物聯(lián)網(wǎng)確實(shí)伴隨著巨大的機(jī)會(huì)�,但如果制造商在忙于向市場(chǎng)推出“下一件偉大作品”時(shí)沒(méi)有認(rèn)真考慮安全性問(wèn)題,那么可能很快就會(huì)被淘汰�����。對(duì)于商業(yè)應(yīng)用開(kāi)發(fā)人員來(lái)說(shuō)�,以下建議有助于確保安全性在整個(gè)開(kāi)發(fā)過(guò)程中保持最高優(yōu)先級(jí)。
物聯(lián)網(wǎng)未來(lái)的發(fā)展?jié)摿ξ闳葜靡?。思科系統(tǒng)公司估計(jì)到今年年底將有250億臺(tái)設(shè)備連接到互聯(lián)網(wǎng)上,而IDC公司則相信到2017年物聯(lián)網(wǎng)元件市場(chǎng)將產(chǎn)生7.3萬(wàn)億美元的收入���。對(duì)于企業(yè)家和大公司來(lái)說(shuō)����,這些數(shù)字具有足夠的吸引力來(lái)激勵(lì)他們創(chuàng)建看起來(lái)“新”的聯(lián)網(wǎng)產(chǎn)品����、服務(wù)或功能。
然而���,急于想讓產(chǎn)品第一個(gè)上市的競(jìng)爭(zhēng)壓力常常導(dǎo)致快速匆忙的決策。雖然物聯(lián)網(wǎng)仍然處于早期發(fā)展階段�����,但越來(lái)越多的人已經(jīng)認(rèn)識(shí)到,不良的應(yīng)用開(kāi)發(fā)和設(shè)計(jì)經(jīng)常不在少數(shù)��。由于將各種傳統(tǒng)“啞”設(shè)備如何做得“智能”沒(méi)有實(shí)質(zhì)上的限制�����,許多物聯(lián)網(wǎng)安全問(wèn)題可以追溯到有關(guān)所實(shí)現(xiàn)的“智慧”功能類型����、它們是如何實(shí)現(xiàn)的以及它們的使用范圍方面做出的欠佳決策。不過(guò)物聯(lián)網(wǎng)公司還是可以從IT行業(yè)在過(guò)去20多年中實(shí)現(xiàn)的安全性進(jìn)步中學(xué)到了些經(jīng)驗(yàn)��。
信息技術(shù)的消費(fèi)化意味著�����,設(shè)計(jì)并向消費(fèi)者推銷的技術(shù)經(jīng)常能在工作場(chǎng)所中找到用武之地�。一旦技術(shù)上市后,就很難知道你的技術(shù)將如何被應(yīng)用�����。在數(shù)據(jù)泄漏成為人們街頭巷尾熱議頭條的時(shí)代中,如果在產(chǎn)品開(kāi)發(fā)過(guò)程中沒(méi)有采取合適的安全措施��,那么結(jié)果很可能是災(zāi)難性的��。物聯(lián)網(wǎng)確實(shí)伴隨著巨大的機(jī)會(huì)�,但如果制造商在忙于向市場(chǎng)推出“下一件偉大作品”時(shí)沒(méi)有認(rèn)真考慮安全性問(wèn)題,那么可能很快就會(huì)被淘汰����。對(duì)于商業(yè)應(yīng)用開(kāi)發(fā)人員來(lái)說(shuō),以下建議有助于確保安全性在整個(gè)開(kāi)發(fā)過(guò)程中保持最高優(yōu)先級(jí)���。
通過(guò)設(shè)計(jì)保證應(yīng)用的安全
在開(kāi)始任何應(yīng)用的開(kāi)發(fā)之前�����,設(shè)計(jì)師必須權(quán)衡“聯(lián)網(wǎng)”功能的優(yōu)點(diǎn)和隨之帶來(lái)的安全漏洞缺點(diǎn)�。物聯(lián)網(wǎng)應(yīng)用在設(shè)計(jì)時(shí)必須評(píng)估諸如短消息和社交媒體整合等聯(lián)網(wǎng)功能的安全性和隱私問(wèn)題��。一個(gè)電子郵件代理要求清晰簡(jiǎn)潔的安全配置指南�,并具備強(qiáng)大的管理憑證,以屏蔽底層攻擊和端口掃描��。這些基本的保護(hù)措施隨后會(huì)影響設(shè)計(jì)決策�。對(duì)智慧功能的安全性進(jìn)行嚴(yán)格的評(píng)估可能會(huì)增加開(kāi)發(fā)成本�����,但是會(huì)節(jié)省后面發(fā)現(xiàn)缺陷時(shí)所花的時(shí)間和代價(jià)。
從構(gòu)思到部署的全程保護(hù)
聯(lián)網(wǎng)設(shè)備制造商還應(yīng)該確保任何軟件升級(jí)或修改都需要管理人員首先認(rèn)證設(shè)備�����,然后要求使用簽名的可執(zhí)行文件來(lái)驗(yàn)證待安裝軟件的完整性��。設(shè)備必須能夠記錄可能是攻擊的活動(dòng)��。如果要求管理人員恢復(fù)被攻擊的系統(tǒng)��,那么強(qiáng)大的記錄功能是必須的���。
在今天的物聯(lián)網(wǎng)世界中�����,要求最終用戶發(fā)揮他們的主動(dòng)性并設(shè)置長(zhǎng)口令是不夠的�����。在用戶中存在“設(shè)過(guò)就忘的”心理����,因此不足以保證長(zhǎng)期的安全性。
避免“模糊性安全”
開(kāi)發(fā)階段的另一個(gè)常見(jiàn)錯(cuò)誤是危險(xiǎn)的“模糊性安全”方法 �,也就是說(shuō)假設(shè)黑客對(duì)你的產(chǎn)品不感興趣。產(chǎn)品設(shè)計(jì)時(shí)必須有這樣一個(gè)前提:它們一定會(huì)被購(gòu)買�����、拆解和研究����。諸如嵌入式密鑰或弱認(rèn)證等安全捷徑也許能節(jié)省時(shí)間,加快開(kāi)發(fā)速度�����,但整個(gè)信息技術(shù)生態(tài)系統(tǒng)可能很快會(huì)變成整個(gè)僵尸網(wǎng)絡(luò)�����。
不要把你的供應(yīng)鏈變成最脆弱的鏈接
你千萬(wàn)不能低估了仔細(xì)篩選供應(yīng)鏈合作伙伴的重要性�,要確保合約和服務(wù)提供商協(xié)議能夠保護(hù)你。通過(guò)使用新興的硬件安全技術(shù)��,許多公司可以消除惡意供應(yīng)商或制造商的風(fēng)險(xiǎn)�����。這些技術(shù)允許所有密鑰或知識(shí)產(chǎn)權(quán)直接在芯片上進(jìn)行安保和驗(yàn)證。同樣這種方法還能幫助你防止設(shè)備的克隆或偽造�����。
將安全作為第一考慮要素
雖然強(qiáng)大的安全性是絕對(duì)必須的���,但公司也必須作好安全屏障被突破的準(zhǔn)備。只有強(qiáng)大的外部安全是不夠的���,系統(tǒng)設(shè)計(jì)時(shí)就必須考慮被攻擊的情況�����。傳統(tǒng)的IT系統(tǒng)只在遇到攻擊事件時(shí)才想起來(lái)加密數(shù)據(jù)庫(kù)中的信息�����。物聯(lián)網(wǎng)設(shè)備必須保證設(shè)備的關(guān)鍵功能不受“智慧”功能的影響或攻擊��。舉例來(lái)說(shuō)���,如果汽車變得更加聯(lián)網(wǎng)��,制造商應(yīng)該將不同的系統(tǒng)分隔開(kāi)來(lái)��,確保黑客不能拿到“關(guān)鍵密鑰”�����。比如將氣囊系統(tǒng)與車載信息娛樂(lè)系統(tǒng)分隔開(kāi)來(lái)���。
遺憾的是,搭建一個(gè)物聯(lián)網(wǎng)產(chǎn)品可不只是將你的產(chǎn)品連接到互聯(lián)網(wǎng)這么簡(jiǎn)單����。
雖然很多公司拼命想第一時(shí)間將產(chǎn)品推向市場(chǎng),但欲速則不達(dá)�,更快并不意味著更安全。由聯(lián)網(wǎng)產(chǎn)品引起的安全和隱私問(wèn)題經(jīng)常是非常微妙和復(fù)雜的��。任何指望設(shè)計(jì)和部署應(yīng)用的業(yè)務(wù)必須在每步?jīng)Q策中考慮強(qiáng)大的安全策略�。對(duì)于資源有限的公司來(lái)說(shuō),物聯(lián)網(wǎng)平臺(tái)即服務(wù)可以解決設(shè)計(jì)不良的物聯(lián)網(wǎng)產(chǎn)品中隱藏的許多安全性和數(shù)據(jù)完整性問(wèn)題���。這些工具可以幫助你根據(jù)工業(yè)標(biāo)準(zhǔn)的加密協(xié)議順利實(shí)現(xiàn)安全的通信����,并將詳細(xì)的用戶配置信息擴(kuò)展到物聯(lián)網(wǎng)產(chǎn)品。這樣做也能縮短產(chǎn)品的上市時(shí)間�����,也可以避免將來(lái)后悔的尷尬�。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的����,皆為無(wú)意�����。如您是字體廠商�����、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們�����,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用����,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟(jì)賠償���!敬請(qǐng)諒解�!
粵公網(wǎng)安備 44030402000264號(hào)