毫無疑問，物聯網時代已經到來，據Gartner所發布的調查報告顯示，2017年全球物聯網設備數量大約為84億，到2020年這個數字將達到200億。

然而，與其它的很多行業一樣，在物聯網迅速發展的同時，安全問題也伴隨而生。目前物聯網終端面臨的安全形勢不容樂觀，安全事件層出不窮，而且一次比一次規模大，影響深遠。那么物聯網終端到底面臨著哪些安全風險，又有哪些安全解決方案呢？

作為物聯網終端安全系列文章的開篇，本文主要為大家分析介紹一下物聯網終端面臨的安全風險。在后面的系列文章中，將陸續詳細介紹物聯網終端安全解決方案。

物聯網終端面臨的安全風險，主要分為如下三大類

硬件風險、軟件風險、數據風險

Part1硬件風險

硬件風險指的是由于物聯網終端硬件攻擊面導致的被攻擊的風險，即，硬件層面上可能被攻擊的薄弱環節所導致的風險，具體包括：硬件設計缺陷、硬件接口未做保護，說明如下：

硬件設計缺陷

由于硬件設計上安全考慮不足，可能導致攻擊者長驅直入。比如：如果設備沒有防拆功能，攻擊者可以拆開設備，并利用工具讀取敏感信息；如果硬件沒有電磁信號屏蔽機制，攻擊者則可能通過側信道攻擊獲取密鑰。因此硬件安全缺陷，會給物聯網終端設備造成極大的安全隱患。

硬件接口未做保護

通常為了便于終端維護，設備生產廠商會預留相應的硬件或者軟件調試接口，以便于進行運維過程中單中的本地調試或者遠程調試。而如果這些接口沒有有效控制和管理的話，可能構成極大隱患。

Part2軟件風險

軟件風險是物聯網終端面臨的第二大類風險，這類風險是由于物聯網終端軟件攻擊面所導致的，具體包括軟件漏洞、缺乏安全有效的更新機制、薄弱的身份認證和授權機制，說明如下：

軟件漏洞

物聯網設備通常采用通用、開源的操作系統，或直接調用并未做任何安全檢測的第三方組件，給物聯網智能終端帶來了極大的安全風險。比如：“Heartbleed”漏洞就是由于開源的OpenSSL1.0.1版本存在缺陷導致的。

缺乏安全有效的更新機制

任何軟件的安全漏洞都是無法徹底避免的，物聯網終端軟件也是一樣，因此需要一種快捷、安全地軟件更新機制。當然，即使有了軟件更新機制，如果軟件升級過程中沒有完整性和合法性校驗，升級過程可能被惡意攻擊和利用，這無疑給物聯網終端安全帶來更大的隱患。

薄弱的身份認證和授權機制

現在的物聯網終端身份認證和授權不足是普遍的問題，大量智能終端還在使用弱密碼，或者使用缺省登錄帳號和密碼，設置一些設備沒有設置缺省密碼，登錄不需要任何認證，黑客很容易就可以獲取到這類設備的控制權。

2016年美國大規模斷網事件，就是由于大量采用弱密碼的攝像頭被黑客攻擊利用，并進而發動DDOS攻擊所導致的。

Part3數據風險

數據風險是物聯網終端面臨的第三類風險，這類風險是由于物聯網終端保存或傳輸的數據被攻擊所導致的，具體包括不安全的通信機制、缺少本地敏感數據保護機制，說明如下：

不安全的通信機制

目前很多的物聯網智能終端在通信過程中，只采用了簡單加密方式，甚至直接明文傳輸，這無疑給攻擊者竊取、篡改、偽造數據打開方便之門。

缺少本地敏感數據保護機制

除了需要在網絡上傳輸的數據面臨風險外，物聯網終端本地保存的數據如果缺少保護，也會面臨著風險，這種敏感數據，最典型的就是密鑰、賬戶信息、配置信息等，這些數據是終端和管理平臺進行安全通信的安全基礎，一旦泄漏，則終端身份則可以很容易被偽造、控制，造成極其慘重的后果。

物聯網終端面臨硬件、軟件以及數據方面的安全風險，針對以上的各種安全風險，需要采用針對性的解決方案，才可以對其進行有效的防范。