图片9

总的来说物联网智能终端解决方案的安全问题主要体现在六个方面：攻击成本不高、终端越来越智能、厂商安全意识不强、容易大面积感染、隐蔽性强，难发现、发生攻击难控制。

就攻击面而言，需要分别关注移动端、云端、通讯端和设备硬件这四个方面。

\1. 移动方：存储媒体、认证方式、加密方式、通讯方式、本地系统漏洞。

\2. 通信方式：认证方式、加密方式、偏离协议规范、异常实现。

\3. 云端：存储媒体、认证方式、API接口、加密方法、模式漏洞。

\4. 硬件设备：存储媒体、认证方式、加密手段、通讯方式、感应接口、外部接口、硬件接口、人机交互接口。

怎样有效地检测出智能终端存在的安全隐患是一个一直困扰我们的问题。智能终端解决方案设计商们基于对攻击路径的理解，建立了包括硬件安全、源码安全、固件安全、应用安全、云安全的智能终端解决方案安全测试系统：

第一步，通过主板调试、总线调试、接口调试、固件提取、系统提标等方法，对硬件安全性进行了测试。

然后，对提取的固件进行固件安全扫描，固件安全性评估，结合固件解包、文件类型识别、文件特征扫描等技术，全面发现安全问题，准确定位问题，并提供详细的代码修复实例。

而后，明确了系统固件存在的安全风险，在完成固件检测后，对终端的移动应用再次进行了全面的应用安全检测。

再，主要用于对应用程序中的个人信息进行检测，包括SDK识别与安全检测、源代码安全隐患识别、应用数据存储与传输安全检测、动态攻击检测等。探测完成后，在真机沙盒环境下运行智能终端应用，对终端运行过程做动态检测，对外联行为、敏感数据传输行为及其他可能存在的违规行为进行检测，输出报告。

最终根据智能终端安全基线标准，结合业务场景和需求，通过人为手段，借助渗透工具，充分挖掘存在的安全漏洞和脆弱性，预测风险，提前规避智能设备带来的安全风险，避免对正常业务产生不利影响。

这个智能终端解决方案安全测试系统，全面覆盖硬件安全、源码安全、固件安全、应用安全、云安全，通过人工渗透测试+自动测试相结合的方式，一方面有助于智能设备检测，另一方面可以充分挖掘智能设备安全漏洞，提前检测安全问题，避免产品上线后因安全问题而受到损害。