物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

關(guān)于物聯(lián)網(wǎng)安全和隱私的三個(gè)問(wèn)題

作者:本站采編
來(lái)源:物媒體
日期:2016-04-22 09:11:39
摘要:物聯(lián)網(wǎng)的安全需要一個(gè)與以網(wǎng)絡(luò)為中心的“傳統(tǒng)”IT安全完全不同的方法。

  物聯(lián)網(wǎng)的安全需要一個(gè)與以網(wǎng)絡(luò)為中心的“傳統(tǒng)”IT安全完全不同的方法。

  連接更多的事物改變了我們安全的方式。隨著人,物,基礎(chǔ)設(shè)施和物理世界的環(huán)境日益變得更加數(shù)字化,安全方法需要一個(gè)轉(zhuǎn)變,即從IT安全架構(gòu)向物聯(lián)網(wǎng)安全體系結(jié)構(gòu)的轉(zhuǎn)變。

  企業(yè)必須考慮許多根本性的轉(zhuǎn)變,成功地過(guò)渡到這種新的架構(gòu)和思維方式。并需要開(kāi)始理解為什么物聯(lián)網(wǎng)的安全性是不同于“傳統(tǒng)”的IT安全,在任何行業(yè)所有類(lèi)型的組織,應(yīng)該開(kāi)始考慮三個(gè)關(guān)鍵問(wèn)題:

  問(wèn)題1:我們?cè)谠噲D保護(hù)什么?

  就其本質(zhì)而言,物聯(lián)網(wǎng)不是單一的技術(shù),一個(gè)業(yè)務(wù)單位或一個(gè)垂直行業(yè)。更確切地說(shuō),在企業(yè)或消費(fèi)者環(huán)境中部署和連接設(shè)備、對(duì)象或基礎(chǔ)設(shè)施,本質(zhì)上意味著多個(gè)端點(diǎn)之間的連接。任何連接的應(yīng)用,無(wú)論是一個(gè)在家庭連接的溫控器還是用于風(fēng)力渦輪機(jī)的傳感器,這其中包括一些配置的設(shè)備,應(yīng)用程序,網(wǎng)絡(luò),當(dāng)然也包括人員。

  當(dāng)面臨表面的威脅時(shí)(即潛在的脆弱性的景觀),組織必須評(píng)估風(fēng)險(xiǎn)的“物聯(lián)網(wǎng)安全堆?!?,這些領(lǐng)域不只是技術(shù)系統(tǒng)組件,而且還包括參與系統(tǒng)的人和組織內(nèi)部,以及合作伙伴。

  雖然設(shè)備、應(yīng)用程序和網(wǎng)絡(luò)(技術(shù))安全是維護(hù)任何連接事物的核心,人員安全的另一個(gè)重要方面卻往往被忽視。密碼安全、BYOD環(huán)境、員工流失、缺乏安全培訓(xùn)、簡(jiǎn)單的人為錯(cuò)誤,在任何系統(tǒng)中呈現(xiàn)人員動(dòng)態(tài)也是諸多風(fēng)險(xiǎn)之一。請(qǐng)記住,物聯(lián)網(wǎng)的系統(tǒng)安全取決于其最薄弱的端點(diǎn)。使人們有助于增強(qiáng)安全性。

  物聯(lián)網(wǎng)安全協(xié)議堆棧

  要了解在安全保護(hù)最充分的情況下,需要采取組織全面清查,不只是其專(zhuān)有的終端點(diǎn),設(shè)備和系統(tǒng),還有所有相關(guān)聯(lián)的設(shè)備,應(yīng)用,網(wǎng)絡(luò),用戶和支持者。而“我們?cè)诒Wo(hù)什么?”的出發(fā)點(diǎn)是:

  1.確定這個(gè)生態(tài)系統(tǒng)

  2.確定傳感器和數(shù)據(jù)如何添加到產(chǎn)品或基礎(chǔ)設(shè)施中,并將數(shù)據(jù)收集到一個(gè)生態(tài)系統(tǒng)中。

  這是制定安全戰(zhàn)略關(guān)鍵的第一步

  問(wèn)題2:如果我們的“智能”系統(tǒng)被攻破,會(huì)發(fā)生什么?

  在緊急的情況下,會(huì)發(fā)生什么?如今,許多人和許多企業(yè)都沒(méi)有任何想法,不管是正式的還是分布式計(jì)劃,他們應(yīng)該發(fā)現(xiàn)自己在數(shù)據(jù),系統(tǒng)或人身安全緊急情況,違約,黑客或其他妥協(xié)時(shí)發(fā)生的事情。企業(yè)內(nèi)部有明確的意義:

  ·威脅表面是什么

  ·與技術(shù)和系統(tǒng)組件相關(guān)聯(lián)的地方在哪里

  ·實(shí)際的威脅是什么

  ·可能產(chǎn)生威脅的地方

  ·如何來(lái)緩解這些威脅

  ·當(dāng)問(wèn)題發(fā)生時(shí)如何鑒別

  ·合作伙伴被泄露時(shí)如何對(duì)事件做出響應(yīng)

  ·如何阻止,分析,分類(lèi)和溝通的問(wèn)題

  他們對(duì)于外部通信有關(guān)數(shù)據(jù)相關(guān)的危機(jī)還應(yīng)該有一個(gè)正式的計(jì)劃,這其中包括合作伙伴和媒體,最重要的是客戶和終端用戶。

  作為安全從業(yè)人員,其計(jì)劃是什么?他們必須認(rèn)識(shí)到物聯(lián)網(wǎng)的安全性要求,同時(shí)應(yīng)對(duì)傳統(tǒng)和新興的安全的多方面的挑戰(zhàn)。首先,組織必須滿足傳統(tǒng)的安全挑戰(zhàn)與傳統(tǒng)的架構(gòu)和環(huán)境。接下來(lái),他們必須解決當(dāng)前一代的技術(shù),云特征,社會(huì)和移動(dòng)的挑戰(zhàn)。最后,隨著新技術(shù)的出現(xiàn),計(jì)算的交互和界面擴(kuò)散,這些因素相互作用推動(dòng)全新的經(jīng)濟(jì)體的發(fā)展,企業(yè)有義務(wù)竭盡所能試圖解決這種數(shù)字化的意外事件以及未知的后果。

  問(wèn)題3:個(gè)人身份信息意味著什么?

  幾乎每一個(gè)連接的環(huán)境都涉及到一些個(gè)人身份信息的元素,也被稱(chēng)為PII。如果沒(méi)有數(shù)據(jù)傳輸,則數(shù)據(jù)集成。但在物聯(lián)網(wǎng)的安全性和隱私的思考,需要人們重新考慮個(gè)人身份信息的組成。

  在Web2世界中的PII的定義還要有一些澄清。在NIST特別公開(kāi)的800-122定義為“個(gè)人的PII的代理維護(hù)的任何信息,包括(1)可用于識(shí)別或跟蹤一個(gè)人身份的任何信息,如姓名,社會(huì)安全號(hào)碼,出生日期和地點(diǎn),母親的婚前姓名或生物記錄;以及(2)其他任何鏈接或鏈接到的個(gè)人信息,如醫(yī)療、教育、金融和就業(yè)的信息?!?/p>

  當(dāng)我們超越了筆記本電腦和數(shù)字化的對(duì)象和環(huán)境,我們將從不同的環(huán)境中整合不同的貨幣化數(shù)據(jù)集,而“個(gè)人身份”可能是遠(yuǎn)不如黑與白那么簡(jiǎn)單。

  可以明確的是,傳感技術(shù)的架構(gòu)來(lái)自于感測(cè)物理的現(xiàn)實(shí):位置,加速度,溫度,心率,濕度,聲音,光線,位置……這樣的例子不勝枚舉。而當(dāng)這些數(shù)據(jù)輸入時(shí),可能從中看出許多問(wèn)題。

  Fitbit公司可以跟蹤步驟和心率產(chǎn)生數(shù)據(jù),顯示其用戶的活動(dòng)方式,例如。該公司很快就做出了這樣的數(shù)據(jù),最初默認(rèn)設(shè)置為公開(kāi)的。

  不管穿越時(shí)空的個(gè)人的運(yùn)動(dòng)和活動(dòng)“鏈接或可鏈接”是否清楚,無(wú)論是在法律面前,還是在那些收集數(shù)據(jù)的目光之下,人們并不清楚最終用戶生成的數(shù)據(jù):

  ·家庭住址的來(lái)往人員的個(gè)人身份?

  ·個(gè)人的開(kāi)車(chē)的方式識(shí)別個(gè)人身份?

  ·對(duì)生物刺激的反應(yīng)的個(gè)人身份識(shí)別?

  廣告商,保險(xiǎn)公司,制造商,零售商和雇主都爭(zhēng)先恐后地爭(zhēng)取盡可能多的經(jīng)驗(yàn)背景,但在這里人們能用技術(shù)限制人類(lèi)的情感嗎?

  雖然沒(méi)有一個(gè)組織能夠明確地回答這些問(wèn)題,每一個(gè)方面,它是在分析中使用的情況下產(chǎn)生這樣的數(shù)據(jù),以及如何管理和保護(hù)這些數(shù)據(jù)的含義的最佳利益。在數(shù)據(jù)泄漏,數(shù)據(jù)醫(yī)療事故或相關(guān)危機(jī)的情況下,這種規(guī)劃和文件將有助于企業(yè)在法庭上有更好的表現(xiàn)。由于企業(yè)爭(zhēng)相收集盡可能多的數(shù)據(jù),他們必須考慮這些數(shù)據(jù)的收集和應(yīng)用和集成數(shù)據(jù)所造成的意外和后果。

  問(wèn)題反映了需要一個(gè)新的物聯(lián)網(wǎng)安全方法現(xiàn)實(shí)

  有各種各樣的資源組織可以訪問(wèn),以幫助這些問(wèn)題,但對(duì)物聯(lián)網(wǎng)安全的方法會(huì)有所不同。為了幫助尋求真正安全的“智能系統(tǒng)”,Harbo研究機(jī)構(gòu)已經(jīng)制定了三個(gè)步驟來(lái)指導(dǎo)組織在其方法物聯(lián)網(wǎng)的安全性。

  雖然上述問(wèn)題是一個(gè)物聯(lián)網(wǎng)的安全策略中,人們可能已經(jīng)猜到他們遠(yuǎn)離容易回答的復(fù)選框。企業(yè)必須首先評(píng)估現(xiàn)有的基礎(chǔ)設(shè)施,目前的發(fā)展舉措(包括產(chǎn)品,過(guò)程和人),并為這些大型企業(yè)調(diào)整安全和隱私保護(hù)戰(zhàn)略。

  具有前瞻性的物聯(lián)網(wǎng)安全策略將從產(chǎn)品設(shè)計(jì)開(kāi)始,而像物聯(lián)網(wǎng)本身一樣,他們將在產(chǎn)品、服務(wù)、利益相關(guān)者、客戶細(xì)分、威脅向量和生命周期等方面進(jìn)行超越。

人物訪談