现在智能连接设备广泛部署在我们的家庭或工作环境中,这些设备很棒,但它们也暴露出许多新的威胁面,“安全设计”框架可以提供良好的保护解决方案。该框架是硬件和软件开发中的一组原则,将安全性作为设计和开发过程中的核心关注点。从恒温器到安全系统,甚至厨房用具,我们越来越多地在家里装满“智能”/联网设备,而不仅仅是老式计算机。企业在线提供一系列流程、对象和空间,以拓展智能服务的潜力。物联网(IoT)具有巨大的潜力,但连接万物有副作用:增加脆弱性。我们必须考虑物联网网络安全的基本原则,以保护我们自己的个人隐私甚至企业安全。其中最受关注的是“设计安全”概念和设备安全认证方案。IoT设备安全101保护IoT设备的关键步骤包括以下做法:执行例行更新。制造商会不时发布更新,通过软件提高其产品的安全性。产品到手后,快速安装更新将有助于保护您免受最近发现的威胁。但请记住,错误的更新可能会暴露新的安全漏洞。控制访问。考虑您是否需要连接到Internet才能使用该设备。如果您不需要连接,则只需授予对家庭网络的访问权限。关闭通用即插即用。UPnP是路由器、相机、打印机和其他设备的弱点。同时,安全的互操作性是物联网的必要条件。改进密码。密码必须足够长,建议使用字母数字,避免重复,尤其是字典单词和个人相关的名字。许多设备目前都带有令人难以置信的可怕密码,例如“admin”和“password”,因此请咨询您的硬件供应商以保护您的IoT端点。保护您的连接。如果您想提高使用专用网络将设备连接到Internet时的稳定性,请确保您使用的是合适的设备类型。设计安全与设计隐私除了了解设备可以采取的几个步骤外,选择遵循设计安全的制造商也很有帮助。设计安全性是硬件和软件开发中的一组原则,侧重于保护系统和降低潜在风险。遵循这些原则可以让制造商知道他们正在保护用户并遵守欧盟的通用数据保护条例(GDPR)。使用这种方法构建的系统包含诸如坚持编码实践、实施身份验证保护和部署持续测试等元素。设计安全性如此重要的关键原因在于,软件通常首先考虑其功能,安全性成为次要问题,开发人员必须将安全漏洞作为持续关注的问题来构建它,而不是针对安全性进行优化。通过设计安全,您可以确保制造商能够有效快速地解决安全问题。安全设计包括以下原则:安全默认值。以标准方式打造安全体验。如果需要,允许用户取消保护。正确修复安全问题。请注意设计模式,这可能会在您尝试修复代码时引入回归,所有相关应用程序都需要进行测试。保持安全和简单。保持代码尽可能简单也可以更容易地减少威胁区域。纵深防御原则。虽然只有一个控件可能是合理的,但添加更多控件可以使您的防御更加深入。最小特权原则。应为帐户授予尽可能低的权限级别以完成其业务功能。不要相信服务。您可以利用外部提供商进行处理,但请记住,默认情况下不应信任服务。通过隐藏来避免安全。您不应该试图通过隐藏关键细节来保护关键数据,但这是一种不充分的安全控制。职责分离。通常,管理员不应该是应用程序的用户。验证失败。验证您的代码在默认情况下不会使用户成为管理员。尽量减少受到威胁的区域。受到威胁的区域应尽可能地受到限制,所有特征都会增加风险。设计隐私是GDPR中的一个概念,类似于设计安全。隐私设计的两个核心要素是:数据默认受到保护。数据控制者应仅在必要时存储数据,仅应在必要的范围内处理数据,并且应仅处理必要的特定数据;通过设计保护数据。数据控制者应通过实施假名化和其他保护措施尽可能限制个人数据的处理。查找认证虽然设计安全原则有助于理解设备制造商的期望,但如果您只查找遵循这些原则的认证,就会容易得多。ThingsCon和Mozilla提出了一个专注于安全和隐私的TrustedTechnology标志。ThingsCon的分析师使用五个主要标准衡量产品:开放性。是否生成或使用了开放数据?制造商和设备的流程是否公开?稳定。可以预期什么样的生命周期?设备的稳定性如何?透明度。如何使用数据以及设备如何与消费者通信?隐私。是否尊重用户权利?数据实践是否引领潮流?安全。安全实践和保护措施是否反映了当前环境?另一个认证项目是爱立信和AT&T的网络安全认证项目。该系统收集有关物联网威胁的信息并将其发送给设备制造商,使这些公司及其开发人员能够快速找到并修复任何漏洞。保护物联网据麦肯锡称,到2025年,物联网每年将产生3.9万亿至11.1万亿美元的经济影响。然而,巨大的回报伴随着巨大的风险。通过考虑上述做法,并通过设计和认证计划了解安全性,您可以更好地了解如何安全地推进物联网项目或购买设备。
