別讓事故告訴你 物聯網安全有多重要 文章連結：中國安防展覽網 http://www.afzhan.com/news/detail/53912.html

http://www.elecfans.com/iot/453387.html

2016年，我們看到一些首次以物聯網為推力的網路攻擊，其中包括10月份造成網際網路大面積癱瘓的一次攻擊。隨著我們步入新的一年，安全將會成為年輕物聯網產業的尖銳問題，而物聯網安全專家的缺乏也使得跟上黑客的步伐變得很難。

IoT帶來如下新的挑戰：

（1） 增加的隱私問題經常讓人感到困惑。

（2） 平臺安全的侷限性使得基本的安全控制面臨挑戰。

（3） 普遍存在的移動性使得追蹤和資產管理面臨挑戰。

（4） 裝置的數量巨大使得常規的更新和維護操作面臨挑戰。

（5） 基於雲的操作使得邊界安全不太有效。

　　1.嵌入式安全終將得到認真對待

　　儘管嵌入式安全話題經常突然出現，然而口頭上對這個概念進行敷衍遠比實際上將安全植入硬體之中要容易得多。新思科技安全戰略官羅伯特·瓦摩西說道：“情況正在改變”。“那些體積太小而無法容納自身安全的裝置將會經受以韌體測試為起點的深入安全分析。”他說到。“晶片內部的軟體與控制它的應用一樣重要。它們都需要進行安全和質量測試。一些早期的物聯網僵屍網路就是利用裝置自身的缺陷和特點進行攻擊的”。

　　2.對網路供應鏈進行檢查將會成為一項重點

　　第三方軟體層出不窮但往往未經受過充分檢驗。“一些早期的物聯網僵屍網路就是利用了裝置內部第三方晶片裡的缺陷和特點。” 羅伯特·瓦摩西說到。“搞清楚每個晶片之中軟體元件的材料清單將變得很重要，因為物聯網供應商往往希望能使自己避免昂貴的召回”。

　　3.以物聯網為推力的分散式拒絕服務攻擊仍將是個問題

　　當前，對於防止遭受10月份植入大多數網際網路的Mirai僵屍網路等分散式拒絕服務攻擊仍然是無計可施。然而，如果這一問題果真發生，網際網路使用者將會在安全與隱私擔憂方面承擔不同後果。資訊保安大會顧問委員會委員託德.英斯基普說到。“長期來說，我們可能會考慮所有網際網路啟動裝置的安全需求，但是這要與它自身的系列問題一起進行：是何種需求，由誰來驗證符合性。這可能會引發不同區域和國家在安全考慮方面的衝突”，英斯基普說到。“在假定所有參與者至少在最初都是自私的這一情形下，網際網路設計的目的是具備開放和富有彈性。相反，我們會繼續尋找具有惡意企圖的個人、組織和民族國家。”

　　與此同時，公司和個人也可以採取相應措施來減少僵屍網路的威力。根據袋熊安全公司首席技術官特雷弗.霍索恩的說法，人們可以採取三大步驟來避免僵屍網路問題。首先，杜絕將物聯網裝置暴露在開放的網際網路之中。“這可能是最重要的考量”他說到。其次，確保物聯網裝置不斷更新。再次，改變所有裝置上的初始密碼。

　　4.擁有物聯網專案的公司將學會像黑客一樣思考

　　1993年，《週六夜現場》上演了一部滑稽劇，嘲弄汽車產業僅僅依靠警報和方向盤鎖來保護汽車的策略。

　　“在九十年代，你不再需要一輛汽車來告訴世人你多富有。但是你的確需要一輛汽車來告訴世人你很聰明。”答案是一輛Chameleon XLE(變色龍XLE)汽車，它外面看起來一文不值但是內部卻裝飾豪華並且引擎蓋下面有一個超強的發動機。“一個偷車賊看一眼它後，然後繼續靠右向前走”嘲弄臺詞這樣解釋到。

　　儘管是一個玩笑，《週六夜現場》滑稽劇告訴我們要像罪犯一樣思考。網路罪犯和偷車賊往往都會被那些有價值但卻能輕易闖入的目標所吸引。擁有物聯網裝置的機構不僅僅應該將精力放在確保產品安全上，而且還要明白黑客一開始為何關注它們的產品，同時必須明白要採取何種措施才能使這些裝置不再成為黑客關注的目標。

　　在技術領域，許多人一直在與安全問題做鬥爭，即使同樣的基本威脅持續了幾十年。“物聯網威脅從根本上來說就是我們最近20來年一直設法處理的同類威脅：不懷好意的參與者(個人、組織和民族國家)試圖通過破壞資料及服務的機密性、完整性和有效性來搶佔優勢”，資訊保安大會顧問委員會委員託德.英斯基普說到。

　　然而，當提到資訊和服務時，物聯網裝置的確開闢了新領域。“這些新的裝置可以處理各種資訊並且比之前的裝置更能影響現實生活”，英斯基普說到。“處於生產線之中的物聯網裝置一旦紊亂可能會使攪拌的化學品比例失調。家中的物聯網裝置被侵入時有可能開啟房門，或者公司內部的視訊可能會讓外部的人分享。儘管這些威脅是一樣的，但是風險可能迥然不同”。

　　5.招募物聯網安全人才依然艱難

　　整個技術行業的安全專家仍然是供不應求。物聯網產業也不例外，資訊保安大會顧問委員會委員託德.英斯基普說到。“對所有行業來說，招聘到安全人才的確是一項挑戰，”袋熊安全首席技術官特雷弗.霍索恩也贊同到。

　　“資金充裕和知名的供應商在這方面將會容易一些。問題是洪水般湧來的小而廉價的產品往往都是由離岸製造商生產的，這些製造商們的安全追蹤記錄令人堪憂。正如我們看到的那樣，離岸物聯網裝置製造商一開始並未重視安全工作，所以如果它們需要招募人才，將會困難重重。”

　　同時，產品安全行業也會充分利用現有的安全模型。“我們已經看到一種新型的安全人才已經湧現—首席產品安全官，以及他們的支援人員，產品安全官和產品安全工程師。但是這些角色中的人都會說他們是獨一無二的”。英斯基普說到。與這些專業人員有關的需求檔案有很多種，其中包括用於硬體的美國國家標準與技術研究所的聯邦資訊處理標準—140和用於軟體及系統的全球通用的共同準則。另一個例子則是更加註重軟體的建立安全成熟度模型。

　　6.態勢感知將成為一個更大的安全目標

　　可以預測到未來數以億計的物聯網裝置將會覆蓋整個星球，而跟蹤何種裝置應置於何處至關重要。“隨著物聯網裝置被部署在IPv4網路裡，這些機構們應該能夠掃描或者‘看到’其網路中部署了何種物聯網裝置。”袋熊安全首席技術官特雷弗.霍索恩說到。“有了IPv6，眾多IPv6地址的存在可能很難掃描到邊界。這些機構可能需要將注意力放在其它的模型上，從而保持對所擁有的和所暴露裝置的控制。

物聯網安全研究可以從工控安全、智慧汽車安全和智慧家居安全三個領域切入。比如攻擊者可以利用網路攻破一些智慧家用產品的安全防線，如侵佔智慧裝置(恆溫控制器、智慧TV、攝像頭)，從而獲取使用者隱私資訊，帶來安全隱患，再比如，攻擊者可以攻破智慧汽車系統，嚴重時可能會威脅人們的生命安全。

    另外報告給出物聯網安全的六個關注點，物聯網安全閘道器、應用層的物聯網安全服務、漏洞挖掘研究、物聯網僵屍網路研究、區塊鏈技術和物聯網裝置安全設計，為資訊保安行業廠商進軍物聯網萬億級藍海提供指導方向性指導。報告指出，目前物聯網裝置製造商沒有強大的安全背景，也缺乏標準來說明一個產品是否是安全的。 很多安全問題來自於不安全的設計。綠盟科技建議，資訊保安廠商要做到三點：一是提供安全的開發規範，提高產品的安全性;二是將安全模組內置於物聯網產品中，對裝置提供更好的安全防護;三是對出廠裝置進行安全檢測，及時發現裝置中的漏洞並協助廠商進行修復。

物聯網安全專案

物聯網安全專案（Secure Internet of Things Project）［1］是一個跨學科的研究專案，包括斯坦福大學、UC伯克利大學和密歇根大學的計算機系和電子工程系。

TRUST

TRUST［1］是斯坦福大學的電腦保安實驗室［2］的一個專案，針對的是物理基礎設施的安全研究。該專案定位於下一代的SCADA和網路嵌入式系統，它們控制關鍵的物理基礎設施（如電網、天然氣、水利、交通等）以及未來的基礎設施（如智慧建築）和結構（如active－bridges，它的結構完整性依賴於動態控制或actuators）。

該研究具有前瞻性，隨著工業化與資訊化的融合，原有的工業控制環境發生了變化，為了更好地抵抗來自網際網路的攻擊，有必要設計下一代的SCADA和網路嵌入式系統。

OWASP Internet of Things Project

開放式Web應用程式安全專案（OWASP，Open Web Application Security Project）［1］是一個組織，它提供有關計算機和網際網路應用程式的公正、實際、有成本效益的資訊。其目的是協助個人、企業和機構來發現和使用可信賴軟體。OWASP物聯網專案的目標是幫助製造商、開發人員、消費者更好地理解與物聯網相關的安全問題，使得使用者在構建、部署或者評估物聯網技術時可以更好地制定安全決策。該專案包括物聯網攻擊面、脆弱性、韌體分析、工控安全等子專案。

CSA

雲安全聯盟（Cloud Security Alliance，CSA）［2］，成立於2009年3月31日，其成立的目的是為了在雲端計算環境下提供最佳的安全方案。CSA包含很多個工作組，其中的物聯網工作組，關注於理解物聯網部署的相關用例以及定義可操作的安全實施指南。

NIST

美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）直屬美國商務部，從事物理、生物和工程方面的基礎和應用研究，以及測量技術和測試方法方面的研究，提供標準、標準參考資料及有關服務，在國際上享有很高的聲譽

國家安全和經濟安全依賴於可靠的關鍵基礎設施的運作。網路空間安全對關鍵基礎設施系統會造成很大的影響，為了能夠處理這個威脅，NIST［1］提出了網路安全架構。這個架構是由一系列的工業標準和工業最佳實踐組成的，目的是幫助企業管理網路空間安全威脅。

這個架構是業務驅動的，來指導網路空間安全活動，並使公司將考慮網路空間安全威脅作為公司威脅管理的一部分，架構主要包括三個部分：架構核心、架構輪廓和架構實現層。這個架構使公司–不管規模是多少、面臨的網路安全威脅有多嚴重或者網路空間安全問題的複雜性—都可以應用這些規則和最佳實踐來進行風險管理以提高關鍵基礎設施的安全性和恢復力。

IoT Security Foundation

IoTS［2］的成員包括ARM、華為等公司。他們的目標是幫助物聯網實現安全性，使得物聯網能夠被廣泛使用，同時他的優點能夠被最大化的利用。為了實現這個目標，他們要提升技術理論水平和了解業界的最佳實踐，為那些生產或者使用物聯網裝置的人提供支援。

已有技術在物聯網環境中的應用

異常行為檢測

異常行為檢測對應的物聯網安全需求為攻擊檢測和防禦、日誌和審計。

文章前面已經提到過，異常行為檢測的方法通常有兩個：一個是建立正常行為的基線，從而發現異常行為，另一種是對日誌檔案進行總結分析，發現異常行為。

物聯網與網際網路的異常行為檢測技術也有一些區別，如利用大資料分析技術，對全流量進行分析，進行異常行為檢測，在網際網路環境中，這種方法主要是對TCP／IP協議的流量進行檢測和分析，而在物聯網環境中，還需要對其它的協議流量進行分析，如工控環境中的Modbus、PROFIBUS等協議流量。此外，物聯網的異常行為檢測也會應用到新的應用領域中，如在車聯網環境中對汽車進行異常行為檢測。360研究員李均［1］利用機器學習的方法，為汽車的不同資料之間的相關性建立了一個模型，這個模型包含了諸多規則。依靠對行為模式、資料相關性和資料的協調性的分析對黑客入侵進行檢測。

程式碼簽名

對應的物聯網安全需求：裝置保護和資產管理、攻擊檢測和防禦。

通過程式碼簽名可以保護裝置不受攻擊，保證所有執行的程式碼都是被授權的，保證惡意程式碼在一個正常程式碼被載入之後不會覆蓋正常程式碼，保證程式碼在簽名之後不會被篡改。相較於網際網路，物聯網中的程式碼簽名技術不僅可以應用在應用級別，還可以應用在韌體級別，所有的重要裝置，包括感測器、交換機等都要保證所有在上面執行的程式碼都經過簽名，沒有被簽名的程式碼不能執行。

由於物聯網中的一些嵌入式裝置資源受限，其處理器能力，通訊能力，儲存空間有限，所以需要建立一套適合物聯網自身特點的、綜合考慮安全性、效率和效能的程式碼簽名機制。

白盒密碼

對應的物聯網安全需求：裝置保護和資產管理。

物聯網感知裝置的系統安全、資料訪問和資訊通訊通常都需要加密保護。但由於感知裝置常常散佈在無人區域或者不安全的物理環境中，這些節點很可能會遭到物理上的破壞或者俘獲。如果攻擊者俘獲了一個節點裝置，就可以對裝置進行白盒攻擊。傳統的密碼演算法在白盒攻擊環境中不能安全使用，甚至顯得極度脆弱，金鑰成為任何使用密碼技術實施保護系統的單一故障點。在當前的攻擊手段中，很容易通過對二進位制檔案的反彙編、靜態分析，對執行環境的控制結合使用控制CPU斷點、觀測暫存器、記憶體分析等來獲取密碼。在已有的案例中我們看到，在未受保護的軟體中，金鑰提取攻擊通常可以在幾個小時內成功提取以文字資料陣列方式存放的金鑰程式碼。

白盒密碼演算法［2］是一種新的密碼演算法， 它與傳統密碼演算法的不同點是能夠抵抗白盒攻擊環境下的攻擊。白盒密碼使得金鑰資訊可充分隱藏、防止窺探，因此確保了在感知裝置中安全地應用原有密碼系統，極大提升了安全性。

白盒密碼作為一個新興的安全應用技術，能普遍應用在各個行業領域、應用在各個技術實現層面。例如，HCE雲支付、車聯網，在端點（手機終端、車載終端）層面實現金鑰與敏感資料的安全保護；在雲端計算上，可對雲上的軟體使用白盒密碼，保證在雲這個共享資源池上，進行加解密運算時使用者需要保密的資訊不會被洩露。

over－the air （OTA）

對應的物聯網安全需求：裝置保護和資產管理。

空中下載技術（over－the air，OTA），最初是運營商通過移動通訊網路（GSM或者CDMA）的空中介面對SIM卡資料以及應用進行遠端管理的技術，後來逐漸擴充套件到韌體升級，軟體安全等方面。

隨著技術的發展，物聯網裝置中總會出現脆弱性，所以裝置在銷售之後，需要持續的打補丁。而物聯網的裝置往往數量巨大，如果花費人力去人工更新每個裝置是不現實的，所以OTA技術在裝置銷售之前應該被植入到物聯網裝置之中。

深度包檢測 （DPI） 技術

對應的物聯網安全需求：攻擊檢測和防禦。

網際網路環境中通常使用防火牆來監視網路上的安全風險，但是這樣的防火牆針對的是TCP／IP協議，而物聯網環境中的網路協議通常不同於傳統的TCP／IP協議，如工控中的Modbus協議等，這使得控制整個網路風險的能力大打折扣。因此，需要開發能夠識別特定網路協議的防火牆，與之相對應的技術則為深度包檢測技術。

深度包檢測技術（deep packet inspection，DPI）是一種基於應用層的流量檢測和控制技術，當IP資料包、TCP或UDP資料流通過基於DPI技術的頻寬管理系統時，該系統通過深入讀取IP包載荷的內容來對OSI七層協議中的應用層資訊進行重組，從而得到整個應用程式的內容，然後按照系統定義的管理策略對流量進行整形操作。

思科和羅克韋爾［3］自動化聯手開發了一項符合工業安全應用規範的深度資料包檢測 （DPI） 技術。採用 DPI 技術的工業防火牆有效擴充套件了車間網路情況的可見性。它支援通訊模式的記錄，可在一系列安全策略的保護之下提供決策制定所需的重要資訊。使用者可以記錄任意網路連線或協議（比如 EtherNet／IP）中的資料，包括通訊資料的來源、目標以及相關應用程式。

在全廠融合乙太網 （CPwE） 架構中的工業區域和單元區域之間，採用 DPI 技術的車間應用程式能夠指示防火牆拒絕某個控制器的韌體下載。這樣可防止濫用韌體，有助於保護運營的完整性。只有授權使用者才能執行下載操作。

防火牆

對應的物聯網安全需求：攻擊檢測和防禦。

物聯網環境中，存在很小並且通常很關鍵的裝置接入網路，這些裝置由8位的MCU控制。由於資源受限，對於這些裝置的安全實現非常有挑戰。這些裝置通常會實現TCP／IP協議棧，使用Internet來進行報告、配置和控制功能。由於資源和成本方面的考慮，除密碼認證外，許多使用8位MCU的裝置並不支援其他的安全功能。

Zilog［4］和Icon Labs［5］聯合推出了使用8位MCU的裝置的安全解決方案。Zilog提供MCU，Icon Labs將Floodgate防火牆［6］整合到MCU中，提供基於規則的過濾，SPI（Stateful Packet Inspection）和基於門限的過濾（threshold－based filtering）。防火牆控制嵌入式系統處理的資料包，鎖定非法登入嘗試、拒絕服務攻擊、packet floods、埠掃描和其他常見的網路威脅。

新技術的探索

區塊鏈

對應的物聯網安全需求：認證

區塊鏈（Blockchain ，BC）［1］是指通過去中心化和去信任的方式集體維護一個可靠資料庫的技術方案。該技術方案主要讓參與系統中的任意多個節點，通過一串使用密碼學方法相關聯產生的資料塊（block），每個資料塊中包含了一定時間內的系統全部資訊交流資料，並且生成資料指紋用於驗證其資訊的有效性和連結（chain）下一個資料庫塊。結合區塊鏈的定義，需要有這幾個特徵：去中心化（Decentralized）、去信任（Trustless）、集體維護（Collectively maintain）、可靠資料庫（Reliable Database）、開源性、匿名性。區塊鏈解決的核心問題不是“數字貨幣”，而是在資訊不對稱、不確定的環境下，如何建立滿足經濟活動賴以發生、發展的“信任”生態體系。這在物聯網上是一個道理，所有日常家居物件都能自發、自動地與其它物件、或外界世界進行互動，但是必須解決物聯網裝置之間的信任問題。

http://iot.ofweek.com/2016-12/ART-132209-8120-30080211_3.html

物聯網安全可以作為切入點的領域

（1）工控安全

針對工業控制系統的攻擊將導致嚴重的後果。工業4．0驅動製造業、過程控制、基礎設施、其他工業控制系統的連通性，對於這些系統的威脅不斷上升。

（2）智慧汽車安全

隨著特斯拉汽車的推出，以及蘋果、谷歌等網際網路巨頭新的智慧汽車系統的成熟，車聯網正在從概念變為現實，但是智慧汽車一旦遭受黑客攻擊，發生安全問題，可能會造成嚴重的交通事故，威脅人們的生命安全。

（3）智慧家居安全

隨著物聯網技術的迅速發展，智慧家居概念頗為火熱，但是如果黑客能輕鬆的利用網路攻破一些智慧家用產品的安全防線， 如：黑客侵佔智慧裝置（恆溫控制器、智慧TV、攝像頭），可以獲取使用者隱私資訊，帶來安全隱患。

物聯網安全研究點

基於調研，我們總結了物聯網安全的六個關注點：

（1）物聯網安全閘道器

物聯網裝置缺乏認證和授權標準，有些甚至沒有相關設計，對於連線到公網的裝置，這將導致可通過公網直接對其進行訪問。另外，也很難保證裝置的認證和授權實現沒有問題，所有裝置都進行完備的認證未必現實（裝置的功耗等），可考慮額外加一層認證環節，只有認證通過，才能夠對其進行訪問。結合大資料分析提供自適應訪問控制。

對於智慧家居內部裝置（如攝像頭）的訪問，可將訪問視為申請，由閘道器記錄並通知閘道器APP，由使用者在閘道器APP端進行訪問授權。

未來物聯網閘道器可以發展成富應用平臺，就像當下的手機一樣。一是對於使用者體驗和互動性來說擁有本地介面和資料儲存是非常有用的，二是即使與網際網路的連線中斷，這些應用也需要持續工作。物理閘道器對於嵌入式裝置可以提供有用的安全保護。低功耗操作和受限的軟體支援意味著頻繁的韌體更新代價太高甚至不可能實現。反而，閘道器可以主動更新軟體（高階防火牆）以保護嵌入式裝置免受攻擊。實現這些特性需要重新思考執行在閘道器上的作業系統和其機制。

軟體定義邊界可以被用來隱藏伺服器和伺服器與裝置的互動，從而最大化地保障安全和執行時間。

細粒度訪問控制：研究基於屬性的訪問控制模型，使裝置根據其屬性按需細粒度訪問內部網路的資源；

自適應訪問控制：研究安全裝置按需編排模型，對於裝置的異常行為進行安全防護，限制惡意使用者對於物聯網裝置的訪問。

同時，安全閘道器還可與雲端通訊，實現對於裝置的OTA升級，可以定期對內網裝置狀態進行檢測，並將檢測結果上傳到雲端進行分析等等。

但是，也應意識到安全閘道器的侷限性，安全閘道器更適用於對於固定場所中外部與內部連線之間的防護，如家庭、企業等，對於一些需要移動的裝置的安全，如智慧手環等，或者內部使用無線通訊的環境，則可能需要使用其他的方式來解決。

（2）應用層的物聯網安全服務

應用層的物聯網安全服務主要包含兩個方面，一是大資料分析驅動的安全，二是對於已有的安全能力的整合。

由於感知層的裝置效能所限，並不具備分析海量資料的能力，也不具備關聯多種資料發現異常的能力，一種自然的思路是在感知層與網路層的連線處提供一個安全閘道器，安全閘道器負責採集資料，如流量資料、裝置狀態等等，這些資料上傳到應用層，利用應用層的資料分析能力進行分析，根據分析結果，下發相應指令。

傳統的Web安全中的安全能力，如URL信譽服務、IP信譽服務等等，同樣可以整合到物聯網環境中，可作為安全服務模組，由使用者自行選擇。

利用雲端進行大資料分析

漏洞挖掘研究

物聯網漏洞挖掘主要關注兩個方面，一個是網路協議的漏洞挖掘，一個是嵌入式作業系統的漏洞挖掘。分別對應網路層和感知層，應用層大多采用雲平臺，屬於雲安全的範疇，可應用已有的雲安全防護措施。

在現代的汽車、工控等物聯網行業，各種網路協議被廣泛使用，這些網路協議帶來了大量的安全問題。需要利用一些漏洞挖掘技術對物聯網中的協議進行漏洞挖掘，先於攻擊者發現並及時修補漏洞，有效減少來自黑客的威脅，提升系統的安全性。

物聯網裝置多使用嵌入式作業系統，如果這些嵌入式作業系統遭受了攻擊，將會對整個裝置造成很大的影響。對嵌入式作業系統的漏洞挖掘也是一個重要的物聯網安全研究方向。

（4）物聯網僵屍網路研究

今年最為有名的物聯網僵屍網路便是Mirai了，它通過感染網路攝像頭等物聯網裝置進行傳播，可發動大規模的DDoS攻擊，它對Brian Krebs個人網站和法國網路服務商OVH發動DDoS攻擊，對於美國Dyn公司的攻擊Mirai也貢獻了部分流量。

對於物聯網僵屍網路的研究包括傳播機理、檢測、防護和清除方法。

（5）區塊鏈技術

區塊鏈解決的核心問題是在資訊不對稱、不確定的環境下，如何建立滿足經濟活動賴以發生、發展的“信任”生態體系。

在物聯網環境中，所有日常家居物件都能自發、自動地與其它物件、或外界世界進行互動，但是必須解決物聯網裝置之間的信任問題。

傳統的中心化系統中，信任機制比較容易建立，存在一個可信的第三方來管理所有的裝置的身份資訊。但是物聯網環境中裝置眾多，未來可能會達到百億級別，這會對可信第三方造成很大的壓力。

區塊鏈系統網路是典型的P2P網路，具有分散式異構特徵，而物聯網天然具備分散式特徵，網中的每一個裝置都能管理自己在互動作用中的角色、行為和規則，對建立區塊鏈系統的共識機制具有重要的支援作用。［①］

（6）物聯網裝置安全設計

物聯網裝置製造商並沒有很強的安全背景，也缺乏標準來說明一個產品是否是安全的。很多安全問題來自於不安全的設計。資訊保安廠商可以做三點：一是提供安全的開發規範，進行安全開發培訓，指導物聯網領域的開發人員進行安全開發，提高產品的安全性；二是將安全模組內置於物聯網產品中，比如工控領域對於實時性的要求很高，而且一旦部署可能很多年都不會對其進行替換，這是的安全可能更偏重於安全評估和檢測，如果將安全模組融入裝置的製造過程，將能顯著降低安全模組的開銷，對裝置提供更好的安全防護；三是對出廠裝置進行安全檢測，及時發現裝置中的漏洞並協助廠商進行修復。

［①］摘自《中國區塊鏈技術和應用發展白皮書（2016）》