如何测试物联网安全

2022-07-08

在我们筹备智能城市、智能环境、智能零售、以及智能家居时，测试和评估物联网对于这些不同行业环境来说是非常有意义的。

物联网测试的技术几乎适用于整个物联网领域，包括：近场通信（near field communication，NFC）支付、营销、金融、汽车、信息通信等方面。其中，最为重要的当属：一个企业或团队在其物联网安全测试中所需要考虑到的那些因素。比如说：漏洞检查、网络攻击，数据安全、软/硬件通信、以及Web应用程序的安全性。虽然需要考虑的因素远不止这些，但这些绝对是各类测试人员在物联网环境的安全测试中，所需要面临的当务之急。

可以说，安全性是企业在实施各种物联网解决方案时，所需要面对的最大问题之一。被连接的设备需要得到控制，否则，它们不但在总体运作中会处于危险状态，而且各种敏感数据也会从系统中悄然流逝出去。同时，由于物联网能够对各种资源进行深入“解读”，从而产生规模性价值。因此，你的企业如想实施和应用物联网的各种解决方案，就必须重视和处置任何可能涉及到安全的隐患和问题。

1.记录每一个新增的端点

随着物联网的扩展，每一个端点在被添加到网络中的时候，也同时增加了新的、更多的安全漏洞。然而，就物联网装置本身而言，来自多个开源领域和不同类型的专有操作系统，所开发出的设备有着不同的计算能力水平、存储容量和网络配置。因此，重要的是：每个新增端点需要作为资产被记录在册，并保证得到在安全和性能方面的评估。你可以参考的最佳实践是：对系统中的所有设备创建一个编录清单，并持续更新之。这也有助于我们去监控整个物联网系统中各种设备的增加、调整与删除。若要保持其长期有效，你还需设定好与物联网项目相对应的资产发现、跟踪和管理机制。

2.密码和身份凭证

这应该是我们在考虑物联网环境的安全时，最值得推荐和需要明确保障的因素了。然而，为了避免使用那些由设备厂商所配置的默认密码，我们必须繁琐地逐一进行修改。这些都必须在项目的初始阶段就被正确地考虑到，否则，会给黑客留下攻击系统，以及控制各种设备的可乘之机。

物联网的核心是能够从一个端点向另一个端点进行有效和无缝的数据交换。因此，理解和评估各种设备之间的交互连接方式，以及数据交换是否安全，则显得非常重要。只要在整个通信链路的某处发生了漏洞，都将导致数据的泄漏，并引起各种后续问题。

此外，密切注视物联网范围内的任何异常行为或活动也是至关重要的。因为在设备系统内部，任何数据的流转都可能会被别有用心的黑客所利用。所以，我们要保持高度警惕，彻底并持续地监控各个数据的接口。

4.持续更新

如今，诸多物联网项目都能够以“看得见，摸得着”的方式落地实施。这同时也意味着它们与生俱来的安全性和风险性也正在持续增加，因此我们要持续进行监测和管控。而对于普通企业来说，他们存在着一个重大的问题：缺少不断更新自己的联网设备的意识。固然他们在开发或购买设备的时候，当时已经得到了更新。但是，随着它们所处的技术环境的不断变化，各种漏洞也会被迭代产生。这些漏洞往往会被那些一直在观察和分析我们的系统、并伺机出来搞破坏的各类黑客，所迅速捕获和利用。

因此，我们迫切需要能够部署一套自动更新的机制，并将该因素自始至终地贯彻下去。

5.当心你的物联网设备供应商

身在“明处”的那些黑客和外部因素固然能对你的物联网系统产生威胁。但是，你又该如何去防范那些向你兜售联网设备的公司，所可能留下的“后门”呢？他们可以轻松地访问到你的个人资料，甚至是你的货币交易相关数据。此外，通过这些设备所收集到的数据，他们也可以在组织、甚至是个人层面上，以截然不同的方式反作用于用户本身。

因此，任何选用了物联网设备的消费者，都必须在购买设备时阅读并理解相关的协议，以确保共享的数据是保密的，而且是在征得消费者同意的基础上被用于共享。任何与数据使用和分发相关的协议，对于其所处的特定物联网环境都是至关重要的。可以说它们是整个项目的基础与核心。

6.在设备上保持“负载即检测”

由于物联网项目必然会涉及到跨设备平台之间的数据交换，那么在数据的传输过程中偶尔出现负载的突发峰值也是不足为奇的。这样的负载可能会对系统的整体性能产生负面影响，并导致性能与安全叠加的问题出现。由于各种设备需要通过这些快速流转的状态信息，来与系统进行通信。因此我们需要在不同的网络条件下，对网络性能与相关的基础设施进行测试。有时候，我们甚至需要对各种物联网设备和相应的应用程序进行横跨不同配置状态的测试，以确保它们既能及时地做出响应，又不会丢失有效的数据。