【小目标，一个“译”】+ 物联网安全测试需考虑的几点因素（1）

julianchen · ‎11-19-2018

引言：当你在考虑对自己的物联网系统进行安全加固的时候，这里提供一个包含了各种可能性攻击向量的清单供你参考。

物联网已不再是一个遥不可及的梦想，而且客观情况是我们的现实世界已经准备好运用它的各项最新成果了。在这些成果中，最受欢迎的特性包括：高效的机（器）对机（器）（Machine to Machine，M2M）通信，多协议开发，各种应用技术/嵌入式设备的统一，以及整体的智能工作与生活。

在我们筹备智能城市、智能环境、智能零售、以及智能家居时，测试和评估物联网对于这些不同行业环境来说是非常有意义的。

物联网测试的技术几乎适用于整个物联网领域，包括：近场通信（near field communication，NFC）支付、营销、金融、汽车、信息通信等方面。其中，最为重要的当属：一个企业或团队在其物联网安全测试中所需要考虑到的那些因素。比如说：漏洞检查、网络攻击，数据安全、软/硬件通信、以及Web应用程序的安全性。虽然需要考虑的因素远不止这些，但这些绝对是各类测试人员在物联网环境的安全测试中，所需要面临的当务之急。

可以说，安全性是企业在实施各种物联网解决方案时，所需要面对的最大问题之一。被连接的设备需要得到控制，否则，它们不但在总体运作中会处于危险状态，而且各种敏感数据也会从系统中悄然流逝出去。同时，由于物联网能够对各种资源进行深入“解读”，从而产生规模性价值。因此，你的企业如想实施和应用物联网的各种解决方案，就必须重视和处置任何可能涉及到安全的隐患和问题。

记录每一个新增的端点

随着物联网的扩展，每一个端点在被添加到网络中的时候，也同时增加了新的、更多的安全漏洞。然而，就物联网装置本身而言，来自多个开源领域和不同类型的专有操作系统，所开发出的设备有着不同的计算能力水平、存储容量、和网络配置。因此，重要的是：每个新增端点需要作为资产被记录在册，并保证得到在安全和性能方面的评估。你可以参考的最佳实践是：对系统中的所有设备创建一个编录清单，并持续更新之。这也有助于我们去监控整个物联网系统中各种设备的增加、调整与删除。若要保持其长期有效，你还需设定好与物联网项目相对应的资产发现、跟踪和管理机制。

密码和身份凭证

这应该是我们在考虑物联网环境的安全时，最值得推荐和需要明确保障的因素了。然而，为了避免使用那些由设备厂商所配置的默认密码，我们必须繁琐地逐一进行修改。这些都必须在项目的初始阶段就被正确地考虑到，否则，会给黑客留下攻击系统，以及控制各种设备的可乘之机。

数据接口

物联网的核心是能够从一个端点向另一个端点进行有效和无缝的数据交换。因此，理解和评估各种设备之间的交互连接方式，以及数据交换是否安全，则显得非常重要。只要在整个通信链路的某处发生了漏洞，都将导致数据的泄漏，并引起各种后续问题。此外，密切注视物联网范围内的任何异常行为或活动也是至关重要的。因为在设备系统内部，任何数据的流转都可能会被别有用心的黑客所利用。所以，我们要保持高度警惕，彻底并持续地监控各个数据的接口。
【小目标，一个“译”】+ 物联网安全测试需考虑的几点因素（2）

sh666666 · ‎12-10-2018

多谢分享了