当人们想到物联网时。大多数人会想到具有无数不同操作系统和功能的各种设备。

但是，如果您将其作为一个整体而不是从每个单独的部分来看，它实际上并没有那么复杂。取决于您选择的操作系统。大多数都有自己的安全指南，这些应用程序实际上与我们的服务器和工作站没有太大区别。

加固和安全实施

您可以考虑参考以下指南但不限于：用于保护您的设备。

OWASP物联网项目

物联网安全基金会

独联体物联网指南

Windows 10 物联网指南

评估物联网安全

至于测试，我会说从这个作为指南开始会有所帮助

Owasp 物联网测试方法

评估软件安全

至于软件的安全评估，在您的情况下是计算机视觉/机器学习。您还可以在编码级别和配置上进行安全评估，而不是专门在物联网设备上进行评估。

这里有一些关于软件安全的参考

Owasp 安全编码实践

Microsoft 安全编码指南

物联网安全框架

物联网安全框架通常分为 5 类：可穿戴、家庭、城市、环境和企业。企业软件通常在 OWASP 的范围内，其中有OWASP IoT 项目。企业软件经常处理 PII 和支付卡信息，这使其属于 PCI DSS 法规。虽然尚未受到严格监管，但 DHS -- https://www.dhs.gov/securingtheIoT -- FTC -- https://www.ftc.gov/tips-advice/business-center/guidance/careful-connections -building-security-internet-things - 和 ENISA - https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures - 也发布了有关物联网安全的指南和支持文件。

家庭物联网设备和应用程序通常涉及 iOS（或者tvOS）、Android 或类似的操作系统基础。如果您是为这些平台开发应用程序的 ISV，请再次查看移动安全项目中的 OWASP，以及V17 移动安全验证要求下的ASVS 标准。如果您积极制造包括自定义操作系统或堆栈的家庭物联网设备，那么您还必须涉及您所在位置（您的国家和/或将开发、购买和使用设备的州）规定的监管要求，以及将使用这些设备的交易类型和人员。例如，婴儿监护仪可能属于 COPPA，心脏监护仪属于 HIPAA 和 HITECH，食品和药品属于 FDA 等。

对于美国军方而言，包括 NIST RMF 在内的 DIACAP 和 DITSCAP 标准适用于所有计算设备，包括物联网，尤其是可穿戴设备。

基于环境和城市的物联网更类似于ICS/SCADA技术。NIST 选择了一个计划，将环境、城市和 ICS 都纳入网络物理系统 (CPS) 的旗帜下，并在此处生成标准和框架 -- https://www.nist.gov/el/cyber-physical -systems对于 ICS/SCADA 系统，NIST SP 800-82 工业控制系统指南一直是长期标准，但肯定与 NERC/FERC 关键基础设施保护合规标准相结合，尤其是系统安全管理部分（ CIP-007-5)，以及与国际自动化学会及其包罗万象的ISA/IEC 62443 的联系标准（以前的 ISA-99）。CIP-007-5 还遵守其他 NIST 安全事件监控标准，包括 NIST SP 800-92 和 SP 800-137，但最新的持续诊断和监控来自 DHS CDM 框架。所有这些都适用于工业物联网 (IIoT)。

物联网安全平台

对于可以基于 IoT/IoE 安全框架主动扫描和生成报告的平台，请查看 Pwnie Express 的 Pwn Pulse 平台 -- http://m.marketwired.com/press-release/pwnie_express_unveils_industrys_first_internet_of_everything_threat_detection_system-2010032.htm

对于致力于为物联网设备生产标准接口以实现安全并降低网络风险的其他公司，请查看（按最显眼到最显眼的顺序）：Bastille、Securithings、Dojo Labs（被 Bullguard 收购）和 BitDefender （谁制造了物联网和智能事物的安全推动者，BOX）。嵌入式系统安全领域的长期领导者 WindRiver 也发布了一篇详细介绍物联网安全的论文 - [PDF] https://www.windriver.com/whitepapers/security-in-the-internet-of-things/wr_security- in-the-internet-of-things.pdf [PDF]

此外，只有少数公司在物联网设备和物联网服务层应用程序之间架起中间件层。当然，大玩家正在尽自己的一份力，但通常使用专有接口，例如 Cisco Fog Computing（Microsoft Azure IoT Suite、IBM Watson IoT 平台和其他人也有自己的做事方式）。改变物联网游戏的关键参与者正在最重要的仪表层工作，并为中间件和应用程序提供标准，尤其是云应用程序。NCC 集团在此处发布了针对这些和其他安全测试人员的指南——https: //www.nccgroup.trust/uk/our-research/security-of-things-an-implementers-guide-to-cyber-security-for-internet -of-things-devices-and-beyond/

AWS 发布了关于 IoT 安全最佳实践的指南——https: //aws.amazon.com/iot/——并且还通过他们的 Thing Shadow 项目（支持 MQTT IoT 协议标准）提供了该中间件层——https :// docs.aws.amazon.com/iot/latest/developerguide/thing-shadow-mqtt.html

Splunk 生产了一种名为 HTTP 事件收集器 (HEC) 的产品，用于接收来自 IoT 和未来 IoE 技术的基于云的（Splunk Cloud、AWS 等）机器数据 -- [PDF] https://conf.splunk.com/文件/2016/slides/wrangling-your-iot-data-into-splunk.pdf [PDF]。特别是，HEC 支持令牌认证事件，作为一种不错的物联网安全功能。

问。

有没有办法评估物联网设备及其安全性？

“当你写一篇论文时，会有评估部分，但你会在那里写什么？”

一个。

物联网是一个如此广泛的领域，我怀疑会有一个单一的“包罗万象”标准，您将能够在您的文档中使用它。还取决于用户将在其中使用 IOT 设备的环境。

理想情况下，您可能希望聘请安全专家并在设备上进行漏洞扫描/渗透测试。这种参与还可以包括代码审查和围绕如何保护设备的讨论（修补、漏洞管理等）。然后可以在您的文档中使用此过程的输出。

您还应该向安全专家提供有关预期部署方案的信息，因为这也会影响所需的安全控制。上面提供的 CIS 链接是一个良好的开端，它将帮助您开始思考需要研究的领域。

正如已经指出的那样，“物联网”（“物联网”，或更恰当地“威胁互联网”）是一种广泛的分类，可能毫无用处。在这方面，“物联网”比“电子设备”更有用。因此，我非常怀疑您是否会找到一些关于如何在一般情况下进行此类评估的指南，这些指南足够详细以适用于特定情况。

也就是说，评估 Internet of Threats 设备安全性的良好起点可能会假设其安全性在某种程度上存在根本性缺陷。（顺便说一句，这对于在大型系统上运行的软件几乎同样适用。）然后，您可以查看实际实施的最佳实践，并尝试判断制造商在尝试保护事物方面做得如何。

例如：

• 制造商是否承诺在特定时间内为事物提供更新？多长时间？所有者需要做什么来更新 Thing 上运行的软件？例如，所有者可以在所有更新和仅安全更新之间进行选择吗？如何验证更新？制造商的业绩记录如何？
• Thing 可以在防火墙后面工作吗？制造商是否详细说明了事物发起和要求的网络流量，以便可以可靠地配置防火墙以允许所需的流量，而无需对所有流量开放防火墙？
• Thing 能否在与 Internet 完全隔离的网络上运行，可能需要本地安装的其他 Thing 的帮助？
• Thing 是否使用无线网络，如果是，支持哪些标准？它可以加入现有的网络，还是仅限于与其他同类网络？网络如何保护，包括如何提供网络凭据？这种方法是否鼓励安全凭证？
• Thing 是否向网络公开任何服务？Thing 公开的服务（包括 Web 管理界面）是否受到强大的身份验证和保密措施的保护，包括具有至少长期自签名证书的 HTTPS？所有者可以独立于制造商更改身份验证凭据吗？
• 对于旨在与其他事物交互的事物（包括例如智能手机上的应用程序或制造商提供的 Web 界面），在它们交互时查看它们之间的网络流量。执行常见的简单攻击，例如中间人；你能监控流量吗？如果是 HTTPS，Things 是否进行了正确的证书验证，或者他们是否对您提供的自签名 MD5、512 位 RSA 证书感到满意？

这些只是一些起点，但它们绝对是您应该能够在测试设备上投入很少的事情的最低限度。一台运行 Linux 并带有一些常用软件和两个网卡的 PC 应该足以让您开始使用上述所有内容。