物联网设备生产厂商对安全重视仍不足吗？

物联网正加速融入人们的生产生活。知名IT咨询机构预测，2015年至2020年，物联网终端年均复合增长率将达到33%，安装基数将达到204亿台，其中2/3为消费者应用。

哈尔滨工业大学计算机学院教授张伟哲介绍，当前主流的物联网管理模式有直连模式、网关模式和云模式。直连模式是指管理端与终端之间不经过其他节点直接相连，这种模式一般用于近距离通信，例如无线蓝牙、WiFi热点等；网关模式主要用于家庭和企业局域网，一般用于近距离管理多个终端；云模式是指用户通过云服务管理各种设备，其特点是突破了设备管理的地理区域限制，比如智能家居和工业云服务。

《2017物联网安全年报》认为，物联网安全问题突出，反映了当前不少物联网设备生产厂商对安全重视不足。“物联网设备常见脆弱点有硬件接口暴露、弱口令、信息泄露、未授权访问等，这些安全问题技术水平并不高，如果有安全团队协助做工作，是可以防患于未然的。”杨传安说。他认为，对一些设备生产厂商来说，往往侧重追求新功能而忽略安全性。物联网设备基数庞大，加上安全防护脆弱，物联网威胁将逐渐成为互联网的常态。

(l)物联网机器/感知节点的本地安全问题。由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备，从而对他们造成破坏，甚至通过本地 *** 作更换机器的软硬件。
(2)感知网络的传输与信息安全问题。感知节点通常情况下功能简单(如自动温度计)、携带能量少(使用电池)，使得它们无法拥有复杂的安全保护能力，而感知网络多种多样，从温度测量到水文监控，从道路导航到自动控制，它们的数据传输和消息也没有特定的标准，所以没法提供统一的安全保护体系。
(3)核心网络的传输与信息安全问题。核心网络具有相对完整的安全保护能力，但是由于物联网中节点数量庞大，且以集群方式存在，因此会导致在数据传播时，由于大量机器的数据发送使网络拥塞，产生拒绝服务攻击。此外，现有通信网络的安全架构都是从人通信的角度设计的，并不适用于机器的通信。

大数据时代的到来，用户的私人信息越来越不安全。好多人每天都被骚扰电话，广告推销所折磨，越来越多的人知道你的电话，姓名，职业，朋友圈。严重的后果是，某些不法分子利用这些信息对你或者你的亲友进行诈骗。现在各种网站，各种应用注册的时候可能会捆绑手机，QQ，邮箱等信息，商家拿到这些信息，一定要保护用户的私人信息，保证用户的信息安全，这方面好多公司还做得很不到位。

周鸿祎提过用户信息安全三原则，具体内容如下：

第一，用户的信息是用户的个人资产。很多互联网大公司可能比较抵制我这个观点，因为互联网大公司在用户协议里说：因为用户号码是我给的，所以用户是我的，用户的好友列表也是我的，用户产生的内容也是我的。但是，它又发表一个免责声明，说用户产生的任何法律问题，都与自己无关。先不说这种自相矛盾的逻辑，我的观点是，用户使用厂商的服务产生的信息，是属于用户自己的个人资产。用户使用各种设备、各种软件产生的数据，虽然存储在厂商的服务器上，但是从所有权方面讲，它应该明确地属于用户，是用户的财产。

二是平等交换的原则。在大数据时代，通过云端的数据交换，厂商为用户提供服务。只要用户使用了厂商的服务，就会有相关的数据产生。你用微信的时候，为了匹配朋友，你的地址本自然要上传。为了与朋友聊天，你的聊天记录自然会保存在厂商的服务器上。但是，用户的信息和厂商之间，应该遵循平等交换的原则。什么叫平等交换？用户享受服务，厂商获取信息，但在这个过程中，用户要有知情权，厂商要得到用户授权才能使用用户信息，也就是说，用户要有选择权，有拒绝权。 举个例子，如果是一个类似大众点评这样的应用，因为要根据用户的地点给他找饭馆，自然它需要用户的位置信息，我认为这是合理的。这就是平等交换。但如果是一个小说阅读软件，也要获取用户的位置信息，我认为这个服务就不再是一个平等的交换，实际上它要了不该要的东西。平等交换原则也符合《消费者权益保护法》的基本原则，就是消费者要有知情权、选择权。

三是安全处理原则。有的人认为安全就是互联网安全公司干的事，就是杀毒软件的事，我觉得这个观点是错的。任何一家互联网公司，包括现在做可穿戴硬件的公司，都会变成一个互联网服务公司，用户会使用这些硬件产生大量的数据。所以，任何一家互联网公司都有责任保护用户信息的安全，要在云端对用户数据进行足够强度的加密，包括安全存储和安全传输。

物联网的日益普及给人们带来了诸多便利，但随着大量的物联网应用落地随之也带来了很多安全风险。
提起物联网设备，我们就能想到智能化，智慧城市，智慧家居，智慧医疗，智慧养殖等等，都给生活带来了便利，但是物联网设备也有一个极其引人担心的一个问题，就是安全问题。当一切都智能后，伴随的危机风险将更大。安全漏洞一旦遭受到恶意攻击，会引发严重问题，导致一系列设备都罢工宕机。
物联网安全与之紧密联系的就是物联网设备的支出和回报问题，这是个永恒的议题。
使用物联网设备带来的优势是不言而喻的，它在无形中简化了很多业务以及人工成本，从采集数据到数据分析再到价值挖掘和提高运营效率，作用是巨大的。但是同时也存在着风险，就是物联网的安全漏洞，对于很多企业来说，使用物联网设备都有一定的担忧，也造成了物联网应用落地化并没有特别快速的普及。
出现这种冷热交替化的情况原因就很简单了，企业一方面想要拥抱物联网，走上风口，另一方面就是新的东西出来，就总不是那么成熟，有一些时间需要走，物联网攻击事件也有爆出。其实只要有了安全意识，做长期的潜在回报准备，在物联网实施过程中，从一开始就应该注重安全性，并将其作为规划布局中的关键任务之一。从初始阶段就在系统中加入安全设计，比在开发周期接近尾声时或者在漏洞已经出现或公开之后再采取措施，更加经济有效。
此外，物联网安全，挑战无处不在物联网的迅速增长和商用普及，导致物联网市场出现碎片化困局，缺乏明确、统一的标准。而定义物联网设备的标准和架构，要通过数十项持续、不同的举措来进行，企业自然会疲于应对眼前出现的挑战。

---