enter" src="http://www.lpwap.com/wp-content/uploads/2017/05/640-7.jpg" width="640" height="403">
在本站已分析了“了解物聯(lián)網(wǎng)安全”的第1部分(LoRa物聯(lián)站),其中第一部分我們從設(shè)備和通信層的角度來(lái)看物聯(lián)網(wǎng)的安全架構(gòu)。在這篇文章中,分析“了解物聯(lián)網(wǎng)安全”的第2部分:我們把重點(diǎn)轉(zhuǎn)移到云計(jì)算和生命周期管理,提出完全不同挑戰(zhàn)和風(fēng)險(xiǎn)。
連世界各國(guó)的領(lǐng)導(dǎo)人也開(kāi)始關(guān)注將數(shù)十億互聯(lián)網(wǎng)設(shè)備接入互聯(lián)網(wǎng)的擔(dān)憂(yōu)。世界經(jīng)濟(jì)論壇最近委托了一份報(bào)告,以創(chuàng)建一套指導(dǎo)方針,專(zhuān)為董事會(huì)層面使用,解決在新興市場(chǎng)基于超連接技術(shù)的網(wǎng)絡(luò)安全挑戰(zhàn)和風(fēng)險(xiǎn)。
然而,正如前面所討論的,開(kāi)發(fā)安全的端到端的物聯(lián)網(wǎng)解決方案需要一個(gè)全面的方法,涉及多個(gè)層次,并融合在四個(gè)重要安全功能層次:設(shè)備,通信,云計(jì)算和生命周期管理。再次,George Cora,首席執(zhí)行官ardexa提出物聯(lián)網(wǎng)網(wǎng)絡(luò)安全關(guān)鍵原則在于云計(jì)算安全和生命周期管理這兩個(gè)方面:
(接第一部分A/B)
C、安全云層
云是指物聯(lián)網(wǎng)解決方案的軟件后端,即從設(shè)備的數(shù)據(jù)被攝入、分析和解釋規(guī)模產(chǎn)生見(jiàn)解和執(zhí)行行動(dòng)。安全性一直是評(píng)估使用云與內(nèi)部解決方案的風(fēng)險(xiǎn)討論的主要議題。然而,對(duì)于物聯(lián)網(wǎng)云是廣泛采用的一個(gè)關(guān)鍵因素。默認(rèn)情況下云提供商預(yù)計(jì)將提供安全和高效的云服務(wù),從數(shù)據(jù)泄露或解決方案停機(jī)問(wèn)題的保護(hù)正在成為常態(tài)。
*敏感信息存儲(chǔ)在云中(即,在靜態(tài)數(shù)據(jù))必須加密,以避免容易暴露于攻擊。例如,當(dāng)一個(gè)妥協(xié)的第三方與較低的安全控制訪問(wèn)您的數(shù)據(jù)(高級(jí))分析操作時(shí)。
*它也有利于驗(yàn)證其他云平臺(tái)或第三方應(yīng)用程序試圖與您的云服務(wù)溝通,以幫助防止惡意活動(dòng)的完整性。
*在規(guī)模所需的物聯(lián)網(wǎng),數(shù)字證書(shū)起到關(guān)鍵作用識(shí)別和身份驗(yàn)證需要。
在云層物聯(lián)網(wǎng)的安全原則:
5.識(shí)別、認(rèn)證和加密的機(jī)器
“訪問(wèn)云服務(wù)的人幾乎總是使用口令。在某些情況下,可能有雙因素身份驗(yàn)證,如密碼加上一次性密碼生成器。密碼是公認(rèn)的人類(lèi)使用的認(rèn)證方法。然而,機(jī)器在訪問(wèn)云服務(wù)時(shí)更擅長(zhǎng)處理數(shù)字證書(shū)。數(shù)字證書(shū)使用一個(gè)非對(duì)稱(chēng)的,基于加密的,身份驗(yàn)證系統(tǒng)設(shè)計(jì),不僅驗(yàn)證一個(gè)交易,但也加密通道從設(shè)備到云認(rèn)證之前發(fā)生。數(shù)字證書(shū)還可以提供加密識(shí)別,這是很難實(shí)現(xiàn)與用戶(hù)ID /密碼。
D、安全生命周期管理層:
安全生命周期管理指的是一個(gè)整體層的連續(xù)過(guò)程,需要保持最新的安全的物聯(lián)網(wǎng)解決方案,即就是確保足夠的安全水平,從設(shè)備制造,初始安裝到控制的東西。通過(guò)設(shè)計(jì)的安全是唯一的第一步,在不斷努力,以保持物聯(lián)網(wǎng)解決方案的安全性,在整個(gè)生命周期的進(jìn)一步步驟,包括政策執(zhí)行,定期審計(jì)和供應(yīng)商控制。有關(guān)我們即將推出的物聯(lián)網(wǎng)安全解決方案(LoRa)的更多信息聯(lián)系我們。
*活動(dòng)監(jiān)測(cè)起著重要的作用、跟蹤、記錄和檢測(cè)可疑的活動(dòng)。
*物聯(lián)網(wǎng)設(shè)備和應(yīng)用程序需要定期的安全補(bǔ)丁,以保持最新的,加強(qiáng)抵御攻擊和修復(fù)可能出現(xiàn)的漏洞。
*安全的遠(yuǎn)程控制是必不可少的,特別是當(dāng)保持?jǐn)?shù)十億的物聯(lián)網(wǎng)設(shè)備。
6.遠(yuǎn)程控制和更新的安全性
“遠(yuǎn)程控制”或在整個(gè)生命周期中向設(shè)備發(fā)送命令的能力,是一個(gè)非常敏感而又是一個(gè)很強(qiáng)大的功能。一個(gè)設(shè)備的遠(yuǎn)程控制是允許遠(yuǎn)程診斷,設(shè)置一個(gè)新的配置,更新軟件漏洞,檢索文件,復(fù)位產(chǎn)品,新一套學(xué)習(xí)資料和學(xué)習(xí)算法,對(duì)產(chǎn)品增加新的功能。安全更新和遠(yuǎn)程控制的關(guān)鍵是確保設(shè)備不允許傳入的連接(設(shè)備啟動(dòng)連接),但有一個(gè)雙向連接,正確固定(設(shè)備智能),采用報(bào)文交換作為通信信道(消息傳遞控制)和正確實(shí)施。最終,該設(shè)備上的軟件充當(dāng)服務(wù)器,盡管只有一個(gè)與云通信,不允許任何人連接。然而,實(shí)現(xiàn)遠(yuǎn)程控制軟件和管理整個(gè)設(shè)備生命周期的安全更新是棘手的,而不是每個(gè)人。
本文介紹了幾個(gè)重要的物聯(lián)網(wǎng)安全體系結(jié)構(gòu)的特點(diǎn),在四個(gè)不同的層次和突出的重要原則,總的來(lái)說(shuō),物聯(lián)網(wǎng)安全設(shè)計(jì)是復(fù)雜的。安全解決方案通常涉及一些關(guān)鍵要素會(huì)一起工作,以盡量減少各種威脅或風(fēng)險(xiǎn)。在更簡(jiǎn)單的解決方案中,這種復(fù)雜性常常被忽視或處理不當(dāng)。最近的現(xiàn)實(shí)生活中的案例表明,解決方案往往需要一個(gè)廣泛的方法和注意事項(xiàng)。下面的例子很好地說(shuō)明了這一點(diǎn)。
例1:AFIT改變PLC固件(設(shè)備層)
*2014、隨著技術(shù)的美國(guó)空軍研究所的研究人員(AFIT)顯示啟動(dòng)安全裝置與惡意固件的可行性。他們創(chuàng)建了一個(gè)原型的rootkit可以坐未被發(fā)現(xiàn)的工業(yè)可編程邏輯控制器(PLC)的固件,使他們腐敗的效用和車(chē)間工廠中的操作。
設(shè)備層解決方案需要考慮:
*做設(shè)備廠商提供的rootkit惡意軟件保護(hù)?
*設(shè)備在安裝過(guò)程中易受攻擊嗎?
*設(shè)備的惡意rootkit定期測(cè)試嗎?
*物聯(lián)網(wǎng)體系結(jié)構(gòu)使固件遠(yuǎn)程測(cè)試?
*能否將自動(dòng)化設(shè)備的常規(guī)服務(wù)程序引入漏洞?
*我們可以檢測(cè)Rootkit惡意軟件問(wèn)題?
例2:遠(yuǎn)程控制汽車(chē)(通訊層)
2015年兩個(gè)網(wǎng)絡(luò)安全專(zhuān)家,控制高速公路上的一輛吉普車(chē),向汽車(chē)發(fā)出攻擊(例如,控制空調(diào)、收音機(jī)、雨刷、剎車(chē))。雖然這是演示,攻擊顯示潛在的危險(xiǎn)攻擊可以在理論上,導(dǎo)致召回140萬(wàn)輛車(chē)。
通信層解決方案考慮:
*我們可以遠(yuǎn)程修補(bǔ)設(shè)備嗎
*物聯(lián)網(wǎng)架構(gòu)的限制未經(jīng)授權(quán)的侵入造成的么?
*第三方測(cè)試能起作用嗎?
*我應(yīng)該如何防止“邊緣”漏洞?
*一個(gè)大的物聯(lián)網(wǎng)系統(tǒng)的段之間有沒(méi)有意想不到的聯(lián)系?
例3:無(wú)擔(dān)保客戶(hù)數(shù)據(jù)(云層)
2015,一個(gè)英國(guó)的電信和互聯(lián)網(wǎng)服務(wù)提供商談?wù)勈艿綆讉€(gè)網(wǎng)絡(luò)安全漏洞,用戶(hù)的數(shù)據(jù)被暴露了在云存儲(chǔ)加密。黑客,能夠輕松地訪問(wèn)和竊取數(shù)以百萬(wàn)計(jì)的客戶(hù)的信用卡和銀行的詳細(xì)信息。
通信層解決方案考慮:
*什么時(shí)候數(shù)據(jù)應(yīng)該存儲(chǔ)在設(shè)備或云上?
*哪些數(shù)據(jù)元素需要加密到什么級(jí)別?
*什么類(lèi)型的防火墻中使用的物聯(lián)網(wǎng)云?
*企業(yè)是否有正確的文化來(lái)解決物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)?
例4:一個(gè)醫(yī)療設(shè)備安全更新過(guò)程(生命周期管理)
2015,黑客能夠提高通過(guò)Hospira藥物輸注泵送到患者用藥劑量限制。主要的問(wèn)題是從一個(gè)不安全庫(kù)更新過(guò)程和通信的泵模塊。
生命周期管理解決方案:
*維護(hù)過(guò)程能引入新的漏洞嗎?
*訪問(wèn)和特權(quán)級(jí)別正確的物聯(lián)網(wǎng)實(shí)施?
*軟件或固件的更新是數(shù)字簽名還是認(rèn)證?
