12月15日，阿里云棲大會(huì)廣東分會(huì)進(jìn)入了第二天的議程。在當(dāng)天下午的物聯(lián)網(wǎng)分論壇上，阿里云安全解決方案總監(jiān)蘇建東帶來了一場(chǎng)關(guān)于物聯(lián)網(wǎng)安全的分享，主要談?wù)摿宋锫?lián)網(wǎng)中常見的安全問題及其解決方案。

常見問題

在物聯(lián)網(wǎng)常見的3層結(jié)構(gòu)中，信息一般從最前端的感知層產(chǎn)生，然后經(jīng)過傳輸層，到達(dá)最上層的應(yīng)用層被分析并加以應(yīng)用。從這個(gè)流程分析，蘇建東認(rèn)為有可能發(fā)生安全隱患的地方主要包含了以下4個(gè)方面：感知層的設(shè)備端，傳輸層的App端、通信與協(xié)議，以及應(yīng)用層的應(yīng)用服務(wù)。

其中設(shè)備端最常見的安全隱患是在固件中固化存儲(chǔ)密碼或者密鑰等敏感信息，或者在設(shè)備固件升級(jí)的過程中完全不加以安全性校驗(yàn)，從而導(dǎo)致設(shè)備可能被遠(yuǎn)程控制。蘇建東對(duì)雷鋒網(wǎng)表示，有高達(dá)90%的智能硬件都存在不同程度的固件升級(jí)隱患。

App端的問題通常會(huì)被忽視，但實(shí)測(cè)結(jié)果其實(shí)非常嚴(yán)重。掃描工具顯示，在Top 10的電商App中，一共被發(fā)現(xiàn)了高達(dá)851個(gè)漏洞，平均每個(gè)App有85個(gè)。在國(guó)有4大銀行的移動(dòng)App中，每一個(gè)更是被發(fā)現(xiàn)了高達(dá)150個(gè)左右的漏洞。蘇建東認(rèn)為，在App端最嚴(yán)重的隱患是由于App源碼可能沒有被加固，從而導(dǎo)致黑客結(jié)合源代碼逆向分析出業(yè)務(wù)流程，通過利用業(yè)務(wù)邏輯的漏洞作惡。

第三個(gè)是通信與協(xié)議安全方面。蘇建東認(rèn)為，在這方面最大的問題是大家沒有安全意識(shí)，現(xiàn)在仍然有許多信息的傳輸還是在使用處理起來最簡(jiǎn)單快捷的明文，由于沒有加密，因此很容易通過抓包等一些簡(jiǎn)單手段被監(jiān)聽和竊取，從而導(dǎo)致敏感信息的丟失甚至財(cái)物被盜。

最后一個(gè)是應(yīng)用服務(wù)端的安全問題。蘇建東對(duì)雷鋒網(wǎng)表示，在云端部署的應(yīng)用服務(wù)也有許多安全問題，并且有高達(dá)94%的傳統(tǒng)Web安全漏洞也同樣影響著物聯(lián)網(wǎng)的云端Web接口。2015阿里物聯(lián)網(wǎng)安全年報(bào)的數(shù)據(jù)顯示，有55%的此類問題都來自于跨站腳本，即攻擊者在看上去來源可靠的鏈接中嵌入惡意譯碼。

如何解決？

針對(duì)上述可能在物聯(lián)網(wǎng)中出現(xiàn)的安全隱患，其實(shí)業(yè)界也已經(jīng)出現(xiàn)了一些具有針對(duì)性的措施。

在設(shè)備端，比較通行的做法是采取固件升級(jí)保護(hù)，另外通過安全社區(qū)和白帽子分析的方法也非常重要。蘇建東表示，現(xiàn)在互聯(lián)網(wǎng)上和各家巨頭公司內(nèi)部其實(shí)都隱藏著大量的白帽子群體，他們對(duì)于設(shè)備的軟硬件都非常熟悉，具有強(qiáng)烈的專注精神，善于發(fā)現(xiàn)和分析系統(tǒng)中并不容易被找到的漏洞并內(nèi)部公開，然后工程師們會(huì)針對(duì)這些漏洞采取完善的補(bǔ)救措施。

在App端，則需要從檢測(cè)、防護(hù)和監(jiān)控三個(gè)方面綜合入手。蘇建東表示，前期代碼或者SDK需要經(jīng)過木馬掃描和漏洞掃描來保證安全。其次在生成App時(shí)也必須要經(jīng)過加固和加密，保證代碼的逆向安全。最后是運(yùn)行中的監(jiān)控，可以通過大數(shù)據(jù)監(jiān)測(cè)等方式來避免最有可能出現(xiàn)的惡意攻擊。另外蘇建東強(qiáng)調(diào)，一般被公布的安全漏洞必須在24小時(shí)之內(nèi)修復(fù)，否則根據(jù)經(jīng)驗(yàn)，24小時(shí)之后被攻擊的概率就會(huì)顯著上升。

在通信與協(xié)議安全上，蘇建東表示，在物聯(lián)網(wǎng)中傳輸協(xié)議會(huì)隨著應(yīng)用場(chǎng)景的變化和成本的要求等限制條件而不同，例如常見的NB-IoT和MQTT等。但不論最終采取了哪種協(xié)議，安全性也是必須要考量的要素之一，例如TLS比TCP安全，HTTPS比HTTP安全，等等。這方面還是需要提升大家的安全意識(shí)。

最后是云端的應(yīng)用服務(wù)。蘇建東對(duì)雷鋒網(wǎng)表示，現(xiàn)在云計(jì)算服務(wù)商同時(shí)也做云安全是一個(gè)大勢(shì)所趨，目前在物聯(lián)網(wǎng)云端的安全也越來越受到重視，各大云服務(wù)公司也紛紛開始著手布局這方面，比如亞馬遜AWS去年開始推出的WAF（Web Application Firewall）功能，阿里云的專有網(wǎng)絡(luò)VPC（Virtual Private Cloud）等等，根據(jù)使用場(chǎng)景和需求的不同，物聯(lián)網(wǎng)云安全方面的產(chǎn)品也會(huì)越來越豐富。

蘇建東說：“今天我們?cè)谑忻嫔纤芸吹降?，買到的所有的智能硬件，在歷史上都被黑客黑過。近期最嚴(yán)重的事情可能就是前一陣子發(fā)生的全美斷網(wǎng)事件了，這件事就是智能設(shè)備被黑客利用導(dǎo)致的。其實(shí)通過這件事也敲響了一個(gè)警鐘，在越來越普及的智能硬件給我們的生活帶來便捷的同時(shí)，也需要從業(yè)者和用戶們共同努力，為物聯(lián)網(wǎng)的安全多盡一份力?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。