12月15日，阿里云棲大會廣東分會進(jìn)入了第二天的議程。在當(dāng)天下午的物聯(lián)網(wǎng)分論壇上，阿里云安全解決方案總監(jiān)蘇建東帶來了一場關(guān)于物聯(lián)網(wǎng)安全的分享，主要談?wù)摿宋锫?lián)網(wǎng)中常見的安全問題及其解決方案。

常見問題

在物聯(lián)網(wǎng)常見的3層結(jié)構(gòu)中，信息一般從最前端的感知層產(chǎn)生，然后經(jīng)過傳輸層，到達(dá)最上層的應(yīng)用層被分析并加以應(yīng)用。從這個流程分析，蘇建東認(rèn)為有可能發(fā)生安全隱患的地方主要包含了以下4個方面：感知層的設(shè)備端，傳輸層的App端、通信與協(xié)議，以及應(yīng)用層的應(yīng)用服務(wù)。

其中設(shè)備端最常見的安全隱患是在固件中固化存儲密碼或者密鑰等敏感信息，或者在設(shè)備固件升級的過程中完全不加以安全性校驗，從而導(dǎo)致設(shè)備可能被遠(yuǎn)程控制。蘇建東對雷鋒網(wǎng)表示，有高達(dá)90%的智能硬件都存在不同程度的固件升級隱患。

App端的問題通常會被忽視，但實測結(jié)果其實非常嚴(yán)重。掃描工具顯示，在Top 10的電商App中，一共被發(fā)現(xiàn)了高達(dá)851個漏洞，平均每個App有85個。在國有4大銀行的移動App中，每一個更是被發(fā)現(xiàn)了高達(dá)150個左右的漏洞。蘇建東認(rèn)為，在App端最嚴(yán)重的隱患是由于App源碼可能沒有被加固，從而導(dǎo)致黑客結(jié)合源代碼逆向分析出業(yè)務(wù)流程，通過利用業(yè)務(wù)邏輯的漏洞作惡。

第三個是通信與協(xié)議安全方面。蘇建東認(rèn)為，在這方面最大的問題是大家沒有安全意識，現(xiàn)在仍然有許多信息的傳輸還是在使用處理起來最簡單快捷的明文，由于沒有加密，因此很容易通過抓包等一些簡單手段被監(jiān)聽和竊取，從而導(dǎo)致敏感信息的丟失甚至財物被盜。

最后一個是應(yīng)用服務(wù)端的安全問題。蘇建東對雷鋒網(wǎng)表示，在云端部署的應(yīng)用服務(wù)也有許多安全問題，并且有高達(dá)94%的傳統(tǒng)Web安全漏洞也同樣影響著物聯(lián)網(wǎng)的云端Web接口。2015阿里物聯(lián)網(wǎng)安全年報的數(shù)據(jù)顯示，有55%的此類問題都來自于跨站腳本，即攻擊者在看上去來源可靠的鏈接中嵌入惡意譯碼。

如何解決？

針對上述可能在物聯(lián)網(wǎng)中出現(xiàn)的安全隱患，其實業(yè)界也已經(jīng)出現(xiàn)了一些具有針對性的措施。

在設(shè)備端，比較通行的做法是采取固件升級保護，另外通過安全社區(qū)和白帽子分析的方法也非常重要。蘇建東表示，現(xiàn)在互聯(lián)網(wǎng)上和各家巨頭公司內(nèi)部其實都隱藏著大量的白帽子群體，他們對于設(shè)備的軟硬件都非常熟悉，具有強烈的專注精神，善于發(fā)現(xiàn)和分析系統(tǒng)中并不容易被找到的漏洞并內(nèi)部公開，然后工程師們會針對這些漏洞采取完善的補救措施。

在App端，則需要從檢測、防護和監(jiān)控三個方面綜合入手。蘇建東表示，前期代碼或者SDK需要經(jīng)過木馬掃描和漏洞掃描來保證安全。其次在生成App時也必須要經(jīng)過加固和加密，保證代碼的逆向安全。最后是運行中的監(jiān)控，可以通過大數(shù)據(jù)監(jiān)測等方式來避免最有可能出現(xiàn)的惡意攻擊。另外蘇建東強調(diào)，一般被公布的安全漏洞必須在24小時之內(nèi)修復(fù)，否則根據(jù)經(jīng)驗，24小時之后被攻擊的概率就會顯著上升。

在通信與協(xié)議安全上，蘇建東表示，在物聯(lián)網(wǎng)中傳輸協(xié)議會隨著應(yīng)用場景的變化和成本的要求等限制條件而不同，例如常見的NB-IoT和MQTT等。但不論最終采取了哪種協(xié)議，安全性也是必須要考量的要素之一，例如TLS比TCP安全，HTTPS比HTTP安全，等等。這方面還是需要提升大家的安全意識。

最后是云端的應(yīng)用服務(wù)。蘇建東對雷鋒網(wǎng)表示，現(xiàn)在云計算服務(wù)商同時也做云安全是一個大勢所趨，目前在物聯(lián)網(wǎng)云端的安全也越來越受到重視，各大云服務(wù)公司也紛紛開始著手布局這方面，比如亞馬遜AWS去年開始推出的WAF（Web Application Firewall）功能，阿里云的專有網(wǎng)絡(luò)VPC（Virtual Private Cloud）等等，根據(jù)使用場景和需求的不同，物聯(lián)網(wǎng)云安全方面的產(chǎn)品也會越來越豐富。

蘇建東說：“今天我們在市面上所能看到的，買到的所有的智能硬件，在歷史上都被黑客黑過。近期最嚴(yán)重的事情可能就是前一陣子發(fā)生的全美斷網(wǎng)事件了，這件事就是智能設(shè)備被黑客利用導(dǎo)致的。其實通過這件事也敲響了一個警鐘，在越來越普及的智能硬件給我們的生活帶來便捷的同時，也需要從業(yè)者和用戶們共同努力，為物聯(lián)網(wǎng)的安全多盡一份力?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。