如今，随着物联网技术最终踏入主流公众的视野，人们对物联网(IoT)众说纷纭。物联网技术包括世间万物，从可移动设备，比如采集生物特征数据的传感器与使用户控制灯光强弱的智能家居系统到旨在帮助改善人们刷牙习惯的牙刷互联的恒温器。这些设备通常自带内置的电子电路、软件、传感器和执行单元。他们同时拥有唯一的IP地址，用来与其他机器通信和交换数据。

    物联网设备让我们的生活更简单。例如，智能家居技术可以帮助用户通过接触屏幕来开启(或关闭)电灯和电器，从而提高能源利用的效率。某些联网设备，比如智能医疗设备和警报系统，甚至可以帮助挽救生命。然而，与物联网技术相关的安全风险也日益严重。随着物联网生态圈的扩展，网络罪犯的攻击面也不断升级。也就是说，我们在生活中对互联技术的依赖程度越高，我们就越容易受到那些适合被用来发掘设备漏洞和设计缺陷的网络威胁的影响。这对网络安全专业人士构成了严峻挑战。他们不仅必须保护自己的设备，而且还必须防范那些能连接到本地网络的外部机器带来的威胁。

避免物联网安全的陷阱

    尽管许多专家呼吁监管部门实施全行业标准来要求物联网设备制造商和开发人员对这些普遍存在的缺陷负责，但在标准化方面进展依旧缓慢。与此同时，IT专家和设备所有者必须通过遵循基本的IoT来确保自己的安全。

    对于物联网设备制造商来说，依据经验来看的最重要法则是在开发过程的每个阶段进行安全性测试。在发布前阶段将安全问题扼杀在萌芽状态比在设备发布到市场后浪费资源修复bug要容易得多(成本也更低)。开发完成后，设备应该经过严格的应用安全测试、安全体系结构检查和网络漏洞的评估。

    当设备发送给用户后，他们不应使用默认密码。相反，它们应该要求用户在安装过程中建立复杂的、唯一的证书。由于物联网设备收集很多个人数据，包括生物特征信息、信用卡信息和位置信息，因此根据最小特权原则嵌入加密功能是非常重要的。

保护数据隐私

    对于部署物联网技术的企业来说，建立一个紧急事件响应团队来修复漏洞并向公众揭露数据破坏是至关重要的。所有的设备都应该能够接收到远程更新以最大限度地减少威胁攻击者利用外围薄弱点窃取数据的可能性。此外，安全部门领导必须投资可靠的保护与存储数据的方案，以保护用户隐私和企业的敏感资产数据。

    考虑到遵守数据隐私法的需求越来越多，以及大多隐私法律包含高额罚款，这一点尤为重要。由于某些法规赋予用户要求企业删除他们个人信息的权利，因此必须将这种功能内置到所有收集用户数据的物联网设备中。企业还必须建立策略在IT环境中定义如何收集、使用和保留数据。

    为了确保物联网部署的完整性，安全团队应该定期进行间隙分析，以监视连接设备之间生成的数据。这种分析应该包括基于流和包的异常检测。

物联网安全的关键是意识

    与任何技术一样，一个企业的物联网部署的安全性只有操作者才能保证。因此，企业各级别的安全意识培训和持续教育显得至关重要。这同样适用于设备制造商和投资这项技术的公司。

    物联网具有在国内和企业环境中提高效率和生产力的潜力。然而，物联网数据的暴露或者非法接管设备本身会对企业的底线和名声造成不可估量的损害。获得这项技术的好处同时避免缺陷的关键在于将安全性检测嵌入到应用程序和设备的整个开发周期中，投资完备的数据保护方案，并优先考虑在整个企业中普及安全意识教育。