解读丨智能家居从业者需理解的物联网安全
IoT设备一般都配套有相应的手机应用进行配置或控制。手机应用被用户登录之后往往代表了主人的所有权限。故手机应用的安全至关重要,涉及到用户账号的管理,敏感信息在手机本地的存储,手机应用给手机系统授予的权限等方面的问题。 黑客曾宣称过一种使用伪装的第三方APP来窃取智能家居APP控制权限的办法,智能家居APP如果允许用户授予手机系统过多的权限,该伪装的APP即可通过获取该权限来窃权智能家居设备的控制能力。诱导用户在自己的手机上安装该第三方APP,且在第三方APP中留有后门,黑客即有机会通过该APP获取对智能家居APP的控制权限。 物联网设备本身的安全,如安全启动、固件的加密存储、密钥信息及用户信息的加密存储等,也是容易忽略的薄弱环节。 黑客通过拆解设备读取固件反向分析,有可能获得设备工作、通讯的逻辑,从而找到攻破正常用户的办法。但固件的加密需要加密芯片的支持,其成本不菲,是否引入需要根据实际需求做出谨慎决策。在智能硬件设备中明文存储Wi-Fi密码、通讯密钥的事情,也曾有过多起报道。 若罪犯拆解受害者家中的设备读取Flash中的信息,可获得设备的通讯密钥。不过在这样的案例中,罪犯若能拆解家中的设备,无疑其已通过物理手段入侵到家中,实际已经不再是网络安全的问题了。产品开发中的安全实践程度需要与产品的应用场合紧密结合作出决策,过度设计也需要被避免。 行业法规 网络安全是极深而专业的课题,且涉及到方方面面,实践起来是个系统工程,上文仅仅是概述而已。前文也提到,企业在决定网络安全方案时需考虑实际应用需求,美国国家标准局提供了一份指导标准(NISTIR 8259),建议企业实践物联网安全的规范流程及最基本的考核方面,对于未建立完善的网络安全实践流程的企业,可参考该流程建立公司规范。 在具体的实践中,何种应用需要达到的何种最低安全标准,目前各个国家都还处在制定标准的早期,但也已有了不少进展。全国信息安全标准化委员会已发布了征询企业意见的《智能家居安全通用技术要求》草案版本,欧洲、韩国也有物联网安全相关的法规颁布。但目前为止,这类法规普遍未针对不同的应用场景进行区分,若所有的设备一律满足同一份标准,可实践性又存在问题。 新加坡政府的做法非常值得借鉴,其公告称将要求企业在智能家居设备上增加网络安全等级的标识(与家电能效等级标识类似),其参考的执行标准为欧洲的TS 103 645。 笔者预计,在近两年内行业标准将越来越成熟,对于企业而言,宜未雨绸缪,尽早部署一定的资源,以防标准普及时措手不及。 IoT产品经理所需的网络安全知识 笔者目前为一名智能家居产品经理。深入思考物联网安全的现状,笔者认为,成为一名优秀的IoT产品经理,需具备如下能力及知识: 1、理解所在行业客户对网络安全的需求及痛点 2、理解在产品使用过程中涉及到的网络安全环节及其技术手段的优劣势 3、深入研究过去披露的业内公司网络安全问题及其应对策略 前两点有助于产品经理准确定义产品在网络安全方面的需求,第三点一方面帮助产品经理印证产品定义,另一方面也有助于对未来潜在暴露的安全问题做好应对措施。由于成本和效益的考量,不存在绝对安全的产品,故做出合理定义,提前计划好应对措施,才是对业务负责的表现。 特别致谢:感谢西门子网络安全专家闫韬博士提供的指导意见! (编辑:555手机网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |