物聯(lián)網(wǎng)已不再是一個遙不可及的夢想,而且客觀情況是我們的現(xiàn)實(shí)世界已經(jīng)準(zhǔn)備好運(yùn)用它的各項(xiàng)最新成果了,。在這些成果中,,最受歡迎的特性包括:高效的機(jī)(器)對機(jī)(器)(Machine to Machine,M2M)通信,,多協(xié)議開發(fā),各種應(yīng)用技術(shù)/嵌入式設(shè)備的統(tǒng)一,,以及整體的智能工作與生活,。
在我們籌備智能城市、智能環(huán)境,、智能零售,、以及智能家居時,測試和評估物聯(lián)網(wǎng)對于這些不同行業(yè)環(huán)境來說是非常有意義的,。
物聯(lián)網(wǎng)測試的技術(shù)幾乎適用于整個物聯(lián)網(wǎng)領(lǐng)域,,包括:近場通信(near field communication,NFC)支付,、營銷,、金融、汽車,、信息通信等方面,。其中,最為重要的當(dāng)屬:一個企業(yè)或團(tuán)隊(duì)在其物聯(lián)網(wǎng)安全測試中所需要考慮到的那些因素,。比如說:漏洞檢查,、網(wǎng)絡(luò)攻擊,數(shù)據(jù)安全,、軟/硬件通信,、以及Web應(yīng)用程序的安全性。雖然需要考慮的因素遠(yuǎn)不止這些,,但這些絕對是各類測試人員在物聯(lián)網(wǎng)環(huán)境的安全測試中,,所需要面臨的當(dāng)務(wù)之急。
可以說,,安全性是企業(yè)在實(shí)施各種物聯(lián)網(wǎng)解決方案時,,所需要面對的最大問題之一。被連接的設(shè)備需要得到控制,,否則,,它們不但在總體運(yùn)作中會處于危險狀態(tài),而且各種敏感數(shù)據(jù)也會從系統(tǒng)中悄然流逝出去,。同時,,由于物聯(lián)網(wǎng)能夠?qū)Ω鞣N資源進(jìn)行深入“解讀”,從而產(chǎn)生規(guī)模性價值。因此,,你的企業(yè)如想實(shí)施和應(yīng)用物聯(lián)網(wǎng)的各種解決方案,,就必須重視和處置任何可能涉及到安全的隱患和問題。
1,、記錄每一個新增的端點(diǎn)
隨著物聯(lián)網(wǎng)的擴(kuò)展,,每一個端點(diǎn)在被添加到網(wǎng)絡(luò)中的時候,也同時增加了新的,、更多的安全漏洞,。然而,就物聯(lián)網(wǎng)裝置本身而言,,來自多個開源領(lǐng)域和不同類型的專有操作系統(tǒng),,所開發(fā)出的設(shè)備有著不同的計(jì)算能力水平、存儲容量和網(wǎng)絡(luò)配置,。因此,重要的是:每個新增端點(diǎn)需要作為資產(chǎn)被記錄在冊,,并保證得到在安全和性能方面的評估,。你可以參考的最佳實(shí)踐是:對系統(tǒng)中的所有設(shè)備創(chuàng)建一個編錄清單,并持續(xù)更新之,。這也有助于我們?nèi)ケO(jiān)控整個物聯(lián)網(wǎng)系統(tǒng)中各種設(shè)備的增加,、調(diào)整與刪除。若要保持其長期有效,,你還需設(shè)定好與物聯(lián)網(wǎng)項(xiàng)目相對應(yīng)的資產(chǎn)發(fā)現(xiàn),、跟蹤和管理機(jī)制。
2,、密碼和身份憑證
這應(yīng)該是我們在考慮物聯(lián)網(wǎng)環(huán)境的安全時,,最值得推薦和需要明確保障的因素了。然而,,為了避免使用那些由設(shè)備廠商所配置的默認(rèn)密碼,,我們必須繁瑣地逐一進(jìn)行修改。這些都必須在項(xiàng)目的初始階段就被正確地考慮到,,否則,,會給黑客留下攻擊系統(tǒng),以及控制各種設(shè)備的可乘之機(jī),。
3,、數(shù)據(jù)接口
物聯(lián)網(wǎng)的核心是能夠從一個端點(diǎn)向另一個端點(diǎn)進(jìn)行有效和無縫的數(shù)據(jù)交換。因此,,理解和評估各種設(shè)備之間的交互連接方式,,以及數(shù)據(jù)交換是否安全,則顯得非常重要。只要在整個通信鏈路的某處發(fā)生了漏洞,,都將導(dǎo)致數(shù)據(jù)的泄漏,,并引起各種后續(xù)問題。
此外,,密切注視物聯(lián)網(wǎng)范圍內(nèi)的任何異常行為或活動也是至關(guān)重要的,。因?yàn)樵谠O(shè)備系統(tǒng)內(nèi)部,任何數(shù)據(jù)的流轉(zhuǎn)都可能會被別有用心的黑客所利用,。所以,,我們要保持高度警惕,徹底并持續(xù)地監(jiān)控各個數(shù)據(jù)的接口,。
4,、持續(xù)更新
如今,諸多物聯(lián)網(wǎng)項(xiàng)目都能夠以“看得見,,摸得著”的方式落地實(shí)施,。這同時也意味著它們與生俱來的安全性和風(fēng)險性也正在持續(xù)增加,因此我們要持續(xù)進(jìn)行監(jiān)測和管控,。而對于普通企業(yè)來說,,他們存在著一個重大的問題:缺少不斷更新自己的聯(lián)網(wǎng)設(shè)備的意識。固然他們在開發(fā)或購買設(shè)備的時候,,當(dāng)時已經(jīng)得到了更新,。但是,隨著它們所處的技術(shù)環(huán)境的不斷變化,,各種漏洞也會被迭代產(chǎn)生,。這些漏洞往往會被那些一直在觀察和分析我們的系統(tǒng)、并伺機(jī)出來搞破壞的各類黑客,,所迅速捕獲和利用,。
因此,我們迫切需要能夠部署一套自動更新的機(jī)制,,并將該因素自始至終地貫徹下去,。
5、當(dāng)心你的物聯(lián)網(wǎng)設(shè)備供應(yīng)商
身在“明處”的那些黑客和外部因素固然能對你的物聯(lián)網(wǎng)系統(tǒng)產(chǎn)生威脅,。但是,,你又該如何去防范那些向你兜售聯(lián)網(wǎng)設(shè)備的公司,所可能留下的“后門”呢?他們可以輕松地訪問到你的個人資料,,甚至是你的貨幣交易相關(guān)數(shù)據(jù),。此外,通過這些設(shè)備所收集到的數(shù)據(jù),,他們也可以在組織,、甚至是個人層面上,,以截然不同的方式反作用于用戶本身。
因此,,任何選用了物聯(lián)網(wǎng)設(shè)備的消費(fèi)者,,都必須在購買設(shè)備時閱讀并理解相關(guān)的協(xié)議,以確保共享的數(shù)據(jù)是保密的,,而且是在征得消費(fèi)者同意的基礎(chǔ)上被用于共享,。任何與數(shù)據(jù)使用和分發(fā)相關(guān)的協(xié)議,對于其所處的特定物聯(lián)網(wǎng)環(huán)境都是至關(guān)重要的,??梢哉f它們是整個項(xiàng)目的基礎(chǔ)與核心。
6,、在設(shè)備上保持“負(fù)載及即檢測”
由于物聯(lián)網(wǎng)項(xiàng)目必然會涉及到跨設(shè)備平臺之間的數(shù)據(jù)交換,,那么在數(shù)據(jù)的傳輸過程中偶爾出現(xiàn)負(fù)載的突發(fā)峰值也是不足為奇的。這樣的負(fù)載可能會對系統(tǒng)的整體性能產(chǎn)生負(fù)面影響,,并導(dǎo)致性能與安全疊加的問題出現(xiàn),。由于各種設(shè)備需要通過這些快速流轉(zhuǎn)的狀態(tài)信息,來與系統(tǒng)進(jìn)行通信,。因此我們需要在不同的網(wǎng)絡(luò)條件下,,對網(wǎng)絡(luò)性能與相關(guān)的基礎(chǔ)設(shè)施進(jìn)行測試。有時候,,我們甚至需要對各種物聯(lián)網(wǎng)設(shè)備和相應(yīng)的應(yīng)用程序進(jìn)行橫跨不同配置狀態(tài)的測試,以確保它們既能及時地做出響應(yīng),,又不會丟失有效的數(shù)據(jù),。
結(jié)論
Gartner公司已指出:到2026年,物聯(lián)網(wǎng)設(shè)備的數(shù)量將增至200億以上,。我個人覺得這是完全可以達(dá)到的,。每一種可能影響到物聯(lián)網(wǎng)設(shè)備性能的因素,都有能力將挑戰(zhàn)轉(zhuǎn)化成為新的機(jī)遇,。而安全性正是企業(yè)在采用物聯(lián)網(wǎng)解決方案時所面臨的一項(xiàng)重大挑戰(zhàn),。可見,,如果上述這些因素能夠被定期地提及和處理的話,,物聯(lián)網(wǎng)絕對能夠成為企業(yè)在不同業(yè)務(wù)領(lǐng)域長足發(fā)展的助推劑