應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

避免物聯(lián)網(wǎng)設(shè)計(jì)缺陷,務(wù)必做到這些

2019-06-26 09:00 云課堂

導(dǎo)讀:物聯(lián)網(wǎng)之前的設(shè)備只是設(shè)備。他們使用代碼進(jìn)行操作,以滿足特定目的。現(xiàn)在,所有這些設(shè)備都通過(guò)中央控制系統(tǒng)和服務(wù)相互連接并相互通信,因此受到攻擊的風(fēng)險(xiǎn)也呈指數(shù)級(jí)增長(zhǎng)。

物聯(lián)網(wǎng)之前的設(shè)備只是設(shè)備。他們使用代碼進(jìn)行操作,以滿足特定目的?,F(xiàn)在,所有這些設(shè)備都通過(guò)中央控制系統(tǒng)和服務(wù)相互連接并相互通信,因此受到攻擊的風(fēng)險(xiǎn)也呈指數(shù)級(jí)增長(zhǎng)。

避免物聯(lián)網(wǎng)設(shè)計(jì)缺陷,務(wù)必做到這些

讓我們首先看一下IoT系統(tǒng)漏洞往往會(huì)發(fā)生的地方:

在設(shè)備級(jí)別 - 一些認(rèn)為,如果他們可以阻止攻擊者離開(kāi)他們的網(wǎng)絡(luò),他們就不必?fù)?dān)心單個(gè)設(shè)備的安全性。但是,讓攻擊者遠(yuǎn)離網(wǎng)絡(luò)幾乎是不可能的,特別是當(dāng)你接受單個(gè)惡意雇員,承包商,供應(yīng)商或客戶可能成為內(nèi)部黑客威脅的可能性時(shí)。

在軟件級(jí)別 - 物聯(lián)網(wǎng)設(shè)備的最大攻擊面是設(shè)備上運(yùn)行的軟件以及與之通信的服務(wù)器。物聯(lián)網(wǎng)組織可能會(huì)從軟件行業(yè)手冊(cè)中獲取一頁(yè),強(qiáng)調(diào)在設(shè)計(jì),實(shí)施和部署的所有階段進(jìn)行持續(xù)的軟件測(cè)試。最負(fù)責(zé)任的軟件公司還通過(guò)在編寫單行代碼之前對(duì)開(kāi)發(fā)人員,測(cè)試人員和工程師進(jìn)行適當(dāng)培訓(xùn),確保將安全性內(nèi)置到他們的應(yīng)用程序中。

在部署新的(或增強(qiáng)現(xiàn)有的)物聯(lián)網(wǎng)系統(tǒng)時(shí),其安全性必須優(yōu)先于其功能??紤]到這一點(diǎn),在需求,架構(gòu)和設(shè)計(jì)階段應(yīng)充分記錄安全需求和系統(tǒng)漏洞。

對(duì)于物聯(lián)網(wǎng)設(shè)備,架構(gòu)階段是功能在硬件和軟件之間分配的地方。對(duì)于整個(gè)物聯(lián)網(wǎng)系統(tǒng),這可能是確定外部安全相關(guān)服務(wù)的地方,例如驗(yàn)證碼,證書服務(wù)或其他形式的雙因素身份驗(yàn)證。除了詳細(xì)說(shuō)明物聯(lián)網(wǎng)系統(tǒng)如何滿足要求之外,還可以定義各種與安全相關(guān)的支持參數(shù),例如參數(shù)化的用戶ID,設(shè)備ID,密碼,令牌,證書,登錄時(shí)間和訪問(wèn)權(quán)限。

以下是要考慮的事項(xiàng)清單:

用戶訪問(wèn)權(quán)限

用戶如何訪問(wèn)物聯(lián)網(wǎng)系統(tǒng)?

他們可以直接登錄云帳戶或物聯(lián)網(wǎng)設(shè)備嗎?

是否有提供訪問(wèn)權(quán)限的移動(dòng)應(yīng)用程序?

有哪些認(rèn)證機(jī)制?

用戶分類是什么?這些分類將影響可訪問(wèn)的資源和服務(wù)。

哪些用戶可以訪問(wèn)哪些資源和服務(wù)?

誰(shuí)可以更改信息?

每個(gè)用戶角色可以使用哪些特性和功能?

每個(gè)用戶需要進(jìn)行哪些安全檢查?

應(yīng)該使用密碼和/或引腳嗎?

是否應(yīng)提供電子代幣或證書?

也許動(dòng)態(tài)Captchas可以用來(lái)確定一個(gè)真實(shí)的人是否正在訪問(wèn)物聯(lián)網(wǎng)系統(tǒng)?

設(shè)備訪問(wèn)

哪些類型的設(shè)備可以連接到系統(tǒng)?與用戶訪問(wèn)一樣,確定擴(kuò)展到這些外部設(shè)備的訪問(wèn)類型。

他們可以查詢信息嗎?

他們能控制某些特征和功能嗎?

允許移動(dòng)設(shè)備訪問(wèn)?

允許哪些診斷工具?

外部基于云的系統(tǒng)或以前未知/新的物聯(lián)網(wǎng)設(shè)備怎么樣?

設(shè)備如何連接到物聯(lián)網(wǎng)系統(tǒng)?

無(wú)線?

有線?

互聯(lián)網(wǎng)/ IP?

什么是設(shè)備分類?

用戶可以更改信息嗎?

他們能控制某些特征和功能嗎?

他們可以授予其他用戶或設(shè)備訪問(wèn)系統(tǒng)的權(quán)限嗎?

他們可以查詢信息嗎?

對(duì)于每個(gè)外部設(shè)備,需要什么類型的安全檢查?

是否應(yīng)提供電子代幣或證書?

加密狗應(yīng)該物理連接嗎?

它們與用戶訪問(wèn)有何關(guān)系?