近日,互聯網信息安全成為全民熱議話題,并首次上升到國家安全法的高度,不由得讓信息安全意識薄弱的中國企業為之一顫!
尤其是數據繁多、端口龐雜,安全問題頻出的物聯網行業,更是如履薄冰。
網絡安全公司 Sonicwall 在《 2019 年網絡威脅報告》中指出,在 2018 年 Sonicwall 記錄有3270 萬次物聯網攻擊,比起 2017 年的1030 萬次物聯網攻擊,增長比例達 217.5%。
據Gartner數據顯示,到2020年,所有針對企業的攻擊中有25%涉及物聯網。
全球化敏捷AIoT平臺Ayla艾拉物聯 CEO劉渝龍認為,物聯網的安全問題,比互聯網安全要復雜的多,其安全隱患主要來自于三大端口:一是連接可信的問題;二是數據傳輸的問題;三是平臺安全的問題。
那么如何有效杜絕物聯網行業的安全問題?
一、連接可信的安全
物聯網設備的SPU/SKU極其多,涉及到的領域也非常廣泛,僅一個智慧家庭領域,包含的大大小小智能設備就高達2萬SKU。
國內無論哪一個公有PaaS云平臺連接的設備都在億級,每一天都接收到大量調取平臺服務和數據的請求,如果其中任意一個設備出現漏洞,都會給不法分子侵入提供“綠色通道”。
如何確保設備的可信和安全?
Ayla艾拉物聯享譽全球的端到端安全體系中,就有針對設備安全及連接可信的獨創成果,即一機一碼安全機制。
通俗來講,就是一個設備擁有獨立的專屬密匙,當設備接入云端或發送調取數據請求時,身份認證通過后方可執行,有效阻絕入侵漏洞。
如今,Ayla艾拉物聯的一機一碼安全機制,已經成為國內各大物聯網云平臺爭相效仿的標配,為我國的物聯網安全筑起堅實的基礎。
二、數據傳輸的安全
近幾年,智能家居端到端的數據傳輸漏洞導致的安全問題頻出,去年小米攝像頭在海外被劫持,今年又爆出不法分子劫持數萬家庭攝像頭,販賣影像謀利。
劉渝龍透露,端到端的數據傳輸是雙向的,只有做到雙向傳輸加密,才能防范被不法分子破解或劫持。
Ayla艾拉物聯的數據加密采用TLS安全機制,包含三方面的內容:接入認證,密鑰協商,通訊過程數據加密。
Ayla云是設備和云雙向認證,設備對云采用x.509證書認證,云對設備采用RSA簽名驗證;密鑰協商是標準TLS的方式;數據加密是AES128,這樣就可以最大限度保證數據的保密性、一致性。
其原理是:信息加密把明碼的輸入文件用加密算法轉換成加密的文件以實現數據的保密。加密的過程需要用到密匙來加密數據然后再解密。沒有了密鑰,就無法解開加密的數據。
也就是說,如果有不法分子中途劫持了這組數據,只能看到一堆亂碼,無法看到原本的數據,這樣也能保證數據在傳輸過程中沒有被篡改過。
三、平臺服務的安全
隨著越來越多的企業及機構使用物聯網PaaS云服務,一些安全問題也日漸顯露,如網絡攻擊頻繁,客戶數據泄漏等等問題。
其實,只要做好公有云的數據隔離和運營管理,就能有效保障平臺數據安全。
如中國首家通過SOC3安全認證和ISO27001信息安全管理體系的AIoT平臺Ayla艾拉物聯,在平臺安全上具有嚴密的防護機制:
1,專業的devopts團隊對云運營做安全審核,及運維保證。
Ayla的PaaS云上設置了權限管理、系統監控等功能,能夠365天24小時不間斷進行監控,發現安全漏洞和隱患時,及時修補bug,保持系統更新,維護數據和運營安全。
2,充分根據PKI的安全原則,建立的基礎安全機制,保證各種密鑰安全,并且保證數據在系統中可信,安全的流通。
3,多重數據隔離機制,確保安全的數據存儲。
Ayla艾拉物聯的PaaS采用多租戶架構和內外網分離的數據隔離體系。
多租戶下的隔離包括了幾個方面的內容:
一是系統本身元數據和基礎主數據的隔離(用戶,角色,權限,數據字典,流程模板);
二是系統運行過程中產生的動態數據的隔離;
三是業務系統底層所涉及到的計算資源和存儲資源的隔離。
內外網的數據隔離是指將內部網絡與外部可訪問的應用程序和數據分離,這樣可以避免不法分子從外部網絡漏洞侵入內網。
四、誰愿意為安全付費?
劉渝龍認為如今國內物聯網安全問題頻出,最根本的原因是兩個:
一是供需雙方中,沒有人愿意為安全買單。因為建立完善的安全防護體系,需要投入大量的技術資源和運營資源,最終體現到市場上,就是成本的提升;
二是對物聯網安全沒有可以遵循的標準和監管機制,目前國內對于安全的重視度不夠,沒有可參考的安全標準,物聯網企業即使想做也是有心無力,而且目前政府對信息泄漏的處罰機制缺失,許多企業有恃無恐。
不過近兩年隨著智能家居進入千家萬戶,消費者對物聯網安全認知漸漸提升,安全意識覺醒,愿意為安全付費的用戶群體愈來愈多,這將倒逼整個物聯網行業的安全體系升級。
