物联网的日益普及给人们带来了诸多便利,但随着大量的物联网应用落地随之也带来了很多安全风险。
提起物联网设备,我们就能想到智能化,智慧城市,智慧家居,智慧医疗,智慧养殖等等,都给生活带来了便利,但是物联网设备也有一个极其引人担心的一个问题,就是安全问题。当一切都智能后,伴随的危机风险将更大。安全漏洞一旦遭受到恶意攻击,会引发严重问题,导致一系列设备都罢工宕机。
物联网安全与之紧密联系的就是物联网设备的支出和回报问题,这是个永恒的议题。
使用物联网设备带来的优势是不言而喻的,它在无形中简化了很多业务以及人工成本,从采集数据到数据分析再到价值挖掘和提高运营效率,作用是巨大的。但是同时也存在着风险,就是物联网的安全漏洞,对于很多企业来说,使用物联网设备都有一定的担忧,也造成了物联网应用落地化并没有特别快速的普及。
出现这种冷热交替化的情况原因就很简单了,企业一方面想要拥抱物联网,走上风口,另一方面就是新的东西出来,就总不是那么成熟,有一些时间需要走,物联网攻击事件也有爆出。其实只要有了安全意识,做长期的潜在回报准备,在物联网实施过程中,从一开始就应该注重安全性,并将其作为规划布局中的关键任务之一。从初始阶段就在系统中加入安全设计,比在开发周期接近尾声时或者在漏洞已经出现或公开之后再采取措施,更加经济有效。
此外,物联网安全,挑战无处不在物联网的迅速增长和商用普及,导致物联网市场出现碎片化困局,缺乏明确、统一的标准。而定义物联网设备的标准和架构,要通过数十项持续、不同的举措来进行,企业自然会疲于应对眼前出现的挑战。
最大限度的保证物联网的安全,做好以下三点:
第一,对大数据的收集持谨慎态度。之所以在前面用很多文字引用了华为和三星的战略内容,是有原因的。看华为,它有一个“集中收集、管理、处理数据后向合作伙伴、行业开放”的细节。而三星,也有一个“能够与云端连接”的细节。这些,是典型的收集大数据存储在云端的行为。这种行为,如果不加约束则危险很大。之前,三星智能电视监听事件,我们应该记忆犹新。试想,物联网之下,我们在这些硬件面前是“赤裸裸”的。所以,物联网企业应该“自律”,不要在大数据采集方面为所欲为。
第二,对大数据的转移和利用持谨慎态度。前面第一点里已经提到过一个细节:“处理数据后向合作伙伴、行业开放”。这应该是大数据在不同企业间转移、利用的过程。而大数据在转移与利用的这个过程里,也有危险。毕竟,各个厂商的安全意识、安全水平、硬件水平不一,安全隐患很大。欧洲反计算机病毒协会创始人、德国歌德塔(G Data)安全软件公司安全顾问Eddy Willems在接受我的采访时也曾说过,“企业不同设备之间的安全过滤措施不够”。所以,这种大数据之间的合作很让人担忧。这个问题,必须解决。
第三,严防外部危险因素的侵入。如果说前两点属于物联网企业的“内因”的话,那么第三点就是严防“外因”。目前,黑客利用商用WIFI入侵的例子已经很多,甚至连飞机都难以幸免。这就要求我们的物联网企业,必须重视安全防范问题。这些问题包括,商用WIFI的过度商业化的问题,软件的漏洞问题,智能硬件和数据库的密码问题,硬件设备的加密问题,物联网企业安全意识不强的问题,物联网用户安全意识不强的问题,还有不同物联网企业之间的终端设备兼容问题。如果这些问题不予解决,那黑客会无孔不入的。
物联网的安全和互联网的安全问题一样,永远都会是一个被广泛关注的话题。由于物联网连接和处理的对象主要是机器或物以及相关的数据,其“所有权”特性导致物联网信息安全要求比以处理“文本”为主的互联网要高,对“隐私权”(Privacy)保护的要求也更高(如ITU物联网报告中指出的),此外还有可信度(Trust)问题,包括“防伪”和DoS(Denial of Services)(即用伪造的末端冒充替换(eavesdropping等手段)侵入系统,造成真正的末端无法使用等),由此有很多人呼吁要特别关注物联网的安全问题。
物联网系统的安全和一般IT系统的安全基本一样,主要有8个尺度: 读取控制,隐私保护,用户认证,不可抵赖性,数据保密性,通讯层安全,数据完整性,随时可用性。 前4项主要处在物联网DCM三层架构的应用层,后4项主要位于传输层和感知层。其中“隐私权”和“可信度”(数据完整性和保密性)问题在物联网体系中尤其受关注。如果我们从物联网系统体系架构的各个层面仔细分析,我们会发现现有的安全体系基本上可以满足物联网应用的需求,尤其在其初级和中级发展阶段。
物联网应用的特有(比一般IT系统更易受侵扰)的安全问题有如下几种:
1 Skimming:在末端设备或RFID持卡人不知情的情况下,信息被读取
2 Eavesdropping: 在一个通讯通道的中间,信息被中途截取
3 Spoofing:伪造复制设备数据,冒名输入到系统中
4 Cloning: 克隆末端设备,冒名顶替
5 Killing:损坏或盗走末端设备
6 Jamming: 伪造数据造成设备阻塞不可用
7 Shielding: 用机械手段屏蔽电信号让末端无法连接
主要针对上述问题,物联网发展的中、高级阶段面临如下五大特有(在一般IT安全问题之上)的信息安全挑战:
1 4大类(有线长、短距离和无线长、短距离)网路相互连接组成的异构(heterogeneous)、多级(multi-hop)、分布式网络导致统一的安全体系难以实现“桥接”和过度
2 设备大小不一,存储和处理能力的不一致导致安全信息(如PKI Credentials等)的传递和处理难以统一
3 设备可能无人值守,丢失,处于运动状态,连接可能时断时续,可信度差,种种这些因素增加了信息安全系统设计和实施的复杂度
4 在保证一个智能物件要被数量庞大,甚至未知的其他设备识别和接受的同时,又要同时保证其信息传递的安全性和隐私权
5 多租户单一Instance服务器SaaS模式对安全框架的设计提出了更高的要求
对于上述问题的研究和产品开发,国内外都还处于起步阶段,在WSN和RFID领域有一些针对性的研发工作,统一标准的物联网安全体系的问题还没提上议事日程,比物联网统一数据标准的问题更滞后。这两个标准密切相关,甚至合并到一起统筹考虑,其重要性不言而喻。
物联网信息安全应对方式:
首先是调查。企业IT首先要现场调查,要理解当前物联网有哪些网络连接,如何连接,为什么连接,等等。
其次是评估。IT要判定这些物联网设备会带来哪些威胁,如果这些物联网设备遭受攻击,物联网在遭到破坏时,会发生什么,有哪些损失。
最后是增加物联网网络安全。企业要依靠能够理解物联网的设备、协议、环境的工具,这些物联网工具最好还要能够确认和阻止攻击,并且能够帮助物联网企业选择加密和访问控制(能够对攻击者隐藏设备和通信)的解决方案。
物联网的安全威胁远未见顶,物联网应用的最终追求是万物互联,实现信息共享,并通过搭建高度自动化和智能化的系统,为人们的日常生活提供便利。随着物联网在社会生活中的普及,应用场景不断丰富,安全风险也将随之增加。
专家建议,不同的物联网参与方可根据自身特点,有针对性地部署防护措施:物联网设备提供商要保障终端安全,引入安全开发流程提升终端安全性,并在产品上市前进行安全评估;物联网平台提供商应重点关注平台安全和设备、移动端与自身的连接是否安全。因为在平台安全中,物联网终端数据大多包含隐私信息,数据安全变得尤为重要。
“无论是家庭还是企业用户,都应把安全作为一个重要的关注点。选购产品时优先考虑采用有安全网关的产品。”专家说。用户在购买智能产品后,应该尽可能修改初始口令以及弱口令,加固用户名和密码的安全性。同时,修改默认端口为不常用端口,增大端口开放协议被探测的难度,并及时升级设备固件。
1.物联网的政策和法规。
物联网不是一个小产品,也不是只是一个小企业可以做出来,做起来,它不仅需要技术,它更是牵涉到各个行业,各个产业,需要多种力量的整合。这就需要国家的产业政策和立法上要走在前面,要制定出适合这个行业发展的政策和法规,保证行业的正常发展。
2.技术标准的统一与协调。
物联网发展过程中,传感、传输、应用各个层面会有大量的技术出现,可能会采用不同的技术方案。如果各行其是,那结果是灾难的,大量的小而破的专用网,相互无法连通,不能进行联网,不能形成规模经济,不能形成整合的商业模式,也不能降低研发成本。因此,尽快统一技术标准,形成一个管理机制,这是物联网马上就要面对问题,开始时,这个问题解决得好,以后就很容易,开始解决不好,积重难返,那么以后问题就很难解决。
3.管理平台的形成。
物联网的价值在什么地方?在于网,而不在于物。传感是容易的,但是感知的信息,如果没有一个庞大的网络体系,不能进行管理和整合,那这个网络就没有意义。因此,建立一个全国性的,庞大的,综合的业务管理平台,把各种传感信息进行收集,进行分门别类的管理,进行有指向性的传输,这就是一个大问题。一个小企业甚至都可以开发出传感技术,开发出传感应用。但是一个小企业没有办法建立起一个全国性高效率的网络。没有这个平台,各自为政的结果一定是效率低,成本高,很难发展起来,也很难起到效果。
4.安全体系的建立与形成。
物联网目前的传感技术主要是RFID,植入这个芯片的产品,是有可能被任何人进行感知的,它对于产品的主人而言,有这样的一个体系,可以方便的进行管理。但是,它也存在着一个巨大的问题,其他人也能进行感知,比如产品的竞争对手,那么如何做到在感知、传输、应用过程中,这些有价值的信息可以为我所用,却不被别人所用,尤其不被竞争对手所用。这就需要在安全上下功夫,形成一套强大的安全体系。现在应该说,会有哪些安全问题出现,如何应对这些安全问题,怎么进行屏蔽都是一些非常复杂的问题,甚至是不清晰的。但是这些问题一定值得注意,尤其是这个管理平台的提供者。安全问题解决不好,有一天可能有价值的物联网会成为给竞争对手提供信息方便的平台,那么它的价值就会大大的打折扣,也不会有企业愿意和敢于去使用。
5.应用的开发。
物联网的价值不是一个可传感的网络,而是必须各个行业参与进来进行应用,不同行业,会有不同的应用,也会有各自不同的要求,这些必须根据行业的特点,进行深入的研究和有价值的开发。这些应用开发不能依靠运营商,也不能仅仅依靠所谓物联网企业,因为运营商和技术企业都无法理解行业的要求和这个行业具体的特点。很大程度上,这是非常难的一步,也是需要时间来等待。需要一个物联网的体系基本形成,需要一些应用形成示范,更多的传统行业感受到物联网的价值,这样才能有更多企业看清楚物联网的意义,看清楚物联网有可能带来的商业价值,也会把自己的应用与业务与物联网结合起来。
6 商业模式。
物联网商用模式有待完善,要发展成熟的商业模式,必须打破行业壁垒、充分完善政策环境,并进行共赢模式的探索,要改变改造成本高的现状。
物联网一般都具有唯一性,其实像近几年出现的一些东西,像二维码都具有唯一性,还有射频识别,这些都确保了信息的安全性,这些都涉及到物联网频射方面的技术。另外,举个例子,在**里你会看到一些片段,一些密码什么的会通过扫描你的眼睛,识别指纹这些的属于物联网。我是物联网专业的学生,回答有不满意的地方请见谅。
1“端”——终端层安全防护能力差异化较大 终端设备在物联网中主要负责感知外界信息,包括采集、捕获数据或识别物体等。其种类繁多,包括RFID芯片、读写扫描器、温度压力传感器、网络摄像头、智能可穿戴设备、无人机
2“管”——网络层结构复杂通信协议安全性差 物联网网络采用多种异构网络,通信传输模型相比互联网更为复杂,算法破解、协议破解、中间人
3“云”——平台层安全风险危及整个网络生态 物联网应用通常是将智能设备通过网络连接到云端
以上就是关于什么是物联网安全全部的内容,包括:什么是物联网安全、如何最大限度的保证物联网的安全、物联网技术的信息安全等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!