能否在物聯(lián)網(wǎng)領(lǐng)域構(gòu)建一個(gè)通用的安全模型�?
圖2.一個(gè)通用安全模型
圖2給出的通用安全模型解釋了物聯(lián)網(wǎng)安全責(zé)任應(yīng)該如何在不同合作方之間進(jìn)行劃分�����。從頂部開(kāi)始��,客戶負(fù)責(zé)保護(hù)各種設(shè)備���,拒絕未經(jīng)授權(quán)的訪問(wèn)并且管理用戶賬戶���。
物聯(lián)網(wǎng)平臺(tái)通過(guò)集成顯示和無(wú)需編碼即可使用的權(quán)限簡(jiǎn)化了任務(wù)��。例如���,地區(qū)����、部門(mén)和位置可以被定義���,用戶只能訪問(wèn)自己地區(qū)的對(duì)象而不能訪問(wèn)其它地區(qū)的�。職能角色也可以在一個(gè)組織之中創(chuàng)建��,比如“服務(wù)管理者”�,“服務(wù)管理者”的角色也可以被分配給新用戶,而新用戶可以自動(dòng)接收被分配角色的所有權(quán)利�。
理想情況中�����,在連接服務(wù)器的幫助下��,當(dāng)平臺(tái)本身位于防火墻之內(nèi)的話����,物聯(lián)網(wǎng)平臺(tái)將提供在“隔離區(qū)(DMZ)”工作的選項(xiàng)����。如果物聯(lián)網(wǎng)平臺(tái)處于內(nèi)部網(wǎng)絡(luò)�,那么即使是最堅(jiān)定的外部攻擊�,也會(huì)遇到很大的困難��。好的網(wǎng)絡(luò)概念可以幫助組織更好地保護(hù)他們的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施�。
應(yīng)用程序開(kāi)發(fā)人員可以使用領(lǐng)先平臺(tái)提供的適當(dāng)工具進(jìn)行最佳實(shí)踐,比如開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(OWASP��,Open Web Application Security Project)TOP 10�����,這是在開(kāi)發(fā)Web應(yīng)用程序時(shí)應(yīng)該避免的弱點(diǎn)�。美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)強(qiáng)烈建議所有企業(yè)需遵循OWASP所發(fā)布的十大Web弱點(diǎn)防護(hù)守則����。
SQL注入是十大問(wèn)題之一�����,它是指程序把用戶輸入的一段字符串直接用在了拼湊SQL語(yǔ)句上�,導(dǎo)致了用戶可以控制SQL語(yǔ)句����,比如加入delete的行為���、繞過(guò)用戶密碼驗(yàn)證等����。解決方式是使用參數(shù)形式調(diào)用SQL/使用存儲(chǔ)過(guò)程(存儲(chǔ)過(guò)程中不要使用動(dòng)態(tài)SQL拼語(yǔ)句)/使用Linq, EF等框架來(lái)寫(xiě)(不要使用里面的直接拼SQL語(yǔ)句的方式)���。物聯(lián)網(wǎng)平臺(tái)可以通過(guò)parameterising 輸入(parameterising input)和直接停止SQL查詢的方式來(lái)防止這種攻擊���。
然而�,一些物聯(lián)網(wǎng)安全的責(zé)任應(yīng)該由開(kāi)發(fā)人員來(lái)承擔(dān)。通過(guò)傳輸層安全協(xié)議(TLS),大多數(shù)物聯(lián)網(wǎng)平臺(tái)具有為設(shè)備通信過(guò)程提供加密的能力�。當(dāng)然����,這項(xiàng)能力必須由開(kāi)發(fā)人員來(lái)激活��。
無(wú)論在應(yīng)用程序的發(fā)展過(guò)程中如何重視安全問(wèn)題��,遭受攻擊的可能性總是存在。因此�,至關(guān)重要的是設(shè)立一種讓每一層級(jí)都可以反復(fù)更新到最近版本的保護(hù)機(jī)制�。
因此��,一個(gè)物聯(lián)網(wǎng)平臺(tái)不但應(yīng)該提供集成的軟件和內(nèi)容管理功能���,還應(yīng)支持自動(dòng)分發(fā)更新��。更復(fù)雜的平臺(tái)還會(huì)包括如何分配這些更新的選項(xiàng)。這意味著�����,你可以在對(duì)所有設(shè)備進(jìn)行常規(guī)更新的時(shí)候,可以先在少量設(shè)備上導(dǎo)入和測(cè)試這些選項(xiàng)�����。
一個(gè)通用的安全模型以及其它許多功能簡(jiǎn)化了物聯(lián)網(wǎng)應(yīng)用程序開(kāi)發(fā)和實(shí)現(xiàn)的過(guò)程��。因此,您可以優(yōu)化您廣泛分布的設(shè)備的性能����,同時(shí),確保防止未經(jīng)授權(quán)的惡意使用����。 3/4 首頁(yè) 上一頁(yè) 1 2 3 4 下一頁(yè) 尾頁(yè)
