2016版：物联网安全白皮书

2017-10-10

绿盟科技发布《物联网安全白皮书》，份白皮书展开描述了物联网安全的三个细分领域，工业控制、智能汽车、智能家居，列出了六点需要重点关注的方面：

物联网安全网关

物联网设备缺乏认证和授权标准，有些甚至没有相关设计，对于连接到公网的设备，这将导致可通过公网直接对其进行访问。另外，也很难保证设备的认证和授权实现没有问题，所有设备都进行完备的认证未必现实（设备的功耗等），可考虑额外加一层认证环节，只有认证通过，才能够对其进行访问。结合大数据分析提供自适应访问控制。

应用层的物联网安全服务

应用层的物联网安全服务主要包含两个方面，一是大数据分析驱动的安全，二是对于已有的安全能力的集成。

漏洞挖掘研究

物联网漏洞挖掘主要关注两个方面，一个是网络协议的漏洞挖掘，一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层，应用层大多采用云平台，属于云安全的范畴，可应用已有的云安全防护措施。

物联网僵尸网络研究

今年最为有名的物联网僵尸网络便是Mirai 了，它通过感染网络摄像头等物联网设备进行传播，可发动大规模的DDoS 攻击，它对Brian Krebs 个人网站和法国网络服务商OVH 发动DDoS 攻击，对于美国Dyn 公司的攻击Mirai 也贡献了部分流量。

区块链技术

区块链解决的核心问题是在信息不对称、不确定的环境下，如何建立满足经济活动赖以发生、发展的“信任”生态体系。

物联网设备安全设计

物联网设备制造商并没有很强的安全背景，也缺乏标准来说明一个产品是否是安全的。很多安全问题来自于不安全的设计。信息安全厂商可以做三点：一是提供安全的开发规范，进行安全开发培训，指导物联网领域的开发人员进行安全开发，提高产品的安全性；二是将安全模块内置于物联网产品中，比如工控领域对于实时性的要求很高，而且一旦部署可能很多年都不会对其进行替换，这是的安全可能更偏重于安全评估和检测，如果将安全模块融入设备的制造过程，将能显著降低安全模块的开销，
对设备提供更好的安全防护；三是对出厂设备进行安全检测，及时发现设备中的漏洞并协助厂商进行修复。

物联网安全白皮书目录

一. 物联网安全概述... 1

物联网是互联网的延伸，因此物联网的安全也是互联网安全的延伸，物联网和互联网的关系是密不可分、相辅相成的。但是物联网和互联网在网络的组织形态、网络功能以及性能上的要求都是不同的，物联网对实时性、安全可信性、资源保证等方面有很高的要求，物联网与互联网的区别在表1.1中得到体现。物联网的安全既构建在互联网的安全上，也有因为其业务环境而具有自身的特点。总的来说，物联网安全和互联网安全的关系体现在：物联网安全不是全新的概念，物联网安全比互联网安全多了感知层，传统互联网的安全机制可以应用到物联网，物联网安全比互联网安全更复杂。