关于物联网安全需要了解的六件事-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

关于物联网安全需要了解的六件事

简介:

如果没有安全漏洞,物联网将让我们的生活更轻松。

(1)安全、信任和数据完整性

物联网的出现正在改变我们的个人技术安全模式,并且将改变客户/业务互动的游戏规则,部分原因是由于可用数据的范围广泛以及收集这些数据的设备数量庞大。管理咨询机构麦肯锡公司估计,到2025年,物联网生态系统将产生6万亿美元的价值。成功的物联网产品依赖于对企业和消费者的利益感知,同时创建了安全,信任和数据完整性的相对应的基础。物联网技术可以降低数据安全风险,同时改善连接世界的客户体验。

在每一个公司的最佳利益方面,“妥善处理”物联网是正确的,这将意味着加快安全措施,以捕捉并确保良好的客户体验。Genesys公司产品管理总监Jack Nichols提供了六种方法和措施。

(2)证明“嵌入”安全的业务费用

与所有技术一样,物联网的安全考虑应该嵌入从开始到部署的每个开发阶段。一些组织很难证明新的安全举措会伴随着时间和费用的增加而相应提高,或坚持不间断的最佳做法实施。每个人都想要奇妙的新功能,但是很多人都对其价格和操作复杂性有些疑虑。安全性成为一个事后的想法,在处理结束时得到解决,如果有的话。同样,组织应该意识到,如何处理其物联网安全性目前有许多法律意义。更重要的是,“客户体验”是企业业务差异化的关键,忠实的客户将对可信赖的企业花费更多的资金。

(3)测试,测试,再测试

根据最近的一项调查发现,80%的物联网应用程序没有针对安全漏洞进行测试。这代表了数量惊人的端点数,具有很大的风险。在开发物联网应用程序和服务时,需要进行连续的内部和第三方漏洞分析和渗透测试。请记住,将安全性放在产品开发周期中更好,而不是在事后进行。如果企业在市场上推出不安全的物联网系统,那么在冒险的消费者信任中,企业将面临一切风险。

(4)远程管理物联网安全操作

就目前而言,大量的物联网产品制造商和应用程序开发人员依靠最终用户来安装更新并配置安全设置,这是不明智的。在理想情况下,企业应尽快远程推送安全补丁和更新,以防止产生漏洞。根据最新版本的物联网信任框架,这些更新必须被签名和/或以其他方式验证为来自可信来源。更新和修补程序不应修改用户配置的首选项,安全性和/或隐私设置,而无需用户通知。自动化更新增加了客户信任,因为企业措施到位,同时仍然为用户提供批准,授权或拒绝更改的能力。

(5)建议加强加密

在新的物联网信托框架中也建议加强加密。通过确保企业物联网服务中使用的任何支持网站完全加密用户会话(从设备到后端),向客户展示企业所关心的隐私。目前的最佳做法默认情况下包括HTTPS或HTTP严格传输安全性(HSTS),也称为AOSSL或Always On SSL。此外,“设备应包括可靠地认证其后端服务和支持应用程序的机制。

(6)透明度问题

美国联邦贸易委员会对Visio公司收集和销售其智能电视拥有者数据进行了处罚。最近的一篇IEEE物联网文章谈到,良好的透明度原则并不排除物联网,但需要了解物联网系统中的隐私威胁是独一无二的,三方面的输入需要透明的披露:

•收集或生成的个人数据。

•对该信息执行数据操作。

•收集,生成,处理,披露和保留此个人资料的内容。

这不仅仅是一个企业在消费者基础上做正确的问题。例如,欧洲的一般数据保护条例(GDPR)寻求可验证的消费者协议,以便通过通知和同意来管理这三项输入。一般来说,最好在企业网站上易于发现的位置声明企业数据收集实践以及隐私权,安全性和支持政策,可在购买或服务选择之前进行审核。此外,如果用户拒绝同意,需要透露哪些内容和哪些功能将无法实现。

采用边缘分析,并最大限度地减少传输中的敏感数据量

连接一切的副产品是创造了大量有价值的客户数据,这非常令人吃惊,同时又潜在着危险。除了保护数据仓库之外,还有一个问题,就是在传输和移动数据时需要保护大量的数据。使用物联网应用程序,由于信息从物联网端点传输到云计算并分析,因此总是存在暴露和拦截威胁的风险。但目前将一些计算转移到物联网端点并仅传输规定信息的趋势,减少了传输中潜在敏感的原始数据的数量。虽然边缘计算的参数通常围绕增加实时功能和节省与机器学习和人工智能,而减少客户数据的曝光是一个额外的好处。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章