另一个例子是认证控制，让设备只能在特定的地点或区域内工作，或只能与服务器进行特定的连接。为此，还需要用远程服务软件来管理设备。

“这些事情都是非常复杂的。”Curry说：“当你面对成千上万的设备时，难度可想而知。”

2.数据安全

“关于数据安全，最重要的是知道数据是什么。”Curry表示。设备上是否有个人识别信息(personally identifiable information，PII)?数据是否能够识别出隐藏在服务器上的控制信息?而有些数据又是无关紧要可以完全公开的。因此，要根据数据类型和业务风险来制定安全策略。

“于是，事情又回到了刚才所说的，我们到底能承受多大的风险?”Curry说。

当CIO们面对敏感信息时，Curry强烈建议使用端到端的加密方案。

“如果只关注了传输的层面，你可能会吧数据缓存留在了设备或服务器上，这样就会带来数据外泄的风险。”Curry警告说。

应用层的策略也是极其重要的。“你需要审查内容，梳理结构以确定得到的是自己所希望的数据。”Curry说。插入攻击(injection attacks)可以将代码附着在数据消息中，以此探知安全漏洞并篡改服务器的返回结果。

Curry建议使用数据屏蔽(data masking)技术，即生成结构相似但不含认证信息(比如个人识别信息或其他敏感信息)的数据。有时，数据的泄露在你意想不到的环节发生，因此要从一开始就进行屏蔽。“只有这样，你才可以不必担心数据流到了不该去的地方。”Curry表示。

3.网络安全

网络方面的情况让人感觉轻松些。“这是业界最为熟悉的领域，可能也是互联网和移动技术中最为标准的环节。”Curry说。比如，端到端的授权策略对数据安全非常有用。

“对于特定设备能够在服务器上进行什么操作，我们需要进行授权。同样的，在反方向也需要进行授权。”Curry说。因此，双向授权已经是业界普遍的策略。

针对诸如服务拒绝之类的互联网上的攻击，同样的工具可适用于物联网。“真正的问题在于受攻击的对象更多了，比如传感器和计量器等设备。因此，你必须设法把这些易受拒绝服务攻击的设备也纳入到防护范围之内。”Curry解释到。

4.事件监视和响应

企业常犯的一个错误是没有预想到最坏的情况。Curry认为，在物联网的世界中，必须要时刻提醒自己会遭受攻击。一旦形成了既定的认知，对于物联网安全的战略就会很自然地聚焦到事件监视和响应上。

对于网络中正在发生的一切，企业需要进行实时的监视。一旦发现问题，就要立即采取隔离措施，比如关掉传感器或者让服务器离线。“你要做的就是在问题扩散之前将其隔离。”Curry说。

为了进行实时的监视，企业需要对多个攻击点上的信息进行综合分析，了解当下的情况并识别出于正常情况的不同之处。

Curry所在IBM公司现在可以在30秒之内识别出攻击并进行隔离，进一步，IBM希望再把这个时间缩短。

隐私相关

企业必须设计opt-in机制，即便现在还没有法律对此有强制的要求。Curry认为，这样有助于形成一种商业上的意识，即让用户决定自己的数据是否能被采集。通过一些额外的好处，可以让用户答应opt-in，比如折扣、服务费削减或其他高级的服务。

另外，这方面的立法也已经开始，而且企业也未必非得需要个人识别信息。“即便没有个人识别信息，我们的分析工作也丝毫不受影响。”Curry表示。在他看来，那些到处贩卖个人识别信息的搜索引擎，应该首先具备opt-in的政策;而对于那些主要关注建模的人，应该尽快去掉数据中的个人识别信息。

(责任编辑：)