有許多方法可以提高物聯(lián)網(wǎng)設(shè)備的安全性，而這一切始于物聯(lián)網(wǎng)廠商。

這是在線信任聯(lián)盟(OTA)在家庭和可穿戴技術(shù)方面開展的研究得出的調(diào)查結(jié)果之一。

OTA發(fā)現(xiàn)，如果廠商遵循該組織新頒布的物聯(lián)網(wǎng)信任框架里面概述的安全和隱私準則，就算無法避免物聯(lián)網(wǎng)設(shè)備所有報告上來的安全漏洞，至少可以避免其中的許多漏洞。

OTA的執(zhí)行董事兼總裁克雷格·斯皮澤勒(Craig Spiezle)表示，由于急于向市場推出產(chǎn)品，物聯(lián)網(wǎng)廠商常常忽視安全和隱私。物聯(lián)網(wǎng)信任框架概述了31條原則，設(shè)備制造商、開發(fā)人員和決策者可以遵循這些原則，提高物聯(lián)網(wǎng)設(shè)備的安全性。

斯皮澤勒說：“我們還認為，首席信息安全官應(yīng)該留意這套框架，尤其是由于更多的人將物聯(lián)網(wǎng)設(shè)備從家里帶到工作場所。”他補充道，與設(shè)備制造商和應(yīng)用程序開發(fā)人員一樣，各大零售商、美國房地產(chǎn)經(jīng)紀人協(xié)會和風險投資基金都表示有興趣采用物聯(lián)網(wǎng)框架原則。

根據(jù)對斯皮澤勒所作的采訪，下面這八點有助于讀者了解物聯(lián)網(wǎng)信任框架。

1. 限制和保護登錄信息訪問。

廠商發(fā)布的產(chǎn)品其登錄信息管理往往不安全，包括采用了敞開、容易發(fā)現(xiàn)的管理控制機制。如果限制特權(quán)用戶和一般用戶的訪問，他們就能更有效地保護和鎖定管理控制機制。

2. 明確公布消費者數(shù)據(jù)收集和共享方面的政策及做法。

公司需要清楚地表明什么數(shù)據(jù)可以與第三方或其他業(yè)務(wù)合作伙伴共享。許多物聯(lián)網(wǎng)公司是初創(chuàng)公司，非常忙碌，也沒有注重隱私的觀念。要明確公布什么數(shù)據(jù)在共享，這可以減少誤解。

3. 運行滲透測試。

在整個開發(fā)過程中加入嚴格的安全測試。這可能包括滲透測試和威脅建模。斯皮澤勒表示，如今這些服務(wù)和工具唾手可得。他談?wù)摰牟皇菑碗s的逆向工程，而是可以檢測安全漏洞的基準線測試。

4. 確定一種易于使用的溝通途徑。

有些情況下，第三方、學者或顧問發(fā)現(xiàn)了產(chǎn)品中的安全漏洞，但物聯(lián)網(wǎng)公司沒有一種簡單的方法來獲得這些信息。無論是在網(wǎng)站上制作一份表單，還是開設(shè)簡單的電子郵件地址，要歡迎這類第三方告知安全漏洞信息。

5. 制定更安全的配對控制措施。

低端物聯(lián)網(wǎng)設(shè)備常常會連接到它能找到的信號最強的那個網(wǎng)絡(luò)。開發(fā)人員需要融入配對控制措施，確保設(shè)備連接到用戶指定的那個網(wǎng)絡(luò)。這種問題在多個無線網(wǎng)絡(luò)漫游的公寓樓或排屋里面會成為問題。

6. 測試查找常見的代碼注入漏洞。

從許多方面來看，這一點可以作為本文第3點的附加部分，但是物聯(lián)網(wǎng)公司需要測試、查找已知的安全漏洞和弱點。一旦產(chǎn)品投入使用，這么做可以減少潛在的安全問題。

7. 牢牢鎖定數(shù)據(jù)傳輸和存儲。

許多物聯(lián)網(wǎng)產(chǎn)品存在的另一個問題是，產(chǎn)品缺乏傳輸安全和加密存儲。比如說，依賴藍牙的物聯(lián)網(wǎng)設(shè)備使用的用戶名和密碼在傳輸過程中是公開暴露的。物聯(lián)網(wǎng)廠商就需要確保數(shù)據(jù)已經(jīng)過了加密處理，那樣當設(shè)備連接到其他設(shè)備，或者用戶將傳輸?shù)臄?shù)據(jù)存儲在iPhone或iPad其他設(shè)備上時，數(shù)據(jù)不會暴露。

8. 制定生命周期支持計劃。

由于急不可待地發(fā)布產(chǎn)品，許多物聯(lián)網(wǎng)公司忘了為產(chǎn)品的生命周期制定支持計劃。這包括補丁更新，產(chǎn)品主人易手后提供支持計劃，或者在產(chǎn)品生命周期結(jié)束后禁用產(chǎn)品。

原文鏈接：http://www.darkreading.com/8-ways-iot-manufacturers-can-improve-security/d/d-id/1326856