上个月，美国财政部宣布了一项制 裁措施：对白俄罗斯总 统卢卡申科的专机波音737客机实施制 裁。

美国首先宣称，白俄罗斯的总 统专机现在已经是美国财政部的“被冻结财产”。更有传言称，美国方面通过技术手段，冻结了卢卡申科的波音专机，从而令其发动机不能启动。也就是说，虽然这架波音客机处于白俄罗斯境内，但美国却可以远程控制这架客机，而控制的途径，则是由美国政 府给波音公司下达命令，命令波音公司关闭白俄罗斯的这架总 统专机的发动机，而一旦上天被关闭发动机，最后将是机毁人亡。

当然，事实是这样的：这架编号为EW-001PA的波音737总 统专机在被制 裁后的第三天还在飞行，当天这架飞机还围绕明斯克机场转了两圈，飞行记录也可以被 查询到。

如果美国真的可以“远程关闭”总 统专机，在万物互联的时代，后果真的不敢想象。

近日，据国家IPv6发展监测平台统计，今年2月，我国移动网络IPv6占比达到50.08%，首次实现移动网络IPv6流量超过IPv4流量的历史性突破。在移动互联网的发展进入瓶颈期的时刻，物联网设备和连接数成为新的增长动力。

据了解，IPv6是互联网工程任务组设计的用于替代IPv4的下一代互联网商业应用解决方案，能够为每个联网设备提供一个独立的IP地址，解决IPv4地址容量不足带给产业的挑战。此外，IPv6还具有多方面的优势，如提高路由器转发数据包速度、提升服务质量、具备更高安全性、可开发大规模实时交互应用等，从而更好满足5G、工业互联网、云网融合、算力网络等应用需求。

目前我国网络基础设施已经全面支持IPv6，IPv6网络“高速公路”已全面建成，万物互联的时代已经到来。

现在，万物互联成为全球网络未来发展的重要方向，物联网的部署量也将远远超过其他任何网络系统。如果面临攻击，这些物联网设备将是数百亿个新的帮凶，会成为黑客手中最锋利的剑，可以用来造成更大的破坏力。物联网的安全管理就显得尤为重要。

什么是物联网攻击面？在基本层面上，攻击面是未经授权的系统访问的入口点总数。物联网的攻击面超越了入口点，其中包括物联网设备、连接软件和网络连接的所有可能的安全漏洞，网络威胁者不仅可以破坏支持物联网设备的网络和软件，还可以破坏设备本身。

随着关系民生的基础设施不断升级，在其智能化改造的过程中定会使用更多的物联网设备和网络。现在，物联网覆盖的领域之深广，远不止民航、互联网设备、精密机床仪器，还在电力设备、高铁设施、航天航空、地震监测、安保联络、交通工具、监测预警、大型机械、船舶、飞行器、供水供热基础设施、智慧城市系统、空港物流等方面。如果基础设施被恶意攻击，造成的后果将更加不堪设想。

企业必须解决的五大物联网安全威胁

1. 物联网僵尸网络

在2016年发生Mirai等重大僵尸网络攻击事件之后，物联网开发人员、管理员和安全人员尽快采取措施防止此类攻击。僵尸网络编排器发现物联网设备是一个具有吸引力的目标，因为安全配置薄弱，并且可以委托给用于攻击企业的僵尸网络的设备数量众多。

网络攻击者可以通过未受保护的端口或网络钓鱼诈骗恶意软件来感染物联网设备，并将其加入用于发起大规模网络攻击的物联网僵尸网络。黑客可以在互联网上轻松找到检测易受攻击机器的恶意代码，或者在另一个代码模块向设备发出信号以发起网络攻击或窃取信息之前隐藏代码以防止安全检测。物联网僵尸网络经常用于分布式拒绝服务(DDoS)攻击，以迅速加大针对目标的网络流量。

僵尸网络攻击检测并不容易，但IT管理员可以采取几个步骤来保护设备，例如保留每台设备的清单。企业应该遵循基本的网络安全措施，例如身份验证、定期更新补丁，并在管理员将物联网设备添加到网络之前确认它们符合安全标准和协议。网络分段可以隔离物联网设备，以保护网络免受受损设备的影响。IT管理员可以监控网络活动以检测僵尸网络，并且一定不要忘记规划物联网设备生命周期。

2. DNS威胁

许多企业使用物联网从原有设备收集数据，这些设备并不总是按照更新的安全标准设计。当企业将原有设备与物联网相结合时，它可能会使网络暴露于旧设备的漏洞。物联网设备连接通常依赖于域名系统 (DNS)，这是一个产生于上世纪80年代的域名系统，它可能无法处理可以增长到数千台设备的物联网部署规模。黑客可以利用DDoS攻击和DNS隧道中的DNS漏洞来获取数据或引入恶意软件。

IT管理员可以通过域名系统安全扩展(DNSSEC)确保DNS漏洞不会对物联网安全构成威胁。这些规范通过确保数据准确且未经修改的数字签名来保护DNS。

当物联网设备连接到网络进行 软件更新时，域名系统安全扩展(DNSSEC)会检查更新是否到达了预期的位置，而没有恶意重定向。企业必须升级协议标准，包括MQ Telemetry Transport，并检查协议升级与整个网络的兼容性。IT管理员可以使用多个DNS服务来实现连续性和额外的安全层。

3. 影子物联网

IT管理员无法始终控制连接到其网络的设备，这会产生一种称为“影子物联网”的物联网安全威胁。具有IP地址的设备(例如健身追踪器、数字助理或无线打印机)可以增加个人便利或协助员工工作，但它们不一定符合企业的安全标准。

如果不了解影子物联网设备，IT管理员就无法确保硬件和软件具有基本的安全功能或监控设备中的恶意流量。当黑客访问这些设备时，他们可以使用权限提升来访问企业网络上的敏感信息，或者选择这些设备进行僵尸网络或DDoS攻击。

当员工将设备添加到网络时，IT管理员可以制定策略来限制影子物联网的威胁。对于管理员来说，拥有所有连接设备的清单也很重要。然后，他们可以使用IP地址管理工具或设备发现工具来跟踪任何新连接、执行策略并隔离或阻止不熟悉的设备。

4. 物联网勒索软件

随着连接到企业网络的不安全设备数量的增加，物联网勒索软件攻击也在增加。黑客用恶意软件感染设备，将其变成僵尸网络，探测接入点或在设备固件中搜索可用于进入网络的有效凭据。

通过物联网设备进行网络访问，网络攻击者可以将数据泄露到云端，并威胁要保留、删除或公开数据，除非支付赎金。支付赎金有时并不会让企业取回所有数据，勒索软件会自动删除文件。勒索软件会影响企业组织，例如政 府服务或食品供应商。

5. 物联网物理安全

虽然网络攻击者似乎不太可能物理访问物联网设备，但IT管理员在规划物联网安全策略时绝不能忘记这种可能性。黑客可以窃取设备、打开它们并访问内部电路和端口以闯入网络。IT管理员必须只部署经过身份验证的设备，并且只允许授权和经过身份验证的设备访问。

如今的物联网安全已经变得举足轻重，为应对潜在的安全威胁，解决物联网设备安全性问题，政 府和企业需要采取一系列措施：

首先，需要加强对于物联网设备的安全认证和标准化，从设计、生产到销售和使用的全流程把控设备的安全性；其次，需要加强对于设备的管理和监控，及时发现和处理安全漏洞和攻击事件，以减少安全风险；此外，还需要加强对于用户隐私的保护，加强数据加密和安全传输技术的应用，保护用户的隐私不被泄露；最后，需要提升公众对物联网安全的认识和重视，提高用户的安全意识和防范能力，定期更新设备软件和密码，避免使用默认密码或者弱密码，减少被攻击的可能性。

同时，中美博弈深化，我国只有在核心科技领域拥有自主知识产权，我们才能在享受物联网等科技带来的便利的同时，防范和破解外界的的干扰和蓄意破坏，确保个人隐私、企业资产，甚至国家和社会都得到有效保护。

文章来源： 51CTO，物联网智库，公务员之家