6招破解物联网产品开发安全性困境
6招破解物联网产品开发安全性困境
2017-02-14 11:11:52 来源:IT168抢沙发
2017-02-14 11:11:52 来源:IT168
摘要:对于开发物联网技术的组织来说,确保其产品不会对最终用户的安全或隐私构成风险,这一点至关重要。以下必须关注的这几个方法,可以为您最大限度地降低用户风险和提高安全性。
关键词:
物联网
物联网(IoT)技术在过去几年中呈指数级增长,新的解决方案正在以前所未有的速度出现,并得到了采用。据Gartner报告分析2016年年底已经安装超过40亿个物联网设备,到2020年这个数字将增加到200亿。在物联网市场,在过去仅仅一年中,企业中的连接设备支出超过了8,680亿美元,物联网采用的影响和风险已经变得明显。
尽管仍处于起步阶段,但IoT似乎已经赢得了安全性差的头衔。经过16年发生的DDoS攻击DNS提供商Dyn一事,安全专家已经开始关注,如何更好地处理日益增长的不安全连接设备的接入。类似这样的攻击是供应商急于满足智能设备的尖峰需求而导致的现象,而在产品推向市场之后,虽然消费者热衷于物联网产品,但他们基本上不知道它们带来的相关安全风险。保护连接设备的负担,以及在漏洞被利用时及时进行修复的责任,将完全落在产品制造商和软件开发人员身上。对于开发物联网技术的组织来说,确保其产品不会对最终用户的安全或隐私构成风险,这一点至关重要。以下必须关注的这几个方法,可以为您最大限度地降低用户风险和提高安全性:
1. 物理安全
连接设备的物理安全至关重要。将防篡改措施集成到设备组件应该成为开发人员的首选,这可以确保设备不被解码。另外,如果设备被破坏,则需要确保与认证识别码和帐户信息相关的设备数据被擦除,防止私人数据被恶意地使用。如果PII存储在设备上,则应实现远程擦除功能。
2. 不要留后门
如今构建一个带有后门的设备很容易实现,以便在需要时用于监视。然而,这种做法会危及最终用户的安全性。制造商应确保不会引入恶意代码或后门,并且不会复制、监视或捕获设备的UDID。这将有助于确保当设备在线注册时,该过程不会被捕获或易受到监听、监控或非法监控。
3. 安全编码
IoT开发人员应实施安全编码实践,并将其应用于设备作为软件构建过程的一部分。关注作为开发生命周期一部分的QA和漏洞识别/补救,将简化安全工作同时降低风险。
4. 设备身份认证
使用单个设备标识实现正确和安全的身份验证,在设备本身与后端控制系统和管理控制台之间建立安全连接。 如果每个设备都有自己的唯一标识,企业将知道设备通信确实是它声称的设备。这需要基于诸如PKI等解决方案的单独设备识别。
5. 加密
在使用IoT解决方案时,企业必须加密设备和后端服务器之间的流量。确保命令加密,并通过签名或强编码查看命令完整性至关重要。物联网设备收集的任何敏感用户数据也应加密。
6. 简化更新过程
简化设备升级,以便以易于管理的方式部署错误和安全更新。如果固件没有从一开始就正确配置,它的更新可能很棘手。不幸的是,制造商有时构建没有固件更新能力的设备,选择使用一次写入存储器。尽管这种方法在过去几年中具有经济意义——制造商认为它是一种更具成本效益的方法,可以更容易集成,同时帮助他们避免在设备上覆盖或实现不同的操作系统——但是现在更重要的是他们要确保灵活的固件部署过程一致,允许开发人员创建新模型,同时跨产品线广泛分发安全修复程序。
IoT将很快渗入到我们生活的每一个角落,随着更多的IoT安全事件的发生,设备制造商将面临越来越大的压力,在未来会更注重加强他们产品的安全性。通过遵循以上步骤,连接技术提供商可以确保他们在日益拥挤的物联网市场中保持竞争优势,因为设备安全将会成为买家的首要考虑。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。