位于建筑物内外的任何地方,安装在街道的公共设施上,或者埋在地下,它们在事后可能很难被审计。记录每个联网设备的位置、技术细节、密码和技术规范,并将其集成到网络中。

 

    供应商和用户必须确保简单的最佳实践:确保设备没有默认管理密码的状态下运行,甚至更好的使用基于密钥的政策来限制访问的装置,并尽可能限制其物理访问。在这些设备上运行的操作系统将在一定程度上减轻对默认的加密和物理访问的风险。

 

    企业IT部门应该确保他们内部物联网设备的适当访问权限:避免任何人故意或无意地通过已经连接到公司网络的设备引入恶意代码的行为。

 

    定期无缝地更新设备参数:一个反对安全入侵最好和最直接的防御就是及时更新补丁,确保设备固件始终是最新的。

 

    确保物联网设备运行一个从底层建立起来的具备一定安全性的操作系统:总体而言,你应该寻找一个以安全为主要关注点的设备操作系统。除了提供自动安全更新,还应该在更新失败的情况下,将软件和数据恢复到以前的工作版本。还应具有完全只读的、不可变的应用程序,并且默认为禁止设备应用程序之间的任何交互,除非这些交互被严格地预先定义。

[编辑:吕志英    审核:曹艳萍]
推荐


扫此码可在移动端打开本页