你的物聯(lián)網(wǎng)安全清單需要什么

　　物聯(lián)網(wǎng)安全需要宏觀和微觀兩種視角。這種觀點(diǎn)必須是全球性和整體性的，不僅包括設(shè)備本身，還包括連接它們的網(wǎng)絡(luò)，管理平臺(tái)以及相關(guān)的合規(guī)和監(jiān)管標(biāo)準(zhǔn)。

　　國(guó)內(nèi)最大的物聯(lián)卡交易平臺(tái)（http://m.aspschool.cn）表示，無(wú)論使用的是工業(yè)或消費(fèi)物聯(lián)網(wǎng)設(shè)備，強(qiáng)大的物聯(lián)網(wǎng)安全態(tài)勢(shì)都包括嚴(yán)格的身份識(shí)別和身份驗(yàn)證流程。由于物聯(lián)網(wǎng)數(shù)據(jù)可能會(huì)穿越互聯(lián)網(wǎng)，因此需要確保數(shù)據(jù)已加密，并且需要確保您的管理平臺(tái)能夠支持期望部署的物聯(lián)網(wǎng)設(shè)備。

　　如果您決定在物聯(lián)網(wǎng)設(shè)備處或附近部署邊緣計(jì)算機(jī)，請(qǐng)調(diào)查這些邊緣計(jì)算設(shè)備是否提供端點(diǎn)物聯(lián)網(wǎng)設(shè)備可能不包含的安全控制。您可能還想在邊緣計(jì)算機(jī)中實(shí)現(xiàn)應(yīng)用程序。換句話說(shuō)，評(píng)估邊緣計(jì)算機(jī)對(duì)攻擊面和漏洞以及端點(diǎn)。

　　最后，您需要考慮您的企業(yè)是否符合相關(guān)合規(guī)性以及與您的行業(yè)相關(guān)的傳輸和存儲(chǔ)物聯(lián)網(wǎng)的相關(guān)法規(guī)要求。

　　攻擊面和漏洞

　　開(kāi)放Web應(yīng)用安全項(xiàng)目(OWASP)已經(jīng)編譯了一大堆物聯(lián)網(wǎng)攻擊面漏洞，如果您希望部署或?qū)嵤┪锫?lián)網(wǎng)技術(shù)，這些漏洞應(yīng)該很有用。該列表包括17個(gè)攻??擊面，包括硬件，存儲(chǔ)，網(wǎng)絡(luò)，接口，應(yīng)用程序，API，身份驗(yàn)證和授權(quán)，并指定了131個(gè)漏洞。

　　這個(gè)漏洞列表可能是一個(gè)很好的起點(diǎn)，但沒(méi)有清單是詳盡的。我們總能根據(jù)經(jīng)驗(yàn)找到別的東西。在考慮和部署物聯(lián)網(wǎng)設(shè)備時(shí)，請(qǐng)遵循以下建議：

　　確保您的本地和遠(yuǎn)程密碼都很強(qiáng)大，并且需要多因素身份驗(yàn)證。切勿使用具有硬編碼密碼的產(chǎn)品，因?yàn)楣粽呖梢暂p松使用它們。管理您為訪問(wèn)這些設(shè)備而委派的權(quán)限，并實(shí)施特權(quán)訪問(wèn)管理。

　　不要對(duì)控制應(yīng)用程序的安全特性或隱私策略做出假設(shè)。避免使用安全性和保密性差的設(shè)備。將IoT設(shè)備連接到具有自己的監(jiān)控功能并位于防火墻后面的獨(dú)立網(wǎng)絡(luò)上。

　　關(guān)閉您不需要的物聯(lián)網(wǎng)設(shè)備上的任何功能。這些額外功能可能是用于繞過(guò)控制和安全流程的機(jī)制。設(shè)備的物理訪問(wèn)應(yīng)該阻止入侵 - 也就是說(shuō)，您應(yīng)該消除重置按鈕或更改端口和密碼的按鈕。避免通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行自動(dòng)連接。您可能希望實(shí)施網(wǎng)絡(luò)設(shè)備隔離以防止設(shè)備滲透。

　　如果您未阻止傳入流量，請(qǐng)確保允許遠(yuǎn)程控制配置的軟件端口被適當(dāng)限制。盡可能采用加密技術(shù)。如果加密不可用，請(qǐng)不要將該物聯(lián)網(wǎng)設(shè)備放入網(wǎng)絡(luò)?？紤]部署一個(gè)VPN。

　　如果更新固件或軟件需要手動(dòng)過(guò)程或必須在本地完成，請(qǐng)不要購(gòu)買這些產(chǎn)品。

　　當(dāng)物聯(lián)網(wǎng)設(shè)備到達(dá)使用年限并且不再可更新或安全時(shí)，請(qǐng)務(wù)必將其卸下。當(dāng)您必須更換電源時(shí)，您也可能不得不關(guān)閉它們。確保替代品符合您的政策和流程。