物联网安全威胁及应对措施

物联网面临的安全威胁主要包括设备窃听与信息窃取、设备被非法控制等，应对措施需从开发者、用户、政府三方面入手。

• 家用设备窃听和操纵

  智能助手设备如Google Home和Amazon Alexa等，因其具备听和问问题的能力，成为黑客的天然攻击目标。2018年，研究人员发现与智能扬声器相关的网络安全问题，犯罪者可借此窃取用户敏感信息，如密码和信用卡号。

• 智能家居被黑客入侵

  智能家居系统虽能自动完成家务，但存在被黑客控制的风险。2019年9月17日，密尔沃基一对夫妇的家用物联网基础设施遭入侵，恒温器温度被恶意升高，厨房摄像机传来陌生人声音和令人不安的音乐。更改Google Nest设备网络密码无济于事，直至互联网服务提供商更改网络ID后问题才解决。

• 物联网开发者可采取的措施

  从操作系统级别利用硬件功能：从使用硬件功能的操作系统级别开始构建安全基础，利用硬件的安全特性增强设备整体安全性。

  保障用户操作全程安全：确保用户从设备启动到更新的每一步操作都处于安全环境，防止在各个环节出现安全漏洞导致用户信息泄露或设备被控制。

  及时了解底层技术漏洞：密切关注最新发现的底层技术漏洞，以便在漏洞被利用前采取措施进行修复和防范。

  加强用户教育：向用户普及安全知识，告知用户如何正确使用设备以及防范安全风险的方法。如谷歌Nest在早期未能做好用户教育，在事件公开后才解释如何防止泄露，且之前指责消费者使用被泄露密码。

  设置并执行安全检查计划：制定详细的安全检查计划，并严格按照计划执行，定期对设备进行安全检查，及时发现并处理潜在的安全问题。

• 物联网用户可采取的措施

  选择知名品牌产品：优先选择知名品牌的产品，不知名公司虽可能提供更便宜交易，但可能不重视声誉和产品安全。上市品牌至少会为保护自身声誉而努力保障用户安全。

  遵循供应商安全指示：每种物联网产品都有其特点和弱点，软件开发人员和制造商通常了解这些弱点。用户花时间浏览手册安全部分，按照供应商的安全指示操作，可提高设备安全性。

  熟悉电源按钮位置：在大多数情况下，用户可通过拔掉网络设备插头解决眼前问题。若问题仍存在，关闭设备可防止问题进一步恶化。

  为每个设备使用单独密码：每次购买新产品时设置自己的密码，避免使用默认符号组合，因为默认密码通常容易泄漏，使用单独密码可降低设备被同时攻击的风险。

  运行最新软件版本：黑客与物联网供应商之间存在无形战争，开发人员检测到漏洞后会推出安全版本进行修补。用户应及时更新软件，尽快使用最新版本，以防范已知漏洞被利用。

  分散风险：将物联网设备在私人生活和工作领域独立开来，如同分开私人生活和工作一样。若其中一个领域设备被破坏，另一个领域设备不会受到影响，降低损失范围。

• 政府可采取的措施

  实施普遍安全标准：对物联网公司实施普遍的安全标准，规范物联网产品的研发、生产和销售过程，确保产品具备基本的安全性能。

  设置清晰认证系统：为物联网产品设置清晰的认证系统，只有通过认证的产品才能进入市场销售，以此确保产品的安全性，让消费者能够放心购买和使用。

  鼓励第三方信任标记：鼓励物联网设备获得测试第三方的信任标记，第三方机构对设备进行严格测试和评估，获得信任标记的产品意味着在安全方面得到了一定认可。

  禁止使用默认密码：禁止制造商使用默认密码，强制要求制造商为每个设备设置独特且安全的初始密码，减少因默认密码带来的安全风险。

  惩罚违规制造商和开发人员：对销售具有已知漏洞产品的制造商和开发人员进行惩罚，通过惩罚机制促使他们重视产品安全，提高产品质量和安全性。

  鼓励制造商信息告知：鼓励制造商告知用户收集了哪些数据以及如何处理这些数据，保障用户的知情权，让用户清楚自己的数据使用情况，增强用户对物联网产品的信任。

  支持供应商用户教育：支持对消费者进行教育的物联网供应商，政府可以通过政策引导或资金支持等方式，鼓励供应商开展用户教育活动，提高用户的安全意识和防范能力。

  强制生命周期安全更新：使生命周期安全更新成为开发人员的强制性实践，确保物联网设备在整个生命周期内都能及时获得安全更新，持续保障设备的安全性。