北京神州绿盟信息安全科技股份有限公司（以下简称“绿盟科技”）近日发布的《2017物联网安全年报》（以下简称《年报》）显示，迅猛发展的物联网在给人们带来便利的同时，安全隐患也如影相随，成为物联网产业发展的一个痛点。
安全隐患就在身边
　　现在路由器成了很多家庭的标配，大多数路由器通过IPv4地址单向连接互联网，外部网络无法反过来主动访问。但以路由器为代表的物联网设备数量众多，还有大量路由器不能被完全屏蔽，存在被外面“看见”的风险。《年报》显示，目前具有安全风险的物联网设备中，路由器和视频监控设备暴露在互联网上的数量最多。比如，国内暴露在互联网上的路由器就超过1000万台。这些暴露出来的设备，一旦存在漏洞，就有被攻击的风险。《年报》还显示，一些数量较少的物联网设备也存在安全隐患。比如，商用车的远程通信统一网关、网络恒温器等可能面临远程登录无密码保护、设备停产缺乏安全维护等风险。“现实中，很多物联网设备工作场景不得不长期和‘云’连接。伴随着物联网应用的深入，云服务将更加普遍。我们监测到，一些攻击者已经把目光从网页和邮件等传统服务转向新兴的物联网服务。”绿盟科技首席架构师杨传安说，大数据时代，网络攻击的目的性更强，攻击的技术手段增多、技术更高、更隐蔽，黑客可能为了利益，而对物联网云服务实施攻击。杨传安认为，物联网由多种设备组成，互联互通的环境使得安全风险快速扩散和传播。因此，要从整体全局考虑安全防护。某个物联网设备存在安全隐患，并不只影响单个设备，还可能引发系统性的安全事件。
物联网安全待重视
　　哈尔滨工业大学计算机学院教授张伟哲介绍，当前主流的物联网管理模式有直连模式、网关模式和云模式。直连模式是指管理端与终端之间不经过其他节点直接相连，这种模式一般用于近距离通信，例如无线蓝牙、WiFi热点等；网关模式主要用于家庭和企业局域网，一般用于近距离管理多个终端；云模式是指用户通过云服务管理各种设备，其特点是突破了设备管理的地理区域限制，比如智能家居和工业云服务。“不论在哪种模式下，目前都难以完全杜绝安全隐患。作为一种新技术，物联网的行业标准以及相关管理刚刚起步，但物联网基数大、扩散快、技术门槛低，已经成为不得不重视的安全问题。”《年报》指出，物联网安全问题突出，反映了当前不少物联网设备生产厂商对安全性重视不足。“物联网设备常见弱点有硬件接口暴露、弱口令、信息泄露、未授权访问等，这些安全问题技术水平并不高，如果有安全团队协助做工作，是可以防患于未然的。”杨传安说，对一些设备生产厂商来说，往往侧重追求新功能而忽略安全性。物联网设备基数庞大，加上安全防护脆弱，物联网威胁将逐渐成为互联网的常态。
数据安全尤为重要
　　大流量攻击在未来将成为常态，每个物联网参与方都应针对性地部署防护措施。“物联网的安全威胁远未见顶，物联网应用的最终追求是万物互联，实现信息共享，并通过搭建高度自动化和智能化的系统，为人们的日常生活提供便利。随着物联网在社会生活中的普及，应用场景不断丰富，安全风险也将随之增加。”杨传安说。《年报》认为，物联网的DDoS大流量攻击在未来将成为常态。这是因为物联网设备增多带来规模效应，最直接的负面影响就是攻击者发起DDoS攻击应用将变得更加容易。安全专家表示，从实施的难度、运营的成本、风险与收益来看，DDoS攻击是一种有效的攻击形式，在相当长的时间内，仍将是一种常见的攻击方式。
　　对此，绿盟科技物联网安全解决方案总监刘弘利建议，不同的物联网参与方可根据自身特点，有针对性地部署防护措施：物联网设备提供商要保障终端安全，引入安全开发流程提升终端安全性，并在产品上市前进行安全评估；物联网平台提供商应重点关注平台安全和设备、移动端与自身的连接是否安全。因为在平台安全中，物联网终端数据大多包含隐私信息，数据安全变得尤为重要。“无论是家庭还是企业用户，都应把安全作为一个重要的关注点。选购产品时优先考虑采用有安全网关的产品。”刘弘利说，用户在购买智能产品后，应该尽可能修改初始口令以及弱口令，加固用户名和密码的安全性。同时，修改默认端口为不常用端口，增大端口开放协议被探测的难度，并及时升级设备固件。 （喻思南）