數(shù)字化轉型時代的物聯(lián)網(wǎng)安全最佳實踐

數(shù)字化轉型是一種強大的業(yè)務結構，可提高生產(chǎn)力、增強客戶體驗并增加全球收入。它正在徹底改變我們在全球化世界中開展業(yè)務的方式。不幸的是，它并不總是安全的。

惡意軟件、病毒、數(shù)據(jù)泄露和其他對所有類型的物聯(lián)網(wǎng)設備（從設備傳感器和攝像機到電網(wǎng)關鍵控制）的惡意攻擊都暴露在在線攻擊中，這些攻擊可能會危及個人，更具影響力的重要制造和基礎設施。事關重大。顯而易見的是，保護物聯(lián)網(wǎng)設備的責任主要落在設備制造商身上。標準、指南和法規(guī)針對制造商，這些制造商似乎最適合在生產(chǎn)的最初階段解決安全問題，以保護數(shù)據(jù)、設備、通信和整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)。

那么，物聯(lián)網(wǎng)設備制造商甚至運營商如何保護他們的設備，以便在投入使用時受到保護呢？讓我們來看看所有類型的物聯(lián)網(wǎng)設備可以采用物聯(lián)網(wǎng)安全來保護我們的互聯(lián)未來的一些最佳和最常見的方式（編者注：嵌入式計算設計將于 3 月 26 日在加利福尼亞州圣克拉拉舉辦第三屆年度物聯(lián)網(wǎng)設備安全會議）。

物聯(lián)網(wǎng)安全從 PKI 開始

前段時間，人們擔心公鑰基礎設施（PKI）是否是物聯(lián)網(wǎng)安全的最佳選擇。這個問題早已得到解決，PKI已成為物聯(lián)網(wǎng)設備事實上的憑證。

PKI增加了真正的價值。作為一個封閉、安全的系統(tǒng)構建，其核心功能是識別和驗證、加密和解碼，并安全地與屬于其信任網(wǎng)絡的人員進行通信。PKI 系統(tǒng)的骨干是數(shù)字證書，它為每個設備提供經(jīng)過身份驗證的身份。它受跨平臺和網(wǎng)絡驗證身份的 X.509 證書的支持，可用于從制造點到供應鏈再到現(xiàn)場部署來管理受信任的身份。

利用經(jīng)過驗證的 PKI 技術來識別設備、加密通信并確保數(shù)據(jù)完整性，確保頒發(fā)強大、獨特的設備身份，成為保護數(shù)據(jù)、設備、網(wǎng)絡和整個生態(tài)系統(tǒng)的關鍵。

安全源于設計

安全性作為產(chǎn)品設計的一個組成部分，可以在安全問題在現(xiàn)場變得麻煩之前解決它們。解決如何識別物聯(lián)網(wǎng)設備、如何連接、將使用哪種類型的通信以及需要保護哪種類型的數(shù)據(jù)是嚴肅的考慮因素。產(chǎn)品發(fā)貨后的附加安全性不可避免地會在保護方面留下不可預見的空白。將安全性作為物聯(lián)網(wǎng)產(chǎn)品設計和開發(fā)設計階段的一部分，可以正面解決問題，這些問題可以充分考慮。

制定策略

由共享評估贊助的Ponemon Institute研究最近報告稱，只有43%的公司采取全面措施來保護物聯(lián)網(wǎng)數(shù)據(jù)和資產(chǎn)。43%！據(jù)估計，到 2025 年，連接設備將達到 775 億臺，這意味著超過 430 億臺設備將得不到足夠的保護。貝恩公司的進一步研究表明，臨時網(wǎng)絡安全不可避免地會導致可衡量的保護差距。因此，最好的建議是起草和應用包容性網(wǎng)絡安全計劃，使其全面，并分配其實施責任。這確保了事先考慮保護方法、衡量手段以及實施和后續(xù)行動的問責制。事后對數(shù)據(jù)泄露做出反應的成本將遠遠超過花在預防性規(guī)劃和管理上的資金。

獲得專業(yè)協(xié)助

并非每個物聯(lián)網(wǎng)設備制造商或運營商都擁有成功實施PKI和設備標識協(xié)議所需的內(nèi)部資源。這可能是一個復雜的話題。毫不奇怪，不正確的實現(xiàn)可能與根本沒有它一樣妥協(xié)。定義、調(diào)試和管理不善的 PKI 幾乎無法提供可靠的安全性。缺乏合格的PKI專家也可能使內(nèi)部部署成為一項挑戰(zhàn)。商業(yè)級設備標識平臺和 PKI 專業(yè)人員的協(xié)助可以簡化設置和管理、降低實施成本并促進集成，從而加快上市時間，從而為您帶來競爭優(yōu)勢。但是，請確保與您合作的公司專門關注 IoT 設備標識，并且了解 IoT 特定數(shù)字證書、證書頒發(fā)機構、設備注冊（注冊機構）、設備標識生命周期管理和證書吊銷（驗證機構）的各個方面。

策略定義和實施

注冊機構 （RA） 的安全影響不容忽視。PKI 在 IoT 安全方面的一個關鍵成功因素是能夠建立設備身份驗證策略，這些策略在設備注冊時通過 RA 強制執(zhí)行。通過設置嚴格的注冊策略，可以保護網(wǎng)絡免受攻擊，僅注冊具有強大唯一標識的經(jīng)過身份驗證的設備。具有前瞻性的物聯(lián)網(wǎng)身份提供商和證書頒發(fā)機構開始將注冊機構作為其身份平臺的一部分提供服務。這些 RA 具有管理豐富的功能，使用戶能夠自定義配置證書配置文件，定義、設置、管理和存儲設備驗證規(guī)則，并在設備生命周期內(nèi)以其他方式管理設備身份。托管 RA 服務可以簡化、優(yōu)化和進一步加強公司注冊、保護和管理其基于 PKI 的設備身份的方式。

物聯(lián)網(wǎng)安全的分層方法

物聯(lián)網(wǎng)安全就是在多個接觸點保護身份、數(shù)據(jù)和通信;設置設備身份驗證策略并在注冊期間強制執(zhí)行這些策略;創(chuàng)建強大的獨特數(shù)字身份，并在其整個生命周期中管理這些身份;通過安全加密保護數(shù)據(jù)完整性和通信。這意味著將安全性納入設備的初始設計中，使用適當?shù)墓ぞ邅肀Ｗo它，制定有凝聚力的網(wǎng)絡安全策略，并在需要時利用專業(yè)知識。

最后，它不是一個特定的技巧、工具或技術，可以在每家公司各自的數(shù)字化轉型期間確保物聯(lián)網(wǎng)安全。相反，物聯(lián)網(wǎng)安全的成功在于我們在每一步、每個連接點、集成和通信點所采用的方法。它存在于我們的產(chǎn)品規(guī)劃、網(wǎng)絡安全戰(zhàn)略和對它們的遵守，以及對集成細節(jié)的一絲不茍的關注中。所有與物聯(lián)網(wǎng)相關的開發(fā)人員、設計師、制造商、運營商、集成商和技術平臺都有責任了解物聯(lián)網(wǎng)帶來的獨特挑戰(zhàn)，并找到保護所有參與者的方法，以便我們所有人都能在互聯(lián)世界中茁壯成長。

審核編輯：郭婷