GDPR实施后，国内物联网企业应当如何应对？

是今后发展的趋势。
物联网是新一代信息技术的重要组成部分，也是“信息化”时代的重要发展阶段。其英文名称是：“Internet of things（IoT）”。顾名思义，物联网就是物物相连的互联网。这有两层意思：其一，物联网的核心和基础仍然是互联网，是在互联网基础上的延伸和扩展的网络；其二，其用户端延伸和扩展到了任何物品与物品之间，进行信息交换和通信，也就是物物相息。物联网通过智能感知、识别技术与普适计算等通信感知技术，广泛应用于网络的融合中，也因此被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。物联网是互联网的应用拓展，与其说物联网是网络，不如说物联网是业务和应用。因此，应用创新是物联网发展的核心，以用户体验为核心的创新20是物联网发展的灵魂。

针对物联网设备的安全评估，这里总结七种评估方式，从七个方面对设备进行安全评估，最终形成物联网设备的安全加固方案，提升黑客攻击物联网设备的成本，降低物联网设备的安全风险。

硬件接口

通过对多款设备的拆解发现，很多厂商在市售产品中保留了硬件调试接口。通过 JTAG接口和COM口这两个接口访问设备一般都具有系统最高权限，针对这些硬件接口的利用主要是为了获得系统固件以及内置的登陆凭证。

弱口令

目前物联网设备大多使用的是嵌入式linux系统，账户信息一般存放在/etc/passwd 或者 /etc/shadow 文件中，攻击者拿到这个文件可以通过John等工具进行系统密码破解，也可搜集常用的弱口令列表，通过机器尝试的方式获取系统相关服务的认证口令，一旦发现认证通过，则会进行恶意代码传播。弱口令的出现一般是由厂商内置或者用户不良的口令设置习惯两方面造成的。

信息泄漏

多数物联网设备厂商可能认为信息泄露不是安全问题，但是泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。

未授权访问

攻击者可以不需要管理员授权，绕过用户认证环节，访问并控制目标系统。主要产生的原因如下：

厂商在产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理，任何人都可以最高的系统权限获得设备控制权。开发人员为了方便调试，可能会将一些特定账户的认证硬编码到代码中，出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息，即可获得设备的控制权。开发人员在最初设计的用户认证算法或实现过程中存在缺陷，例如某摄像头存在不需要权限设置session的URL路径，攻击者只需要将其中的Username字段设置为admin，然后进入登陆认证页面，发现系统不需要认证，直接为admin权限。

远程代码执行

开发人员缺乏安全编码能力，没有针对输入的参数进行严格过滤和校验，导致在调用危险函数时远程代码执行或者命令注入。例如在某摄像头安全测试的时候发现系统调用了危险函数system，同时对输入的参数没有做严格过滤，导致可以执行额外的命令。

中间人攻击

中间人攻击一般有旁路和串接两种模式，攻击者处于通讯两端的链路中间，充当数据交换角色，攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息，之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密>

云（端）攻击

近年来，物联网设备逐步实现通过云的方式进行管理，攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据，伪造数据进行重放攻击获取设备控制权。例如2015年HackPwn上公布的黑客攻击TCL智能洗衣机。

物联网安全的特征是：感知网络的信息采集、传输与信息安全问题。

感知节点呈现多源异构性，感知节点通常情况下功能简单（如自动温度计）、携带能量少（使用电池），使得它们无法拥有复杂的安全保护能力，而感知网络多种多样，从温度测量到水文监控，从道路导航到自动控制，它们的数据传输和消息也没有特定的标准，所以没法提供统一的安全保护体系。

物联网的主要特征是：

物联网的主要特征有全面感知、可靠传递、智能处理。物联网是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术，实时采集任何需要监控、连接、互动的物体或过程，通过各类可能的网络接入，实现物与物、物与人的泛在连接，实现对物品和过程的智能化感知、识别和管理。

安全物联网  (Internet of Things in Safety)是在自然资源、交通、住建、水利、能源、文旅古建及其他存在安全隐患的领域，利用传感器、大数据、BIM、GIS及AI等技术，建立泛在安全物联网监测预警系统。

通过在目标监测区域部署多源高精度传感器，并利用无线通信方式形成自组织的网络系统，协同完成对监测目标结构安全状态的实时感知、采集和传输。

同时，借助嵌入式人工智能边缘计算和云计算技术，对监测目标进行智能分析，实现监测预警和超前预测预警，最终达到安全感知、智慧管养和平安中国的目的。

安全物联网的经济和社会价值主要体现在四个方面：

强国：灾情是中国国情日益重要的组成部分，防灾减灾能力是多灾之国综合国力的有效构成要素。

安全物联网技术和行业的发展是提升国家应对自然灾害和基础设施灾害的综合防灾减灾能力的重要支撑。

惠政：公共安全是新型智慧城市的明确诉求，安全物联网运用云计算、大数据、物联网、人工智能等信息技术，构建城市智能基础设施，实现城市管理的数字化、精确化、智能化，最终提升政府的行政效能和城市管理水平。

为民：随着城镇化和现代化进程的持续发展，人民群众日常高度依赖基础设施，同时基础设施领域灾害的发生也会造成严重的人员伤亡和经济损失。

安全物联网可以为各类基础设施提供实时安全监测预警系统，从而避免和减少重大灾害的发生，实现从救灾向减灾的战略转变。

兴业：安全物联网的应用场景还覆盖工业生产安全、基建施工安全、消防安全、环境安全等领域。 安全物联网的应用场景还覆盖工业生产安全、基建施工安全、消防安全、环境安全等领域。

百度百科-安全物联网

---