去年10月份，美國(guó)主要域名服務(wù)器提供商DYN的服務(wù)器遭受?chē)?yán)重的DDOS攻擊，導(dǎo)致大規(guī)模互聯(lián)網(wǎng)癱瘓，受害企業(yè)橫跨支付、餐飲、網(wǎng)絡(luò)社交、財(cái)經(jīng)媒體等多個(gè)不同領(lǐng)域，包括PayPal、星巴克、Twitter、《華爾街日?qǐng)?bào)》在內(nèi)的眾多網(wǎng)站都無(wú)法訪問(wèn)。

這次攻擊為我們敲響了警鐘——攻擊者能夠利用15萬(wàn)個(gè)安全性不夠的物聯(lián)網(wǎng)終端設(shè)備發(fā)起惡意攻擊。面對(duì)物聯(lián)網(wǎng)安全問(wèn)題，相關(guān)生產(chǎn)廠商應(yīng)該怎么做?

物聯(lián)網(wǎng)安全威脅?

物聯(lián)網(wǎng)領(lǐng)域主要存在四方面安全威脅：

(1)數(shù)據(jù)保護(hù)。很多設(shè)備收集的是敏感數(shù)據(jù)，不論是從商業(yè)角度，還是從管控角度，數(shù)據(jù)的傳輸、存儲(chǔ)和處理都應(yīng)該在安全情況下進(jìn)行。

(2)攻擊界面擴(kuò)大化。物聯(lián)網(wǎng)時(shí)代會(huì)有更多的設(shè)備在網(wǎng)上，這樣IT基礎(chǔ)設(shè)施會(huì)進(jìn)一步擴(kuò)大，攻擊者會(huì)試探著去破解。與用戶(hù)的終端不同，很多物聯(lián)網(wǎng)設(shè)備需要永久在線和實(shí)時(shí)連接，這一特征使得它們更容易成為攻擊的目標(biāo)。

(3)對(duì)物聯(lián)網(wǎng)運(yùn)行過(guò)程的攻擊。那些想干擾一個(gè)特定企業(yè)活動(dòng)的行為，會(huì)讓更多基礎(chǔ)設(shè)施、設(shè)備和應(yīng)用成為攻擊目標(biāo)，通過(guò)DoS攻擊或通過(guò)危及、破壞個(gè)人設(shè)備。

(4)僵尸網(wǎng)絡(luò)。未得到有效保護(hù)的物聯(lián)網(wǎng)設(shè)備可能會(huì)招致僵尸網(wǎng)絡(luò)攻擊，大大降低企業(yè)的效率，長(zhǎng)期如此將會(huì)導(dǎo)致企業(yè)聲譽(yù)的損失。

所有這些威脅在一定程度上依賴(lài)于物聯(lián)網(wǎng)設(shè)備的潛在漏洞，因此在部署和管理物聯(lián)網(wǎng)設(shè)備時(shí)應(yīng)該有安全的意識(shí)，精心設(shè)計(jì)，大量的工作應(yīng)該列為高優(yōu)先級(jí)。

為了應(yīng)對(duì)盤(pán)旋于物聯(lián)網(wǎng)安全架構(gòu)周邊的、日益增長(zhǎng)的恐懼和疑慮，信銳技術(shù)在物聯(lián)網(wǎng)系統(tǒng)的安全防護(hù)方面也做了長(zhǎng)期的實(shí)踐和研究，以下我們將詳細(xì)解說(shuō)。

四大環(huán)節(jié)開(kāi)啟防御

我們的物聯(lián)網(wǎng)系統(tǒng)主要分成終端、無(wú)線接入層、LoRa網(wǎng)關(guān)、云平臺(tái)幾個(gè)環(huán)節(jié)，我們物聯(lián)網(wǎng)系統(tǒng)的安全防護(hù)也可以從這幾個(gè)方面來(lái)分別說(shuō)明：

LoRa終端

終端沒(méi)有操作系統(tǒng)，不能遠(yuǎn)程登錄控制，不用擔(dān)心被黑客攻擊后用來(lái)執(zhí)行惡意代碼;

程序代碼寫(xiě)死在flash上面，無(wú)法通過(guò)遠(yuǎn)程篡改來(lái)讓其停止工作;

2.無(wú)線通信

使用OTAA方式入網(wǎng)，無(wú)線終端接入網(wǎng)絡(luò)前要先經(jīng)過(guò)SN和KEY的校驗(yàn)，可以避免假冒終端攻擊;

無(wú)線通信過(guò)程使用高級(jí)加密標(biāo)準(zhǔn)(AES)以及128位的密鑰進(jìn)行加密，通信報(bào)文不會(huì)被破解;

3.LoRa網(wǎng)關(guān)

LoRa網(wǎng)關(guān)本身只開(kāi)放很少的服務(wù)端口，避免黑客利用常見(jiàn)網(wǎng)絡(luò)協(xié)議服務(wù)端口的漏洞進(jìn)行攻擊;

和LoRa終端之間的通信為無(wú)線通信，防護(hù)機(jī)制見(jiàn)“無(wú)線通信”部分

和云平臺(tái)之間的通信為有線TCP/IP通信，使用會(huì)議密鑰進(jìn)行加密;

4.云平臺(tái)

公有云平臺(tái)有阿里云的防火墻防護(hù)，還是私有云整合到無(wú)線控制器WAC上面，WAC本身具有防護(hù)能力;

云平臺(tái)只開(kāi)放很少的服務(wù)端口，避免黑客利用常見(jiàn)網(wǎng)絡(luò)協(xié)議服務(wù)端口的漏洞進(jìn)行攻擊;

公有云平臺(tái)不允許使用弱密碼，私有云平臺(tái)會(huì)檢測(cè)客戶(hù)是否使用弱密碼，如果是就提示客戶(hù)修改;

每個(gè)項(xiàng)目發(fā)布之前，都會(huì)使用多種漏洞掃描工具對(duì)平臺(tái)進(jìn)行檢測(cè)，確認(rèn)平臺(tái)不存在可以被黑客攻擊的漏洞。

據(jù)預(yù)測(cè)，到2020年全球物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模將達(dá)到1萬(wàn)億美元，未來(lái)5年年均復(fù)合增速為23.4%。根據(jù)中國(guó)物聯(lián)網(wǎng)研究發(fā)展中心的數(shù)據(jù)，預(yù)計(jì)到2020年我國(guó)物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模將達(dá)到2萬(wàn)億，未來(lái)5年復(fù)合增速為22%。

因此，以智能硬件為核心的物聯(lián)網(wǎng)正在快速發(fā)展，用戶(hù)的安全意識(shí)和需求也在提升，如何保證智能硬件產(chǎn)品的安全性是所有廠商需要共同面對(duì)的課題。

物聯(lián)網(wǎng)安全需要一個(gè)多層次的方法論。從設(shè)備的角度看，應(yīng)該從設(shè)計(jì)和開(kāi)發(fā)的初始就著重考慮安全性，并保持硬件、軟件和數(shù)據(jù)在整個(gè)設(shè)備生命周期中的安全。在設(shè)計(jì)安全功能時(shí)應(yīng)采取積極主動(dòng)，而不是被動(dòng)的方法，研發(fā)更好的產(chǎn)品和解決方案。