物联网安全风险威胁报告

2017年05月16日 来源：极客头条 作者：魅影儿

关键字：物联网安全智能家居

万物互联（IOT）时代已经到来，随着智能硬件创业的兴起，大量智能家居和可穿戴设备进入了人们的生活，根据Gartner 报告预测，2020年全球IOT物联网设备数量将高达260亿个。

2.3．云安全

黑客入侵智能设备并不难，很多时候它们不需要知道物联网智能设备有哪些功能以及如何运作的。只要它们能进入与智能设备连接的相关网站，他们就能操控物联网设备，而设备连接的网站通常都部署在云端，因此保护好云端安全也是保护好物联网安全的关键环节，云端一般包含三部分：web 前台+web后台+中间件。

根据对2016年云产品的调研，发现云安全主要有十二大威胁，云服务客户和提供商可以根据这些威胁调整防御策略。

近年来，云端应用安全事件频发。

2.3.1. 数据库信息泄露

案例：

某云平台是面向个人、企业和政府的云计算服务，206年3 月被曝出存在门户管理后台及系统管理员账户弱口令，通过登录账号可查看数十万用户的个人信息。通过获取的用户个人账户密码能够登录客户应用平台，查看应用配置信息，然后获取业务安装包、代码及密钥数据等敏感信息，进一步获取数据库访问权限、篡改记录、伪造交易、瘫痪系统等。这样一次看似简单的数据泄露事件，发生在云平台门户，造成的影响非比寻常。

产生原因：

账户弱口令容易被暴力破解。

预防：

增加密码复杂度，设置好记难猜的密码。

2.3.2. 服务配置信息明文存储在云上

案例：

2014年8月，专业从事Paas服务的某云被曝出由于服务器权限设置不当，导致可使用木马通过后台查看不同客户存放在云上的服务配置信息，包括 WAR包、数据库配置文件等，给托管客户的应用服务带来了巨大的安全隐患。

产生原因：

云服务商的服务器权限设置不当。

预防：

使用云平台的用户加密存储放在云上的服务配置信息。

责任编辑：李欢