如何保障物联网的安全?
发布日期:2018-05-10工业物联网(IIoT)面临的风险要高得多。从全球制造行业到发电和配电基础设施,物联网设备可能会大大增加企业的运营风险。最近有关黑客侵入美国电厂控制系统的报道表明人们需要对此高度警惕。
幸运的是,网络安全仍然是涉足物联网和工业物联网企业的头等大事,或者考虑如何保障物联网的安全这种举措。研究公司451 Research最近进行的一项调查发现,在企业内部署物联网项目时,安全仍然是IT专业人员需要解决的主要问题。该公司在全球范围内对600多名IT决策者进行了在线调查,并通过深入的电话访谈对其调查研究进行了补充。
当被问及他们的组织考虑采用哪些技术或流程来实现当前或计划的物联网举措时,55%的受访者将物联网的安全性列为他们的首要任务。企业将安全能力视为选择商业物联网平台的首要原因,58%的受访者将其列为选择供应商合作伙伴的首选因素。
报告称,物联网部署的性质使得企业难以抵御网络威胁。随着工业设备越来越多地连接到互联网进行数据收集和分析,企业开始熟悉复杂的安全世界。
据451 Research公司分析师的分析,一些企业领导者一直对物联网的应用采取观望态度,因为他们认为风险对于潜在回报率来说依然过高。但对于那些开展物联网项目的企业来说,安全必须是重中之重。
为了确保物联网和工业物联网的强大安全性,根据IEEE在2017年报告中的建议,企业将会明智地实施若干最佳实践。
物联网设备安全
还有一个问题就是如何确保设备本身安全。某些设备或设施可能无人值守地运行,因此不受频繁的安全性影响。报告称,使这些设备防篡改可能是有利的,因为这种类型的端点强化可以帮助阻止潜在的入侵者获取数据。它也可能抵御黑客或其他网络犯罪分子的攻击。
作为一种最佳实践,安全端点强化可能意味着部署一种分层方法,要求攻击者绕过多重障碍,旨在保护设备及其数据免遭未经授权的访问和使用。企业应该保护已知的漏洞,如开放的TCP/UDP端口,开放的串行端口,开放的密码提示,Web服务器、未加密的通信、无线连接等注入代码的位置。
另一个保护设备的办法是根据需要升级或部署安全补丁。但请记住,许多设备供应商在构建和销售设备时并不关注安全性。正如调查报告指出的那样,许多物联网设备被破坏后是不可修补的,因此无法保证安全。在投资的设备采用工业物联网之前,需要评估设备的安全功能,并确保供应商对设备进行彻底的安全测试。
当物联网设备试图连接到网络或服务时,要小心地管理物联网设备的身份验证,以确保信任是非常重要的。公钥基础设施(PKI)和数字证书为物联网设备身份和信任提供了安全基础。
物联网网络安全
除了设备之外,企业还需要确保他们用于物联网和工业物联网的网络安全。这包括使用强大的用户认证和访问控制机制,以确保只有授权用户才能访问网络和数据。
IEEE注意到,密码必须足够复杂以应对猜测和强力破解的方法。只要有可能,组织应该使用双因素身份验证(2FA),这需要用户输入密码,以及使用另一个验证因素,例如通过SMS文本消息生成的随机代码。
对于物联网应用程序,使用上下文感知身份验证(或自适应身份验证)是一个好主意。这包括使用上下文信息和机器学习算法在不影响用户体验的情况下不断地评估风险。
使用强大的加密来保护协议是另一个很好的网络安全措施。设备之间的任何通信都可能遭到黑客攻击,物联网和工业物联网都涉及各层使用的大量网络协议。使用网络层和传输层加密可以为基于网络的攻击设置多重障碍。
如何保护数据
企业还需要保护物联网和工业物联网的数据。许多连接的物联网设备将存储和传输敏感的个人身份信息,这些数据需要得到强有力的保护。未能保护这些数据的企业可能不仅会面临不利的业务影响,还会受到监管处罚。应用程序和用户数据应在传输和空闲时加密。
良好的安全性也意味着拥有强大的安全运营政策,以及针对正在或将要参与物联网和工业物联网环境的任何人的全面培训计划。粒度审计跟踪、端点异常检测以及响应式取证安全能力也是确保检测到任何违规行为的关键要素,并且在蔓延之前采取有效且及时的补救措施。
这很可能看起来像网络安全协议常识,但许多组织缺乏有效实施这些措施的资源和纪律。鉴于这些高度连接的基础设施的广泛范围和广度,组织需要将其安全计划提升到一个全新的水平,以便为获得物联网带来的好处做好准备。
本文转自中国物联网
相关资讯推荐:
沃通WoSign CA提供基于PKI技术的数字证书,实现物联网设备身份认证、数据传输加密,保护数据的完整性、机密性,为物联网生态建立可靠的在线安全和在线信任。