1.3.3 从设备角度进行风险分析

为了应对网络中各种安全威胁，我们将付出巨大的努力。针对网络系统中设备的安全问题，我们需要提高黑客攻击网络设备的成本，以此来降低网络设备的安全风险。

1.硬件接口

网络设备的存储介质、认证方式、加密手段、通信方式、数据接口、外设接口、调试接口、人机交互接口等都可能成为攻击对象。很多厂商在网络产品中保留了硬件调试接口，如可以控制CPU的运行状态、读写内存内容、调试系统代码的JTAG接口，可以查看系统信息与调试应用程序的串口，这两个接口访问设备时一般具有系统较高权限，存在重大安全隐患。

此外，还有I2C、SPI、USB、传感器、HMI等接口，还有涉及硬件设备使用的各种内部、外部、持久性和易失性存储器，如SD卡、USB载体、EPROM、EEPROM、FLASH、SRAM、DRAM、MCU内存等，都可能成为硬件攻击的对象。

应对措施：一般地，网络设备在设计之初就考虑了这些安全问题，保证攻击者无法获取以及篡改相关资源，这是从芯片层面考虑的安全，即从源头保证设备安全。

2.暴力破解

启动安全和根密钥安全是一切设备安全的基础，一切业务逻辑、设备行为都基于这两个安全功能。黑客极有可能对设备进行暴力破解，获取设备信息、通信数据，甚至远程对设备镜像进行替换，伪装成合法终端。

应对措施：启动安全和根密钥的安全，可以通过使用安全芯片来保证，这是从技术层面解决网络安全、形成安全合规的最有效方式。

3.软件缺陷

软件缺陷主要表现在软件漏洞、弱口令、信息泄露等。

目前，网络设备大多使用的是UNIX或Linux系统，攻击者可以通过各种未修复漏洞来获取系统相关服务的认证口令。比如，一般由厂商内置的弱口令或者用户口令设置不良；个别网络设备供应商不重视信息安全，导致信息泄露，极大地方便了攻击者对于目标的攻击，例如，在对某摄像头进行安全测试的时候，发现可以获取设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法，攻击者即可通过暴力破解的方式获得明文密码；开发人员缺乏安全编码能力，没有对输入的参数进行严格过滤和校验，导致在调用函数时执行远程代码。

应对措施：加强产品开发过程中的安全开发流程监管和安全管理流程监管。产品开发过程中需要遵循安全编码规范，以减少漏洞产生，降低潜在风险，网络设备需要以全局唯一的身份接入网络中，设备之间的连接需要可信认证，在网络设备中确保没有后门指令或者后门代码。针对用户认证，需要设计成在第一次配置和使用设备时由用户进行自行设置并需要设置强密码口令。在发行版本中去除调试版本代码、注释，去除JTAG接口和COM口，同时关闭如SSH、Telnet等不安全的服务。

4.管理缺陷

管理缺陷导致的安全漏洞是安全防护最大、最不可预料、最不可防范的安全问题。弱口令、调试接口、设备日志信息泄露等，都是安全开发管理缺陷导致的；产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理，任何人都可以最高的系统权限获得设备控制权；开发人员为了方便调试，可能会将一些特定账户的认证硬编码到代码中，出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息，即可获得设备的控制权；开发人员最初设计的用户认证算法或实现过程存在缺陷，例如，某摄像头存在不需要权限就可设置Session的URL路径，攻击者将其中的Username字段设置为admin，然后进入登录认证页面，发现系统不需要认证，直接为admin权限。

应对措施：信息网络安全需要在产品的各个流程和环节中加强管理，包括管理流程，应在设备或系统投入使用前进行专业的产品安全测试，以降低物联网设备安全风险。

5.通信方式

通信接口允许设备与传感器网络、云端后台和移动设备App等设备进行网络通信，其攻击对象可能为底层通信实现的固件或驱动程序代码。

比如，中间人攻击一般有旁路和串接两种模式，攻击者处于通信两端的链路中间，充当数据交换角色，攻击者可以通过中间人的方式获得用户认证信息及设备控制信息，之后利用重放方式或者无线中继方式获得设备的控制权，例如，通过中间人攻击解密HTTPS数据，可以获得很多敏感的信息；无线网络通信接口存在一些已知的安全问题。

应对措施：可以内置安全机制，增加漏洞利用难度，开发人员可以通过增量补丁方式向用户推送更新，用户需要及时进行固件更新。

6.云端攻击

近年来，网络设备逐步实现通过云端的方式进行管理，攻击者可以通过挖掘云服务提供商漏洞、手机终端App上的漏洞以及分析设备和云端的通信数据，伪造数据进行重放攻击，从而获取设备控制权。

应对措施：建议部署者提供整体安全解决方案。

为了降低网络系统的安全风险，针对网络面临的安全威胁，我们要采取有针对性的措施。例如，针对云计算，“阿里云”采取了去IOE措施，即去除对IBM服务器的硬件依赖，去除对Oracle的数据库依赖，去除对EMC大型存储器的依赖；“华为云”从硬件到软件采用全套的自主知识产权产品；“腾讯云”也有自己的云计算平台。

7.无线设备带来的风险

无线传输的智能设备有很多，手机就是典型的产品。现代社会，手机已成为我们日常的必需品，但是手机也存在严重的数据泄露风险，是别有用心的人和不法分子收集、窃取他人秘密的重要途径。

1）手机存在的数据泄露风险

（1）手机使用开放的通信系统，是特殊的设备，任何人都可能截获空中的无线通信信息，还能根据无线通信信号来跟踪定位使用手机的人。

（2）有的手机即使在关机状态下也可能被远程遥控启动（部分功能），在一定范围内通过手机的麦克风可以听到周围的声音，通过摄像头观察到手机周围的环境，从而泄露使用者的秘密。

（3）对于使用过的旧手机，如果处理不当，即使信息已被删除，通过技术手段也可以恢复手机中原有的信息内容，从而造成信息泄露。

2）手机的安全防范

（1）要坚持遵守手机使用的“八不四定”原则，如图1-9所示。

“八不”的含义如下：

①不借：不要将手机借予别人。

②不脱：不要使手机脱离自己的控制。

③不连：不要将手机作为信息存储载体使用，不要将其连接到敏感信息系统、有敏感信息的设备及载体上。

④不用：不要启用手机的远程或云数据同步功能，不要启用手机的位置服务功能，不要使用不可靠的、来路不明的手机。

⑤不存：不要在手机上存储敏感的信息，即不用手机上的记事本、备忘录及编辑软件记录敏感的内容，不要在通讯录中存储敏感人员的姓名、单位、地址和联系方式等。

⑥不传：不要用手机传输敏感信息。

⑦不拍：不要用手机拍摄、处理敏感的信息。

⑧不带：不要将手机带入敏感的工作场所和重要的部门。

“四定”的含义如下：

①定测：要定期对手机进行安全检测。

②定查：要定期对手机进行安全配置检查和安全状态检查。

③定清：要定期对手机进行数据清理。

④定还：要定期对手机进行硬盘低级格式化和系统还原（重装手机操作系统）。（因为有些木马病毒被植入特殊扇区，有些木马病毒能休眠，很难被检测出来。）

（2）管理岗位、技术核心岗位、敏感信息岗位的重要人员应当严格遵守相关的安全防护规定，自觉履行应尽的义务，并接受安全监督管理。使用的手机应经过必要的安全检查，如果在手机使用过程中出现故障或异常情况，应立即停止使用，并马上报告，按规定及时送指定部门和地点进行检测、维修。

（3）管理部门应将手机使用安全管理要求纳入安全教育培训内容，使工作人员特别是敏感人员了解手机的安全隐患，增强手机使用安全防护意识，掌握手机安全使用常识。

为保证网络系统安全，系统中使用的其他无线设备也应参照手机进行管理。

为应对各种安全风险，我们要研究具有前瞻性、针对性、储备性的新技术、新手段，要开拓多领域安全布局，形成全天候、多场景、动态的新型安全数据防护网。