物联网安全有完美的解决方案吗？

物联网是把双刃剑，一方面在简化企业业务流程方面有很大的潜力，并给企业提供了与客户互动的有效方式，但另一方面也给网络犯罪和黑客提供了便利。

欧洲知名的IT研究公司Quocirca于2015年和2016年分别发布了相关报告，研究了物联网所带来的机会和威胁的相互影响，并提出了如何保护你所在组织中物联网的安全。物联网对于不同企业有着不同的意义，所以并不存在一个完美的安全方案，它涉及到所有已知部署的设备，比如说监控系统，也有一些在线的旧系统设备、员工带到工作场所的消费类设备等。

提升企业物联网安全，需要精心设计的应用、改造现有的IT安全方案以及一些应对多样化威胁的综合性方案。

物联网安全威胁

在Quocirca研究者看来，物联网领域主要存在四方面安全威胁：

(1)数据保护。很多设备收集的是敏感数据，不论是从商业角度，还是从管控角度，数据的传输、存储和处理都应该在安全情况下进行。

(2)攻击界面扩大化。物联网时代会有更多的设备在网上，这样IT基础设施会进一步扩大，攻击者会试探着去破解。与用户的终端不同，很多物联网设备需要永久在线和实时连接，这一特征使得它们更容易成为攻击的目标。

(3)对物联网运行过程的攻击。那些想干扰一个特定企业活动的行为，会让更多基础设施、设备和应用成为攻击目标，通过DoS攻击或通过危及、破坏个人设备。

(4)僵尸网络。未得到有效保护的物联网设备可能会招致僵尸网络攻击，大大降低企业的效率，长期如此将会导致企业声誉的损失。

所有这些威胁在一定程度上依赖于物联网设备的潜在漏洞，因此在部署和管理物联网设备时应该有安全的意识，精心设计，大量的工作应该列为高优先级。　　

设备数量、差异化和标识

Quocirca在其2016年的报告中显示，平均每一家欧洲企业希望在未来18个月中能够使用、管理7000个物联网设备。这一数据对于小企业来说可能有些遥不可及，但相对于其他机构的预计，这一数字仍然有些保守。对大量设备的管理应该是自动化进行的，而且也需要在设备自身上完成。

那些需要通过固件升级才能成为物联网设备的老旧设备更加脆弱，因为它们可能在设计时并没有线上安全的意识。由于新设备往往只有有限的存储、计算能力和功耗，而且需要运行特定的物联网操作系统，如TinyOS、Contiki、Nano-RK以及RIOT等，因此新的物联网设备实际上也存在一些安全问题。

很多类似的操作系统是开源的，制造商可以对其进行重新改造，从而形成多样化的物联网操作系统(当然，并非所有系统都是开源的，微软已经发布了支持物联网设备的操作系统Windows 10)。这样，最终就形成数百个潜在设备/操作系统的组合。

这样的情形，对那些开发敏捷性嵌入式设备安全软件厂商来说是一个挑战。而采用Agentless方式的设备安全则更实用，很多时候用来管理员工自有设备以及访客的终端节点，这些设备经过许可会不断地接入企业网络中。

然而，企业很有必要不断识别这些设备并保证它们的标识是一致的。蓄意破坏物联网设备部署的一种方式是将可信设备替换成"流氓"设备，现有的技术可以帮助避免这一问题。SSL/TLS加密技术不仅能保证设备的数据传输是安全的，还能确认设备标识。

这意味着随着设备的快速增长，会有更多的加密认证，也意味着不断升级的认证管理能力。物联网安全领域不断出现新的加密供应商，包括赛门铁克、金雅拓、泰雷兹、Entrust Datacard、Vormetric 以及Venafi等。

其他安全的方案在不断的研发，用于物联网设备的认证。第三方注册机构变得越来越流行，它们适用于对设备及其期望位置和功能的识别，诸如Neustar这样的DNS服务供应商会列出已知设备，也有像Xively这样的专业数据库提供服务。

对一个设备自身宣称的信息做到精准掌握非常重要，但实际上物联网安全需要一个更高级别的方法，要求单一的安全措施能够对大量设备起作用。

精心设计的物联网安全

Quocirca的参考架构为物联网安全设计一个"轮轴-辐条"式的方法，当然，这一方法依赖经过反复试验过的网络安全技术。Quocirca认为物联网的部署由一系列集中器或网关来管理(类似于轮毂或轮轴)，并和各种物联网设备(类似于辐条)形成互操作，整个过程通过网络地址转换协议(NATs)在封闭网络中完成。这样的话，网络配置、管理、扩容和安全变得相对简单一些。　　

很多物联网网关是为特定目的而部署的，或者是对现有设备的改造，如网络路由器、机顶盒、智能手机等等。这些网关控制着设备之间的通信，也需要独一无二的IP地址，不过，在