物聯網開放平臺面臨的安全威脅包括：

　　·終端接入安全威脅；

　　·能力開放安全威脅；

　　·平臺業務邏輯安全威脅；

　　·接入業務安全威脅；

　　·平臺組網及系統安全威脅；

　　·Web安全威脅；

　　·內容安全威脅；

　　·平臺運營管理安全威脅。

　　1、終端接入安全威脅

　　物聯網終端完成原始數據的采集和預處理，具有種類和功能多樣化、自身處理能力受限、應用場景復雜、無人值守等特點，面臨的安全威脅更加嚴峻。

　　（1）物理安全威脅。設備被惡意破壞，無人值守傳感節點容易遭到物理破壞攻擊。

　　（2）卡被非法拔出或替換（克隆卡）。攻擊者可以采用兩種方式：將合法的USIM卡插入非法的終端設備中，假冒合法終端設備與業務平臺進行通信；克隆一個非法的USIM卡插入合法的終端設備，從而與業務平臺進行通信。

　　（3）偽造終端用戶。在傳感信息由M2M終端上傳到業務平臺過程中，攻擊者有可能使用假冒合法的終端設備上傳虛假的業務信息，從而使業務平臺無法收到正確的業務信息，破壞業務的正常使用，導致業務使用者的隱私泄露和經濟損失。

　　（4）業務數據監聽。攻擊者可以竊聽和解讀上傳過程中的機密信息（如通信方的ID、通信密鑰、監測數據等），一方面造成相關信息的泄露，從而非法獲取業務數據和各類隱私信息；另一方面可能給合法用戶造成人身財產等危險。

　　（5）偽造認證信息。攻擊者通過攔截、篡改、偽造、重放等方法，阻止合法認證信息到達接收端，篡改信息、生成虛假信息欺騙認證端。

　　（6）終端軟件被破解/篡改。終端軟件被攻擊者破解，篡改終端信息并獲取業務數據等。

　　2、能力開放安全威脅

　　能力開放是物聯網開放平臺的核心功能，通過能力開放系統向第三方業務平臺提供各種能力，能力開放接口的安全保障必不可少。

　　（1）程序代碼缺陷。經第三方能力中心引入開放能力，如果引入能力的程序代碼存在安全缺陷，程序代碼在第三方環境執行過程中可能被非法篡改，導致其完整性被破壞，從而被攻擊者利用，攻擊開放平臺。

　　（2）能力授權接口被盜用。系統缺乏對第三方操作請求的核查、控制能力（如進程調用、服務調用、函數調用等），開發者未合法地獲取能力使用授權，通過破解、盜用其他合法能力應用的授權碼來違規調用能力。

　　（3）能力授權接口被開發者濫用。開發者將其獲得的能力合法使用授權用于其他的未申報業務，如為自己或其他開發者的業務進行代計費。

　　3、平臺業務邏輯安全威脅

　　（1）用戶賬戶操作，如注冊、登錄。

　　·用戶身份偽造：開發者、應用、用戶通過偽造身份（冒用他人身份，如身份證號碼、手機號、電子郵箱、真實姓名等），進行注冊和非法接入開放平臺。

　　·開發者身份假冒：非法開發者利用開放平臺渠道提供非法業務。

　　·用戶身份假冒：非法用戶假冒合法用戶的身份與業務平臺進行交互，從而繞過計費或從事破壞系統安全的活動。

　　·平臺身份假冒：非法第三方可能提供假冒的開放平臺，為用戶提供有損運營商利益的能力服務。

　　（2）用戶業務操作，如訂購、退訂、變更。

　　·嗅探與監聽。惡意第三方利用用戶數據未經加密即進行傳輸的漏洞，在網卡或其他網絡設備商進行嗅探與監聽，截獲用戶進行業務操作時傳輸的業務信息，竊取用戶業務中的機密信息，或偽造用戶業務數據，損害用戶利益。

　　·篡改業務數據。惡意第三方通過嗅探或監聽等方式截獲數據包，對數據進行篡改后轉發，導致系統處理錯誤數據，形成錯誤結果，導致惡意訂購、業務濫用，給用戶、服務提供方帶來損失，或影響業務正常運行。

　　·偽造業務數據。惡意第三方利用缺乏數字簽名、HMAC等將業務數據與身份關聯機制的缺陷，偽造用戶或系統信息，進行業務訂購、訂購確認、取消業務等違規操作，違背用戶意愿訂購或取消業務。

　　·非授權進行業務操作。惡意第三方通過非授權通道（如孤立頁面）訪問系統，非授權執行業務操作。

　　（3）平臺運行管理。

　　·服務不可用。由于系統容錯能力差、不能及時應對系統出現的異常，在系統出現異常或錯誤時使系統崩潰。

　　·利用業務系統脆弱性發起應用層的攻擊。

　　·關鍵代碼被破解。惡意第三方利用軟件未進行必要的安全加固漏洞，對代碼進行逆向工程，獲取軟件保護的機密信息（如主密鑰）并破壞整個業務系統的安全機制，導致業務濫用、惡意訂購、信息泄露等。

　　·軟件安全。惡意開發者對軟件進行惡意篡改（如加入木馬、廣告、吸費代碼），用戶安裝后即可遠程控制用戶終端，竊取用戶機密信息或盜取用戶費用，導致業務濫用、信息泄露等。軟件設計本身存在缺陷，軟件編碼中存在缺陷導致系統異常或故障，引起業務中斷、業務濫用等。

　　（4）數據存儲、處理及備份。

　　·數據非法獲取：在應用/平臺側及通信過程中非法獲取敏感數據。

　　·數據非法篡改：在應用/平臺側及通信過程中非法篡改業務數據。

　　·用戶隱私泄露：非授權獲取用戶手機號、位置等用戶隱私信息。

　　·用戶受到騷擾：利用業務流程漏洞等形式對用戶執行業務推送等非法操作。

　　4、接入業務安全威脅

　　物聯網開放平臺可向各種物聯網第三方業務提供接入能力，接入開放平臺的各種物聯網業務均都面臨通用的物聯網業務安全威脅。同時，接入業務平臺也面臨著與開發平臺相同的業務邏輯安全威脅。

　　5、平臺組網及系統安全威脅

　　開放平臺在部署建設過程中，應按照通用業務安全要求進行合理組網和安全域劃分，部署適當的安全防護設備（如防火墻、IDS等）保證網絡安全；同時，應定期對網絡設備設備、操作系統數據庫等進行安全評估檢測，及時發現設備和系統的安全漏洞并打補丁加固。組網和系統安全威脅主要涉及以下幾個方面。

　　·網絡層的攻擊；

　　·網絡域隔離風險；

　　·平臺操作系統的漏洞；

　　·數據庫的漏洞；

　　·設備后門。

　　該文為上半部分，下半部分可閱讀：物聯網開放平臺安全威脅（下）。