物聯(lián)網(wǎng)安全需要了解哪一些事

如果沒有安全漏洞，物聯(lián)網(wǎng)將讓我們的生活更輕松。

（1）安全、信任和數(shù)據(jù)完整性

物聯(lián)網(wǎng)的出現(xiàn)正在改變我們的個(gè)人技術(shù)安全模式，并且將改變客戶／業(yè)務(wù)互動(dòng)的游戲規(guī)則，部分原因是由于可用數(shù)據(jù)的范圍廣泛以及收集這些數(shù)據(jù)的設(shè)備數(shù)量龐大。管理咨詢機(jī)構(gòu)麥肯錫公司估計(jì)，到2025年，物聯(lián)網(wǎng)生態(tài)系統(tǒng)將產(chǎn)生6萬億美元的價(jià)值。成功的物聯(lián)網(wǎng)產(chǎn)品依賴于對企業(yè)和消費(fèi)者的利益感知，同時(shí)創(chuàng)建了安全，信任和數(shù)據(jù)完整性的相對應(yīng)的基礎(chǔ)。物聯(lián)網(wǎng)技術(shù)可以降低數(shù)據(jù)安全風(fēng)險(xiǎn)，同時(shí)改善連接世界的客戶體驗(yàn)。

在每一個(gè)公司的最佳利益方面，“妥善處理”物聯(lián)網(wǎng)是正確的，這將意味著加快安全措施，以捕捉并確保良好的客戶體驗(yàn)。Genesys公司產(chǎn)品管理總監(jiān)Jack Nichols提供了六種方法和措施。

（2）證明“嵌入”安全的業(yè)務(wù)費(fèi)用

與所有技術(shù)一樣，物聯(lián)網(wǎng)的安全考慮應(yīng)該嵌入從開始到部署的每個(gè)開發(fā)階段。一些組織很難證明新的安全舉措會(huì)伴隨著時(shí)間和費(fèi)用的增加而相應(yīng)提高，或堅(jiān)持不間斷的最佳做法實(shí)施。每個(gè)人都想要奇妙的新功能，但是很多人都對其價(jià)格和操作復(fù)雜性有些疑慮。安全性成為一個(gè)事后的想法，在處理結(jié)束時(shí)得到解決，如果有的話。同樣，組織應(yīng)該意識(shí)到，如何處理其物聯(lián)網(wǎng)安全性目前有許多法律意義。更重要的是，“客戶體驗(yàn)”是企業(yè)業(yè)務(wù)差異化的關(guān)鍵，忠實(shí)的客戶將對可信賴的企業(yè)花費(fèi)更多的資金。

（3）測試，測試，再測試

根據(jù)最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，80％的物聯(lián)網(wǎng)應(yīng)用程序沒有針對安全漏洞進(jìn)行測試。這代表了數(shù)量驚人的端點(diǎn)數(shù)，具有很大的風(fēng)險(xiǎn)。在開發(fā)物聯(lián)網(wǎng)應(yīng)用程序和服務(wù)時(shí)，需要進(jìn)行連續(xù)的內(nèi)部和第三方漏洞分析和滲透測試。請記住，將安全性放在產(chǎn)品開發(fā)周期中更好，而不是在事后進(jìn)行。如果企業(yè)在市場上推出不安全的物聯(lián)網(wǎng)系統(tǒng)，那么在冒險(xiǎn)的消費(fèi)者信任中，企業(yè)將面臨一切風(fēng)險(xiǎn)。

（4）遠(yuǎn)程管理物聯(lián)網(wǎng)安全操作

就目前而言，大量的物聯(lián)網(wǎng)產(chǎn)品制造商和應(yīng)用程序開發(fā)人員依靠最終用戶來安裝更新并配置安全設(shè)置，這是不明智的。在理想情況下，企業(yè)應(yīng)盡快遠(yuǎn)程推送安全補(bǔ)丁和更新，以防止產(chǎn)生漏洞。根據(jù)最新版本的物聯(lián)網(wǎng)信任框架，這些更新必須被簽名和／或以其他方式驗(yàn)證為來自可信來源。更新和修補(bǔ)程序不應(yīng)修改用戶配置的首選項(xiàng)，安全性和／或隱私設(shè)置，而無需用戶通知。自動(dòng)化更新增加了客戶信任，因?yàn)槠髽I(yè)措施到位，同時(shí)仍然為用戶提供批準(zhǔn)，授權(quán)或拒絕更改的能力。

（5）建議加強(qiáng)加密

在新的物聯(lián)網(wǎng)信托框架中也建議加強(qiáng)加密。通過確保企業(yè)物聯(lián)網(wǎng)服務(wù)中使用的任何支持網(wǎng)站完全加密用戶會(huì)話（從設(shè)備到后端），向客戶展示企業(yè)所關(guān)心的隱私。目前的最佳做法默認(rèn)情況下包括HTTPS或HTTP嚴(yán)格傳輸安全性（HSTS），也稱為AOSSL或Always On SSL。此外，“設(shè)備應(yīng)包括可靠地認(rèn)證其后端服務(wù)和支持應(yīng)用程序的機(jī)制。

（6）透明度問題

美國聯(lián)邦貿(mào)易委員會(huì)對Visio公司收集和銷售其智能電視擁有者數(shù)據(jù)進(jìn)行了處罰。最近的一篇IEEE物聯(lián)網(wǎng)文章談到，良好的透明度原則并不排除物聯(lián)網(wǎng)，但需要了解物聯(lián)網(wǎng)系統(tǒng)中的隱私威脅是獨(dú)一無二的，三方面的輸入需要透明的披露：

？收集或生成的個(gè)人數(shù)據(jù)。

？對該信息執(zhí)行數(shù)據(jù)操作。

？收集，生成，處理，披露和保留此個(gè)人資料的內(nèi)容。

這不僅僅是一個(gè)企業(yè)在消費(fèi)者基礎(chǔ)上做正確的問題。例如，歐洲的一般數(shù)據(jù)保護(hù)條例（GDPR）尋求可驗(yàn)證的消費(fèi)者協(xié)議，以便通過通知和同意來管理這三項(xiàng)輸入。一般來說，最好在企業(yè)網(wǎng)站上易于發(fā)現(xiàn)的位置聲明企業(yè)數(shù)據(jù)收集實(shí)踐以及隱私權(quán)，安全性和支持政策，可在購買或服務(wù)選擇之前進(jìn)行審核。此外，如果用戶拒絕同意，需要透露哪些內(nèi)容和哪些功能將無法實(shí)現(xiàn)。

采用邊緣分析，并最大限度地減少傳輸中的敏感數(shù)據(jù)量

連接一切的副產(chǎn)品是創(chuàng)造了大量有價(jià)值的客戶數(shù)據(jù)，這非常令人吃驚，同時(shí)又潛在著危險(xiǎn)。除了保護(hù)數(shù)據(jù)倉庫之外，還有一個(gè)問題，就是在傳輸和移動(dòng)數(shù)據(jù)時(shí)需要保護(hù)大量的數(shù)據(jù)。使用物聯(lián)網(wǎng)應(yīng)用程序，由于信息從物聯(lián)網(wǎng)端點(diǎn)傳輸?shù)皆朴?jì)算并分析，因此總是存在暴露和攔截威脅的風(fēng)險(xiǎn)。但目前將一些計(jì)算轉(zhuǎn)移到物聯(lián)網(wǎng)端點(diǎn)并僅傳輸規(guī)定信息的趨勢，減少了傳輸中潛在敏感的原始數(shù)據(jù)的數(shù)量。雖然邊緣計(jì)算的參數(shù)通常圍繞增加實(shí)時(shí)功能和節(jié)省與機(jī)器學(xué)習(xí)和人工智能，而減少客戶數(shù)據(jù)的曝光是一個(gè)額外的好處。