连接更多的事物改变了我们安全的方式。随着人,物,基础设施和物理世界的环境日益变得更加数字化,安全方法需要一个转变,即从IT安全架构向物联网安全体系结构的转变。
企业必须考虑许多根本性的转变,成功地过渡到这种新的架构和思维方式。并需要开始理解为什么物联网的安全性是不同于“传统”的IT安全,在任何行业所有类型的组织,应该开始考虑三个关键问题:
问题1:我们在试图保护什么?
就其本质而言,物联网不是单一的技术,一个业务单位或一个垂直行业。更确切地说,在企业或消费者环境中部署和连接设备、对象或基础设施,本质上意味着多个端点之间的连接。任何连接的应用,无论是一个在家庭连接的温控器还是用于风力涡轮机的传感器,这其中包括一些配置的设备,应用程序,网络,当然也包括人员。
当面临表面的威胁时(即潜在的脆弱性的景观),组织必须评估风险的“物联网安全堆栈”,这些领域不只是技术系统组件,而且还包括参与系统的人和组织内部,以及合作伙伴。
虽然设备、应用程序和网络(技术)安全是维护任何连接事物的核心,人员安全的另一个重要方面却往往被忽视。密码安全、BYOD环境、员工流失、缺乏安全培训、简单的人为错误,在任何系统中呈现人员动态也是诸多风险之一。请记住,物联网的系统安全取决于其最薄弱的端点。使人们有助于增强安全性。
物联网安全协议堆栈
要了解在安全保护最充分的情况下,需要采取组织全面清查,不只是其专有的终端点,设备和系统,还有所有相关联的设备,应用,网络,用户和支持者。而“我们在保护什么?”的出发点是:
1.确定这个生态系统
2.确定传感器和数据如何添加到产品或基础设施中,并将数据收集到一个生态系统中。
这是制定安全战略关键的第一步
问题2:如果我们的“智能”系统被攻破,会发生什么?
在紧急的情况下,会发生什么?如今,许多人和许多企业都没有任何想法,不管是正式的还是分布式计划,,他们应该发现自己在数据,系统或人身安全紧急情况,违约,黑客或其他妥协时发生的事情。企业内部有明确的意义:
·威胁表面是什么
·与技术和系统组件相关联的地方在哪里
·实际的威胁是什么
·可能产生威胁的地方
·如何来缓解这些威胁
·当问题发生时如何鉴别
·合作伙伴被泄露时如何对事件做出响应
·如何阻止,分析,分类和沟通的问题
他们对于外部通信有关数据相关的危机还应该有一个正式的计划,这其中包括合作伙伴和媒体,最重要的是客户和终端用户。
作为安全从业人员,其计划是什么?他们必须认识到物联网的安全性要求,同时应对传统和新兴的安全的多方面的挑战。首先,组织必须满足传统的安全挑战与传统的架构和环境。接下来,他们必须解决当前一代的技术,云特征,社会和移动的挑战。最后,随着新技术的出现,计算的交互和界面扩散,这些因素相互作用推动全新的经济体的发展,企业有义务竭尽所能试图解决这种数字化的意外事件以及未知的后果。
问题3:个人身份信息意味着什么?
几乎每一个连接的环境都涉及到一些个人身份信息的元素,也被称为PII。如果没有数据传输,则数据集成。但在物联网的安全性和隐私的思考,需要人们重新考虑个人身份信息的组成。
在Web2世界中的PII的定义还要有一些澄清。在NIST特别公开的800-122定义为“个人的PII的代理维护的任何信息,包括(1)可用于识别或跟踪一个人身份的任何信息,如姓名,社会安全号码,出生日期和地点,母亲的婚前姓名或生物记录;以及(2)其他任何链接或链接到的个人信息,如医疗、教育、金融和就业的信息。”
当我们超越了笔记本电脑和数字化的对象和环境,我们将从不同的环境中整合不同的货币化数据集,而“个人身份”可能是远不如黑与白那么简单。
可以明确的是,传感技术的架构来自于感测物理的现实:位置,加速度,温度,心率,湿度,声音,光线,位置......这样的例子不胜枚举。而当这些数据输入时,可能从中看出许多问题。
Fitbit公司可以跟踪步骤和心率产生数据,显示其用户的活动方式,例如。该公司很快就做出了这样的数据,最初默认设置为公开的。
不管穿越时空的个人的运动和活动“链接或可链接”是否清楚,无论是在法律面前,还是在那些收集数据的目光之下,人们并不清楚最终用户生成的数据:
·家庭住址的来往人员的个人身份?
·个人的开车的方式识别个人身份?
·对生物刺激的反应的个人身份识别?
广告商,保险公司,制造商,零售商和雇主都争先恐后地争取尽可能多的经验背景,但在这里人们能用技术限制人类的情感吗?
虽然没有一个组织能够明确地回答这些问题,每一个方面,它是在分析中使用的情况下产生这样的数据,以及如何管理和保护这些数据的含义的最佳利益。在数据泄漏,数据医疗事故或相关危机的情况下,这种规划和文件将有助于企业在法庭上有更好的表现。由于企业争相收集尽可能多的数据,他们必须考虑这些数据的收集和应用和集成数据所造成的意外和后果。
问题反映了需要一个新的物联网安全方法现实
有各种各样的资源组织可以访问,以帮助这些问题,但对物联网安全的方法会有所不同。为了帮助寻求真正安全的“智能系统”,Harbo研究机构已经制定了三个步骤来指导组织在其方法物联网的安全性。
虽然上述问题是一个物联网的安全策略中,人们可能已经猜到他们远离容易回答的复选框。企业必须首先评估现有的基础设施,目前的发展举措(包括产品,过程和人),并为这些大型企业调整安全和隐私保护战略。
具有前瞻性的物联网安全策略将从产品设计开始,而像物联网本身一样,他们将在产品、服务、利益相关者、客户细分、威胁向量和生命周期等方面进行超越。
为您推荐
随着加快推动电信、广电和互联三网融合决定的出台,沪深两市科技股被群体激活,不仅是上述三类被融合的相关网络行业大幅上涨,市场中凡是带网的板块也极度红火,其中,物联网、智能电网表现最为出众,连带融合的大网被投资者称为“新三网”。据统计,上周通信、电子信息、数字电视、计算机、物联网、智能电网等6类板块累计资金净流入高达186.44亿元,显示出市场资金对上述板块有很高的参与三网融合第一创业认为,包括天威视讯、电广传媒、歌华有线、广电网络等在内的有线电视企业将打开于电信业务的新市场,受益程度最大。中国联通等电信运营商将通过提供基于影视节目的新型增值服务增加服务种类。中兴通
近日,国务院常务会议决定加快推进电信网、广播电视网和互联网三网融合并给予政策支持。三网融合设定了阶段性目标:2010年至2012年重点开展广电和电信业务双向进入试点;2013年至2015年,全面实现三网融合发展,普及应用融合业务,基本形成适度竞争的网络产业格局。“三网融合”主要是指电信网、计算机网和有线电视网高层业务应用的融合,在网络上可以实现互联互通,趋向使用统一的IP协议。三网融合不是新概念,提了足足有多少年了,而每次都是雷声大雨点小,电信和广电在各自领域里互不相让,比如两家为抢占家庭终端——电视,分别就形成了有线电视和IPTV水火不容的两种替代性极强的业务形态,这各行其道的做法使得三网融
拓展数字电视增值业务增值业务在广电领域有着非常宽泛的范围,除了基本收费包之外的业务,都称作增值业务。当前数字电视的增值业务还处于摸索阶段,除了EPG广告和股票业务较为成功之外,其他增值业务受限于单向机顶盒的广泛部署和体制及市场等因素,业务发展一直不尽如人意。但是,增值业务宽泛、自由的定义,让广电人在面对各种令人眼花缭乱、蓬勃发展的互联网业务冲击时,无法不相信增值业务的灿烂未来和巨大的潜在盈利空间。换句话说,互联网的成功案例和未来,让已经占据了客厅娱乐市场的广电运营商对三网融合趋势下的增值业务充满了想象和信心。另一方面,IPTV业务和网络电视带来的威胁,让数字电视运营商也不得不试图通过增值业务来
3月19日,中国工程院院士邬江兴在上海“NGB高峰论坛”介绍了《NGB战略研究报告》(以下简称“《报告》”)的主要内容。这一报告由NGB专家组撰写完成,并将在今天(3月22日)的CCBN主题报告上正式发布。在这一报告中,颇有几个令人兴奋的亮点,暂在此谈一两点自己粗浅的看法。NGB:广播与IP四种模式并存之前对NGB的定义是:NGB是以有线电视数字化和移动多媒体广播电视(CMMB)的成果为基础,以自主创新的“