不用担心：如何在物联网项目中建立安全性

 物联网(IoT)市场发展如此之快，以至于当你读完这篇文章时，将会有成千上万台设备上线。2019年，全球约有260亿台物联网设备投入使用。这个数字预计今年将增长到300亿，到2025年将超过750亿。

[[318867]]

从汽车、卡车和公共汽车到家用电器、医疗保健系统、建筑，甚至儿童玩具，这些物联网设备无处不在。连网的传感器可帮助我们测量周围的环境。它们收集的数据可以转化为对企业和政府组织的真实见解，并可以为消费者提供更好的服务。但在将这些创新推向市场的竞赛中，有时安全性并没有得到应有的重视。

这导致了一些情况，例如，黑客在2016年控制了数以万计的物联网设备，包括家庭路由器和安全摄像头。黑客们利用这些设备创建了Mirai僵尸网络大军，然后利用这些僵尸大军攻击一系列在线服务。这是迄今为止在互联网上看到的最大规模的此类攻击，而这是由于这些物联网设备的安全漏洞所致。

或许，最臭名昭著的源于不安全物联网传感器的黑客攻击事件发生在2014年的美国，当时一家为百货公司提供服务的制冷供应商Target被黑客攻击。该攻击泄漏了多达4000万个银行卡帐户以及约7000万个Target客户的个人信息。

连网意味着易受攻击

次年，两名安全研究人员利用车载无线通信系统入侵了一辆正在行驶的吉普车，并劫持了它。以上这些只是物联网安全缺陷众多示例中的几个。正如著名安全研究员Mikko Hypponen所说：“如果它智能，它就容易受到攻击”。

展望未来，如果我们考虑一个充满自动驾驶汽车的智慧城市，再如果攻击者控制了交通信号灯并使其从红色变为绿色，那么可能会发生什么?如果面部识别摄像头被攻击了会发生什么?再想象一下脆弱的医疗物联网系统。

从业务角度来看，风险包括物联网基础设施成为攻击者进入公司网络的途径，攻击者可以利用该途径窃取机密信息，或植入破坏公司运营的恶意软件。

我们越依赖连网设备，风险就越大。这就是为什么从物联网项目一开始就考虑安全性的原因所在。识别潜在漏洞，并采取措施将风险降至很低。

为安全分配资源

可用于此项工作的资源水平将根据所涉及公司的规模而有所不同。希望将物联网设备集成到现有网络中的企业将需要强大的安全协议，因为这可能会为公司网络打开后门。因此，此方法更适合于具有内部IT能力，并以安全方式管理集成的大型组织。

一些公司在现有IT环境之外推出物联网项目，尤其是对较小的公司来说，这种方法可能是最合适的。它加快了启动项目的时间，更重要的是，不会使现有系统面临额外风险。

数据问题

尽管公司规模将决定安全性的方法，但是审视物联网的业务案例也同样重要。一家只想安装温度传感器的中小型零售商店，可能会选择接受将这些数据放到网络上的风险。但是，如果安装的客流计数器可以识别商店中的顾客，则该数据将需要更高级别的保护。

建议安装带有防火墙的受密码保护的边缘路由器，以防止攻击者试图入侵传感器。进行安全审计也是一个好主意，以确保可以识别进入网络的任何设备，并确保它们拥有正确的权限，并且在出现安全漏洞时可以快速断开连接。

GDPR是一个四个字母的单词

保护设备只是正确实施物联网的一部分，另一个关键要素是保护传感器发送的数据。像《通用数据保护条例》这样的隐私条例规定，如果组织收集有关人员活动或任何能够识别个人身份的数据，则他们必须管理该数据在传输和静止状态下的安全性。

GSM标准是高度安全的，因此通过移动网络传输的数据是自动加密的，但是，您也应该考虑保护任何通过互联网传输的数据，并确保这些数据也是加密的。

数据保护的另一个方面涉及保护静态数据，即存储在服务器、智能手机或平板电脑等设备上的数据。这是企业的责任，需要强有力的策略和程序来防止数据丢失。为了确保静态保护，所有收集或存储数据的计算设备都应进行加密。此外，在物联网项目的规划阶段，还需要考虑组织计划保留数据的时间，因为GDPR对数据保留有时间限制。

物联网项目有很多安全问题需要考虑。关键是采取切实可行的方法，并提前检查所有风险，并制定一个将风险降至很低的计划。目前，强大的物联网安全性是一个很好的实践，但有迹象表明，它可能很快会成为强制性的。(来自物联之家网)例如，英国政府正提议采取措施，迫使物联网制造商为其传感器和连网产品提供更强的安全性。现在是时候领先一步，从一开始就在物联网项目中建立安全性，而不是在以后再加强。