enter" src="http://www.lpwap.com/wp-content/uploads/2017/05/640-7.jpg" width="640" height="403">
在本站已分析了“了解物聯網安全”的第1部分(LoRa物聯站)�,其中第一部分我們從設備和通信層的角度來看物聯網的安全架構����。在這篇文章中���,分析“了解物聯網安全”的第2部分:我們把重點轉移到云計算和生命周期管理���,提出完全不同挑戰和風險�。
連世界各國的領導人也開始關注將數十億互聯網設備接入互聯網的擔憂��。世界經濟論壇最近委托了一份報告�,以創建一套指導方針���,專為董事會層面使用��,解決在新興市場基于超連接技術的網絡安全挑戰和風險���。
然而��,正如前面所討論的,開發安全的端到端的物聯網解決方案需要一個全面的方法,涉及多個層次����,并融合在四個重要安全功能層次:設備�,通信�,云計算和生命周期管理。再次�,George Cora����,首席執行官ardexa提出物聯網網絡安全關鍵原則在于云計算安全和生命周期管理這兩個方面:
(接第一部分A/B)
C����、安全云層
云是指物聯網解決方案的軟件后端�,即從設備的數據被攝入、分析和解釋規模產生見解和執行行動�����。安全性一直是評估使用云與內部解決方案的風險討論的主要議題��。然而���,對于物聯網云是廣泛采用的一個關鍵因素��。默認情況下云提供商預計將提供安全和高效的云服務,從數據泄露或解決方案停機問題的保護正在成為常態�。
*敏感信息存儲在云中(即�����,在靜態數據)必須加密,以避免容易暴露于攻擊��。例如���,當一個妥協的第三方與較低的安全控制訪問您的數據(高級)分析操作時�����。
*它也有利于驗證其他云平臺或第三方應用程序試圖與您的云服務溝通���,以幫助防止惡意活動的完整性����。
*在規模所需的物聯網��,數字證書起到關鍵作用識別和身份驗證需要。
在云層物聯網的安全原則:
5.識別、認證和加密的機器
“訪問云服務的人幾乎總是使用口令���。在某些情況下,可能有雙因素身份驗證,如密碼加上一次性密碼生成器。密碼是公認的人類使用的認證方法�。然而����,機器在訪問云服務時更擅長處理數字證書��。數字證書使用一個非對稱的��,基于加密的,身份驗證系統設計,不僅驗證一個交易���,但也加密通道從設備到云認證之前發生�。數字證書還可以提供加密識別���,這是很難實現與用戶ID /密碼���。
D����、安全生命周期管理層:
安全生命周期管理指的是一個整體層的連續過程,需要保持最新的安全的物聯網解決方案�����,即就是確保足夠的安全水平����,從設備制造�����,初始安裝到控制的東西���。通過設計的安全是唯一的第一步��,在不斷努力,以保持物聯網解決方案的安全性�����,在整個生命周期的進一步步驟�,包括政策執行,定期審計和供應商控制。有關我們即將推出的物聯網安全解決方案(LoRa)的更多信息聯系我們��。
*活動監測起著重要的作用���、跟蹤��、記錄和檢測可疑的活動�。
*物聯網設備和應用程序需要定期的安全補丁���,以保持最新的�,加強抵御攻擊和修復可能出現的漏洞。
*安全的遠程控制是必不可少的,特別是當保持數十億的物聯網設備����。
6.遠程控制和更新的安全性
“遠程控制”或在整個生命周期中向設備發送命令的能力���,是一個非常敏感而又是一個很強大的功能��。一個設備的遠程控制是允許遠程診斷,設置一個新的配置��,更新軟件漏洞�����,檢索文件,復位產品����,新一套學習資料和學習算法���,對產品增加新的功能����。安全更新和遠程控制的關鍵是確保設備不允許傳入的連接(設備啟動連接)���,但有一個雙向連接�,正確固定(設備智能),采用報文交換作為通信信道(消息傳遞控制)和正確實施��。最終��,該設備上的軟件充當服務器��,盡管只有一個與云通信�,不允許任何人連接�。然而,實現遠程控制軟件和管理整個設備生命周期的安全更新是棘手的����,而不是每個人����。
本文介紹了幾個重要的物聯網安全體系結構的特點�,在四個不同的層次和突出的重要原則,總的來說����,物聯網安全設計是復雜的。安全解決方案通常涉及一些關鍵要素會一起工作����,以盡量減少各種威脅或風險�����。在更簡單的解決方案中,這種復雜性常常被忽視或處理不當����。最近的現實生活中的案例表明���,解決方案往往需要一個廣泛的方法和注意事項��。下面的例子很好地說明了這一點。
例1:AFIT改變PLC固件(設備層)
*2014��、隨著技術的美國空軍研究所的研究人員(AFIT)顯示啟動安全裝置與惡意固件的可行性�。他們創建了一個原型的rootkit可以坐未被發現的工業可編程邏輯控制器(PLC)的固件,使他們腐敗的效用和車間工廠中的操作�。
設備層解決方案需要考慮:
*做設備廠商提供的rootkit惡意軟件保護����?
*設備在安裝過程中易受攻擊嗎�?
*設備的惡意rootkit定期測試嗎?
*物聯網體系結構使固件遠程測試��?
*能否將自動化設備的常規服務程序引入漏洞���?
*我們可以檢測Rootkit惡意軟件問題�����?
例2:遠程控制汽車(通訊層)
2015年兩個網絡安全專家,控制高速公路上的一輛吉普車�,向汽車發出攻擊(例如���,控制空調����、收音機�、雨刷、剎車)。雖然這是演示����,攻擊顯示潛在的危險攻擊可以在理論上���,導致召回140萬輛車���。
通信層解決方案考慮:
*我們可以遠程修補設備嗎
*物聯網架構的限制未經授權的侵入造成的么�?
*第三方測試能起作用嗎����?
*我應該如何防止“邊緣”漏洞?
*一個大的物聯網系統的段之間有沒有意想不到的聯系?
例3:無擔保客戶數據(云層)
2015,一個英國的電信和互聯網服務提供商談談受到幾個網絡安全漏洞����,用戶的數據被暴露了在云存儲加密��。黑客,能夠輕松地訪問和竊取數以百萬計的客戶的信用卡和銀行的詳細信息����。
通信層解決方案考慮:
*什么時候數據應該存儲在設備或云上��?
*哪些數據元素需要加密到什么級別����?
*什么類型的防火墻中使用的物聯網云�����?
*企業是否有正確的文化來解決物聯網的安全風險���?
例4:一個醫療設備安全更新過程(生命周期管理)
2015�,黑客能夠提高通過Hospira藥物輸注泵送到患者用藥劑量限制。主要的問題是從一個不安全庫更新過程和通信的泵模塊。
生命周期管理解決方案:
*維護過程能引入新的漏洞嗎�?
*訪問和特權級別正確的物聯網實施���?
*軟件或固件的更新是數字簽名還是認證�����?
