資訊專欄INFORMATION COLUMN
摘要:安全性設(shè)計(jì)隨著物聯(lián)網(wǎng)的普及,人們開始擔(dān)心能否保證其安全性。在開發(fā)物聯(lián)網(wǎng)服務(wù)系統(tǒng)的初始階段,開發(fā)者們?yōu)榱蓑?yàn)證效果,容易把精力放在操作的實(shí)現(xiàn)上,而忽視安全性問題。下面我們將按照下列各項(xiàng)要素,來說明物聯(lián)網(wǎng)系統(tǒng)獨(dú)有的安全對策。
隨著物聯(lián)網(wǎng)的普及,人們開始擔(dān)心能否保證其安全性。就物聯(lián)網(wǎng)服務(wù)來說,有各種各樣的設(shè)備要連接到網(wǎng)絡(luò),因此也就大大增加了遭到外部攻擊的風(fēng)險(xiǎn),比如聯(lián)網(wǎng)的監(jiān)控?cái)z像頭被黑導(dǎo)致影像被盜,或是系統(tǒng)被當(dāng)成攻擊其他系統(tǒng)的墊腳石等,諸如此類的事例皆有發(fā)生。國外還有過組裝汽車的控制系統(tǒng)因感染病毒而癱瘓的事例。
在開發(fā)物聯(lián)網(wǎng)服務(wù)系統(tǒng)的初始階段,開發(fā)者們?yōu)榱蓑?yàn)證效果,容易把精力放在操作的實(shí)現(xiàn)上,而忽視安全性問題。后來再想要實(shí)施安全措施的時(shí)候,就會(huì)發(fā)生成本方面的問題所導(dǎo)致的措施做得不到位的情況。而且設(shè)備原本在封閉的環(huán)境下運(yùn)行,一旦把這樣的設(shè)備連接到網(wǎng)絡(luò),就會(huì)面臨想象不到的安全風(fēng)險(xiǎn)。因此為了提高物聯(lián)網(wǎng)服務(wù)的安全品質(zhì),大家需要從設(shè)計(jì)階段就著手推進(jìn)安全性設(shè)計(jì)。
安全性設(shè)計(jì)的第一步是風(fēng)險(xiǎn)分析。關(guān)于風(fēng)險(xiǎn)分析的詳細(xì)內(nèi)容,相關(guān)的專業(yè)書都有提到,這里就不再贅述。大家只要明白風(fēng)險(xiǎn)分析中要做的就是明確要守護(hù)的資產(chǎn)和會(huì)存在的威脅,根據(jù)不同的威脅來決定什么更重要,以及要先做什么。
在風(fēng)險(xiǎn)分析之后,就該針對預(yù)想到的威脅討論安全性對策了。這個(gè)時(shí)候的重點(diǎn)就是多層防御這一思路。
多層防御指的是在多個(gè)層面執(zhí)行安全性對策,即使一個(gè)層面被破壞了,也能在別的層面上守住。例如給主機(jī)安裝最新版本的補(bǔ)丁以預(yù)防漏洞,這樣即使防火墻被侵入了,也能降低主機(jī)被人占據(jù)的風(fēng)險(xiǎn),即使有人通過非法訪問盜走了文件,也能通過加密手段讓對方無法讀取文件內(nèi)容,如此一來,我們就能從整體上提升安全性。
多層防御不僅是一種針對應(yīng)用程序和操作系統(tǒng)等軟件的對策,在進(jìn)行安全性設(shè)計(jì)時(shí)它還包含上鎖管理和應(yīng)用方針等物理層面和人為層面的措施。在物聯(lián)網(wǎng)系統(tǒng)中,系統(tǒng)分散在設(shè)備端和中心端,而且設(shè)備端通常在管理者平時(shí)接觸不到的地方運(yùn)行,因此就需要按照多層防御的思路從設(shè)備端和中心端以及它們的交匯點(diǎn)來提高安全品質(zhì)。
下面我們將按照下列各項(xiàng)要素,來說明物聯(lián)網(wǎng)系統(tǒng)獨(dú)有的安全對策。
● 保護(hù)設(shè)備
● 保護(hù)服務(wù)器端系統(tǒng)
● 保護(hù)所采集數(shù)據(jù)的隱私
在設(shè)備管理方面,因?yàn)槎鄶?shù)設(shè)備都放在管理者平時(shí)接觸不到的地方,所以基本上會(huì)采用提高設(shè)備自身安全品質(zhì)的方法。
管理互聯(lián)網(wǎng)網(wǎng)關(guān)終端時(shí),有一個(gè)地方尤其需要注意。因?yàn)槭峭ㄟ^互聯(lián)網(wǎng)網(wǎng)關(guān)與物聯(lián)網(wǎng)系統(tǒng)進(jìn)行通信,所以網(wǎng)關(guān)終端可能會(huì)存有傳感器的認(rèn)證信息或應(yīng)用程序的信息等。在設(shè)備安全方面,從預(yù)防、檢測和應(yīng)用的角度出發(fā),可以采用以下的安全性對策。
?
從物理性對策的角度來說,為了預(yù)防盜竊以及第三者進(jìn)行物理訪問,首先應(yīng)該研究設(shè)備的設(shè)置場所。因?yàn)樵O(shè)備體積小,容易攜帶,所以被偷竊的危險(xiǎn)性很高,可是又很難一臺臺地去檢測設(shè)備有沒有被偷走。因此需要盡量把設(shè)備設(shè)置在只有管理者才能接觸到的地方。
從設(shè)備內(nèi)部對策的角度來說,想對付外部來的攻擊,就得停止不需要的服務(wù),執(zhí)行防火墻設(shè)置,用白名單的形式只允許那些我們所需的通信。近年來出現(xiàn)了很多以Linux 為基礎(chǔ)的網(wǎng)關(guān)設(shè)備,這些產(chǎn)品開發(fā)簡單,但相對地也就能輕易地給這些產(chǎn)品安裝任意的軟件。這樣一來開發(fā)者可能會(huì)自行裝入測試工具,在不知不覺中就啟動(dòng)了不需要的服務(wù)。只是在驗(yàn)證時(shí)啟動(dòng)FTP 和SSH 也就算了,萬一這些服務(wù)被公開給外界了,那么就會(huì)非常危險(xiǎn)。建議大家還是確認(rèn)一下,看看在正式環(huán)境下是否是
只啟動(dòng)了所需的服務(wù)。
除此之外,為了不讓人簡簡單單就能登錄上終端,最好通過ID 或密碼等方式進(jìn)行登錄認(rèn)證。
萬一發(fā)生了非法訪問或是數(shù)據(jù)遭到他人篡改,我們就需要對這些情況進(jìn)行檢測。關(guān)于非法訪問的檢測,大家可以通過檢測來自外部網(wǎng)絡(luò)的通信來發(fā)現(xiàn)非法訪問或疑似攻擊的通信,從而發(fā)出警報(bào)。
關(guān)于數(shù)據(jù)篡改方面有一個(gè)具體的解決辦法,即信任傳遞(transitive trust)。這個(gè)方法就是在接通機(jī)器電源后對機(jī)器進(jìn)行確認(rèn),確認(rèn)機(jī)器是否按照設(shè)計(jì)者設(shè)想的狀態(tài)而運(yùn)行。從最值得信賴的起點(diǎn)開始,按照“BIOS →引導(dǎo)加載程序→操作系統(tǒng)→應(yīng)用程序”的傳遞順序來測量組件,進(jìn)行有效性認(rèn)證。
人們每天都會(huì)發(fā)現(xiàn)軟件內(nèi)部隱藏的漏洞。也就是說,即使發(fā)布了一個(gè)在安全性對策上面面俱到的設(shè)備終端,其安全品質(zhì)也會(huì)日益低下。
例如在2014 年4 月,密碼庫OpenSSL 就被黑客挖出了一個(gè)軟件漏洞。凡是使用OpenSSL 庫的進(jìn)程,其存儲內(nèi)容都存在被泄露的危險(xiǎn),好在人們迅速采取了措施。因此,定期修復(fù)漏洞來維持安全性品質(zhì)就變得至關(guān)重要。此外,萬一不小心泄露了登錄用的ID 或密碼,應(yīng)該趕緊著手更改,為此需要事先確定更改ID 和密碼的順序。
話雖這么講,設(shè)備數(shù)量多,離得又遠(yuǎn),一臺一臺地更新設(shè)備的軟件和設(shè)備的設(shè)置是非常累人的,所以下面的部分將講解如何遠(yuǎn)程應(yīng)用網(wǎng)關(guān)設(shè)備。
要想保護(hù)服務(wù)器端系統(tǒng),除了對一般的業(yè)務(wù)和信息系統(tǒng)實(shí)施安全性對策以外,還需要針對因連接設(shè)備而引發(fā)的安全風(fēng)險(xiǎn)來制定對策。在這里就為大家講解一下物聯(lián)網(wǎng)系統(tǒng)獨(dú)有的安全性對策,即網(wǎng)關(guān)終端認(rèn)證及數(shù)據(jù)流量控制。
像溫度信息和電力數(shù)據(jù)等這類傳感器數(shù)據(jù),多帶帶來用意義不大,不過要是通過跟個(gè)人信息和測量位置掛鉤,再進(jìn)行數(shù)據(jù)分析,那么它們的存在意義就不僅僅是傳感器數(shù)據(jù)這么簡單了。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/123022.html
摘要:英文書名,中文書名物聯(lián)網(wǎng)實(shí)戰(zhàn)指南。物聯(lián)網(wǎng)實(shí)戰(zhàn)指南與自己動(dòng)手設(shè)計(jì)物聯(lián)網(wǎng)這里面又有好多的故事,不過正是因?yàn)橐粫屛矣辛藢憰南敕ú贿^,最開始的時(shí)候是電子書。我們將在未來的兩周末,贈(zèng)送出幾本的物聯(lián)網(wǎng)實(shí)戰(zhàn)指南和自己動(dòng)手設(shè)計(jì)物聯(lián)網(wǎng),詳情見 這本書有一個(gè)很長的故事,到今天算是走到了一個(gè)意想中的結(jié)局。從審閱這本書開始、英文版出版、翻譯成中文就這樣走了兩年的時(shí)間,這是一本值得紀(jì)念的書籍。 英文書名《L...
摘要:三里屯秦淮河故宮,是什么讓它們走在了一起物聯(lián)網(wǎng)對于很多人來說是一個(gè)既熟悉又陌生的領(lǐng)域,之所以說熟悉是因?yàn)槲锫?lián)網(wǎng)一詞在過去十幾年間一直被熱炒,國家也將物聯(lián)網(wǎng)上升為戰(zhàn)略發(fā)展高度。 三里屯、秦淮河、故宮,是什么讓它們走在了一起物聯(lián)網(wǎng)對于很多人來說是一個(gè)既熟悉又陌生的領(lǐng)域,之所以說熟悉是因?yàn)槲锫?lián)網(wǎng)一詞在過去十幾年間一直被熱炒,國家也將物聯(lián)網(wǎng)上升為戰(zhàn)略發(fā)展高度。但大多數(shù)人對物聯(lián)網(wǎng)的印象卻又是模糊...
摘要:三里屯秦淮河故宮,是什么讓它們走在了一起物聯(lián)網(wǎng)對于很多人來說是一個(gè)既熟悉又陌生的領(lǐng)域,之所以說熟悉是因?yàn)槲锫?lián)網(wǎng)一詞在過去十幾年間一直被熱炒,國家也將物聯(lián)網(wǎng)上升為戰(zhàn)略發(fā)展高度。 三里屯、秦淮河、故宮,是什么讓它們走在了一起物聯(lián)網(wǎng)對于很多人來說是一個(gè)既熟悉又陌生的領(lǐng)域,之所以說熟悉是因?yàn)槲锫?lián)網(wǎng)一詞在過去十幾年間一直被熱炒,國家也將物聯(lián)網(wǎng)上升為戰(zhàn)略發(fā)展高度。但大多數(shù)人對物聯(lián)網(wǎng)的印象卻又是模糊...
摘要:這些因素為中國企業(yè)爭奪邊緣計(jì)算的主導(dǎo)權(quán)增加了籌碼,更增強(qiáng)了角逐的底氣。一份行業(yè)報(bào)告指出,某種程度上,邊緣計(jì)算過去,在前沿技術(shù)領(lǐng)域,國內(nèi)企業(yè)是跟隨者,風(fēng)往往從美國吹過來,國內(nèi)才開始升溫,但如今這一約定俗成的慣例正在被改寫。一個(gè)是智能手機(jī)領(lǐng)域,OPPO、vivo相繼拿出了隱藏?cái)z像頭的設(shè)計(jì)方案,在劉海兒屏之外,找到全新的技術(shù)解決方案。這是中國企業(yè)在智能手機(jī)領(lǐng)域第一次與美國站到同一起跑線上。另一個(gè)就...
閱讀 3467·2021-11-25 09:43
閱讀 1072·2021-11-15 11:36
閱讀 3318·2021-11-11 16:54
閱讀 3983·2021-09-27 13:35
閱讀 4373·2021-09-10 11:23
閱讀 5735·2021-09-07 10:22
閱讀 3039·2021-09-04 16:40
閱讀 773·2021-08-03 14:03
