至今，仍有人认为物联网是将来的事情。实际上，物联网设备已经在保健、政府、制造、金融和其它行业崭露头角。据权威机构IDC预计，在未来的五年内物联网在未来的五年内必将进入所有行业，并且在未来的两年内大多数IT网络将遭到与物联网有关的攻击。

还有研究表明，与物联网有关的风险和漏洞正在企业中出现，这是因为企业缺乏物联网的设备管理，例如缺少监视和打补丁的机制。而且，大量的企业还没有实施任何控制，无法防止未获得授权的设备连接到公司网络。

物联网漏洞现在已经存在，而且连接到公司网络和访问公司数据的新设备可谓日益剧增。

本文将探讨与物联网有关的安全问题，并提供相关策略和建议，探究如何做好准备应对这些威胁。

物联网风险

当今企业的网络连接几乎包括从雇员设备到空调、照明系统等一切对象。设备类型千差万别。例如，医院内部那些不可管理的或未被管理的连网设备与炼油厂、污水处理厂、生产车间的连网设备就有很大不同。一般说来，设备属于IT基础架构的范畴，因为IT部门拥有、管理、控制着IP地址、以太网、无线连接设备，以及运营的基础设施(如传感器和连接器等)。从安全的意义上说，物联网并不是只有一种问题，而是成千上万，而且每种新增加的设备类型都代表着黑客可以攻击的一个具体机会。

与物联网有关的安全风险包括基于Web的恶意软件、ICS固件、经由受攻击的网络而实施的OT攻击、鱼叉式网络钓鱼、内部人员威胁、错误的软件补丁，还有通过无线系统对设备实施的攻击。从黑客的观点看，他可以访问包括从视频摄像机、生产机器、位置传感器、连网的空调系统、控制系统，或是与网络相联的传输组件，等等。

可能产生的影响

在将物联网设备添加到基础架构中时，企业应当从一开始就考虑安全性。例如，企业要判定设备中是否整合了安全性，并考虑此设备如何适应企业的安全环境。此外，还要知道如今的安全问题已经不仅仅是网络管理员的问题了，而是要涉及到设备的制造者，而且每个物联网设备的制造商都应当解决安全问题。此外，分层安全(从设备到操作系统，从应用程序到网络的基础架构)也很重要。对于操作系统，企业最好通过沙箱技术来隔离应用程序。同时，企业还要对通信的基础架构进行加密和保障安全性。

同样，物联网也迫使规划人员对于未知的和未加管理的设备制定策略，在有些情况下，需要加密网络。还有，IT可能需要对减轻威胁的边缘(防火墙、入侵防御系统等)进行扩展，使其可以覆盖物联网设备。

从行业的观点看，物联网的基础部分包括设备、传感器、系统、场系统，或是由网络和通信所连接的其它设备，以及由SCADA(数据采集与监视控制系统)网络控制的其它系统。“传感器到企业”的连接方式打开了企业这座宝藏。为保障宝藏的安全性，应确保严格的安全策略、培训要求、基于角色的控制面板、持续的威胁检测和管理，等等。虽然网络安全意识在一些领域已经很强了，但并非每一个行业都如此。笔者建议重新评估和设计传统的策略，防止未来发生不可挽回的破坏。

企业现在就应当开始为与物联网有关的安全问题做好准备，因为攻击者知道这些设备可以连接到其它的系统和机器，并开始将其作为攻击目标。安全管理员可能还未认识到此问题，但有的管理员已经开始考虑与物联网有关的威胁，因为企业中已经安装了物联网设备，例如，移动雇员可以轻松地访问连网的打印机。最大问题在于几乎每时每刻都有新的物联网设备，这些设备就成为了新的攻击点或入口。

与此类似的是，制造业历年来都在使用机器、设备、传感器、系统等，但直到近来才使设备的连接和协作成为可能。互联网连接打开了制造商的后门和前门的一些漏洞。很明显，黑客占有优势，因为工业易遭受攻击。因而，为实现及时响应和防御威胁，企业需要实时且不断地监视这些连网的系统，并能够在发现威胁时及时发出警告。

心动不如行动

安全厂商和供应商在与物联网有关的不同领域发展，例如，在硬件和软件方面实现嵌入式安全(认证、访问控制、加密)。有些设备制造商正在将安全性作为设备的一个设计标准，而且现有的安全厂商正在构建在物联网环境下的网络解决方案，而新厂商应当为物联网环境开发新方案。

总体说来，从企业方面看，强健的物联网安全需要从以下三方面入手。

首先是调查。企业IT首先要现场调查，要理解当前有哪些网络连接，如何连接，为什么连接，等等。

其次是评估。IT要判定这些设备会带来哪些威胁，如果这些设备遭受攻击，在遭到破坏时，会发生什么，有哪些损失。

最后是增加网络安全。企业要依靠能够理解物联网的设备、协议、环境的工具，这些工具最好还要能够确认和阻止攻击，并且能够帮助企业选择加密和访问控制(能够对攻击者隐藏设备和通信)的解决方案。

作者：赵长林

来源：51CTO