隨著物聯(lián)網(wǎng)應(yīng)用成為關(guān)鍵任務(wù)，安全性至關(guān)重要。就其本質(zhì)而言，物聯(lián)網(wǎng)生態(tài)系統(tǒng)在多個(gè)層面上容易受到安全威脅。面對(duì)不斷變化的環(huán)境，物聯(lián)網(wǎng)生態(tài)系統(tǒng)的開(kāi)發(fā)人員需要一種敏捷的安全方法，以便快速響應(yīng)新出現(xiàn)的威脅。設(shè)備制造商和生態(tài)系統(tǒng)開(kāi)發(fā)人員都必須制定簡(jiǎn)單、可擴(kuò)展和可持續(xù)的物聯(lián)網(wǎng)安全策略，以實(shí)現(xiàn)短期和長(zhǎng)期業(yè)務(wù)目標(biāo)。

物聯(lián)網(wǎng)安全無(wú)疑是一個(gè)復(fù)雜的領(lǐng)域，需要專業(yè)的安全專業(yè)知識(shí)。組織必須決定是保留這一稀缺資源，同時(shí)對(duì)持續(xù)培訓(xùn)進(jìn)行相關(guān)投資，還是與能夠在整個(gè)開(kāi)發(fā)周期中提供所需支持的外部組織合作。

安全和質(zhì)量保證

軟件行業(yè)中現(xiàn)有的全面質(zhì)量管理（TQM）流程已經(jīng)解決了安全問(wèn)題，ISO-27001信息安全標(biāo)準(zhǔn)中體現(xiàn)的計(jì)劃，執(zhí)行，檢查，行動(dòng)流程（圖1）被很好地理解為一種安全的開(kāi)發(fā)方法。

圖 1：計(jì)劃、執(zhí)行、執(zhí)行、檢查 （PDCA） 開(kāi)發(fā)過(guò)程。

物聯(lián)網(wǎng)生態(tài)系統(tǒng)的開(kāi)發(fā)人員還必須通過(guò)獨(dú)立公共機(jī)構(gòu)的審查來(lái)證明對(duì)相關(guān)法規(guī)和標(biāo)準(zhǔn)的遵守情況。相關(guān)標(biāo)準(zhǔn)包括信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)（ISO/IEC 15408）;美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)出版物（FIPS）;以及基線安全認(rèn)證（CSPN），由法國(guó)國(guó)家安全機(jī)構(gòu)ANSI運(yùn)營(yíng)。在歐盟內(nèi)部，產(chǎn)品、流程和服務(wù)通過(guò)歐洲網(wǎng)絡(luò)安全認(rèn)證流程進(jìn)行認(rèn)證，該流程由歐洲網(wǎng)絡(luò)信息安全局擁有。此過(guò)程基于CSPN和證書(shū)的成功。..一旦發(fā)行，它們將在整個(gè)聯(lián)盟中得到認(rèn)可。

因此，除了就PDCA流程的復(fù)雜性進(jìn)行談判外，開(kāi)發(fā)安全物聯(lián)網(wǎng)生態(tài)系統(tǒng)的組織還必須了解如何以及何時(shí)與相關(guān)標(biāo)準(zhǔn)機(jī)構(gòu)和審查機(jī)構(gòu)進(jìn)行交互。

專利保護(hù)協(xié)會(huì)進(jìn)程

計(jì)劃

與任何項(xiàng)目一樣，開(kāi)發(fā)安全的物聯(lián)網(wǎng)生態(tài)系統(tǒng)始于一個(gè)強(qiáng)大的計(jì)劃，該計(jì)劃應(yīng)確保在開(kāi)發(fā)周期中盡早解決安全問(wèn)題。該計(jì)劃應(yīng)確定業(yè)務(wù)風(fēng)險(xiǎn)和需要保護(hù)的高優(yōu)先級(jí)資產(chǎn)，還應(yīng)包括嚴(yán)格的威脅評(píng)估和有效降低風(fēng)險(xiǎn)所需的安全措施的詳細(xì)說(shuō)明。威脅建模和評(píng)估是一項(xiàng)關(guān)鍵的安全實(shí)踐，而由 Microsoft 安全工程師開(kāi)發(fā)的 STRIDE 方法（圖 2）是此階段的常用工具。

圖 2：STRIDE 風(fēng)險(xiǎn)和威脅評(píng)估。

該評(píng)估的結(jié)果是一份文件，該文件構(gòu)成了客戶綜合風(fēng)險(xiǎn)管理方法的基礎(chǔ)，并且是未來(lái)合規(guī)性和正式認(rèn)證的關(guān)鍵推動(dòng)因素。

DO： 設(shè)計(jì)物聯(lián)網(wǎng)安全架構(gòu)

威脅評(píng)估結(jié)果現(xiàn)在必須體現(xiàn)在物聯(lián)網(wǎng)解決方案安全架構(gòu)的設(shè)計(jì)中。該設(shè)計(jì)的范圍涵蓋硬件和軟件，為了確保對(duì)不斷變化的網(wǎng)絡(luò)威脅的彈性，設(shè)計(jì)人員必須確保：

任何物聯(lián)網(wǎng)設(shè)備都有一個(gè)無(wú)法克隆的唯一ID，為所有其他安全功能奠定了基礎(chǔ)。此信任根 （RoT） 功能使所有各方都能夠信任來(lái)自設(shè)備的身份、身份驗(yàn)證、通信和數(shù)據(jù)。RoT 還提供啟用可信功能所需的硬件和軟件加密功能，API 層使外部應(yīng)用程序能夠訪問(wèn)這些功能。

CPU、內(nèi)存和連接不能用于非指定任務(wù)，從而限制了黑客活動(dòng)的威脅。

通過(guò)保護(hù)所有數(shù)據(jù)（無(wú)論是靜態(tài)數(shù)據(jù)還是動(dòng)態(tài)數(shù)據(jù)）的完整性，確保隱私、機(jī)密性和法規(guī)遵從性。

使用物聯(lián)網(wǎng)生態(tài)系統(tǒng)中的數(shù)據(jù)做出的決策是在安全的環(huán)境中執(zhí)行的，不受篡改和知識(shí)產(chǎn)權(quán)盜竊的影響。

發(fā)送到物聯(lián)網(wǎng)設(shè)備的任何命令（例如“注射胰島素”，“打開(kāi)/關(guān)閉閥門(mén)”，“踩剎車”等）都被驗(yàn)證為來(lái)自合法來(lái)源。

該項(xiàng)目的這一階段是建立有效的物聯(lián)網(wǎng)安全架構(gòu)的關(guān)鍵，需要使用訓(xùn)練有素的專家資源。眾所周知，這種資源在行業(yè)中非常稀缺，并且由于產(chǎn)品開(kāi)發(fā)的周期性，保留可能會(huì)進(jìn)一步復(fù)雜化：安全設(shè)計(jì)通常只完成一次，然后在整個(gè)產(chǎn)品系列中重復(fù)使用，這意味著內(nèi)部安全專家可能不會(huì)持續(xù)使用。因此，對(duì)于許多組織來(lái)說(shuō)，考慮與外部合作伙伴合作可能是有意義的，這些合作伙伴不僅可以提供所需的安全設(shè)計(jì)專業(yè)知識(shí)，還可以在整個(gè)端到端PDCA過(guò)程中提供建議和指導(dǎo)。

在完成PDCA過(guò)程的DO階段后，安全架構(gòu)設(shè)計(jì)已準(zhǔn)備好進(jìn)行滲透測(cè)試。

檢查：防守、進(jìn)攻、得分

為確保設(shè)備滿足其目標(biāo)市場(chǎng)的安全要求，必須由獨(dú)立機(jī)構(gòu)（如 CSPN）對(duì)其進(jìn)行合規(guī)性測(cè)試或正式認(rèn)證。由獨(dú)立組織進(jìn)行測(cè)試可避免與業(yè)務(wù)支持的機(jī)構(gòu)和標(biāo)準(zhǔn)（如通用標(biāo)準(zhǔn)）可能存在的利益沖突，從而確保測(cè)試的客觀性。評(píng)估物聯(lián)網(wǎng)設(shè)備的安全級(jí)別需要使用公認(rèn)的參考和方法來(lái)評(píng)估其針對(duì)正式識(shí)別的威脅的穩(wěn)健性。這種評(píng)估可以使用定量或定性方法進(jìn)行。

攻擊評(píng)分是一種廣泛使用的定量方法，其中評(píng)估保證級(jí)別（EAL）由獨(dú)立安全實(shí)驗(yàn)室通過(guò)審查過(guò)程確定的分?jǐn)?shù)進(jìn)行優(yōu)化。兩種常用的評(píng)分機(jī)制是CSPN使用的聯(lián)合解釋庫(kù)方法，或由FIRST（事件響應(yīng)和安全團(tuán)隊(duì)論壇）管理的通用漏洞評(píng)分系統(tǒng)。

定性評(píng)估也由獨(dú)立的安全實(shí)驗(yàn)室進(jìn)行，測(cè)試設(shè)備內(nèi)部的安全漏洞，這將使高概率，高影響的攻擊取得成功。對(duì)這種方法的評(píng)價(jià)程度取決于專門(mén)知識(shí)水平和發(fā)動(dòng)現(xiàn)實(shí)攻擊所需工具的復(fù)雜性。此方法在設(shè)備中建立安全或置信度級(jí)別，當(dāng)測(cè)試活動(dòng)無(wú)法揭示所定義攻擊的差距時(shí)，將達(dá)到分配的級(jí)別。

對(duì)于大多數(shù)物聯(lián)網(wǎng)產(chǎn)品來(lái)說(shuō)，定性基線評(píng)估就足夠了，對(duì)于構(gòu)建在已經(jīng)經(jīng)過(guò)安全評(píng)估過(guò)程的設(shè)備上的產(chǎn)品，例如u-blox的蜂窩物聯(lián)網(wǎng)模塊系列，這種評(píng)估可以進(jìn)一步簡(jiǎn)化。諸如此類的認(rèn)證模塊將經(jīng)過(guò)廣泛的評(píng)估，模擬典型的攻擊路徑，并測(cè)試設(shè)備的嵌入式安全性，以防止攻擊，包括故障注入和側(cè)信道分析。通過(guò)集成已經(jīng)過(guò)此級(jí)別測(cè)試的模塊，開(kāi)發(fā)人員可以確保對(duì)設(shè)備具有物理訪問(wèn)權(quán)限的攻擊者將無(wú)法擊敗安全對(duì)策，并且加密算法，私鑰和其他安全功能是安全的。

做

在規(guī)劃、設(shè)計(jì)和評(píng)估階段之后，必須在設(shè)備的整個(gè)生命周期內(nèi)部署、擴(kuò)展和維持物聯(lián)網(wǎng)設(shè)備安全性。

盡管軟件安全實(shí)施足以應(yīng)對(duì)低威脅、低業(yè)務(wù)價(jià)值的情況，但在生產(chǎn)運(yùn)行期間，高價(jià)值、高暴露度應(yīng)用程序中使用的設(shè)備需要硬件 RoT，并在受信任位置進(jìn)行配置。大規(guī)模物聯(lián)網(wǎng)生態(tài)系統(tǒng)部署的安全挑戰(zhàn)還必須要求包含零接觸配置、安全云連接以及電源和帶寬效率密鑰管理等功能。

減少安全威脅的實(shí)時(shí)暴露需要收集和監(jiān)控大量?jī)?nèi)部和外部來(lái)源的數(shù)據(jù)。雖然這可能是一項(xiàng)艱巨的任務(wù)，但確保及時(shí)發(fā)現(xiàn)和修復(fù)威脅至關(guān)重要。沒(méi)有必要內(nèi)部資源的組織應(yīng)認(rèn)真考慮與值得信賴的合作伙伴合作開(kāi)展此活動(dòng)。

在整個(gè)安全旅程中與外部支持接洽

許多專業(yè)安全組織（如 u-blox 和 Kudelski 合作伙伴關(guān)系）可以提供專家安全功能，在整個(gè) PDCA 工作流程中為您提供支持，無(wú)論您處于開(kāi)發(fā)過(guò)程的哪個(gè)階段（圖 3）。

圖 3：IoT 安全實(shí)驗(yàn)室之旅。

通常，專家安全分析、建議和設(shè)計(jì)服務(wù)可能包括通過(guò)量身定制的漏洞和威脅分析、端到端安全架構(gòu)咨詢和全面的預(yù)發(fā)布測(cè)試來(lái)評(píng)估和評(píng)估芯片級(jí)、PCB級(jí)和軟件安全性。

安全解決方案

如上所述，對(duì)于基于認(rèn)證模塊（如 u-blox 蜂窩系列）的解決方案，可以簡(jiǎn)化安全過(guò)程。這些模塊集成了Kudelski物聯(lián)網(wǎng)安全平臺(tái)，該平臺(tái)創(chuàng)建了一個(gè)信任鏈，鏈接設(shè)備，數(shù)據(jù)，物聯(lián)網(wǎng)平臺(tái)和應(yīng)用程序，使用戶能夠使用簡(jiǎn)單的API管理所有關(guān)鍵的物聯(lián)網(wǎng)資產(chǎn)。該平臺(tái)由三個(gè)元素組成 - 軟件或硬件RoT，基于設(shè)備的安全客戶端和云或基于客戶內(nèi)部的安全服務(wù)器。預(yù)集成組件包括能夠?yàn)槲锫?lián)網(wǎng)應(yīng)用實(shí)現(xiàn)安全設(shè)備設(shè)計(jì)和數(shù)據(jù)的功能。該平臺(tái)的用戶可以創(chuàng)建和操作各種數(shù)字和物理資產(chǎn)，并確保安全保護(hù)適應(yīng)未來(lái)的威脅。

設(shè)計(jì)有效的物聯(lián)網(wǎng)安全架構(gòu)是一個(gè)必不可少但復(fù)雜的過(guò)程，需要使用專業(yè)知識(shí)。PDCA流程是一種成熟的方法，它結(jié)合了必要的安全測(cè)試和認(rèn)證步驟，如果應(yīng)用得當(dāng)，可確保實(shí)施強(qiáng)大的物聯(lián)網(wǎng)安全架構(gòu)。組織可以選擇保留這一稀缺資源或與外部提供商合作，具體取決于其產(chǎn)品開(kāi)發(fā)周期的具體情況。

審核編輯：郭婷