手机版 加入收藏
优养在线 优养在线
您当前的位置: 首页 > 无限物联

关于物联网安全和隐私的三个问题

2017-02-08 11:03:25

物联网的安全需要1个与以网络为中心的“传统”IT安全完全不同的方法。

连接更多的事物改变了我们安全的方式。随着人,物,基础设施和物理世界的环境日趋变得更加数字化,安全方法需要1个转变,即从IT安全架构向物联网安全部系结构的转变。

企业必须斟酌许多根本性的转变,成功地过渡到这类新的架构和思惟方式。并需要开始理解为何物联网的安全性是不同于“传统”的IT安全,在任何行业所有类型的组织,应当开始斟酌3个关键问题:

问题1:我们在试图保护甚么?

就其本质而言,物联网不是单1的技术,1个业务单位或1个垂直行业。更确切地说,在企业或消费者环境中部署和连接装备、对象或基础设施,本质上意味着多个端点之间的连接。任何连接的利用,不管是1个在家庭连接的温控器还是用于风力涡轮机的传感器,这其中包括1些配置的装备,利用程序,网络,固然也包括人员。

当面临表面的要挟时(即潜伏的脆弱性的景观),组织必须评估风险的“物联网安全堆栈”,这些领域不只是技术系统组件,而且还包括参与系统的人和组织内部,和合作火伴。

虽然装备、利用程序和网络(技术)安全是保护任何连接事物的核心,人员安全的另外一个重要方面却常常被忽视。密码安全、BYOD环境、员工流失、缺少安全培训、简单的人为毛病,在任何系统中显现人员动态也是诸多风险之1。请记住,物联网的系统安全取决于其最薄弱的端点。令人们有助于增强安全性。

20160420093255449

物联网安全协议堆栈

要了解在安全保护最充分的情况下,需要采取组织全面清查,不只是其专有的终端点,装备和系统,还有所有相干联的装备,利用,网络,用户和支持者。而“我们在保护甚么?”的动身点是:

1.肯定这个生态系统

2.肯定传感器和数据如何添加到产品或基础设施中,并将数据搜集到1个生态系统中。

这是制定安全战略关键的第1步

问题2:如果我们的“智能”系统被攻破,会产生甚么?

在紧急的情况下,会产生甚么?如今,许多人和许多企业都没有任何想法,不论是正式的还是散布式计划,,他们应当发现自己在数据,系统或人身安全紧急情况,背约,黑客或其他让步时产生的事情。企业内部有明确的意义:

·要挟表面是甚么

·与技术和系统组件相干联的地方在哪里

·实际的要挟是甚么

·可能产生要挟的地方

·如何来减缓这些要挟

·当问题产生时如何鉴别

·合作火伴被泄漏时如何对事件做出响应

·如何禁止,分析,分类和沟通的问题

他们对外部通讯有关数据相干的危机还应当有1个正式的计划,这其中包括合作火伴和媒体,最重要的是客户和终端用户。

作为安全从业人员,其计划是甚么?他们必须认识到物联网的安全性要求,同时应对传统和新兴的安全的多方面的挑战。首先,组织必须满足传统的安全挑战与传统的架构和环境。接下来,他们必须解决当前1代的技术,云特点,社会和移动的挑战。最后,随着新技术的出现,计算的交互和界面分散,这些因素相互作用推动全新的经济体的发展,企业有义务竭尽所能试图解决这类数字化的意外事件和未知的后果。

问题3:个人身份信息意味着甚么?

几近每个连接的环境都触及到1些个人身份信息的元素,也被称为PII。如果没有数据传输,则数据集成。但在物联网的安全性和隐私的思考,需要人们重新斟酌个人身份信息的组成。

在Web2世界中的PII的定义还要有1些澄清。在NIST特别公然的800⑴22定义为“个人的PII的代理保护的任何信息,包括(1)可用于辨认或跟踪1个人身份的任何信息,如姓名,社会安全号码,诞生日期和地点,母亲的婚前姓名或生物记录;和(2)其他任何链接或链接到的个人信息,如医疗、教育、金融和就业的信息。”

当我们超出了笔记本电脑和数字化的对象和环境,我们将从不同的环境中整合不同的货币化数据集,而“个人身份”多是远不如黑与白那末简单。

可以明确的是,传感技术的架构来自于感测物理的现实:位置,加速度,温度,心率,湿度,声音,光线,位置……这样的例子不胜枚举。而当这些数据输入时,可能从中看出许多问题。

Fitbit公司可以跟踪步骤和心率产生数据,显示其用户的活动方式,例如。该公司很快就做出了这样的数据,最初默许设置为公然的。

不管穿越时空的个人的运动和活动“链接或可链接”是不是清楚,不管是在法律眼前,还是在那些搜集数据的眼光之下,人们其实不清楚终究用户生成的数据:

·家庭住址的来往人员的个人身份?

·个人的开车的方式辨认个人身份?

·对生物刺激的反应的个人身份辨认?

广告商,保险公司,制造商,零售商和雇主都争先恐后地争取尽量多的经验背景,但在这里人们能用技术限制人类的情感吗?

虽然没有1个组织能够明确地回答这些问题,每个方面,它是在分析中使用的情况下产生这样的数据,和如何管理和保护这些数据的含义的最好利益。在数据泄漏,数据医疗事故或相干危机的情况下,这类计划和文件将有助于企业在法庭上有更好的表现。由于企业争相搜集尽量多的数据,他们必须斟酌这些数据的搜集和利用和集成数据所酿成的意外和后果。

问题反应了需要1个新的物联网安全方法现实

有各种各样的资源组织可以访问,以帮助这些问题,但对物联网安全的方法会有所不同。为了帮助寻求真正安全的“智能系统”,Harbo研究机构已制定了3个步骤来指点组织在其方法物联网的安全性。

虽然上述问题是1个物联网的安全策略中,人们可能已猜到他们阔别容易回答的复选框。企业必须首先评估现有的基础设施,目前的发展举措(包括产品,进程和人),并为这些大型企业调剂安全和隐私保护战略。

具有前瞻性的物联网安全策略将从产品设计开始,而像物联网本身1样,他们将在产品、服务、利益相干者、客户细分、要挟向量和生命周期等方面进行超出。

TAG:
推荐阅读
图文聚焦