智慧城市的智能攝像頭、智能電表、智能路燈、智能網聯汽車，還有被稱之為新四大發明中的共享單車……這些物聯網智能終端是連接現實世界與數字世界的關鍵節點，實時將所識別、采集的物理信息傳輸至網絡世界，是物聯網感知層的主要呈現形態。物聯網在向人們大開便利之門的同時，面臨著更加嚴峻的網絡安全態勢，其所遭遇的挑戰也遠超PC、移動端。目前很多物聯網智能終端設備的安全能力普遍偏弱，本身存在各種漏洞和后門，很容易成為黑客實施攻擊的“幫手”，遭受物理操縱、信息泄露、惡意控制等攻擊。

　　在上周召開的2017年交通運輸行業重點科研平臺主任聯席會議中，梆梆安全研究院院長盧佐華女士在演講中提及智能交通信息安全更大的安全隱患來自感知層，并同時首度對外解讀《物聯網智能終端信息安全白皮書》。

　　近年，全球智慧交通領域里的航運、物流等行業巨頭紛紛遭遇黑客襲擊，瑞典交通運輸管理局因黑客DDoS攻擊幾近癱瘓，基于物聯網的智能交通服務體系面臨來自感知節點的安全難題。深入分析典型黑客攻擊案例能夠看到，物聯網智能終端已經成為大規模網絡攻擊事件頻頻發生的源頭，攻擊者正在愈加熟練的運用這一新型利器不斷“收割”，物聯網感知層面臨前所未有的威脅。盧佐華女士從代碼之殤、聯網之疫、攻防之悖3個維度分析了感知層智能設備安全所面臨的風險。

　　以智能網聯汽車為例，ECU數據的不斷增加，嵌入式系統成為黑客喜歡的攻擊目標，程序安全問題凸顯；控制網絡攝像頭、錄像機和其他消費類設備的惡意軟件，能夠導致互聯網大規模癱瘓。散布在物聯網的智能終端無法實施傳統網絡安全保護策略進行有效防護。

　　對于“物聯網安全”這個安全產業和物聯網產業都必須面對且無法回避的問題，梆梆安全研究院創新性提出構建微邊界安全多重防御體系以應對日益復雜化的物聯網惡意攻擊。“物聯網智能終端安全最佳實踐應集中在如何發現安全隱患、如何實現安全保護、如何檢測安全攻擊、如何修復安全問題、如何可視化智能管理5個方面。”

　　如何發現安全隱患

　　物聯網智能終端在進入市場前需要企業內部專業安全團隊、第三方安全企業或專業測評機構對智能終端進行全面安全檢測，發現其安全隱患。智能終端安全隱患主要包括硬件安全隱患、系統安全隱患、應用安全隱患、通信安全隱患4個方面。探究安全隱患時要利用靜態和動態分析方法，重點考慮設備安全（如固件）、整體滲透檢測（如App、接口安全），發現漏洞，研究漏洞成因及后果，構建漏洞樣本特征庫，實現智能設備遠程攻擊驗證。

　　如何實現安全保護

　　物聯網智能終端在實現安全防護時需要同時考慮終端硬件安全、操作系統安全、應用程序安全、終端數據安全、終端接入安全，同時結合攻擊者常用的攻擊路徑，對物聯網智能終端做具有針對性的、基于全生命周期的安全防護。

　　例如在做應用安全防護時，應隱藏設計思路和細節，防止漏洞挖掘和惡意利用。需要對應用程序做加固處理或者源代碼混淆處理，利用安全密鑰白盒實現不可控環境下安全密鑰存儲和不可信環境下的可信邏輯計算，通過反編譯保護、完整性保護、內存數據保護、本地數據保護等技術綜合運用，保障應用程序安全。

　　如何監測安全狀態與攻擊

　　對物聯網智能終端安全狀態的監測應能夠深入到操作系統內核層面，可以通過軟件方式埋入適合物聯網智能終端的輕量級安全探針——威脅預警傳感器，監測用戶應用對操作系統內核層面的一切行為，并將監測到的信息上傳至安全管控后臺，由后臺識別這些行為是否為惡意攻擊，從而最大限度避免全網終端出現異常。此外，為了應對物聯網智能終端所面臨的多樣化攻擊，除了在安全防護上具備深度檢測外，還需要具備對系統分域的動態檢測能力，以及關聯性節點的安全檢測能力。

　　如何修復安全問題

　　對于物聯網智能終端的安全漏洞修復，需要采取云端下發、終端自動升級的方式，即日益成熟的OTA技術。在采用OTA技術修復安全問題時，也需要保障OTA自身安全性，可以利用OTA升級包智能生成技術、安全補丁分析兼容技術和智能推送風控等技術，避免OTA成為黑客發起攻擊的新途徑。

　　如何可視化智能管理

　　海量智能終端的資產管理和運維是企業需要面對的兩大難題，因此物聯網智能終端的可視化管理除了要求威脅可視化外，還需要對終端資產進行細粒度的可視化管理，并結合終端資產管理系統將各維度數據集中起來，利用機器學習等技術實現全網威脅態勢感知，實現全網風險的檢測、預警和可視化。

　　物聯網智能終端是整個物聯網系統架構關鍵基礎設施的核心，近年來針對物聯網智能終端的攻擊已經驗證，單一智能終端漏洞所引發的攻擊會導致蝴蝶效應，影響和后果將被無限放大。所以，從現在開始不僅要將安全能力全方位融入智能終端，也需要從現在開始就緊密關注安全威脅情報，及時發現安全隱患及時修復。