IoT时代,物联网安全风险有哪些?
物联网安全=网站安全+网络安全
“不能手里有把锤子,就看什么都是钉子”,所以也不能因为说网络安全就把网络安全说成是天下第一重要的事。实际上,在企业发展业务时,第一重要的是业务发展本身,如何创建业务发展所需软件平台,而一般到了一定阶段后,才会开始关注网络安全。除非这个业务对安全非常关注,一旦发生网络安全问题就无法挽回,如金融、军事特定行业。网络安全属于一个专业领域,一般都需要配备网络安全专业人员来做相关工作,但实际上,如果做好如下这些工作,你的网络就会超过99%的同行,可以说是基本安全的。
物联网安全二十二大风险
以下风险是物联网安全的主要风险清单,可以按列表逐个检查,每个风险的解决方法都不难,只要想做,有一部分工作一个人周的工作量就可以全部做到,但也有些需要在产品设计时就规划好,具体解决办法大家可以自行百度。
首先是OWASP十大安全漏洞
- 注入 Injection ;
- 失效的身份认证和会话管理
- 跨站脚本-XSS
- 不安全的直接对象引用;
- 安全配置错误;
- 敏感信息泄露;
- 缺少功能级访问控制;
- 跨站请求伪造 CSRF;
- 使用含有已知漏洞的组件;
- 未验证的重定向和转发。
这些风险可能比上面十条更常见,虽然低级,但 - 缺少用户和管理员密码强度检查。
- 密码在数据库中明文存储。
- 证书或者秘钥管理混乱,在APP或服务器上明