最新资讯
海康威视:五方面入手提升物联网安全首席安全官
日前,海康威视在INTERSEC 2018迪拜国际安防展期间发布了2018《海康威视网络安全白皮书》,强调了网络安全的重要性和迫切性。为了提升物联网设备的安全性,海康威视建议从以下五个方面入手:
一、维护硬件安全安全的物联网装置具有许多安全特性。首先,它使用非对称密码来执行安全引导和安全加载或空中(OTA)固件更新。安全的物联网装置还使用硬件加密加速器,它们更快、更节能,并且更不易受到边通道分析攻击。在安全的物联网装置中,除错链接埠是禁用的。如果在某些时候需要重新打开除错连结埠(例如须要远程储存器存取或由于其他原因),这时要透过使用公共密钥认证的认证询答方案来实现。虽然安全启动和引导加载可防止攻击者修改程序内存,但安全的物联网装置能够进一步限制对于程序内存的读取存取。这通常意味着装置具有内部存储器或内建闪存。在使用外部内存的情况下,这也意味着外部内存的内容须被签名和加密。二、强化软件安全为确保在安全的物联网装置上运行的软件能够进一步加强安全性,必须在关键部分进行硬件化,这意味着其可阻止跳过单一指令。例如,安全启动签名检查或密码签名检查。这种方法可确保即使攻击者能够让处理器跳过一道指令,如此也不会产生关键性的安全后果。此外,为了避免代码中的安全问题或第三方数据库引起系统范围的存取,可采用安谋国际(ARM) v8M的TrustZone对不同数据库进行分区管理。三、留意通讯安全大多数集成电路(IC)与其他IC、物联网装置、网关和云端通讯,有必要保护这些信道。当与其他IC通讯时,这意味着要启用加密和身分验证以确保完整性和机密性。一个可能的范例是将数据储存在传感器或通讯IC和主处理器之间的外接内存或有线总线。当与其他物联网装置通讯时,通常使用诸如Zigbee、Thread或蓝牙低功耗(BLE)等通讯协议。大多数协议中都有安全选项,重要的是要打开这些安全选项。另一个重要的考虑因素是装置部署。一旦在通讯装置之间采用安全措施,那么安全的数据传输就显而易见。然而,分发私钥并不是直接的。对于无线装置而言,这通常涉及装置加入无线网络的部署步骤,例如使用蓝牙(Bluetooth)部署一个可连接灯泡到基于Zigbee的网状网络。用于部署的选项取决于系统基本功能、易用性和安全性之间的折衷。只要安全的物联网装置不降低安全性即可。此外,安全的物联网装置使用TLS/DTLS来建立与云端的安全的端对端(End-to-end)连接。四、维护应用层安全应用层可能位于装置、云端服务,或两者的组合。在许多应用中,通常须要在应用层进行密码保护。安全的物联网装置强制用户更改密码,并将最常用的密码列入黑名单。如果可能,装置甚至可以实施双重身分验证。五、确保系统安全从系统的角度来看,一些看似无害的子系统也可能增加整个系统的不安全性。因此,为了建构安全的物联网装置,在每个系统内部有一些针对实现安全性的假设。每个子系统的安全性应当是独立的或在最小程度上依赖于其他子系统的安全性。在物联网行业高速增长的时期,网络安全一直都是物联网发展的关键所在。随着联网设备的增加,各种网络攻击事件不断发生,网络安全的形势并不容乐观。层出不穷的安全问题在时刻为我们敲响警钟,如果厂商不对安全问题加以足够重视,安全就将成为物联网产业的薄弱环节,从而网络大面积瘫痪、黑客入侵、隐私泄露等问题也将再次困扰着人们。