物联网技术目前正处于起步阶段,但其安全性薄弱的名声却早已传播开来。随着更多联网设备不断涌入我们的日常业务与个人生活,物联网技术方案供应商应当遵循以下六项原则以提供更为可靠的安全性水平。
物 联网技术在过去几年当中正呈指数级别快速发展,而相关新型解决方案的普及态势亦不可阻挡。分析企业Gartner公司预计,截至2016年底世界范围内的 物联网设备数量将超过40亿台,而这一数字到2020年将激增至200亿台。着眼于市场角度,企业环境下的联网设备将在当年年内带来超过8680亿美元支 出,这意味着物联网技术的冲击——与风险——已经开始显现。然而,面对如火如荼的物联网技术发展,开发相关产品的厂商也必须确保其方案不致给最终用户的安 全或者隐私造成风险。
物联网支出一路高企,需求亦不断攀升,那些率先进军市场的厂商往往更重视产品上市速度而非安全性保障——这无疑将令用户身陷困境。通过以下六种考量,各制造商与开发商应该能够有效降低风险并提升物联网设备的安全性水平。
物理安全- 联网设备的物理安全可谓至关重要。开发商应当在设计之初就将集成化防篡改措施纳入考量,从而确保产品不会被恶意人士所解码。另外,确保设备在被突破后其中 全部与身份、认证以及账户信息相关的数据都将被擦除,这将使得相关信息不会被攻击者利用。如果选择将PII存储在设备之内,那么远程擦除功能将成为必要配 备。
对后门说不–时至今日,我们能够轻松向设备当中添加后门,从而在必要时进行监控 或者满足执法机构提出的要求。然而这种作法绝不值得提倡,因为其将对最终用户的信息完整性与安全性造成严重损害。制造商应当确保产品内不存在恶意代码或者 后门,且设备UDID不可被复制、监控或者捕捉。如此一来,我们将能够确保设备在联机注册过程中不会由于监控或者非法窃听机制的存在而导致重要信息泄露。
安全编码-物联网开发商应当严重遵循安全编码实践,并将其作为设备软件构建流程中的重要组成部分。着眼于质量保证与漏洞识别/整治,我们利用这种方式简化开发生命周期中的相关保护工作,同时轻松降低潜在风险。
认证与设备识别-为每台设备提供惟一身份并配合理想的安全认证机制,这将使得设备自身拥有安全连接能力以及后端控制系统及管理控制台。如果每台设备皆拥有自己的独特身份,则企业将能够了解当前通信设备的宣称身份是否属实。要实现这项目标,我们需要使用PKI等个别设备识别解决方案。
加密-在利用物联网解决方案时,企业必须对不同设备及后端服务器之间的往来流量进行加密。确保各操作命令经过加密,且通过签名或者强编码保证其完整性。另外,由物联网设备收集到的任何敏感用户数据也应该被加密。
简化更新流程- 建立对设备的轻松升级能力,这样bug与安全更新就能够更为轻松地得到部署与管理。有时候固件更新失败可能会带来难以解决的状况,但更可怕的是某些制造商 甚至压根就没有考虑到固件更新接收这种设计需求。确保一致性更新流程将使得固件部署工作变得更加灵活,同时帮助开发人员在轻松创建新型号的同时继续为原有 产品线发布安全补丁。
很 明显,物联网技术已经出现并将持续存在;不过大多数物联网相关企业及数据泄露事故已经给消费者带来了负面影响,而厂商也面临着强化自身产品安全性的巨大呼 声及压力。通过上述步骤,联网技术供应商应该能够保证自身方案的安全性水平,从而在物联网逐步普及且安全性成为买家首要考量要素的未来,在市场上保持良好 的竞争优势。
本文转自d1net(转载)