想采購物(wù)聯網設備？你得先看一(yī)下(xià)這個自檢表

 現在，很多公司都希望尋求物(wù)聯網來提高産品競争力，用來超越對手或者提高産品利潤。在一(yī)些市場營銷宣傳影響下(xià)，人們可能會相信自己需要一(yī)個能在回家前5分(fēn)鍾把水燒開(kāi)的智能水壺，這樣就可以在進門後幾分(fēn)鍾内喝(hē)上一(yī)杯熱茶……

根據研究機構Gartner公司的報告，到2020年，大(dà)約有208億個物(wù)聯網設備可以連接到互聯網，随着無所不在的成本更低的傳感器的處理能力提高，以及帶寬的推動，每天将增加約550萬個設備。此外(wài)，到2020年，一(yī)半以上的主要新業務流程和系統将納入物(wù)聯網的一(yī)些要素。

如果說您也正在考慮采購物(wù)聯網設備，有些因素你需要慎重考慮一(yī)下(xià)。

1. 購買前

(1) 制造商(shāng)是否可靠?他們有能力在産品的整個生(shēng)命周期内維持運營嗎(ma)?

如果你希望自己部署的産品能夠爲企業服務5-10年，但是提供該産品的公司連一(yī)年都維持不了就消失了，那還談什麽售後保障呢!

(2) 該産品是同類産品中(zhōng)的首創，還是與其他産品存在競争關系?

這個問題的關鍵在于，有些公司會選擇犧牲一(yī)些東西，以便率先進入市場，而最典型地犧牲内容之一(yī)就是産品安全性。

(3) 産品供應商(shāng)發布更新的頻(pín)率如何?

如果一(yī)件産品已經面市了多年，但卻尚未發布過任何更新，你可能需要詢問其供應商(shāng)是否切實地維護過其産品。

(4) 固件是自動更新還是需要手動幹預?

雖然你可能希望對某些關鍵任務設備進行手動更新控制，但是有些産品可能無法實現這種部署方式，因此，預先了解自身對正在運行的軟件版本的控制程度十分(fēn)重要。

(5) 産品中(zhōng)是否存在已報告的漏洞?

如果供應商(shāng)發布有關産品漏洞的公告，不要将其視爲“壞事”。因爲沒有産品是完全安全的，重要的是要看供應商(shāng)對漏洞的态度和響應行爲。真正令人擔憂的是那些對漏洞信息毫無反應，甚至試圖掩蓋關鍵漏洞的供應商(shāng)。

(6) 供應商(shāng)是否已設立安全頁面?

該頁面應該包含過去(qù)出現過的安全問題、更新和聯系信息。如果他們的網站上不存在任何形式的安全内容和聯系人，那麽該供應商(shāng)顯然是不過關的。

2. 購買後30天内

(1) 如果設備包含接入點(簡稱AP)，則應檢查AP是否未打開(kāi)。

很多産品多年來都忽略了這一(yī)點(未曾打開(kāi)AP)，結果在從無線網絡中(zhōng)取消認證時，就會創建一(yī)個開(kāi)放(fàng)的、不安全的無線接入點。

對此進行測試的方法很簡單，就是将設備與無線網絡關聯，然後拔下(xià)無線網絡約10分(fēn)鍾。如果你看到自己的設備随AP出現在移動設備上，則說明它并未打開(kāi)。

(2) 任何相關的雲接口有多強大(dà)?

接口是否允許單點登錄?它是否允許多因素身份驗證?重要的是，您使用的任何Web界面都要能夠提供安全性，讓您高枕無憂。

(3) 哪些數據在雲端傳輸(進來/出去(qù))?

你是否知(zhī)道正通過新的IoT設備離(lí)開(kāi)網絡的是哪些數據?該設備允許進入您網絡的流量又(yòu)是多少?

(4) 實際更新固件有多容易/困難?

在采購設備之前，您通常已經了解了固件更新是手動還是自動的。但是，您無法确認安裝過程中(zhōng)涉及的步驟。我(wǒ)傾向于支持允許單鍵升級的應用程序，而不是冗長乏味的手動更新過程。

(5) 接口是否足夠安全?

如果您能夠确認下(xià)述信息那就更好了：它是否需要對關鍵操作進行身份驗證?您的本地網絡上是否存在不需要憑據的開(kāi)放(fàng)API?憑據是以純文本形式發送的嗎(ma)?

(6) 完成端口掃描

非常重要的一(yī)點是，您需要了解清楚在您的網絡上哪些服務是開(kāi)放(fàng)的，以及哪些服務正在竊聽(tīng)您的網絡行爲。

(7) 書(shū)寫評論

我(wǒ)認爲，大(dà)多數産品評論根本毫無用處。他們要麽是付費(fèi)評論員(yuán)，沒有真正地使用過産品;要麽就是缺乏提供有效技術意見的能力。您可以用簡單地文字撰寫産品評論，描述清楚産品的利弊，讨論産品的安全性，爲潛在購買者提供有效的信息。

3. 深度自檢表

(1) 審核設備固件

如果您不确定從哪裏開(kāi)始，有一(yī)些課程可以幫助您解決這個問題。它可以提供一(yī)種很好的機制來查找和識别漏洞。

(2) 審核設備的Web界面

與固件一(yī)樣，确切了解設備的工(gōng)作原理是确保您在使用産品時能夠保持安全的絕佳方法。

(3) 接觸供應商(shāng)安全團隊

您接觸他們不必非要爲了産品安全問題，你也可以測試他們對協作的響應能力和開(kāi)放(fàng)性。明确地了解供應商(shāng)的安全團隊如何應對問題非常重要。

(4) 尋找該設備的其他用戶

您可以尋找一(yī)個subreddit論壇或郵件列表，供用戶聚在一(yī)起讨論該産品屬性。這些社交論壇經常會分(fēn)享一(yī)些用戶并未察覺的漏洞信息，是真正提供學習和分(fēn)享機會的好地方。

(5) 參加培訓課程

如果你想要深度探索物(wù)聯網設備采購這門學問，建議您可以選擇一(yī)門課程來幫助您更好地準備設備審核過程。擁有常見IoT設備工(gōng)具包可以幫助您更輕松地識别自身設備中(zhōng)的錯誤。